Descor Srl, proprietaria della piattaforma di Asset, Energy e Facility Management, Infocad, ha confermato le certificazioni ISO 9001, ISO 27001, ed ottenuto le linee guida ISO 27017, ISO 27018, oltre alla qualificazione del servizio SaaS Infocad all’ACN.
Nel panorama globale delle pratiche aziendali e industriali, le certificazioni elaborate dall'Organizzazione Internazionale per la Standardizzazione (ISO) rappresentano un punto di riferimento per l'eccellenza, definendo parametri cruciali per garantire la qualità, l'efficienza e la sicurezza nei processi. Questi standard internazionali costituiscono pilastri fondamentali per le organizzazioni che mirano all'innovazione, alla competitività e alla fiducia dei consumatori.
L'adozione delle Certificazioni ISO costituisce un segnale tangibile dell'impegno di un'organizzazione verso la qualità e l'efficacia. Esse forniscono un quadro chiaro e uniforme che permette alle aziende di navigare le complessità del mercato globale, agevolando la conformità normativa e creando un terreno comune per la collaborazione tra diverse realtà.
È con entusiasmo che condividiamo il successo della nostra azienda, Descor Srl, proprietaria della piattaforma di Asset, Energy e Facility Management, Infocad, che ha recentemente confermato prestigiose certificazioni tra cui, ISO 9001, ISO 27001, ed ottenuto le linee guida ISO 27017, ISO 27018, oltre alla qualificazione del servizio SaaS Infocad all’Agenzia per la cybersicurezza nazionale (ACN).
Esaminiamole ora nel dettaglio.
ISO 9001: Certificazione del controllo di qualità
La norma ISO 9001:2015 rappresenta uno standard internazionale ampiamente riconosciuto, focalizzato sulla creazione, implementazione e gestione di un Sistema di Gestione della Qualità (SGQ) applicabile a imprese di varie dimensioni e settori.
Questa normativa, progettata per essere universalmente adattabile, costituisce la base per lo sviluppo di sistemi volti a garantire la soddisfazione del cliente e a promuovere il miglioramento continuo in qualsiasi contesto aziendale.
L'implementazione di un SGQ basato sui sette principi della ISO 9001 dimostra in modo tangibile agli clienti il tuo impegno verso l'assicurazione di elevati standard qualitativi. La norma ISO 9001 è considerata lo standard di riferimento per la certificazione dei sistemi di gestione della qualità, appartenente alla famiglia delle norme della serie ISO 9000.
Nel 2012, l'International Organization for Standardization ha stabilito che gli standard relativi ai sistemi di gestione dovessero seguire una struttura comune denominata High Level Structure (HLS), applicabile ai nuovi standard ISO e alle revisioni future di standard esistenti. La norma è composta quindi da 10 capitoli, con i capitoli da 4 a 10 (che contengono i requisiti) basati sul ciclo di Deming (Pianificare-Eseguire-Verificare-Agire).
L'introduzione della struttura di alto livello (HLS) ha semplificato l'integrazione tra le nuove norme ISO.
Come specificato nella norma ISO 9000, la gestione della qualità si basa su sette principi chiave:
- Focalizzazione sul cliente
- Leadership
- Partecipazione attiva delle persone
- Approccio per processi
- Miglioramento
- Processo decisionale basato sulle evidenze
- Gestione delle relazioni
Particolare attenzione è dedicata alla gestione delle relazioni, sia interne che esterne, attraverso la valutazione degli aspetti di rischio e opportunità legati al contesto aziendale.
Certificazione ISO 27001: continuità, conformità e credibilità nella gestione della sicurezza delle informazioni
Lo standard ISO/IEC 27001 costituisce l'unica norma internazionale soggetta a verifica e certificabile che delinea i requisiti per un SGSI. La ISO 27001 offre un approccio rigoroso e metodico per l'amministrazione della sicurezza delle informazioni all'interno di un'organizzazione, indipendentemente dalle sue dimensioni o dal settore di attività. Fornisce linee guida e un modello con i requisiti per stabilire, implementare, mantenere e migliorare continuamente un Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
La certificazione ISO 27001 conferisce alle aziende diversi vantaggi che possono essere sintetizzati in tre punti principali:
- Continuità operativa: Attraverso il controllo periodico dei rischi e della conformità legale, un'azienda certificata garantisce la continuità delle proprie attività, evitando tempi di inattività derivanti da minacce alla sicurezza o verifiche.
- Conformità legale: Il possesso della certificazione comporta una maggiore consapevolezza delle normative e dei parametri da rispettare sia all'interno dell'organizzazione che nei rapporti con i clienti. Ciò consente di ridurre il rischio di sanzioni e controversie legali.
- Credibilità: La certificazione, rilasciata da enti indipendenti secondo standard internazionali, conferisce maggiore credibilità all'azienda, particolarmente in merito al trattamento delle informazioni. Questo aspetto è essenziale per instaurare la fiducia sia tra gli stakeholder interni che esterni.
Inoltre, grazie ai controlli come Vulnerability Assessment, Penetration Test e Log Management è possibile monitorare e gestire i bug, le vulnerabilità e gli errori presenti sulle varie piattaforme.
