Corporate intelligence per garantire la sicurezza in azienda

La sicurezza è uno degli asset delle aziende, valutata anche in sede di rilascio di certificazioni e finanziamenti. A garantirla: la corporate intelligence.

Se si parla molto di sicurezza informatica e nonostante questo, le falle nella company cyber security restino, spesso, aperte, si parla invece molto meno di sicurezza della supply chain e dei rischi correlati alle varie fasi operative della vita aziendale.

Ne abbiamo parlato con Giuseppe Strollo, CEO di Excursus Group, che dal 2017, dopo un’esperienza nella sicurezza governativa, ha applicato il suo know how al mondo corporate.

«Preferisco parlare di “corporate intelligence” piuttosto che di business intelligence, come spesso accade quando ci si riferisce al mondo dell’impresa», precisa Strollo, che ci spiega che «già dal mio background nei reparti governativi partivo sempre dall’analisi del rischio. Questa stessa tecnica l’abbiamo applicata anche al mondo privato delle aziende seguendo lo stesso ciclo di intelligence».

Andando più nel dettaglio della vostra attività, in cosa consiste?

Lavoriamo nel settore del rischio, a cui sono esposte tutte le imprese, inevitabilmente.

Possiamo distinguere tre tipi principali di attività: preventiva, in corso ed ex-post.

Mi spiego con qualche esempio. Tra le attività preventive rientrano tutte quelle verifiche che un’azienda svolge prima di avviare un rapporto d’affari, con l’obiettivo di capire chi ha di fronte, valutarne l’affidabilità e la solidità economica. Si tratta di una fase cruciale per tutelare il patrimonio aziendale e ridurre il rischio di esposizioni o insolvenze.

Le attività in corso possono essere quelle volte a scoprire degli illeciti durante la normale gestione aziendale, come la simulazione di assenza per malattia da parte dei dipendenti, che crea danno sia all’azienda che all’erario o i furti interni o ancora, la divulgazione di informazioni riservate.

Per ex post si intendono tutte quelle attività che servono a individuare cosa può essere legalmente aggredito, per esempio quando un collaboratore ha già lasciato l’azienda ma ha causato un danno e l’azienda deve trovare il modo di tutelarsi e recuperare quanto perso.

I vostri servizi sono rivolti anche alle piccole e medie imprese, sebbene, come lei ci ha detto, lavoriate, al momento, soprattutto con grandi aziende. Come mai? Questione di costi?

A livello statistico, le piccole e medie imprese sono quelle che avrebbero maggior bisogno dei nostri servizi ma spesso non hanno le risorse, sebbene non parliamo di costi proibitivi. Direi che la questione è soprattutto culturale e strutturale.

La maggior parte delle aziende italiane sono a conduzione familiare e spesso non hanno la struttura manageriale dotata della giusta sensibilità e consapevolezza di doversi far aiutare su questo aspetto, non sono consapevoli dei rischi e non sono a conoscenza dell’obbligo, anche legislativo, di doversi far aiutare da un professionista per fare certe attività.

Quali servizi vengono richiesti con maggior frequenza?

Dipende dal settore ma abbiamo riscontrato un aumento della casistica dei servizi per scoprire i furti interni, non solo dei dipendenti ma che coinvolgono anche l’intera supply chain. Questo tipo di illecito si è diffuso grazie anche allo sviluppo delle piattaforme di e-commerce che rendono più semplice smerciare la merce trafugata. Ma quando si intrecciano una serie di dati, tra cui un prezzo troppo basso, che rompe il mercato, si riesce a rintracciare l’intera filiera sino al soggetto o all’organizzazione che ha commesso il furto.

Quali aspetti della sicurezza vengono invece sottovalutati?

Chi gestisce un’azienda in modo etico spesso non immagina che un concorrente possa ricorrere allo spionaggio, che è sempre un illecito. L’azienda però deve essere pronta a intercettare chi tenta di spiarla.

Una vostra analisi ha evidenziato che, nel 98% dei casi di attacco alla cyber security aziendale, il fattore umano è l’anello debole della catena. Cosa può fare l’azienda per evitarlo?

Far accrescere l’awareness, con azioni di consapevolezza che devono coinvolgere tutta la popolazione aziendale.

Chi attacca fa azione di social engineering per individuare il soggetto più debole da contattare, ad esempio tramite azione di phishing. Per questo bisogna fare azione formativa contro queste minacce, anche con realtà simulata, per creare consapevolezza.

Voi stessi fate attività di formazione.

Abbiamo stipulato un accordo quinquennale con l’Università di Salerno col Dipartimento di Strategic Innovation System della facoltà di Economia e tenuto già dei seminari sulla corporate intelligence. Inoltre siamo inseriti in un gruppo di ricerca internazionale con una serie di università europee che studia tutte le minacce digitali e fisiche che un’azienda può dover fronteggiare.

Infine siamo molto attivi nella ricerca e sviluppo e a breve lanceremo una piattaforma innovativa che sfrutterà l’Intelligenza Artificiale applicata al retail crime.