Sono in esponenziale crescita le grandi aziende o organizzazioni che necessitano, a vario titolo, di attività gestionali finalizzate ad analizzare, individuare e valorizzare un rischio che può provocare danni, sia patrimoniali che personali (divulgazione di segreti aziendali o personali, furti perpetrati in azienda,...).

Proprio per questo motivo in queste aziende si ha un' attività di Security management, che si concretizza con la figura del security manager o responsabile della sicurezza.
Il manager della sicurezza ricopre un delicatissimo ruolo fiduciario nei confronti dell'azienda od organizzazione dove svolge tale attività e le sue competenze ed attività non seguono gli standard tipici dei dirigenti o direttori classici.
 
Tutto sembra semplice, ma come spesso cito, dove c'è di mezzo la sicurezza tutto diventa arzigogolato!
Anche volendo, non sarebbe possibile affidare la gestione della sicurezza (sarebbe troppo generico, vista la complessità dell'argomento) ad un solo soggetto.

Proprio per questo motivo, dove un individuo non riuscirebbe a racchiudere i molteplici eventi gestionali che sono propri delle grandi aziende od organizzazioni, tre diverse tipologie di Security Management, coprono un ampio settore gestionale di sicurezza:

Area di Sicurezza patrimoniale, dove il loss prevention & security manager è il responsabile aziendale per la sicurezza patrimoniale e si occupa di tutte le attività di vigilanza ed investigazione, per far fronte alle costanti perdite economiche di un' azienda legata a furti, frodi o truffe perpetrati da dipendenti o non. Si può occupare anche di gestione della sicurezza personale dei vertici aziendali. Figura di spicco in ambito aziendale è la persona che interessando la maggior area del Security Management ed avendo maggiori responsabilità oggettive e soggettive ricopre forse il ruolo più delicato del settore.

Area di Sicurezza informatica, dove il IT Security Manager è la figura chiave che deve garantire la sicurezza dei sistemi informatici, ponendo in essere attività volte a protezione dei server aziendali, da intrusioni esterne o interne e si occupa altresì della  protezione delle informazioni e dei dati aziendali. Solitamente aziende con problemi seri di protezione dati e certificazioni particolari (n.o.s. ecc.), attribuiscono ogni anno una gran parte di fondi per l'aggiornamento del personale e dei software. Il manager della sicurezza IT, deve anche gestire economicamente i fondi messi a disposizione dall'azienda per l'upgrade dei sistemi e del personale, facendo attenzione a non lasciare aree critiche vulnerabili agli attacchi esterni e interni, per causa dei sistemi obsoleti.

Area di Sicurezza sul lavoro ed ambiente: l' R.S.A. è la persona che vigila, analizza e mette in atto, tutte le misure necessarie per garantire la non pericolosità ed una buona vivibilità dei posti di lavoro, tale figura si attiene alle norme dettate dalla legge 626.

Ma come si deve integrare il security manager rispetto ad altri settori aziendali?

Fondamentale è che il security manager sia collocato fisicamente all'interno delle strutture aziendali in maniera periferica, vista la delicata attività svolta (sarebbe sconveniente e contro i principi aziendali che il responsabile della sicurezza debba ogni volta spegnere il pc, o nascondere carte all'arrivo di suoi colleghi dirigenti).

Tutte le procedure volte alla sicurezza devono essere condivise anche dalle altre aree aziendali, e non devono inficiare la produzione o la normale attività economica.

In generale i security manager identificano il rischio (anche detto problema), lo analizzano e ne valutano l'incidenza in base ai rischi potenziali ed ai rischi effettivi (attività definita risck assestment). Una volta analizzato il rischio, individuano le azioni di contrasto e di riduzione (attività definita risck response), rendendo pubbliche, a tutte le aree interessate, le procedure attuative per tale attività (definita Control Activities).

Una volta pubblicizzate le procedure in ambito aziendale, il responsabile della sicurezza, deve fisicamente spiegarle  a tutte le persone che le dovranno attuare, ed essere sicuro della comprensione delle stesse agli interlocutori (attività definita Information & Communication).

Accertato personalmente che tutte le attività sopracitate sono andate a buon fine, il security manager deve attuare un attività costante di controllo continuo dell'attuazione delle procedure (attività di monitoring).