Dopo un’intensa attività di audit interno e 600 ore di lavoro dedicate – più altre 700 per i task propedeutici e la gestione delle reti – Irion ha conseguito l’importante certificazione ISO/IEC 27001:2013. L’ente specializzato DNV Business Assurance ha verificato infatti che la nostra azienda rispetta lo standard internazionale per la sicurezza delle informazioni e la riduzione dei rischi nella gestione di informazioni sensibili, inclusi i dati sui clienti e gli eventuali segreti industriali.
Privacy e benefici per i clienti
Per riferirsi a questo sistema gestionale completo si usa l’acronimo inglese ISMS (Information Security Management System) che corrisponde all’italiano SGSI e coinvolge tutta l’organizzazione in modo attivo. Le persone che lavorano in Irion, ha attestato DNV, adottano adeguati livelli di riservatezza dei documenti (digitali e cartacei) e dell’hardware (computer e reti). Un esempio pratico è l’adozione del nuovo template Word aziendale con indicazioni sulla privacy e l’ownership di ogni documento, ovvero la politica di classificazione dei dati e delle informazioni in esso contenute. Ne conseguono sette diversi gradi di confidenzialità, con i relativi criteri e restrizioni.
Per i nostri clienti presenti e futuri, avere relazioni con un’azienda certificata significa collaborare con un interlocutore che adotta già procedure, accortezze, sistemi e processi che garantiscono un elevato livello di servizio e di sicurezza, risparmiando tempo e risorse nel controllo autonomo del fornitore: la norma richiede già di condurre verifiche periodiche e audit interni per garantire il rispetto delle best practice e il miglioramento continuo delle procedure. Inoltre, è previsto l’intervento periodico di revisori esterni.
Nelle sue linee guida tecnico-amministrative, l’Agenzia per l’Italia Digitale (AgID) cita la norma ISO 27001 tra i requisiti dei fornitori per una Pubblica amministrazione più sicura. Per chi la consegue, la certificazione contribuisce a proteggere la reputazione e favorire l’espansione del business, con minori possibilità di sanzioni e minori rischi relativi a eventuali attacchi informatici.
Controlli e processi
Quanto al perimetro di riferimento, i processi Irion coinvolti riguardano la “progettazione, sviluppo, vendita, manutenzione e gestione di prodotti e soluzioni software per l’Enterprise Data Management e relativi servizi di consulenza applicativa”. Per arrivare a questo traguardo sono state svolte sessioni formative con tutti i dipendenti.
Nel dettaglio, i controlli necessari per ottenere questo importante risultato sono stati 114, suddivisi nelle seguenti quattro aree:
- Controlli fisici per la sicurezza fisica e ambientale (15)
- Controlli legali relativi alla conformità (8)
- Controlli organizzativi, suddivisi in politiche di sicurezza, organizzazione della sicurezza delle informazioni e sicurezza delle risorse umane (15)
- Controlli tecnici, l’ambito più strutturato: gestione dei beni, controllo degli accessi, crittografia, sicurezza operativa, sicurezza delle comunicazioni, acquisizione, sviluppo e manutenzione dei sistemi, relazioni con i fornitori, gestione degli incidenti relativi alla sicurezza delle informazioni e delle sue implicazioni per la Continuità Operativa (per un totale di 85 controlli in quest’area)
