Certificazioni

Standard internazionali e sicurezza delle informazioni

ITAKA SA supporta le aziende clienti a mettere in sicurezza i propri dati come informazioni finanziarie, proprietà intellettuale, dati sensibili riguardanti i dipendenti o informazioni affidate da terzi attraverso un processo di protezioni informatica.

INFORMAZIONI GENERALI
Questo processo attiene alla serie di standard ISO/IEC 27000 che fa riferimento ad un insieme di norme internazionali che riguardano la sicurezza delle informazioni e la gestione di queste (ISMS o SGSI).

In particolare la ISO/IEC 27000 stabilisce i concetti chiave, i principi e il vocabolario relativi alla sicurezza delle informazioni.

ISO27001 è lo standard più noto della famiglia che fornisce i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS). Il suo nome completo è ISO/IEC 27001 – Tecnologia dell’informazione – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti.

Questa sigla identifica la principale norma internazionale fondata sulla sicurezza delle informazioni, emanata dall’ international Organization for Standardization (ISO), unitamente alla International Electrotechnical Commission (IEC), organizzazioni internazionali nate per lo sviluppo di norme internazionali.

OBIETTIVO DELLA ISO 27001
ISO ha costruito una serie di politiche e processi utili alle organizzazioni. La ISO 27001 aiuta le organizzazioni, qualunque sia la loro dimensione e di ogni settore, a proteggere le informazioni in loro possesso in modo sistematico ed economico, a dotarsi di un sistema di gestione della sicurezza informatica (ISMS).

PERCHÉ ITAKA SI È SPECIALIZZATA ANCHE IN QUESTO SETTORE?
Perché il GDPR (UE)* e la nuova LDPS (CH)* non forniscono più un mero elenco di punti la cui applicazione garantisce la conformità; un aspetto molto importante è che non esiste più l’elenco delle “misure minime di sicurezza”. È l’azienda che, valutati i rischi, deve applicare le misure di sicurezza adeguate in modo da garantire la protezione dei dati personali. Questo punto ha creato l’esigenza da parte delle aziende di trovare interlocutori preparati che possano accompagnarle in questo percorso.

ITAKA SA rappresenta il partner ideale allo scopo mettendo a disposizione le competenze e l’esperienza per la realizzazione del progetto di conformità al GDPR e alla LDPS, seguendo una metodologia consolidata e allineata alle indicazioni delle Autorità di garanzia Svizzera ed Europea.

(*) Nota Bene: Il Regolamento UE 2016/679 (General Data Protection Regulation ovvero GDPR) e, come previsto, la nuova Legge Federale sulla Protezione dei Dati (ovvero LDSP) introducono importanti novità tra cui:

• Mutati adempimenti formali (vedi “diversi adempimenti per le informative”)
• Diversa modalità di formalizzare i rapporti fra i soggetti coinvolti, alcuni dei quali diventano responsabili in solido (vedi “diversi contenuti per le nomine”)
• Formalizzazione puntuale dei diritti degli interessati
• Obbligo di notifica della violazione dei dati personali, sia verso l’Autorità di garanzia, sia verso gli interessati a cui i dati personali fanno riferimento
• Nuova figura del Data Protection Officer (DPO)
• Un sistema di sanzioni molto severe in particolare per il GDPR

PROTEZIONE DEI DATI E DELLE LIBERTÀ FONDAMENTALI RELATIVE ALLA SICUREZZA DEI DATI PERSONALI
La protezione dei dati deve essere continuamente garantita predisponendo ed applicando un adeguato sistema di gestione della sicurezza dei dati personali. I nuovi Regolamenti richiedono il passaggio da una conformità statica ad una conformità dinamica. La tutela si deve estendere a tutto il ciclo di vita del dato personale: dalla sua acquisizione ed utilizzo (lecito, corretto e trasparente) alla conservazione (sicura e limitata nel tempo).

PERCHÉ CERTIFICARSI ISO/IEC 27001
Perché si tratta di una norma internazionale facilmente riconoscibile in tutto il mondo che può aumentare le opportunità di business per le organizzazioni e i professionisti. Inoltre è sottoposta a verifica e certificabile per dotare la propria azienda di uno strumento in grado di prevenire eventuali incidenti sulla sicurezza derivanti da una gestione e salvaguardia inadeguata delle informazioni e per proteggere le risorse informative da ogni tipo di infrazione.

