Sicurezza delle informazioni e controllo della qualità
Recentemente VTENEXT ha ottenuto con successo le certificazioni ISO 27001 e ISO 9001, rispettivamente la norma internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni, la prima, e norme e linee guida che definiscono i requisiti per la realizzazione all’interno di un’organizzazione di un sistema di gestione della qualità, la seconda.
Abbiamo quindi deciso di intervistare il nostro auditor, Mauro Sanguinetti, e risassumere i benefici che un’azienda trae da queste certificazioni, i vari step che devono essere seguiti e come uno strumento di mappatura e digitalizzazione dei processi aziendali, come vtenext, può aiutare le organizzazioni in questo percorso.
Ciao Mauro, parlaci di te, della tua esperienza e del mondo DNV GL.
Sono Mauro Sanguinetti, ho 57 anni e sono Area Manager del Nord Ovest dell’Italia di DNV GL con la responsabilità dei risultati operativi, della gestione del team e della struttura organizzativa dell’area di mia competenza. Nel corso degli anni, dopo una laurea in ingegneria elettronica con specializzazione in informatica all’Università di Padova, ho maturato diverse competenze nell’ambito dello sviluppo di progetti software ad elevata complessità lavorando per importanti società IT di grossi gruppi italiani; dopo essere entrato in DNV GL nel 1999 ho avuto la possibilità di maturare competenze ed esperienze significative nella sicurezza delle informazioni e dei dati in vari settori merceologici, in particolare ICT, Automotive e Aerospace.
DNV GL è una società norvegese posseduta dalla Fondazione indipendente Det Norske Veritas. Le nostre origini risalgono al 1864, quando viene fondata la società di classificazione navale. La casa madre del Gruppo DNV GL è a Oslo, Norvegia. DNV GL ha più di 350 uffici in più di 100 paesi nel mondo, al servizio di più di 100.000 clienti. Da sempre il gruppo investe ogni anno in ricerca e innovazione, il 5% del fatturato annuo è investito nel Centro di Ricerca Strategica.
Ciò che ci guida nelle nostre attività quotidiane è da sempre la nostra mission «la salvaguardia della vita, della proprietà e dell’ambiente».
Perchè un’azienda dovrebbe certificarsi ISO, da dove iniziare e gli step da seguire
DNV GL – Business Assurance è una delle aree di business del Gruppop DNV GL ed è uno dei principali enti di certificazione e gestione del rischio a livello mondiale.
Fedele alla nostra mission (la salvaguardia della vita, della proprietà e l’ambiente) DNV GL – Business Assurance opera con l’obiettivo di aiutare le organizzazioni aziendali ad incrementare la sicurezza e la sostenibilità delle proprie attività. In particolare, ciò che facciamo in questa area di business è assicurare attraverso servizi di certificazione, verifica, valutazione e formazione che le imprese garantiscano organizzazioni, prodotti, personale, strutture e catene di fornitura efficienti e certificate.
Perché un’azienda dovrebbe certificarsi? Quali sono i benefici che ne derivano? Sia per la ISO27001 che per la ISO9001.
Per un’azienda ottenere certificazioni come la ISO 27001 o la ISO 9001 – rispettivamente norma internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni, la prima, e norme e linee guida che definiscono i requisiti per la realizzazione all’interno di un’organizzazione di un sistema di gestione della qualità, la seconda – significa prima di tutto consolidare performance aziendali sostenibili, dimostrare l’impegno dell’organizzazione verso la qualità dei propri processi (nel caso della certificazione ISO 9001), dimostrare che il sistema di gestione della sicurezza delle informazioni è conforme allo standard internazionale di riferimento (nel caso della ISO 27001) e che l’azienda è in grado di gestire e mitigare i rischi, nonché – non certo meno importante – alimentare la fiducia da parte degli stakeholder e la soddisfazione dei clienti.
Da dove si inizia per essere certificati DNV GL? Cosa deve fare l’azienda?
L’inizio del percorso è legato al Sistema di Gestione, l’azienda deve averne uno documentato e questo deve rispettare i requisiti definiti dalla norma che fa da riferimento per una determinata specifica certificazione.
In sostanza, per ottenere la certificazione, l’azienda deve dimostrare che, da un punto di vista operativo, utilizza tale Sistema di Gestione seguendo tutte le regole ed i requisiti definiti dal Sistema stesso ed in accordo a quanto richiede la normativa che regola la certificazione aziendale.
Quali sono gli step da seguire?
L’iter di certificazione cui devono sottoporsi le aziende è costituito sostanzialmente da due fasi iniziali, entrambe di Audit ma con processi e finalità differenti.
La Fase 1 implica un Audit di Valutazione della Documentazione di Sistema e comporta un Audit preliminare. In questa fase, l’azienda è chiamata a dimostrare il funzionamento del proprio Sistema di Gestione e deve farlo fornendo alcune informazioni documentate, quali:
- a seconda dello schema di certificazione applicabile, informazioni documentate in forma controllata (es. Manuale e/o Procedure) del Sistema in vigore, informazioni che servono per poter valutare il sistema stesso;
- informazioni di carattere generale sulla società e sulla tipologia di prodotti e/o servizi interessati dalla certificazione;
In questa fase – che avviene direttamente presso l’azienda cliente – supportiamo tutti i nostri clienti valutando la documentazione e la loro aderenza ai requisiti della norma di riferimento e rilasciamo un Rapporto di Audit Documentale e Preliminare (notificando eventuali rilievi rispetto alla normativa di riferimento qualora emergano situazioni che necessitano di interventi di correzione prima di procedere alla fase successiva).
