Skip to main content

DigitalCIO

Il Risk Based Thinking: la chiave per il successo duraturo della tua organizzazione

Se sei un esperto della norma ISO 9001, gestisci o operi all'interno di un Sistema di Gestione per la Qualità, saprai già benissimo che la struttura di alto livello (HLS) introdotta nel 2015 ha portato con sé il concetto di Risk Based Thinking. 

Quello che pochi hanno colto è la sua importanza per ilsuccesso durevole di un'organizzazione e di quanto questo strumento abbia avvicinato la ISO 9001 alla ISO 9004. 

La norma ISO 9001 ha uno scopo che si sviluppa su due punti: il secondo è quello che tutti hanno in mente, la "soddisfazione del cliente". Il primo, in realtà, è "la capacità di fornire con regolarità prodotti e servizi che rispondano alle aspettative del cliente nel rispetto delle normative applicabili". 

Questo punto era già presente nelle passate edizioni della norma ed interpretato come l'esigenza di garantire un controllo del processo al fine della conformità dei prodotti. 

Ebbene, questa chiave di lettura è stata stravolta dall'introduzione del Risk Based Thinking, lascia che ti spieghi perché con alcuni esempi. 

Un'azienda di costruzioni, per operare, deve disporre di ingenti capitali. La gestione finanziaria richiede report, rendiconti e informazioni. Il successo dell'azienda dipende quindi in larga parte dalla capacità di generare le informazioni di cui la "parte interessata" banca ha bisogno, oltre che vendere appartamenti. Un buon sistema qualità deve tenerne conto e disporre di processi in grado di rispondere a queste aspettative, perché se le banche chiudono il rubinetto, l'Azienda non sarà più in grado di fornire con regolarità prodotti e servizi. 

Un'azienda che ha un processo produttivo con un ciclo di lavorazione che genera emissioni in atmosfera, deve considerare la necessità di gestirle in modo appropriato. Il mancato rispetto dei limiti alle emissioni porta come conseguenza il sequestro dell'impianto e l'impossibilità di fornire con regolarità prodotti e servizi. Non è una questione ambientale, qui la 14001 non centra nulla! Viene meno lo scopo del Sistema Qualità. 

La cyber security è un argomento che tocca ogni Organizzazione. L'interdipendenza che permea i sistemi informativi ed i processi di business delle Imprese moderne fanno sì che un attacco informatico o un guasto hardware possano pregiudicare la capacità di fornire con regolarità prodotti e servizi. 

Gli esempi sono infiniti: ogni business ed ogni organizzazione ha le proprie peculiarità che richiede di analizzare lo specifico contesto di riferimento. 

Alcuni fattori, come quello della cyber security, sono trasversali e richiedono un'attenta analisi alla luce del continuo incrementarsi delle minacce. 

Altri sono figli di eventi esogeni o endogeni. 

Quello che è certo è che il successo duraturo della tua organizzazione non dipende più solo dalla soddisfazione del cliente, ma deve tenere conto di tutte le parti interessate rilevanti in una più ampia ottica di sostenibilità. 

Hai mai pensato ad un Audit delle 9 aree su cui impatta la tua infrastruttura Informatica e digitale? Da oggi puoi! QSA.net è in grado di realizzare un Audit attraverso strumenti tratti dalle norme della sicurezza informatica: la ISO 27001. Contattaci per saperne di più!

La sicurezza dei dati nell’era dello smart working

Attraverso questo articolo Luca Salini, titolare di Sada Snc, consulente e auditor esperto in sicurezza delle informazioni e di certificazioni ISO 27001, ci aiuta a individuare 10 passi da seguire per garantire la sicurezza delle informazioni aziendali nell’era dello “smart working”.

In un momento storico in cui lavorare da remoto è diventata una necessità per la maggior parte delle Aziende, ci si è trovati proiettati nell’uso di strumenti digitali in assenza di adeguati sicurezze informatiche, dovute all’uso di connessioni “private”, nuovi strumenti e una proliferazione di mail e collegamenti.

Proviamo quindi a mettere un po’ d’ordine con questo decalogo, frutto dell’esperienza e del buon senso.

