Case history Certificazione ISO 27001

L'azienda

Progetti e Soluzioni SpA sviluppa un gamma di prodotti WEB per la Pubblica Amministrazione, per la Ristorazione Collettiva, scolastica e ospedaliera, per i Servizi Sociali e per il pagamento di servizi e tributi. In un contesto del genere la garanzia della protezione e della sicurezza delle informazioni diventa prioritaria.

La richiesta

Lavorando principalmente con le pubbliche amministrazioni le commesse vengono attribuite tramite gara. E’ evidente che uno dei requisiti posti per l’affidamento degli incarichi, oltre alla certificazione ISO 9001, è quindi la garanzia della sicurezza dei dati e delle informazioni tramite lo standard ISO 27001.

Perchè teamQUALITY

Progetti e Soluzioni S.p.A. ha deciso di rivolgersi a teamQUALITY che, grazie a un team di professionisti con competenze multidisciplinari in numerosi settori (implementazione sistemi di gestione qualità, valutazione rischi, programmazione software, gestione sistemistica reti), è in grado di supportare l’organizzazione su tematiche articolate e complesse, quali la certificazione 27001.

Operatività

Le attività affrontate hanno seguito la seguente impostazione operativa:

• Identificazione dei processi/servizi da proteggere
• Identificazione dell’asset model
• Identificazione e scelta delle minacce da considerare
• Individuazione della stima degli impatti 
• Attribuzione della probabilità di accadimento della minaccia
• Valorizzazione della stima del rischio

Per far fronte a queste operazioni di analisi e valutazione in modo controllato, affidabile e documentato è stato utilizzato il tool Key Map che consente di gestire agevolmente tutti gli aspetti considerati.
A seguito dell’analisi dei rischi è stata approntata tutta la documentazione di sistema con le registrazioni previste, al fine di documentare l’applicazione del sistema e consentire a Progetti e Soluzioni S.p.A. di conseguire la certificazione ISO27001:2006 nei tempi previsti.

La parola al cliente

Per fare maggiore chiarezza circa la consistenza del lavoro eseguito e per saggiare le considerazioni di Progetti e Soluzioni S.p.A. a riguardo, rivolgiamo alcune domande al direttore tecnico Alberto Geminiani:

Perché P&S ha scelto di certificarsi secondo lo schema ISO27001?

Progetti e Soluzioni ha tra i suoi valori fondanti la continua ricerca del miglioramento. In questo quadro si inserisce anche la corretta gestione e protezione delle informazioni gestite sul sistema informativo per Progetti e Soluzioni e per i suoi Clienti. Per questo motivo Progetti e Soluzioni si è certificata secondo lo standard ISO27001:2005 tramite un ente di certificazione accreditato EA per avere la conferma oggettiva di operare secondo i più elevati standard disponibili.

Come giudichi l’esperienza in generale, sia per quanto riguarda il lavoro di costruzione del sistema con la consulenza sia la gestione e il confronto con l’ente di certificazione?

Con le tecniche di analisi degli specialisti di IMTEAM è stato necessario fare prima una “fotografia” estremamente dettagliata di tutto il patrimonio  dei processi operativi, delle informazioni, del software, dell’hardware coinvolto,  rendere esplicite tutte le potenziali minacce e tutti i potenziali  rischi e  infine elencare tutte le contromisure identificate nella fase di analisi.
Il lavoro è stato particolarmente intenso ma molto costruttivo perché  nello spirito stesso dello standard ISO27001 è insito il concetto di non lasciare zone d’ombra ma di rendere tutto estremamente esplicito e documentato.

Ottenuta la certificazione quali sono ad oggi i riscontri, le ricadute (positive o meno) sull’organizzazione?

Senz’altro la certificazione offre la possibilità di partecipare ad un numero maggiore di gare in ambito PA, ma  è anche uno stimolo all’interno dell’organizzazione per mantenere sempre elevato il livello di attenzione su questo tema.