La Fase 2, il cosiddetto Audit Iniziale, è quello da cui deriva poi il rilascio della certificazione.
L’Audit Iniziale ha lo scopo di esaminare la struttura e la consistenza di politiche, obiettivi, procedure e processi dell’organizzazione e confermare se queste soddisfano tutti i requisiti necessari per ottenere la certificazione. In questa fase, l’azienda è tenuta a dimostrare “sul campo” l’applicazione del Sistema di Gestione.
A conclusione di queste due fasi, il gruppo di Audit trasmette la documentazione alla funzione tecnica di DNV GL che ha il compito di valutare ed approvare la proposta di certificazione. Se approvata, verranno rilasciati tutti i documenti di certificazione che attestano il rispetto, da parte dell’azienda, della norma di riferimento e del campo di applicazione del Sistema di Gestione.
Le garanzie che un’azienda come VTENEXT può offrire ai suoi clienti
In passato l’importanza della Sicurezza delle Informazioni era riconosciuta limitatamente alla protezione dei dati contabili e finanziari. Oggi, la globalizzazione dei mercati e il libero commercio hanno aumentato la sensibilità rispetto alla Sicurezza delle Informazioni, anche da parte delle legislazioni nazionali.
Particolari stimoli alla gestione delle informazioni come “beni da proteggere” sono derivati, inoltre, da fattori quali la responsabilità legale (Privacy, D.Lgs. 231/01), la pirateria industriale, la salvaguardia dell’immagine e, non ultimo, lo sviluppo delle tecnologie informatiche. Il numero di virus, attacchi e intrusioni cui si deve far fronte quotidianamente testimonia l’importanza di salvaguardare anche le informazioni gestite dai propri sistemi informativi.
Ma l’informazione non è solo quanto risiede nei computer; l’informazione può essere su carta, su disco e nelle menti ed azioni di coloro che operano per l’organizzazione. L’informazione diviene parte del patrimonio aziendale e, in quanto tale, va preservata lungo il suo intero ciclo di vita.
Il sistema di gestione per la sicurezza delle informazioni adottato da VTENEXT – che ha ottenuto la certificazione ISO/IEC 27001 – dimostra che l’azienda ha analizzato e valutato in modo sistematico e completo tutti i rischi relativi alla sicurezza delle informazioni, derivanti da attacchi dall’esterno o dall’interno, informatici e non informatici, da errori o dal mancato rispetto della normativa vigente pertinente.
Quali garanzie ulteriori offrono le certificazioni ISO 27001 e ISO9001?
Con la certificazione ISO/IEC 27001:2013 si può dimostrare a clienti esistenti e potenziali, fornitori e azionisti, l’integrità di dati e sistemi e l’impegno di un’organizzazione verso la sicurezza delle informazioni.
Ciò può anche offrire nuove opportunità commerciali con clienti attenti alla sicurezza; può migliorare l’etica dei dipendenti e rafforzare la nozione di riservatezza in tutto l’ambiente di lavoro.
Con la certificazione ISO 9001, oltre a dimostrare l’impegno dell’organizzazione verso la qualità dei propri processi e la soddisfazione del cliente, si può dimostrare la volontà di miglioramento continuo delle prestazioni organizzative dell’azienda, di aumento della credibilità e del miglioramento dell’immagine verso l’esterno, di riduzione dei costi dovuti a rilavorazioni o inefficineze gestionali e di riduzione dei reclami e delle contestazioni da parte dei clienti.
“L’adozione di vtenext ha significato avere tutti i processi mappati e profilati, consentendo quindi di bruciare le tappe verso il raggiungimento delle certificazioni”
Come uno strumento di mappatura di processi aziendali come vtenext può essere d’aiuto
Cosa significa per un ente di certificazione poter contare su una mappatura così puntuale dei processi?
Aver scelto un sistema CRM come vtenext (in uso sia da VTENEXT stessa che dal Master Partner CRMVillage) si è rivelata una scelta vincente perché il sistema CRM ha permesso alle due organizzazioni di conservare e analizzare i dati di tutti i suoi clienti e potenziali in modo ordinato ed efficace. In questo modo tutte le informazioni sono organizzate al meglio e conservate in un unico punto, cosa che semplifica moltissimo le operazioni di Audit eliminando onerose ricerche ed inutili e dispersivi appunti cartacei.
Che impressione ha avuto quando è entrato in contatto con uno strumento di mappatura processi come vtenext?
Sono rimasto impressionato dalla elevata possibilità di mappare tutti i cicli e i flussi aziendali, da quelli amministrativi fino all’assistenza post-vendita e dalla possibilità di creare processi automatizzati che aiutano a rispondere in tempi e modalità sempre più rapide alle richieste dei clienti.
In che modo uno strumento come vtenext può essere decisivo per conseguire la certificazione?
Se correttamente impostato secondo le esigenze organizzative di un’azienda e correttamente usato dagli utenti, il sistema permette alle organizzazioni di conservare i dati di tutti i suoi clienti e potenziali tali, in modo ordinato ed efficace (tutte le informazioni sono disponibili e accessibili da un unico punto). Il sistema può aiutare a dare fiducia nel fatto che i processi dell’organizzione sono condotti come pianificato e quindi non vi sono rischi per l’auditing e il conseguimento o mantenimento della certificazione.
Sei alla ricerca di un fornitore certificato? Non esitare a contattarci!