Futuro qualita v1

maurilio.savoldi@value4b.ch
IL FUTURO DELLA
QUALITÀ: il ruolo della
gestione e della sicurezza
dei dati nella soddisf
azione
del cliente
SUPSI
MAURILIO SAVOLDI
Consulente e Formatore
Value4b – SUPSI – Relinc Consulting
ANTONELLA DEL RE
Consulente e Formatore
KS cert Sagl

Mi presento
2
‐ Docente di Business Process Management
(BPM) presso il Dipartimento di Tecnologie
Innovative della Scuola Universitaria
Professionale della Svizzera Italiana-SUPSI
‐ Auditor di terza parte Iso 9001
e Iso 27001
Processi
Sistemi di gestione
Miglioramento
Tecnologia
Formazione
‐ Titolare della Value4b (www.value4b.ch)
‐ Partner di Relinc Consulting (www.relinc.it) società di
consulenza specializzata nell’area del miglioramento di
processo e BPM, partner italiano di PNMsoft, QPR
Software e TOPP-TI

maurilio.savoldi@value4b.ch 3
Un'azienda che non tratta in modo
adeguato i dati personali dei suoi
clienti, o dei suoi dipendenti, oppure
che non ne protegge adeguatamente
lo scambio di informazioni può dirsi di
lavorare in qualità?

UN MONDO
CHE CAMBIA

Una trentina d'anni in due immagini, la
rappresentazione di un mondo che è
cambiato velocemente e che lo farà ancora
con maggior velocità e complesso

Tablet, smartphone, notebook, pc, sono strumenti
che accompagnano quotidianamente la vita delle
nostre aziende…

I dati sono il nuovo petrolio
8

‐ Dati personali (numeri di telefono, email, info sulla salute e sui
gusti,…)
‐ Dati operativi, o di business (offerte, progetti, dati di produzione,…)

Sicurezza informatica e qualità

LA SICUREZZA
INFORMATICA

La sicurezza è un
processo, non un
prodotto
Bruce Schneier

La sicurezza è un processo, non un prodotto…e la mettiamo,
meno, in pratica con le nostre azioni quotidiane

I ruolo di processi, persone e tecnologie
16
CRUSCOTTO dei PROCESSI CUSTOMER STARTS
REQUEST
CLOUD

QUALE
IMPATTO
SULLA
QUALITÀ?

"Il cliente e la sua soddisfazione
sono al centro della QUALITÀ;
ogni attività, applicazione e
monitoraggio delle
attività/processi è infatti volta
a determinare il massimo
soddisfacimento dell'utilizzatore
finale"

I ruolo di processi, persone e tecnologie
19
CRUSCOTTO dei PROCESSI CUSTOMER STARTS
REQUEST
CLOUD
Processi, persone e tecnologie hanno relazioni interdipendenti, ma lavorano su
piani diversi.
Come per un palazzo, sicuramente è importante avere un approccio integrato, m
bene che ogni inquilino di ogni singolo piano intervenga per quanto le compete

QUALE
IMPATTO
SULLA
QUALITÀ?

"Il cliente e la sua soddisfazione
sono al centro della QUALITÀ;
ogni attività, applicazione e
monitoraggio delle
attività/processi è infatti volta
a determinare il massimo
soddisfacimento dell'utilizzatore
finale"

I RIFERIMENTI

Iso 31000
Iso 27701
e GDPR
Iso 9001
Iso 22301
Iso 27001

‐ GDPR è l’acronimo di
General Data Protection
Regulation, il Regolamento
UE 2016/ 679 in materia di
protezione dei dati personali
‐ Il GDPR si applica al
trattamento di dati personali
‐ ISO 27701 per la protezione
dei dati personali: realizzare
un Privacy Information
Management System

La norma ISO 9001 definisce i requisiti di un
sistema di gestione per la qualità per
un'organizzazione. I requisiti espressi sono di
carattere generale e possono essere implementati
da ogni tipo di organizzazione; ultima revisione nel
settembre 2015 (ISO 9001:2015).
La ISO 9001 adotta lo schema "ISO High Structure
Level (HSL)" in 10 capitoli

ISO 22301 Business Continuity Management Sistems (BCMS) - Requireme
Lo standard internazionale sulla continuità operativa permette di comprendere e definire le priorità
le minacce per la tua azienda. La norma ISO 22301 specifica i requisiti necessari affinché un sistema
gestione aiuti a proteggere e ridurre la probabilità di incidenti e assicurare alle attività la ripresa in
seguito a interruzioni.
Enfatizza l'importanza di:
‐ Comprendere le esigenze dell'organizzazione
‐ Implementare e rendere operativi controlli e misure
‐ Monitorare e riesaminare l'efficacia del BCMS
‐ Miglirare in continuo il BCMS
La norma Iso 22301 favorisce il consolidamento della capacità di organizzare il proprio lavoro per
assicurare sostenibilità e continuità.
La ISO 22301 adotta lo schema "ISO High Structure Level (HSL)" in 10 capitoli
Non è una norma strettamente correlata al mondo dell'ICT

