Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Futuro qualita v1

IL FUTURO DELLA QUALITÀ: il ruolo della gestione e della
sicurezza dei dati nella soddisfazione del cliente

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

  • Be the first to like this

Futuro qualita v1

  1. 1. maurilio.savoldi@value4b.ch IL FUTURO DELLA QUALITÀ: il ruolo della gestione e della sicurezza dei dati nella soddisf azione del cliente SUPSI MAURILIO SAVOLDI Consulente e Formatore Value4b – SUPSI – Relinc Consulting ANTONELLA DEL RE Consulente e Formatore KS cert Sagl
  2. 2. maurilio.savoldi@value4b.ch Mi presento 2 ‐ Docente di Business Process Management (BPM) presso il Dipartimento di Tecnologie Innovative della Scuola Universitaria Professionale della Svizzera Italiana-SUPSI ‐ Auditor di terza parte Iso 9001 e Iso 27001 Processi Sistemi di gestione Miglioramento Tecnologia Formazione ‐ Titolare della Value4b (www.value4b.ch) ‐ Partner di Relinc Consulting (www.relinc.it) società di consulenza specializzata nell’area del miglioramento di processo e BPM, partner italiano di PNMsoft, QPR Software e TOPP-TI
  3. 3. maurilio.savoldi@value4b.ch 3 Un'azienda che non tratta in modo adeguato i dati personali dei suoi clienti, o dei suoi dipendenti, oppure che non ne protegge adeguatamente lo scambio di informazioni può dirsi di lavorare in qualità?
  4. 4. maurilio.savoldi@value4b.ch 4 UN MONDO CHE CAMBIA
  5. 5. maurilio.savoldi@value4b.ch 5 Una trentina d'anni in due immagini, la rappresentazione di un mondo che è cambiato velocemente e che lo farà ancora con maggior velocità e complesso
  6. 6. maurilio.savoldi@value4b.ch 6 Tablet, smartphone, notebook, pc, sono strumenti che accompagnano quotidianamente la vita delle nostre aziende…
  7. 7. maurilio.savoldi@value4b.ch 7
  8. 8. maurilio.savoldi@value4b.ch I dati sono il nuovo petrolio 8
  9. 9. maurilio.savoldi@value4b.ch 9 ‐ Dati personali (numeri di telefono, email, info sulla salute e sui gusti,…) ‐ Dati operativi, o di business (offerte, progetti, dati di produzione,…) maurilio.savoldi@value4b.ch
  10. 10. maurilio.savoldi@value4b.ch 10 Sicurezza informatica e qualità maurilio.savoldi@value4b.ch
  11. 11. maurilio.savoldi@value4b.ch 11 Sicurezza informatica e qualità maurilio.savoldi@value4b.ch
  12. 12. maurilio.savoldi@value4b.ch 12 LA SICUREZZA INFORMATICA
  13. 13. maurilio.savoldi@value4b.ch 13
  14. 14. maurilio.savoldi@value4b.ch 14 La sicurezza è un processo, non un prodotto Bruce Schneier maurilio.savoldi@value4b.ch
  15. 15. maurilio.savoldi@value4b.ch 15 maurilio.savoldi@value4b.ch La sicurezza è un processo, non un prodotto…e la mettiamo, meno, in pratica con le nostre azioni quotidiane
  16. 16. maurilio.savoldi@value4b.ch I ruolo di processi, persone e tecnologie 16 CRUSCOTTO dei PROCESSI CUSTOMER STARTS REQUEST CLOUD
  17. 17. maurilio.savoldi@value4b.ch 17 QUALE IMPATTO SULLA QUALITÀ?
  18. 18. maurilio.savoldi@value4b.ch 18 "Il cliente e la sua soddisfazione sono al centro della QUALITÀ; ogni attività, applicazione e monitoraggio delle attività/processi è infatti volta a determinare il massimo soddisfacimento dell'utilizzatore finale"
  19. 19. maurilio.savoldi@value4b.ch I ruolo di processi, persone e tecnologie 19 CRUSCOTTO dei PROCESSI CUSTOMER STARTS REQUEST CLOUD Processi, persone e tecnologie hanno relazioni interdipendenti, ma lavorano su piani diversi. Come per un palazzo, sicuramente è importante avere un approccio integrato, m bene che ogni inquilino di ogni singolo piano intervenga per quanto le compete
  20. 20. maurilio.savoldi@value4b.ch 20 QUALE IMPATTO SULLA QUALITÀ?
  21. 21. maurilio.savoldi@value4b.ch 21 "Il cliente e la sua soddisfazione sono al centro della QUALITÀ; ogni attività, applicazione e monitoraggio delle attività/processi è infatti volta a determinare il massimo soddisfacimento dell'utilizzatore finale"
  22. 22. maurilio.savoldi@value4b.ch 22 I RIFERIMENTI
