valutazione dei rischi Archives - Ing. Fabrizio Di Crosta - Consulenza di Direzione ed Informatica

Le regole applicative della UNI EN ISO 9001:2015

L’adeguamento delle aziende alla norma UNI EN ISO 9001:2015 prosegue a rilento con il solito approccio italiano “qual è la scadenza? Settembre 2018? Bene, cominciamo a pensarci a Giugno 2018 perché poi ci sono le ferie!”

Forse senza sapere che ben difficilmente si riuscirà a migrare in tempo utile, senza perdere la certificazione almeno per qualche mese; se non altro perché gli Organismi di Certificazione non avranno modo di gestire un’elevata mole di adeguamenti negli ultimi mesi del periodo di transizione. Oltre al fatto che se l’adeguamento non viene effettuato in occasione di un rinnovo o di una sorveglianza si spenderà di più.

Ma quali sono i requisiti aggiuntivi per le aziende italiane che vogliono recepire questa normativa? Sia in fase di transizione dalla vecchia norma ISO 9001:2008, sia come nuova certificazione di qualità? Leggi tutto “Le regole applicative della UNI EN ISO 9001:2015”

Come e quando migrare alla ISO 9001:2015?

Ad oggi sono molte le organizzazioni certificate ISO 9001:2008 che non hanno ancora adeguato il loro sistema di gestione per la qualità alla nuova ISO 9001:2015. Anche se il termine per effettuare il passaggio alla nuova norma è abbastanza lontano (15/09/2018) i tempi per effettuare una migrazione efficace ed efficiente non sono abbondanti per molte imprese, infatti sarebbe opportuno effettuare la migrazione in occasione di un rinnovo della certificazione oppure di una visita di sorveglianza/mantenimento al fine di contenere i costi di certificazione. Leggi tutto “Come e quando migrare alla ISO 9001:2015?”

La nuova edizione della norma ISO 27002 (seconda parte)

In questo articolo (cfr. precedente articolo) passiamo ad esaminare la seconda parte della norma La norma UNI CEI ISO/IEC 27002:2014 – Raccolta di prassi sui controlli per la sicurezza delle informazioni (che sostituisce la ISO 27002:2005). Leggi tutto “La nuova edizione della norma ISO 27002 (seconda parte)”

Le novità della UNI ISO 27001:2014

La norma ISO 27001 pubblicata nel 2013 è stata tradotta in italiano e convertita in norma UNI nel marzo 2014 come UNI CEI ISO/IEC 27001:2014 – Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti. Essa specifica i requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un sistema di gestione per la sicurezza delle informazioni nel contesto di un’organizzazione, includendo anche i requisiti per valutare e trattare i rischi relativi alla sicurezza delle informazioni adattati alle necessità dell’organizzazione. Leggi tutto “Le novità della UNI ISO 27001:2014”

La certificazione SSAE 16 per i servizi in outsourcing

Oggi le imprese tendono ad esternalizzare molti processi ed attività secondarie al fine di ottimizzarne i costi e la qualità del servizio risultante che, se svolto da personale specializzato, è spesso superiore a quella ottenibile con personale interno.

Alcune di queste attività – ad esempio la gestione delle paghe e del personale, l’acquisizione di documenti e dati in formato digitale e la relativa archiviazione sostitutiva, la gestione contabile e fiscale, i servizi informatici, ecc. – prevedono la gestione di informazioni critiche dal punto di vista della riservatezza e degli aspetti legali e di compliance ad essi correlati.

Per questo motivo alcune aziende internazionali – multinazionali o grandi gruppi con sedi all’estero, in particolare negli Stati Uniti – richiedono, alle loro filiali o consociate italiane, evidenza della buona gestione dei servizi affidati in outsourcing. Leggi tutto “La certificazione SSAE 16 per i servizi in outsourcing”

Cosa hanno in comune privacy, cloud computing e business continuity?

In precedenti articoli (Il cloud computing e la PMI, i sistemi di gestione della sicurezza delle informazioni, ISO 22301 e la business continuity, le novità sulla privacy) abbiamo affrontato tutti questi argomenti che, indubbiamente, hanno un unico filo conduttore.

Oggi molte aziende, fra cui anche numerose PMI, hanno dati “nel cloud”, ovvero memorizzati in risorse fisiche non collocate all’interno dell’azienda, bensì su internet, magari senza rendersene conto. Infatti, oltre a veri e propri servizi cloud erogati da fornitori specializzati, molte PMI utilizzano servizi di archiviazione gratuiti quali SkyDrive, Dropbox o Google Drive in maniera non strutturata, in quanto sono propri reparti o uffici o addirittura singoli collaboratori che, per praticità, hanno pensato di sfruttare suddetti tool di archiviazione remota.

In altri casi alcune organizzazioni utilizzano software via web che memorizzano i dati su server remoti, magari presso il fornitore del software (spesso si tratta di Saas, Software as a Service). Leggi tutto “Cosa hanno in comune privacy, cloud computing e business continuity?”

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

La norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni – Requisiti), recentemente pubblicata in nuova versione 2013 dall’ISO, richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.

Gli approcci possibili alla valutazione dei rischi possono essere diversi ed i metodi per effettuare il cosiddetto Risk Assessment possono variare di caso in caso, in funzione della dimensione, della complessità e del tipo di organizzazione che si sta esaminando.

La ISO 27005 (Information security risk management) è il principale riferimento per la gestione del rischio in ambito sicurezza delle informazione, ma anche altre norme quali la ISO 31000 (Risk management – Principles and guidelines) – recepita in Italia come UNI ISO 31000 (Gestione del rischio – Principi e linee guida) – e ISO 31010 (Risk management – Risk assessment techniques) possono essere prese a riferimento.

Vediamo un esempio di possibile approccio alla gestione del rischio finalizzato a preparare una valutazione dei rischi sulla sicurezza delle informazioni. Leggi tutto “Una metodologia di valutazione dei rischi per la sicurezza delle informazioni”

Pagine: 12