La cultura della sicurezza delle informazioni. Il caso iso 27001

CATEGORIA >>News

S News ha incontrato Jonida Brahimi, Quality Assurance & Compliance Manager, Digitronica.IT

Digitronica.IT ha ottenuto la certificazione ISO/IEC 27001. I nostri complimenti! Cosa significa essere certificati ISO 27001?

L’ottenimento della certificazione è per noi motivo di grande orgoglio. Abbiamo voluto mettere in evidenza l’ottimizzazione costante dei processi aziendali e la sensibilizzazione alla cultura della sicurezza delle informazioni. Digitronica.IT difatti, non solo si posiziona all’interno di un mondo in continua evoluzione digitale, ma ne è promotrice tramite le proprie soluzioni. Ed è stata proprio la cura delle applicazioni, quale output dei nostri processi, ad averci portati lo scorso dicembre all’ottenimento della certificazione relativa alla gestione della Sicurezza delle Informazioni con riferimento alla “Progettazione, sviluppo e assistenza di software e soluzioni per la gestione della security”, secondo lo standard internazionale ISO/IEC 27001.

Se prendiamo in considerazione il concetto di informazione quale “conoscenza o insieme di dati che hanno valore per un individuo od organizzazione”, vediamo che esso esplica già la sostanza della certificazione stessa. L’obiettivo della ISO 27001 è infatti proprio quello di tutelare ogni informazione, indipendentemente dalla tipologia di archiviazione, supporto o trasmissione.

Quando si parla di sicurezza delle informazioni (SDI) si fa riferimento a tutti i sistemi utilizzati per la loro raccolta, modifica, conservazione, trasmissione o distruzione. La SDI si basa sulla preservazione dei principi di Riservatezza, Integrità e Disponibilità.

Per quale motivo avete scelto di certificarvi? Essendo una PMI non c’era nessun obbligo in tal senso…

È esattamente così.  Come giustamente sottolinea lei, non c’era nessuna obbligatorietà. È stata una scelta! La scelta di mettersi in gioco e sottoporsi ad un percorso complesso di conformità a regole internazionali. Tali regole, o per meglio dire requisiti, implicano un maggiore controllo interno ed esterno, permettendoci di offrire un migliore servizio ai nostri Clienti.

E quale miglior modo c’è di essere sicuri che siano stati adottati adeguati processi e che il personale sia preparato e competente, se non quello di una valutazione condotta da un ente terzo e indipendente!

È questo il motivo per il quale abbiamo intrapreso questo percorso volontario e proattivo, con una presa di coscienza e una consapevolezza non indifferenti, soprattutto per società con la nostra “governance structure”: PMI, con meno di 50 dipendenti, ecc.

Si tratta, quindi, di un plus, un importante valore offerto a tutti i nostri interlocutori: in Italia sono soltanto 1827 le aziende che hanno finora ottenuto la ISO 27001. Quelle appartenenti al settore IT, sono, nel caso della ISO 9001, il 23%, e, nel caso della ISO 27001, il 43%. (Fonte: “The ISO Survey 2020”). Questo è un ulteriore elemento distintivo per i nostri stakeholder, i quali vedono delinearsi i seguenti “milestone”:

– le decisioni sono prese da persone competenti;

– i processi e le procedure, che hanno dato adito a quelle decisioni, sono il frutto di valutazioni/verifiche continue.

Quali dunque i punti cardine del percorso intrapreso all’interno di Digitronica.IT?

Da circa quattro anni, all’interno della nostra azienda, è stato istituito il nuovo settore “Compliance”, il quale incorpora la ISO 9001, la conformità al GDPR, il MOG 231 e da ultimo la ISO 27001. Considerata la compagine sociale, Digitronica.IT non avrebbe avuto alcun obbligo di istituire una funzione di compliance. Aziende simili alla nostra esternalizzano tale funzione o ne sono del tutto sprovviste.
Tuttavia, in considerazione della forte sensibilità verso le tematiche ad essa attinenti, quali l’attenzione al Cliente, i presidi organizzativi e la conformità alle normative di settore, si è deciso di intraprendere questo importante percorso, che ha portato alla certificazione ISO 27001 di cui, appunto, andiamo molto fieri.

Tutti gli obiettivi che ci siamo posti sono stati pianificati con la consapevolezza dell’investimento sulla cultura del rischio, non solo internamente, ma anche verso tutti gli stakeholder coinvolti nell’attività d’impresa.

Siamo partiti dunque dagli spunti operativi della ISO 9001, dai quali sono derivate notevoli analogie con la ISO 27001, mostrando che vi è un minimo comun denominatore fra tutte le aree relative alla compliance in senso lato: mappatura dei processi, valutazione dei rischi, condivisione delle informazioni, formazione e monitoraggio/miglioramento continuo.

A tal proposito, è utile ricordare, che la gestione del rischio aziendale è un processo posto in essere dal management, che ne ha la responsabilità ed il dovere di conduzione. È il management a strutturare un piano strategico che diventa poi pervasivo e viene integrato all’interno di tutte le funzioni aziendali.

È interessante notare come molti elementi chiave della ISO 27001 convergano perfettamente nella ISO 9001, nel GDPR e nel MOG 231. Si rileva una forte simmetria funzionale tra i vari presidi che contraddistinguono tali sistemi di gestione/modelli organizzativi.

Quale quindi l’attuale sistema di controllo interno, e quale la vostra vision in prospettiva futura?

Partiamo dal presupposto che Digitronica.IT è sempre pronta ad evolversi, consapevole della complessità e dei continui cambiamenti del mercato. Questo fa sì che l’aggiornamento dei processi aziendali sia supportato da un insieme di norme e requisiti di cui al Sistema di gestione integrato. Fondamentali, a tal riguardo, risultano essere la chiara definizione di policy e di linee di responsabilità, così come la consapevolezza a tutti i livelli organizzativi.

Tale struttura è indice di affidabilità e garanzia sul rispetto dei requisiti contrattuali in essere, anche in termini di accountability e conformità alle norme di settore. Inoltre, la qualità dei processi è supportata da un Organismo di Vigilanza, il quale controlla e monitora la corretta applicazione del MOG 231 adottato, coadiuvato dalle procedure interne e dai principi di cui al Codice etico.

Il nostro è un risultato che fa intuire come l’azienda abbia compreso l’importanza dei sistemi di gestione quale strumento organizzativo capace di dare valore aggiunto alla propria attività. Un vero e proprio investimento strategico che non finisce qui! Le certificazioni non devono essere “bollini” su cui adagiarsi, bensì l’inizio di un percorso che rappresenta l’impegno continuo da parte di tutti i soggetti coinvolti nell’attività d’impresa.

A cura di Monica Bertolo (Managing Director S News)

CONDIVIDI

POTREBBE ANCHE PIACERTI

|

Arena 2014 – sicurezza & tecnologia

|

Virtual reception: più sicurezza, completa autonomia