1) Definire delle policy di sicurezza delle informazioni

Per gestire la sicurezza delle informazioni in modo adeguato ci sono sempre due modi:

  • Investimento tecnologico
  • Gestione delle policy

Le tecnologie di sicurezza hanno un costo non sempre adatto al rischio e nelle piccole Aziende risulta difficile fare investimenti in tecnologie per assicurare la sicurezza dei dati. In questo contesto è più congeniale la definizione di policy interne che agiscono sulla risorsa più importante dell’azienda, ovvero le persone, e necessitano quindi di essere accompagnate da attività di formazione.

2) Effettuare un’analisi del rischio adeguata

Bisogna fare un’analisi del rischio opportuna e basata sulle informazioni dell’organizzazione (informazioni-centrica), le informazioni devono essere disponibili, integre e riservate.
L’analisi deve essere fatta in un linguaggio comprensibile alla dirigenza al fine di permettergli di comprendere l’impatto economico delle scelte al verificarsi del rischio.

3) Scegliere credenziali opportune

Molto della sicurezza delle informazioni si ottiene da una buona scelta delle credenziali. Una buona regola può essere l’introduzione di policy differenziate in funzione della tipologia di rischio di accesso e definendo complessità di accesso coerenti con il business.

4) Gestire piattaforme ed informazioni in modo centralizzato

È opportuno che, soprattutto nel caso di lavoro da remoto, le informazioni dell’azienda non vengano distribuite all’interno di piattaforme non controllate dall’organizzazione.
Uno strumento come Digitaliso, per esempio, consente di tenere sotto controllo e gestita tutto quello che concerne il Sistema di Gestione aziendale: documentazione, scadenze, elenchi e registri, eventi, allegati.
È necessario analizzare le piattaforme e i dati necessari all’attività lavorativa e garantire il controllo delle piattaforme utilizzate evitando l’uso di strumenti gratuiti e non professionali, le cui policy di sicurezza e privacy difficilmente sono a norma.
È importante effettuare un’analisi periodica degli accessi previsti e rilasciati sulle piattaforme condivise.

5) Gestire le capacità

È necessario effettuare un’analisi delle risorse utilizzate per l’attività lavorativa, cosa che solo l’accentramento dei dati consente di fare.

6) Non esiste sicurezza migliore di quella che non si vede

Il blocco all’accesso delle informazioni non è sempre la strada migliore da seguire. È meglio consentire l’accesso ai dati aziendali, anzichè bloccarlo, perché permette di avere maggiore capacità di monitoraggio e di evidenziare comportamenti non in linea con le policy aziendali.

7) Gestiamo gli incidenti

Più del 50% degli incidenti (Non Conformità di natura informatica), sono dovuti a errori che possono essere corretti portando a significativi miglioramenti “di sistema”.
Ancora una volta, come già si è avuto modo di dire in altri capitoli, è necessario raccogliere evidenze degli incidenti per poterli analizzare e correggere, sviluppando in questo modo anche la capacità di gestione del rischio.

8) Gestiamo i fornitori con consapevolezza

Probabilmente durante il lockdown il parco fornitori di servizi IT è aumentato per avere nuove applicazioni, nuove piattaforme e nuova connettività. Tutto ciò è avvenuto in emergenza, quindi probabilmente, senza i necessari passi previsti. Ora però si devono stabilire degli adeguati accordi e livelli di servizio e si deve effettuare il monitoraggio anche sui fornitori.

9) Rivedere il presidio fisico delle sedi

Spesso, le sedi, sono ancora il punto di centralizzazione delle informazioni dell’organizzazione e nel periodo di lockdown hanno sicuramente avuto un presidio inferiore rispetto a prima. Attenzione quindi anche alla sicurezza fisica ovvero alla protezione dell’accesso ai server ed all’infrastruttura.

10) #Andrà tutto bene

Questo periodo ha messo a dura prova i piani di business continuity, che sono stati ampiamente testati. Sarà opportuno, con il lento ritorno alla nuova normalità, riesaminare tutto quello che è successo allo scopo di migliorarli alla luce dell’esperienza.

Queste poche e semplici regole possono permettere di abbattere i rischi di un mondo, quello informatico, in cui gli attacchi aumentano in modo esponenziale anno dopo anno, grazie a strumenti di hackeraggio che sono oggi alla portata di tutti.

Proteggersi significa anche dotarsi di soluzioni di sicurezza delle connessioni e della navigazione. Il primo passo, in un mondo che cambia continuamente, è quello di disporre e divulgare il giusto livello di consapevolezza.