PERCHÉ SI HA BISOGNO DI UN SGSI

• Il rispetto dei requisiti di legge: L’osservanza dei requisiti legali è essenziale, considerando il continuo aumento di leggi, regolamenti e obblighi contrattuali inerenti alla sicurezza delle informazioni. La buona notizia è che la maggior parte di questi requisiti può essere affrontata attraverso l’implementazione della ISO 27001. Questo standard fornisce una metodologia completa per garantire la conformità a tutti gli aspetti normativi.
• Ottenere un vantaggio competitivo diventa possibile attraverso la certificazione. Se la tua azienda è certificata e i tuoi concorrenti non lo sono, potrebbe godere di un vantaggio agli occhi dei clienti che attribuiscono importanza alla sicurezza delle informazioni.
• La Riduzione dei costi è un beneficio chiave della ISO 27001, che si basa sulla filosofia di prevenire incidenti legati alla sicurezza. Ogni incidente, indipendentemente dalla sua entità, comporta costi finanziari. Investire nella prevenzione attraverso la ISO 27001 consente alla tua azienda di risparmiare notevolmente in termini economici. L’importante è che l’investimento in ISO 27001 risulta notevolmente inferiore rispetto ai risparmi ottenuti sulla gestione dei costi legati agli incidenti.
• La ISO 27001 offre un beneficio aggiuntivo attraverso una migliore organizzazione aziendale. Spesso, le aziende in rapida crescita si trovano a dover affrontare la sfida di definire chiaramente i propri processi e le procedure, causando incertezza tra i dipendenti su cosa fare, quando e da chi. L’implementazione della ISO 27001 risolve efficacemente questa situazione, poiché incoraggia le aziende a documentare i propri processi principali, anche quelli non direttamente correlati alla sicurezza delle informazioni. Questo contribuisce a ridurre il tempo speso dai dipendenti, migliorando l’efficienza complessiva dell’organizzazione.

I VANTAGGI DI POSSEDERE LA CERTIFICAZIONE PER UN’AZIENDA
La sicurezza di essere dotati di un processo di protezione dei valori fondanti dell’azienda:

• Processi lavorativi
• Know-how intellettuale e tecnologico
• Informazioni finanziarie
• Dati della clientela

L’osservanza dei nuovi Regolamenti è un’occasione per introdurre in azienda nuovi concetti relativi alla gestione della sicurezza, all’individuazione delle risorse utilizzate per un’analisi preventiva delle potenziali criticità/vulnerabilità, alla responsabilizzazione di tutte le parti coinvolte, interne ed esterne ed alla documentazione dei controlli introdotti.

Questi concetti sono facilmente estendibili dal trattamento “conforme” dei dati personali ad un trattamento “sicuro” di tutti i dati che costituiscono il patrimonio dell’azienda, con evidenti possibili sinergie e integrazioni.

Inoltre vi è la consapevolezza da parte di chi approccia l’azienda che qualunque informazione o dato trattato e/o scambiato è tutelato da un sistema di sicurezza.

COME ITAKA SA ACCOMPAGNA UN’AZIENDA ALLA CERTIFICAZIONE

• Identificando le categorie di dati e valutandone la relativa criticità in termini di riservatezza, integrità e disponibilità
• Identificando le persone interessate
• Elencando e catalogando le applicazioni utilizzate nei trattamenti
• Identificando e documentando i trattamenti
• Procedendo alle opportune autorizzazioni
• Identificando i destinatari ai quali vengono comunicati i dati
• Identificando e assegnando rischi e controlli
• Identificando e responsabilizzando i fornitori esterni coinvolti

COME ITAKA PUÒ RENDERE LA TUA AZIENDA UN’ECCELLENZA

PERCHÉ È IMPORTANTE LA CERTIFICAZIONE ISO 9001
La ISO 9001:2015 è una norma ampiamente accettata a livello globale, progettata per guidare la creazione, l’implementazione e il governo di un Sistema di Gestione della Qualità in qualsiasi tipo di azienda. La sua flessibilità la rende adatta a organizzazioni di varie dimensioni e settori. Essendo una norma internazionale, è considerata una solida base per istituire un sistema che miri a garantire la soddisfazione del cliente e promuova il miglioramento continuo in qualsiasi contesto aziendale. Di conseguenza, molte aziende la considerano un requisito essenziale per i propri fornitori.

Quando un’azienda verifica i suoi processi valutati da un organismo internazionale di certificazione i suoi potenziali clienti non hanno la necessità di fare verifiche ulteriori e questo grazie alla ISO 9001. Per molte aziende possedere questo tipo di certificazione è diventato una necessità.

