1. maurilio.savoldi@value4b.ch
IL FUTURO DELLA
QUALITÀ: il ruolo della
gestione e della sicurezza
dei dati nella soddisf
azione
del cliente
SUPSI
MAURILIO SAVOLDI
Consulente e Formatore
Value4b – SUPSI – Relinc Consulting
ANTONELLA DEL RE
Consulente e Formatore
KS cert Sagl
2. maurilio.savoldi@value4b.ch
Mi presento
2
‐ Docente di Business Process Management
(BPM) presso il Dipartimento di Tecnologie
Innovative della Scuola Universitaria
Professionale della Svizzera Italiana-SUPSI
‐ Auditor di terza parte Iso 9001
e Iso 27001
Processi
Sistemi di gestione
Miglioramento
Tecnologia
Formazione
‐ Titolare della Value4b (www.value4b.ch)
‐ Partner di Relinc Consulting (www.relinc.it) società di
consulenza specializzata nell’area del miglioramento di
processo e BPM, partner italiano di PNMsoft, QPR
Software e TOPP-TI
3. maurilio.savoldi@value4b.ch 3
Un'azienda che non tratta in modo
adeguato i dati personali dei suoi
clienti, o dei suoi dipendenti, oppure
che non ne protegge adeguatamente
lo scambio di informazioni può dirsi di
lavorare in qualità?
5. maurilio.savoldi@value4b.ch 5
Una trentina d'anni in due immagini, la
rappresentazione di un mondo che è
cambiato velocemente e che lo farà ancora
con maggior velocità e complesso
9. maurilio.savoldi@value4b.ch 9
‐ Dati personali (numeri di telefono, email, info sulla salute e sui
gusti,…)
‐ Dati operativi, o di business (offerte, progetti, dati di produzione,…)
maurilio.savoldi@value4b.ch
18. maurilio.savoldi@value4b.ch 18
"Il cliente e la sua soddisfazione
sono al centro della QUALITÀ;
ogni attività, applicazione e
monitoraggio delle
attività/processi è infatti volta
a determinare il massimo
soddisfacimento dell'utilizzatore
finale"
19. maurilio.savoldi@value4b.ch
I ruolo di processi, persone e tecnologie
19
CRUSCOTTO dei PROCESSI CUSTOMER STARTS
REQUEST
CLOUD
Processi, persone e tecnologie hanno relazioni interdipendenti, ma lavorano su
piani diversi.
Come per un palazzo, sicuramente è importante avere un approccio integrato, m
bene che ogni inquilino di ogni singolo piano intervenga per quanto le compete
21. maurilio.savoldi@value4b.ch 21
"Il cliente e la sua soddisfazione
sono al centro della QUALITÀ;
ogni attività, applicazione e
monitoraggio delle
attività/processi è infatti volta
a determinare il massimo
soddisfacimento dell'utilizzatore
finale"
24. maurilio.savoldi@value4b.ch 24
‐ GDPR è l’acronimo di
General Data Protection
Regulation, il Regolamento
UE 2016/ 679 in materia di
protezione dei dati personali
‐ Il GDPR si applica al
trattamento di dati personali
‐ ISO 27701 per la protezione
dei dati personali: realizzare
un Privacy Information
Management System
maurilio.savoldi@value4b.ch
25. maurilio.savoldi@value4b.ch 25
La norma ISO 9001 definisce i requisiti di un
sistema di gestione per la qualità per
un'organizzazione. I requisiti espressi sono di
carattere generale e possono essere implementati
da ogni tipo di organizzazione; ultima revisione nel
settembre 2015 (ISO 9001:2015).
La ISO 9001 adotta lo schema "ISO High Structure
Level (HSL)" in 10 capitoli
maurilio.savoldi@value4b.ch
26. maurilio.savoldi@value4b.ch 26
ISO 22301 Business Continuity Management Sistems (BCMS) - Requireme
Lo standard internazionale sulla continuità operativa permette di comprendere e definire le priorità
le minacce per la tua azienda. La norma ISO 22301 specifica i requisiti necessari affinché un sistema
gestione aiuti a proteggere e ridurre la probabilità di incidenti e assicurare alle attività la ripresa in
seguito a interruzioni.
Enfatizza l'importanza di:
‐ Comprendere le esigenze dell'organizzazione
‐ Implementare e rendere operativi controlli e misure
‐ Monitorare e riesaminare l'efficacia del BCMS
‐ Miglirare in continuo il BCMS
La norma Iso 22301 favorisce il consolidamento della capacità di organizzare il proprio lavoro per
assicurare sostenibilità e continuità.
La ISO 22301 adotta lo schema "ISO High Structure Level (HSL)" in 10 capitoli
Non è una norma strettamente correlata al mondo dell'ICT
maurilio.savoldi@value4b.ch
27. maurilio.savoldi@value4b.ch 27
La ISO 27001 è lo standard internazionale per la gestione efficace della
sicurezza delle informazioni ed offre un approccio completo per la
protezione delle informazioni da una vasta gamma di minacce e
vulnerabilità.