  23. 23. maurilio.savoldi@value4b.ch 23 Iso 31000 Iso 27701 e GDPR Iso 9001 Iso 22301 Iso 27001 maurilio.savoldi@value4b.ch
  24. 24. maurilio.savoldi@value4b.ch 24 ‐ GDPR è l’acronimo di General Data Protection Regulation, il Regolamento UE 2016/ 679 in materia di protezione dei dati personali ‐ Il GDPR si applica al trattamento di dati personali ‐ ISO 27701 per la protezione dei dati personali: realizzare un Privacy Information Management System maurilio.savoldi@value4b.ch
  25. 25. maurilio.savoldi@value4b.ch 25 La norma ISO 9001 definisce i requisiti di un sistema di gestione per la qualità per un'organizzazione. I requisiti espressi sono di carattere generale e possono essere implementati da ogni tipo di organizzazione; ultima revisione nel settembre 2015 (ISO 9001:2015). La ISO 9001 adotta lo schema "ISO High Structure Level (HSL)" in 10 capitoli maurilio.savoldi@value4b.ch
  26. 26. maurilio.savoldi@value4b.ch 26 ISO 22301 Business Continuity Management Sistems (BCMS) - Requireme Lo standard internazionale sulla continuità operativa permette di comprendere e definire le priorità le minacce per la tua azienda. La norma ISO 22301 specifica i requisiti necessari affinché un sistema gestione aiuti a proteggere e ridurre la probabilità di incidenti e assicurare alle attività la ripresa in seguito a interruzioni. Enfatizza l'importanza di: ‐ Comprendere le esigenze dell'organizzazione ‐ Implementare e rendere operativi controlli e misure ‐ Monitorare e riesaminare l'efficacia del BCMS ‐ Miglirare in continuo il BCMS La norma Iso 22301 favorisce il consolidamento della capacità di organizzare il proprio lavoro per assicurare sostenibilità e continuità. La ISO 22301 adotta lo schema "ISO High Structure Level (HSL)" in 10 capitoli Non è una norma strettamente correlata al mondo dell'ICT maurilio.savoldi@value4b.ch
  27. 27. maurilio.savoldi@value4b.ch 27 La ISO 27001 è lo standard internazionale per la gestione efficace della sicurezza delle informazioni ed offre un approccio completo per la protezione delle informazioni da una vasta gamma di minacce e vulnerabilità. Lo standard prevede lo schema "ISO High Structure Level : ‐ Pianificazione e Progettazione; ‐ Implementazione; ‐ Monitoraggio; ‐ Mantenimento e Miglioramento Nella fase di progettazione richiede però lo svolgimento di un risk assessment, schematizzabile in: ‐ Identificazione dei rischi; ‐ Analisi e valutazione; ‐ Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi; ‐ Assunzione del rischio residuo da parte del management; ‐ Definizione dello Statement of Applicability. ISO/IEC 27001 Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti maurilio.savoldi@value4b.ch
  28. 28. maurilio.savoldi@value4b.ch L'High Level Structure delle norme gestionali ISO 28 4.1 Contesto 4.2 Parti interessate 4.3 Confini SGQ 4.4 SGQ e Processi 6.1 Rischi/Opportunità 8 Attività operative 9 Riesame della Direzione 10 Miglioramento L'organizzazione non più vista come un meccanismo che ripete in modo regolare i propri comportamenti, ma come un entità autonoma e pensante, capace di adattarsi ai cambiamenti del contesto
  29. 29. maurilio.savoldi@value4b.ch 29 I 14 controlli dell'Allegato alla ISO 27001
  30. 30. maurilio.savoldi@value4b.ch I 14 controlli dell'Allegato alla ISO 27001 A.5 POLITICHE PER LA SICUREZZA DELLE INFORMAZIONI A.6 ORGANIZZAZIONE DELLA SICUREZZA DELLE INFORMAZIONI A.7 RISORSE UMANE E SICUREZZA SUL LAVORO A.8 GESTIONE DELLE RISORSE A.9 CONTROLLO DELL'ACCESSO A.10 CRITTOGRAFIA A.11 SICUREZZA FISICA E AMBIENTALE A.12 SICUREZZA DELLE OPERAZIONI A.13 SICUREZZA DELLE COMUNICAZIONI A.14 ACQUISIZIONE, SVILUPPO E MANUTENZIONE DEI SISTEMI A.15 RAPPORTI CON I FORNITORI A.16 GESTIONE DEGLI INCIDENTI RELATIVI ALLA SICUREZZA DELLE INFORMAZIONI A.17 ASPETTI DI SICUREZZA DELLE INFORMAZIONI NELLA GESTIONE DELLA CONTINUITA' AZIENDALE A.18 CONFORMITÀ 30