La ISO 27001 è lo standard internazionale per la gestione efficace della
sicurezza delle informazioni ed offre un approccio completo per la
protezione delle informazioni da una vasta gamma di minacce e
vulnerabilità.
Lo standard prevede lo schema "ISO High Structure Level :
‐ Pianificazione e Progettazione;
‐ Implementazione;
‐ Monitoraggio;
‐ Mantenimento e Miglioramento
Nella fase di progettazione richiede però lo svolgimento di un risk
assessment, schematizzabile in:
‐ Identificazione dei rischi;
‐ Analisi e valutazione;
‐ Selezione degli obiettivi di controllo e attività di controllo per la
gestione dei rischi;
‐ Assunzione del rischio residuo da parte del management;
‐ Definizione dello Statement of Applicability.
ISO/IEC 27001 Tecnologia delle informazioni - Tecniche di
sicurezza - Sistemi di gestione della sicurezza delle informazioni -
Requisiti

L'High Level Structure delle norme gestionali ISO
28
4.1
Contesto
4.2
Parti interessate
4.3
Confini SGQ
4.4
SGQ e Processi
6.1
Rischi/Opportunità
8
Attività operative
9
Riesame della Direzione
10
Miglioramento
L'organizzazione non più vista
come un meccanismo che
ripete in modo regolare i propri
comportamenti, ma come un
entità autonoma e pensante,
capace di adattarsi ai
cambiamenti del contesto

I 14 controlli
dell'Allegato alla
ISO 27001

I 14 controlli dell'Allegato alla ISO 27001
A.5 POLITICHE PER LA SICUREZZA
DELLE INFORMAZIONI
A.6 ORGANIZZAZIONE DELLA
SICUREZZA DELLE
INFORMAZIONI
A.7 RISORSE UMANE E SICUREZZA
SUL LAVORO
A.8 GESTIONE DELLE RISORSE
A.9 CONTROLLO DELL'ACCESSO
A.10 CRITTOGRAFIA
A.11 SICUREZZA FISICA E
AMBIENTALE
A.12 SICUREZZA DELLE
OPERAZIONI
A.13 SICUREZZA DELLE
COMUNICAZIONI
A.14 ACQUISIZIONE, SVILUPPO E
MANUTENZIONE DEI SISTEMI
A.15 RAPPORTI CON I FORNITORI
A.16 GESTIONE DEGLI INCIDENTI
RELATIVI ALLA SICUREZZA
DELLE INFORMAZIONI
A.17 ASPETTI DI SICUREZZA DELLE
INFORMAZIONI NELLA
GESTIONE DELLA
CONTINUITA' AZIENDALE
A.18 CONFORMITÀ
30

Ruoli e responsabilità
Matrice R/A/C/I
Process map
Politiche per la sicurezza delle informazioni
Non solo documenti,
manuali o politiche che
vivono staticamente,
MA
documenti che, collegati
a ruoli, processi e
responsabilità,
descrivono quello
che realmente
accade e quello
che realmente le
persone devono fare

Alcuni esempi di approccio
European Union Agency for Cybersecurity
www.enisa.europa.eu/
CIS® (Center for Internet
Security, Inc.)
www.cisecurity.org/

Il framework ENISA per la sviluppo della
cultura della sicurezza informatica
33
1. Consapevolezza
2. Analisi
3. Plan
4. Implementazione
5. Valutazioni e
identificazione di eventuali
azioni correttive

Non solo accessi logici, ma
anche, e soprattutto,
controllo degli accessi fisici e
perimetrali

COME DEFINIRE
UN NUOVO
APPROCCIO
ALLA QUALITÀ?

Il Risk
Management

Le 5 fasi della valutazione del rischio
(secondo la Iso 27001)
1. Definizione di una struttura di valutazione dei rischi
Queste sono le regole che determinano il modo in cui si intende
identificare i rischi, a chi saranno assegnati, in che modo questi rischi
influiscono sulla riservatezza, integrità e disponibilità delle
informazioni, ed il metodo di stima dell’impatto e della probabilità del
rischio di verificarsi.
2. Identificazione dei rischi
L’identificazione dei rischi che possono influire sulla riservatezza,
integrità e disponibilità delle informazioni è la parte che richiede più
tempo dell’intero processo di valutazione del rischio. Sarà più semplice
lavorare su un elenco già esistente di risorse informative, come copie
cartacee, file elettronici, supporti rimovibili, dispositivi mobili e beni
immateriali, come la proprietà intellettuale.
3. Analisi dei rischi
Per ciascuna risorsa, bisogna identificare le minacce e le vulnerabilità. Ad esempio, la minaccia potrebbe
essere il “furto del dispositivo mobile” e la vulnerabilità potrebbe essere “mancanza di una policy formale per
i dispositivi mobili”. In seguito, si deve assegnare le stime di impatto e la probabilità di verifica sulla base dei
criteri di rischio stabiliti
4. Valutazione dei rischi
È necessario valutare ogni rischio rispetto ai livelli di rischio accettabile determinati in precedenza e decidere
quali rischi devono essere affrontati e in quale ordine.
5. Scelta delle opzioni di gestione dei rischi
Suggeriamo quattro modi per trattare i rischi: evitare il rischio eliminandolo completamente, modificare il
rischio applicando i controlli di sicurezza, condividere il rischio con terze parti (tramite assicurazione o
esternalizzazione)
e mantenere il rischio (se il rischio rientra nei criteri di accettazione del rischio stabiliti).