Lo standard prevede lo schema "ISO High Structure Level :
‐ Pianificazione e Progettazione;
‐ Implementazione;
‐ Monitoraggio;
‐ Mantenimento e Miglioramento
Nella fase di progettazione richiede però lo svolgimento di un risk
assessment, schematizzabile in:
‐ Identificazione dei rischi;
‐ Analisi e valutazione;
‐ Selezione degli obiettivi di controllo e attività di controllo per la
gestione dei rischi;
‐ Assunzione del rischio residuo da parte del management;
‐ Definizione dello Statement of Applicability.
ISO/IEC 27001 Tecnologia delle informazioni - Tecniche di
sicurezza - Sistemi di gestione della sicurezza delle informazioni -
Requisiti
maurilio.savoldi@value4b.ch
28. maurilio.savoldi@value4b.ch
L'High Level Structure delle norme gestionali ISO
28
4.1
Contesto
4.2
Parti interessate
4.3
Confini SGQ
4.4
SGQ e Processi
6.1
Rischi/Opportunità
8
Attività operative
9
Riesame della Direzione
10
Miglioramento
L'organizzazione non più vista
come un meccanismo che
ripete in modo regolare i propri
comportamenti, ma come un
entità autonoma e pensante,
capace di adattarsi ai
cambiamenti del contesto
30. maurilio.savoldi@value4b.ch
I 14 controlli dell'Allegato alla ISO 27001
A.5 POLITICHE PER LA SICUREZZA
DELLE INFORMAZIONI
A.6 ORGANIZZAZIONE DELLA
SICUREZZA DELLE
INFORMAZIONI
A.7 RISORSE UMANE E SICUREZZA
SUL LAVORO
A.8 GESTIONE DELLE RISORSE
A.9 CONTROLLO DELL'ACCESSO
A.10 CRITTOGRAFIA
A.11 SICUREZZA FISICA E
AMBIENTALE
A.12 SICUREZZA DELLE
OPERAZIONI
A.13 SICUREZZA DELLE
COMUNICAZIONI
A.14 ACQUISIZIONE, SVILUPPO E
MANUTENZIONE DEI SISTEMI
A.15 RAPPORTI CON I FORNITORI
A.16 GESTIONE DEGLI INCIDENTI
RELATIVI ALLA SICUREZZA
DELLE INFORMAZIONI
A.17 ASPETTI DI SICUREZZA DELLE
INFORMAZIONI NELLA
GESTIONE DELLA
CONTINUITA' AZIENDALE
A.18 CONFORMITÀ
30
31. maurilio.savoldi@value4b.ch 31
Ruoli e responsabilità
Matrice R/A/C/I
Process map
Politiche per la sicurezza delle informazioni
Non solo documenti,
manuali o politiche che
vivono staticamente,
MA
documenti che, collegati
a ruoli, processi e
responsabilità,
descrivono quello
che realmente
accade e quello
che realmente le
persone devono fare
maurilio.savoldi@value4b.ch
32. maurilio.savoldi@value4b.ch 32
Alcuni esempi di approccio
European Union Agency for Cybersecurity
www.enisa.europa.eu/
CIS® (Center for Internet
Security, Inc.)
www.cisecurity.org/
33. maurilio.savoldi@value4b.ch
Il framework ENISA per la sviluppo della
cultura della sicurezza informatica
33
1. Consapevolezza
2. Analisi
3. Plan
4. Implementazione
5. Valutazioni e
identificazione di eventuali
azioni correttive
38. maurilio.savoldi@value4b.ch 38
Le 5 fasi della valutazione del rischio
(secondo la Iso 27001)
1. Definizione di una struttura di valutazione dei rischi
Queste sono le regole che determinano il modo in cui si intende
identificare i rischi, a chi saranno assegnati, in che modo questi rischi
influiscono sulla riservatezza, integrità e disponibilità delle
informazioni, ed il metodo di stima dell’impatto e della probabilità del
rischio di verificarsi.
2. Identificazione dei rischi
L’identificazione dei rischi che possono influire sulla riservatezza,
integrità e disponibilità delle informazioni è la parte che richiede più
tempo dell’intero processo di valutazione del rischio. Sarà più semplice
lavorare su un elenco già esistente di risorse informative, come copie
cartacee, file elettronici, supporti rimovibili, dispositivi mobili e beni
immateriali, come la proprietà intellettuale.
3. Analisi dei rischi
Per ciascuna risorsa, bisogna identificare le minacce e le vulnerabilità. Ad esempio, la minaccia potrebbe
essere il “furto del dispositivo mobile” e la vulnerabilità potrebbe essere “mancanza di una policy formale per
i dispositivi mobili”. In seguito, si deve assegnare le stime di impatto e la probabilità di verifica sulla base dei
criteri di rischio stabiliti
4. Valutazione dei rischi
È necessario valutare ogni rischio rispetto ai livelli di rischio accettabile determinati in precedenza e decidere
quali rischi devono essere affrontati e in quale ordine.
