Case History | Cybersecurity e ISO 27001

L’esperienza del Covid-19 ha rappresentato, e sta ancora rappresentando, una grande minaccia per il panorama aziendale internazionale. Le imprese, infatti, non solo hanno dovuto fronteggiare un’emergenza sanitaria globale, ma anche una conseguente crisi economica. L’esperienza di molti, tuttavia, non si è limitata a contare la serie infinita di rischi e vulnerabilità; coloro che hanno resistito e risposto alle difficoltà hanno superato una profonda autoanalisi e autocritica che ha prodotto una risposta forte e riorganizzativa sull’onda del digitale.

Mai come oggi sentiamo parlare di Smartworking, Digitalizzazione e, ovviamente, Cybersecurity con tutto il filone legato al tema della Privacy. In una nuova dimensione, come quella attuale, assume sempre più importanza non solo l’implementazione di “misure tecniche e organizzative adeguate” (citazione necessaria) per la protezione e il traffico sicuro delle informazioni, ma anche il riconoscimento di una struttura aziendale forte e, appunto, sicura.

La ISO 27001 è lo standard per la certificazione di sistemi di gestione legati alla sicurezza delle informazioni (digitali e non). Quali sono le attività e i requisiti di questo standard? Ve lo raccontiamo attraverso la nostra esperienza AUTOMA SRL di Casine di Paterno (AN), una grande realtà imprenditoriale di successo, composta da un organico giovane e “smart”, guidato dalla lungimiranza del CEO Giorgio Giorgetti, Presidente di Confapi Ancona dal 2012 e di Confapi Marche dal 2013. L’azienda è stata fondata del 1987 ed è specializzata nella progettazione, ingegnerizzazione e produzione di sistemi, apparecchiature elettroniche e software per applicazioni in campo professionale, industriale e civile. L’azienda, inoltre, può vantare una posizione di rilievo nel mercato nazionale ed internazionale nei suoi settori di punta: OIL Water & Gas (telesorveglianza Protezione catodica, telecontrollo delle pressioni), domotica, building automation e rilevamento presenze.

Il nostro primo approccio con la realtà di AUTOMA si è concretizzato con un audit preliminare atto a verificare i gap di conformità (normativa e legislativa) e “cucire su misura” un piano di adeguamento e implementazione del sistema.

Dall’audit preliminare il nostro staff ha effettuato prima un’attenta classificazione delle informazioni e intrapreso un corposo lavoro di Analisi dei Rischi, basandosi sui principi di Riservatezza, Disponibilità e Integrità; tale attività ha permesso ai nostri referenti AUTOMA l’acquisizione di una maggiore coscienza in merito alle minacce e alle vulnerabilità del sistema.

Proprio in occasione dell’iter di adeguamento, l’azienda, dietro nostro suggerimento, ha quindi deciso di avvalersi di una ICT manager interno d’esperienza, con cui abbiamo potuto collaborare ed effettuare un grande lavoro di revamping informatico. Tali attività si sono rivelate essenziali sia per rispondere in maniera adeguata a quelli che sono i requisiti previsti dallo standard sia e ad incrementare, in maniera più che sensibile, lo stato di protezione globale del sistema.

Adeguarsi a quelli che sono i requisiti 27001 ha permesso all’azienda di conseguire, fisiologicamente, anche a quelli che sono gli adempimenti previsti dal Regolamento Generale sulla di Protezione dei Dati Personale (Reg. 679/2016, meglio conosciuto come GDPR), onere non irrilevante per una struttura come AUTOMA. Il nostro team, nell’occasione, ha visionato lo stato della documentazione implementata, ne ha delineato le modifiche necessarie e, tramite anche delle ispezioni in sede, ha potuto suggerire le azioni adeguate per garantire una migliore sicurezza perimetrale.

Lo standard ha “obbligato” l’azienda a rivedere tutti i contratti con i propri fornitori; la nostra squadra ha quindi consigliato il potenziamento delle tipiche clausole di riservatezza (NDA) in modo da garantire una maggiore sicurezza delle informazioni di proprietà dell’azienda e dei propri clienti; più sicurezza, migliore reputazione sul mercato.

I nostri consulenti sono rimasti al fianco dell’azienda anche durante i tre giorni di ispezione da parte dell’ente di certificazione concludendo la visita con successo il 14 di aprile 2021.

La certificazione, come spesso viene ribadito, è sicuramente un traguardo, ma deve essere considerato anche un punto partenza al fine di intraprendere un percorso di crescita trasversale a supporto del successo di un’impresa.