Oltre a questo i clienti trovano conforto nel fatto che l’azienda con la quale hanno a che fare ha implementato un Sistema di Gestione per la Qualità rispondente a 7 principi che costituiscono la base della norma ISO 9001.

DA COSA È COSTITUITA LA ISO 9001
La ISO 9001 consta di 10 sezioni delle quali le prime 3 costituiscono l’introduzione mentre le restanti 7 rappresentano i requisiti di come deve essere organizzato il Sistema di Gestione della Qualità.

Vediamo questi 7:

Sezione 4: Contesto dell’organizzazione
Questa parte riguarda le condizioni necessarie per acquisire una comprensione approfondita della tua struttura aziendale (organizzazione) al fine di instaurare un Sistema di Gestione della Qualità (SGQ). Coinvolge la necessità di riconoscere le sfide interne ed esterne, individuare le figure coinvolte e le loro prospettive, delineare l’obiettivo dell’SGQ e identificare i procedimenti e le dinamiche interne tra di essi.

Sezione 5: Leadership
I criteri di guida si riferiscono all’importanza che la leadership di alto livello svolge nell’attuazione del Sistema di Gestione della Qualità (SGQ). È fondamentale che l’Alta Direzione dimostri un impegno tangibile nei confronti del SGQ assicurando un focus costante sul cliente, delineando e comunicando la politica aziendale per la qualità, nonché assegnando ruoli e responsabilità all’interno dell’organizzazione.

Sezione 6: Pianificazione
La Leadership è responsabile della pianificazione continua del Sistema di Gestione della Qualità (SGQ). È essenziale valutare i rischi e le opportunità associati al SGQ all’interno dell’organizzazione, identificare gli obiettivi per il miglioramento della qualità e elaborare i piani per raggiungere tali obiettivi.

Sezione 8: Funzionamento
I criteri operativi coinvolgono tutti gli aspetti della progettazione e realizzazione del prodotto o del servizio. In questa sezione sono inclusi i requisiti legati alla pianificazione, alla revisione dei requisiti del prodotto, alla progettazione, al controllo dei fornitori esterni, alla produzione e distribuzione del prodotto o servizio, nonché al controllo dei risultati non conformi dei processi.

Sezione 9: Valutazione delle prestazioni
In questa parte sono contemplati i requisiti indispensabili per garantire la possibilità di monitorare in modo efficace il funzionamento del Sistema di Gestione della Qualità (SGQ). Questi requisiti abbracciano il monitoraggio e la misurazione dei processi, la valutazione della soddisfazione del cliente, le audit interne e la revisione del SGQ da parte della Direzione.

Sezione 10: Miglioramento
Questa sezione incorpora i requisiti essenziali per continuare a migliorare nel tempo il proprio Sistema di Gestione della Qualità. Ciò implica la valutazione delle non conformità nei processi e l’implementazione di azioni correttive pertinenti ai processi stessi.

I VANTAGGI DELLA ISO 9001 PER LE AZIENDE
Aziende di ogni dimensione hanno adottato con successo questa norma ottenendo notevoli vantaggi in termini di riduzione dei costi ed efficienza.

Aumentare la soddisfazione del cliente:
Concentrandosi sul miglioramento della soddisfazione del cliente, la ISO 9001 aiuta a identificare e soddisfare i requisiti e i bisogni dei clienti, contribuendo all’aumento della fidelizzazione.

Migliorare l’immagine e la credibilità:
La certificazione ISO 9001 da parte di un organismo autorevole indica ai clienti che hai implementato un sistema focalizzato sulla soddisfazione dei requisiti del cliente e sul miglioramento. Ciò accresce la loro fiducia nella tua capacità di mantenere le promesse.

Decisioni basate sui fatti:
La ISO 9001 promuove l’adozione di decisioni basate su dati reali, permettendo di indirizzare meglio le risorse per correggere i problemi e migliorare l’efficienza organizzativa complessiva.

Integrazione completa dei processi:
L’approccio per processi della ISO 9001 non considera solo singoli processi, ma anche le interazioni tra di essi. Questo facilita l’individuazione di aree di miglioramento e risparmio di risorse in tutta l’organizzazione.

Cultura di miglioramento continuo:
Con il miglioramento continuo come obiettivo principale, la ISO 9001 consente di ottenere risultati sempre crescenti in termini di risparmi di tempo, denaro e risorse. Introdurre questa cultura nell’azienda incentiva la forza lavoro a concentrarsi sul miglioramento dei processi di cui sono direttamente responsabili.