5. Scelta delle opzioni di gestione dei rischi
Suggeriamo quattro modi per trattare i rischi: evitare il rischio eliminandolo completamente, modificare il
rischio applicando i controlli di sicurezza, condividere il rischio con terze parti (tramite assicurazione o
esternalizzazione)
e mantenere il rischio (se il rischio rientra nei criteri di accettazione del rischio stabiliti).
39. maurilio.savoldi@value4b.ch
Esempi di risultati della valutazione del rischio
(secondo la Iso 27001)
39
Azienda 1 Azienda 2
Settore Rubinetteria e accessori Aerospazio e difesa
Tipologia di trattamento
Nessun trattamento di critico di dati
Ordini, DdT e fatture
sostanzialmente cartacei,
Trattamenti di dati critici
Accesso portali clienti, scambio di
info su requisiti dei prodotti
Tipologia lavorazioni Standard, nessuna personalizzazione
Altamente personalizzate, su
specifiche clienti
Livello di rischio Rischio cybersecurity basso Rischio cybersecurity medio/alto
Normativa di riferimento Iso 9001/GDPR Integrazione AS/En9100-Iso 27001
49. maurilio.savoldi@value4b.ch 49
È molto utile avere un auditor di prima
parte per l'esecuzione di audit interni di
conformità alla Iso 27001
maurilio.savoldi@value4b.ch
50. maurilio.savoldi@value4b.ch 50
La certificazione dei propri sistemi gestione Qualità, Sicurezza Informatica e
Continuità Operativa è utile non strettamente necessaria, se non è richiesta dai
clienti e/o dal settore di appartenenza.
Sicuramente è utile, oserei dire necessario, avere un sistema di gestione Qualità,
Sicurezza Informatica e Continuità Operativa, in grado di sostenere un audit di
secondo livello (dai clienti) per le Iso 9001, 22301 o 27001, supportato da un
referente interno, di norma l'auditor di prima parte.
51. maurilio.savoldi@value4b.ch 51
Stipulare una polizza che tuteli dai danni
informatici è una strada percorribile, ma è
necessario avere una completa
consapevolezza di tutte le problematiche di
cybersecurity aziendali.
Anche in questo caso, avere una figura
interna di riferimento è utile, se non
necessario!
53. maurilio.savoldi@value4b.ch 53
Cybersecurity è, e sarà sempre
più, un fattore di soddisfazione dei
clienti.
La Cybersecurity deve essere "Risk
Based approach”.
Fondamentale è il ruolo giocato
da:
‐ Organizzazione, processi e persone
‐ Approccio finanziario ed ed
assicurativo
‐ Tecnologia
maurilio.savoldi@value4b.ch
54. maurilio.savoldi@value4b.ch
IL FUTURO DELLA QUALITÀ:
la cultura della cybersecurity per garantire per garantire la
soddisfazione cliente nella gestione della sicurezza dei dati
10 dicembre 2019 - 17:00-20:00
SUPSI-DTI - Galleria 2, Manno
Agenda:
17:00 Saluto/Benvenuto
Claudio Rolandi, Professore Aggiunto, SUPSI
Antonio Bassi, PMP®, SUPSI, Responsabile del Master in Project,
Program e Portfolio Management
17.15 Il futuro della qualità, quali scenari e quali ruoli
M. Savoldi - docente SUPSI, consulente e auditor Iso 9001 e Iso
27001
G. Spera – CEO SV Cert
18.00 Il ruolo della tecnologia
A. Lenti - CEO di TOPP Tactial Intelligence Ltd, creatore di PRESTO
il portale che supporta le aziende nella gestione efficiente
18.30 Quale tutela per i propri clienti
G. Spera – CEO SV Cert
M. Ruggiero – Bord Invesura
19.30 Chiusura lavori e aperitivo
54
PER INFO E ISCRIZIONI:
http://www.supsi.ch/home/comunica/eventi/2019.html
55. maurilio.savoldi@value4b.ch 55
Rimaniamo in contatto
Maurilio Savoldi
www.linkedin.com/in/maurilio-savoldi-a097853/
Value4b
Via Industria 3
CH - 6814 Lamone
www.value4b.ch
maurilio.savoldi@value4b.ch
+41 0768121309
Relinc Consulting
Via Moscova 32
IT - 20121 Milano
www.relinc.it
maurilio.savoldi@relinc.it
+39.389.2373447
SUPSI - Dipartimento tecnologie innovative (DTI)
Via Cantonale 2C,
CH - 6928 Manno
http://www.supsi.ch/dti
+41 58 666 65 11