Microdata certificata ISO/IEC 27001:2005 sul Sistema gestione sicurezza informazioni

Dopo la certificazione UNI EN ISO 9001:2008 relativa al Sistema per la Qualità, ottenuta nel 2010, Microdata Group ha rafforzato i suoi Sistemi di Gestione con un importante risultato: la certificazione del Sistema di gestione per la Sicurezza delle Informazioni. Ne parliamo con Daniele Fontana, Quality Manager dell’Azienda.

Innanzitutto le chiediamo che cos’è ISO 27001?
ISO 27001 descrive un Sistema per la Sicurezza delle Informazioni; si tratta dello standard più noto, che comprende le best practice nel campo della sicurezza delle informazioni, inclusa la compliance con le leggi, il trattamento dei dati personali e la sicurezza informatica.
Per i processi di business Microdata ha introdotto i 133 controlli riportati nello standard ISO 27002 “Code of practice for information security management”; questi controlli sono parte dell’organizzazione aziendale, interessando le totalità delle funzioni, dal Management alle Operazioni.

Come mai Microdata ha deciso di intraprendere il percorso ISO 27001?
I nostri principali mercati di riferimento – Banche e Assicurazioni – sono molto attenti alle tematiche di qualità e sicurezza, soprattutto in un’ottica di compliance e rispetto di requisiti che a livello internazionale si sono già affermati.
Siamo convinti che investire nei Sistemi di Gestione con un approccio integrato dia a Microdata un importante vantaggio competitivo, differenziandola dai competitor e, nello stesso tempo, offra un’ulteriore garanzia di risultato ed efficienza ai propri Clienti.

Cosa intende per approccio “integrato”?
ISO 9001 descrive un Sistema per la Qualità; è lo standard universalmente adottato, al punto che è diventato esso stesso sinonimo di “qualità”, anche nel senso comune, e la certificazione ISO 9001 è data per scontata in tutte le organizzazioni che offrono prodotti e servizi.
E’ invece poco comune l’approccio integrato “Qualità-Sicurezza”, perché richiede la presa in esame dei due aspetti negli stessi tempi e dalle diverse componenti aziendali; di fatto queste devono confrontarsi simultaneamente con i requisiti delle due norme, e sviluppare in concreto i comportamenti dell’organizzazione in grado di rispettarli entrambi.
Nella sua implementazione dei Sistemi di Gestione, Microdata ha totalmente integrato Qualità e Sicurezza delle Informazioni, rendendoli un sistema unico e completamente aderente ai processi aziendali. In questo modo il delivery del servizio verso il Cliente eredita la certezza dell’aderenza dei requisiti stabiliti, unita alla conformità con il più noto Sistema per la Sicurezza. Inoltre è un ponte verso la Business Continuity….

In che senso?
Lo standard ISO 27001 contiene i controlli relativi alla Continuità Operativa che, pur non essendo in questa veste un Sistema di Gestione completo, concorrono alla Sicurezza complessiva delle Informazioni, imponendo le misure protettive dei processi di business in caso di crisi.
Di fatto la Business Continuity di Microdata è la diretta conseguenza della sovrapposizione degli elementi “Qualità” e “Sicurezza” del suo Sistema di Gestione; l’organizzazione dell’Azienda, l’assegnazione delle responsabilità, le procedure operative e i controlli pre-delivery sono complessivamente costruiti per rispettare i requisiti di Qualità, Sicurezza e Continuità dei processi di Business.
I tre domini appartengono effettivamente a tre piani diversi:
-la Qualità fa parte della “normalità”;
-la Sicurezza è nel dominio del “rischio”;
-la Continuità affronta l'”emergenza”.
L’approccio integrato di Microdata ha originato un Business Continuity Plan, in cui la sfera di interesse della continuità operativa va oltre il solo ambito informatico, interessando l’intera funzionalità dell’organizzazione. Il Piano comprende sia gli aspetti strettamente organizzativi, logistici e comunicativi che permettono la prosecuzione delle funzionalità di Microdata, sia la continuità tecnologica, che riguarda l’infrastruttura informatica e telecomunicativa; quest’ultima include il Disaster Recovery.