  31. 31. maurilio.savoldi@value4b.ch 31 Ruoli e responsabilità Matrice R/A/C/I Process map Politiche per la sicurezza delle informazioni Non solo documenti, manuali o politiche che vivono staticamente, MA documenti che, collegati a ruoli, processi e responsabilità, descrivono quello che realmente accade e quello che realmente le persone devono fare maurilio.savoldi@value4b.ch
  32. 32. maurilio.savoldi@value4b.ch 32 Alcuni esempi di approccio European Union Agency for Cybersecurity www.enisa.europa.eu/ CIS® (Center for Internet Security, Inc.) www.cisecurity.org/
  33. 33. maurilio.savoldi@value4b.ch Il framework ENISA per la sviluppo della cultura della sicurezza informatica 33 1. Consapevolezza 2. Analisi 3. Plan 4. Implementazione 5. Valutazioni e identificazione di eventuali azioni correttive
  34. 34. maurilio.savoldi@value4b.ch 34 Non solo accessi logici, ma anche, e soprattutto, controllo degli accessi fisici e perimetrali maurilio.savoldi@value4b.ch
  35. 35. maurilio.savoldi@value4b.ch 35 maurilio.savoldi@value4b.ch
  36. 36. maurilio.savoldi@value4b.ch 36 COME DEFINIRE UN NUOVO APPROCCIO ALLA QUALITÀ?
  37. 37. maurilio.savoldi@value4b.ch 37 Il Risk Management maurilio.savoldi@value4b.ch
  38. 38. maurilio.savoldi@value4b.ch 38 Le 5 fasi della valutazione del rischio (secondo la Iso 27001) 1. Definizione di una struttura di valutazione dei rischi Queste sono le regole che determinano il modo in cui si intende identificare i rischi, a chi saranno assegnati, in che modo questi rischi influiscono sulla riservatezza, integrità e disponibilità delle informazioni, ed il metodo di stima dell’impatto e della probabilità del rischio di verificarsi. 2. Identificazione dei rischi L’identificazione dei rischi che possono influire sulla riservatezza, integrità e disponibilità delle informazioni è la parte che richiede più tempo dell’intero processo di valutazione del rischio. Sarà più semplice lavorare su un elenco già esistente di risorse informative, come copie cartacee, file elettronici, supporti rimovibili, dispositivi mobili e beni immateriali, come la proprietà intellettuale. 3. Analisi dei rischi Per ciascuna risorsa, bisogna identificare le minacce e le vulnerabilità. Ad esempio, la minaccia potrebbe essere il “furto del dispositivo mobile” e la vulnerabilità potrebbe essere “mancanza di una policy formale per i dispositivi mobili”. In seguito, si deve assegnare le stime di impatto e la probabilità di verifica sulla base dei criteri di rischio stabiliti 4. Valutazione dei rischi È necessario valutare ogni rischio rispetto ai livelli di rischio accettabile determinati in precedenza e decidere quali rischi devono essere affrontati e in quale ordine. 5. Scelta delle opzioni di gestione dei rischi Suggeriamo quattro modi per trattare i rischi: evitare il rischio eliminandolo completamente, modificare il rischio applicando i controlli di sicurezza, condividere il rischio con terze parti (tramite assicurazione o esternalizzazione) e mantenere il rischio (se il rischio rientra nei criteri di accettazione del rischio stabiliti).
  39. 39. maurilio.savoldi@value4b.ch Esempi di risultati della valutazione del rischio (secondo la Iso 27001) 39 Azienda 1 Azienda 2 Settore Rubinetteria e accessori Aerospazio e difesa Tipologia di trattamento Nessun trattamento di critico di dati Ordini, DdT e fatture sostanzialmente cartacei, Trattamenti di dati critici Accesso portali clienti, scambio di info su requisiti dei prodotti Tipologia lavorazioni Standard, nessuna personalizzazione Altamente personalizzate, su specifiche clienti Livello di rischio Rischio cybersecurity basso Rischio cybersecurity medio/alto Normativa di riferimento Iso 9001/GDPR Integrazione AS/En9100-Iso 27001
  40. 40. maurilio.savoldi@value4b.ch 40 maurilio.savoldi@value4b.ch
  41. 41. maurilio.savoldi@value4b.ch 41 maurilio.savoldi@value4b.ch
  42. 42. maurilio.savoldi@value4b.ch 42 Immagine di Karn-b - Karn G. Bulsuk (http://www.bulsuk.com). Il miglioramento continuo