Coinvolgimento delle persone:
Coinvolgere il personale nella ricerca di soluzioni efficaci per migliorare i processi è un aspetto chiave della ISO 9001. Concentrando gli sforzi del personale non solo sul mantenimento, ma anche sull’innovazione dei processi, si aumenta il coinvolgimento e il senso di responsabilità nei confronti dei risultati aziendali.

COME ITAKA PREPARA IL PERCORSO PER LA CERTIFICAZIONE ISO 9001 (FASI INDISPENSABILI)
La certificazione ISO 9001 è un processo che si articola in due tipologie: la certificazione del Sistema di Gestione della Qualità (SGQ) di un’azienda in conformità ai requisiti della norma ISO 9001 e la certificazione individuale per coloro che devono effettuare verifiche rispetto a tali requisiti. Questa sezione dettaglia le fasi che un’azienda deve seguire per implementare e certificare un SGQ ISO 9001.

La certificazione ISO 9001 per la tua azienda richiede l’istituzione di un Sistema di Gestione della Qualità (SGQ) in conformità ai requisiti della norma ISO 9001. A tal fine, sarà necessario coinvolgere un organismo di certificazione ufficialmente riconosciuto, che valuterà e approverà il tuo SGQ per garantirne la conformità agli standard stabiliti dalla ISO 9001.

A partire dal supporto nella gestione e dall’identificazione dei requisiti del cliente per il Sistema di Gestione della Qualità (SGQ), è essenziale iniziare a delineare la politica per la qualità e gli obiettivi della qualità. Questi elementi, unitamente, definiscono il proposito generale e la modalità di implementazione del Sistema di Gestione della Qualità. Insieme a tali aspetti, sarà necessario elaborare i processi e le procedure indispensabili, oltre a quelli supplementari, adatti alle necessità specifiche della tua organizzazione per la creazione e la fornitura del prodotto o servizio. Sei documenti obbligatori devono essere inclusi, ma è possibile aggiungerne altri, a discrezione dell’azienda, in base alle proprie esigenze.

ITAKA lavora al fianco delle Aziende assistendole in questo percorso e facendo si che, l’Ente Certificatore si trovi davanti a un’azienda conforme, sotto tutti i punti di vista, ai requisiti necessari al rilascio dell’attestato certificatorio. Questo vale sia per l’SGQ che per le singole persone dedite alla verifica rispetto ai requisiti della ISO 9001. Una volta che tutti i processi e le procedure sono in atto, sarà necessario utilizzare l’SGQ per un periodo. Così facendo, si potranno raccogliere le registrazioni necessarie per passare alle fasi successive: verificare e riesaminare il proprio sistema e ottenere la certificazione.

Attraverso ITAKA si procede a:

L’Analisi e Identificazione dei Requisiti
Comprendere e definire i requisiti del Sistema di Gestione della Qualità (SGQ) in base alla norma ISO 9001, insieme all’identificazione dei requisiti del cliente.

Definizione della Politica e degli Obiettivi della Qualità
Formulare la politica per la qualità e stabilire gli obiettivi che orienteranno l’implementazione e il funzionamento del SGQ.

Sviluppo dei Processi e delle Procedure
Creare i processi e le procedure necessari per realizzare e fornire i prodotti o servizi, adattandoli alle specificità dell’organizzazione.

Documentazione Obbligatoria e Aggiuntiva
Preparare i sei documenti obbligatori richiesti dalla norma ISO 9001 e aggiungere ulteriori documenti, se ritenuti necessari per soddisfare le esigenze aziendali.

Implementazione del SGQ
Introdurre e applicare il SGQ nell’ambito dell’organizzazione, coinvolgendo il personale e integrando le pratiche nei processi aziendali

Verifica e Valutazione
Condurre audit interni per verificare l’efficacia del SGQ e valutare eventuali aree di miglioramento.

Selezione dell’Organismo di Certificazione
Scegliere un organismo di certificazione riconosciuto per valutare il SGQ e approvarlo come conforme alla norma ISO 9001.

Audit di certificazione
Sottoporsi all’audit di certificazione da parte dell’organismo scelto per ottenere la certificazione ISO 9001.

Rilascio della Certificazione
Ricevere la certificazione ufficiale una volta che il SGQ è stato valutato e approvato dall’organismo di certificazione.