Esempi di risultati della valutazione del rischio
(secondo la Iso 27001)
39
Azienda 1 Azienda 2
Settore Rubinetteria e accessori Aerospazio e difesa
Tipologia di trattamento
Nessun trattamento di critico di dati
Ordini, DdT e fatture
sostanzialmente cartacei,
Trattamenti di dati critici
Accesso portali clienti, scambio di
info su requisiti dei prodotti
Tipologia lavorazioni Standard, nessuna personalizzazione
Altamente personalizzate, su
specifiche clienti
Livello di rischio Rischio cybersecurity basso Rischio cybersecurity medio/alto
Normativa di riferimento Iso 9001/GDPR Integrazione AS/En9100-Iso 27001

Immagine di Karn-b - Karn G. Bulsuk (http://www.bulsuk.com).
Il miglioramento continuo

Costruzione di un set di
indicatori per il governo
della cybersecurity

Responsabilità
assegnate
Visione
temporale
Portafoglio di KPI
collegato a tutte le
iniziative aziendali, a
tutti i progetti e nelle
diverse prospettive
temporali, così da
garantire la
condivisione delle
misure ad ogni
attore aziendale
coinvolto
MISURARE LE PRESTAZIONI

LE GARANZIE PER
IL CLIENTE

È molto utile avere un auditor di prima
parte per l'esecuzione di audit interni di
conformità alla Iso 27001

La certificazione dei propri sistemi gestione Qualità, Sicurezza Informatica e
Continuità Operativa è utile non strettamente necessaria, se non è richiesta dai
clienti e/o dal settore di appartenenza.
Sicuramente è utile, oserei dire necessario, avere un sistema di gestione Qualità,
Sicurezza Informatica e Continuità Operativa, in grado di sostenere un audit di
secondo livello (dai clienti) per le Iso 9001, 22301 o 27001, supportato da un
referente interno, di norma l'auditor di prima parte.

Stipulare una polizza che tuteli dai danni
informatici è una strada percorribile, ma è
necessario avere una completa
consapevolezza di tutte le problematiche di
cybersecurity aziendali.
Anche in questo caso, avere una figura
interna di riferimento è utile, se non
necessario!

IN CHIUSURA

Cybersecurity è, e sarà sempre
più, un fattore di soddisfazione dei
clienti.
La Cybersecurity deve essere "Risk
Based approach”.
Fondamentale è il ruolo giocato
da:
‐ Organizzazione, processi e persone
‐ Approccio finanziario ed ed
assicurativo
‐ Tecnologia

IL FUTURO DELLA QUALITÀ:
la cultura della cybersecurity per garantire per garantire la
soddisfazione cliente nella gestione della sicurezza dei dati
10 dicembre 2019 - 17:00-20:00
SUPSI-DTI - Galleria 2, Manno
Agenda:
17:00 Saluto/Benvenuto
Claudio Rolandi, Professore Aggiunto, SUPSI
Antonio Bassi, PMP®, SUPSI, Responsabile del Master in Project,
Program e Portfolio Management
17.15 Il futuro della qualità, quali scenari e quali ruoli
M. Savoldi - docente SUPSI, consulente e auditor Iso 9001 e Iso
27001
G. Spera – CEO SV Cert
18.00 Il ruolo della tecnologia
A. Lenti - CEO di TOPP Tactial Intelligence Ltd, creatore di PRESTO
il portale che supporta le aziende nella gestione efficiente
18.30 Quale tutela per i propri clienti
G. Spera – CEO SV Cert
M. Ruggiero – Bord Invesura
19.30 Chiusura lavori e aperitivo
54
PER INFO E ISCRIZIONI:
http://www.supsi.ch/home/comunica/eventi/2019.html

Rimaniamo in contatto
Maurilio Savoldi
www.linkedin.com/in/maurilio-savoldi-a097853/
Value4b
Via Industria 3
CH - 6814 Lamone
www.value4b.ch
 maurilio.savoldi@value4b.ch
+41 0768121309
Relinc Consulting
Via Moscova 32
IT - 20121 Milano
www.relinc.it
 maurilio.savoldi@relinc.it
 +39.389.2373447
SUPSI - Dipartimento tecnologie innovative (DTI)
Via Cantonale 2C,
CH - 6928 Manno
http://www.supsi.ch/dti
 +41 58 666 65 11

Futuro qualita v1

More Related Content

Similar to Futuro qualita v1

More from Maurilio Savoldi

Futuro qualita v1