  43. 43. maurilio.savoldi@value4b.ch 43 maurilio.savoldi@value4b.ch
  44. 44. maurilio.savoldi@value4b.ch 44 maurilio.savoldi@value4b.ch
  45. 45. maurilio.savoldi@value4b.ch 45 Costruzione di un set di indicatori per il governo della cybersecurity maurilio.savoldi@value4b.ch
  46. 46. maurilio.savoldi@value4b.ch 46 Responsabilità assegnate Visione temporale Portafoglio di KPI collegato a tutte le iniziative aziendali, a tutti i progetti e nelle diverse prospettive temporali, così da garantire la condivisione delle misure ad ogni attore aziendale coinvolto MISURARE LE PRESTAZIONI maurilio.savoldi@value4b.ch
  47. 47. maurilio.savoldi@value4b.ch 47 maurilio.savoldi@value4b.ch
  48. 48. maurilio.savoldi@value4b.ch 48 LE GARANZIE PER IL CLIENTE
  49. 49. maurilio.savoldi@value4b.ch 49 È molto utile avere un auditor di prima parte per l'esecuzione di audit interni di conformità alla Iso 27001 maurilio.savoldi@value4b.ch
  50. 50. maurilio.savoldi@value4b.ch 50 La certificazione dei propri sistemi gestione Qualità, Sicurezza Informatica e Continuità Operativa è utile non strettamente necessaria, se non è richiesta dai clienti e/o dal settore di appartenenza. Sicuramente è utile, oserei dire necessario, avere un sistema di gestione Qualità, Sicurezza Informatica e Continuità Operativa, in grado di sostenere un audit di secondo livello (dai clienti) per le Iso 9001, 22301 o 27001, supportato da un referente interno, di norma l'auditor di prima parte.
  51. 51. maurilio.savoldi@value4b.ch 51 Stipulare una polizza che tuteli dai danni informatici è una strada percorribile, ma è necessario avere una completa consapevolezza di tutte le problematiche di cybersecurity aziendali. Anche in questo caso, avere una figura interna di riferimento è utile, se non necessario!
  52. 52. maurilio.savoldi@value4b.ch 52 IN CHIUSURA maurilio.savoldi@value4b.ch
  53. 53. maurilio.savoldi@value4b.ch 53 Cybersecurity è, e sarà sempre più, un fattore di soddisfazione dei clienti. La Cybersecurity deve essere "Risk Based approach”. Fondamentale è il ruolo giocato da: ‐ Organizzazione, processi e persone ‐ Approccio finanziario ed ed assicurativo ‐ Tecnologia maurilio.savoldi@value4b.ch
  54. 54. maurilio.savoldi@value4b.ch IL FUTURO DELLA QUALITÀ: la cultura della cybersecurity per garantire per garantire la soddisfazione cliente nella gestione della sicurezza dei dati 10 dicembre 2019 - 17:00-20:00 SUPSI-DTI - Galleria 2, Manno Agenda: 17:00 Saluto/Benvenuto Claudio Rolandi, Professore Aggiunto, SUPSI Antonio Bassi, PMP®, SUPSI, Responsabile del Master in Project, Program e Portfolio Management 17.15 Il futuro della qualità, quali scenari e quali ruoli M. Savoldi - docente SUPSI, consulente e auditor Iso 9001 e Iso 27001 G. Spera – CEO SV Cert 18.00 Il ruolo della tecnologia A. Lenti - CEO di TOPP Tactial Intelligence Ltd, creatore di PRESTO il portale che supporta le aziende nella gestione efficiente 18.30 Quale tutela per i propri clienti G. Spera – CEO SV Cert M. Ruggiero – Bord Invesura 19.30 Chiusura lavori e aperitivo 54 PER INFO E ISCRIZIONI: http://www.supsi.ch/home/comunica/eventi/2019.html
  55. 55. maurilio.savoldi@value4b.ch 55 Rimaniamo in contatto Maurilio Savoldi www.linkedin.com/in/maurilio-savoldi-a097853/ Value4b Via Industria 3 CH - 6814 Lamone www.value4b.ch  maurilio.savoldi@value4b.ch +41 0768121309 Relinc Consulting Via Moscova 32 IT - 20121 Milano www.relinc.it  maurilio.savoldi@relinc.it  +39.389.2373447 SUPSI - Dipartimento tecnologie innovative (DTI) Via Cantonale 2C, CH - 6928 Manno http://www.supsi.ch/dti  +41 58 666 65 11

    Be the first to comment

IL FUTURO DELLA QUALITÀ: il ruolo della gestione e della sicurezza dei dati nella soddisfazione del cliente

Views

Total views

106

On Slideshare

0

From embeds

0

Number of embeds

2

Actions

Downloads

1

Shares

0

Comments

0

Likes

0

×