Norme ISO 27017 e ISO 27018 nel Cloud Computing: Parametri di selezione e garanzie di sicurezza e privacy
Negli ultimi anni, il termine "cloud" si è affermato prepotentemente nel lessico comune. È sempre più frequente sentire affermazioni come "i dati vengono memorizzati nel cloud" o "veri e propri processi vengono gestiti nel cloud". È fondamentale precisare che il cloud computing è un tema articolato, mutevole e complesso, pur basandosi su un concetto fondamentale di semplice comprensione: l'utilizzo di una serie di computer interconnessi, fisicamente distribuiti in diverse parti del mondo, che collaborano al fine di elaborare e gestire operazioni richiedenti potenza di calcolo o spazio di archiviazione difficilmente ottenibili da un singolo computer.
Nella pratica, come è universalmente riconosciuto, si tratta di complesse reti di elaboratori dedicati a svolgere una vasta gamma di attività, integrandosi sinergicamente quando richiesto per offrire il servizio desiderato con la massima efficienza possibile. Il cloud offre una molteplicità di servizi, tra i quali il più diffusamente conosciuto è il cloud storage, ovvero il servizio di archiviazione dei dati. Tuttavia, altri servizi stanno rivoluzionando profondamente l'approccio delle organizzazioni, conducendo a un'astrazione virtuale delle risorse IT.
Tra i servizi disponibili, si evidenziano le opzioni di Platform as a Service (PaaS), Software as a Service (SaaS) e Infrastructure as a Service (IaaS). In un contesto caratterizzato dalla diversità di offerte di mercato, emerge la necessità di identificare parametri pertinenti per una selezione adeguata, considerando aspetti tecnici, qualitativi e di garanzia.
La norma ISO 27017 delinea controlli supplementari specifici per i servizi cloud, costituendo un punto di riferimento sia per i fornitori di tali servizi che per i clienti. Essa si basa sui controlli dedicati derivanti dalla ISO 27001 e introduce sette nuovi controlli focalizzati sulla configurazione delle macchine virtuali, sulla chiara definizione delle responsabilità tra fornitori e clienti di servizi cloud, sulla sicurezza e separazione degli ambienti virtuali, sulla gestione delle attività al termine di un contratto, sul monitoraggio delle attività del cliente all'interno dell'ambiente cloud, sull'allineamento tra ambienti virtuali e cloud, nonché sulle procedure amministrative connesse all'ambiente cloud.
La norma, dunque, fornisce un quadro dettagliato per garantire la sicurezza e l'efficace gestione dei servizi cloud, affrontando aspetti cruciali legati alla configurazione, alla responsabilità, alla protezione e alla supervisione delle attività.
La norma ISO 27018, invece, delinea un "Codice di condotta" finalizzato alla protezione delle Informazioni personalmente identificabili (PII) nei servizi di cloud pubblico erogati dai fornitori di servizi cloud. L'obiettivo primario è stabilire un approccio organizzato, fondato sul concetto di privacy by design, per gestire in modo completo tutti gli aspetti relativi alla gestione dei dati personali in ambienti di infrastrutture informatiche distribuite.
Attualmente, assistiamo a un processo di trasformazione digitale in corso, caratterizzato da un'apprezzabile accelerazione, particolarmente evidente nell'ultimo periodo. Tale metamorfosi si concretizza principalmente mediante l'ampia adozione dei servizi basati su cloud, emergendo come una priorità rilevante anche dal punto di vista politico, almeno in termini concettuali. Le direttive internazionali, quali la ISO 27017 e la ISO 27018, che regolamentano la gestione delle attività e dei dati nell'ambito del "cloud", costituiscono strumenti cruciali per l'orientamento e l'analisi da parte degli esperti del settore.
ACN: Cybersicurezza e sovranità digitale
L’Agenzia per la cybersicurezza nazionale (ACN) è l’Autorità nazionale per la cybersecurity a tutela degli interessi nazionali nel campo della sicurezza digitale delle informazioni. L’Agenzia, prima gestita all’interno dell’AGID (Agenzia per l'Italia Digitale), come viene sottolineato sul loro sito ufficiale, “ha il compito di tutelare la sicurezza e la resilienza nello spazio cibernetico”. Si occupa di prevenire e mitigare il maggior numero di attacchi e di favorire il raggiungimento dell’autonomia tecnologica. Tra i principali compiti dell’Agenzia c’è l’attuazione della Strategia Nazionale di Cybersicurezza, adottata dal Presidente del Consiglio, che contiene gli obiettivi da perseguire entro il 2026. In conformità alle attuali disposizioni normative, le infrastrutture e i servizi cloud gestiti dalle pubbliche amministrazioni, sia on-premises che affidati a società interne o controllate pubblicamente, devono rispettare i livelli minimi di sicurezza entro il 18 gennaio 2024.
L’Agenzia è stata istituita dal Decreto-legge n.82 del 14 giugno 2021 che ha ridefinito l'architettura nazionale di cybersicurezza, con l’obiettivo di razionalizzare e semplificare il sistema di competenze esistenti a livello nazionale, valorizzando ulteriormente gli aspetti di sicurezza e resilienza cibernetiche, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico.
In qualità di istituzione preposta alla supervisione della cybersicurezza nazionale, l'Agenzia assume il ruolo di coordinamento tra gli enti pubblici coinvolti nell'ambito della sicurezza informatica.
La sua missione si focalizza sulla promozione di iniziative convergenti finalizzate ad assicurare la sicurezza cibernetica, agevolare il processo di digitalizzazione sia nell'ambito produttivo che nelle pubbliche amministrazioni, nonché perseguire l'obiettivo di autonomia strategica a livello nazionale ed europeo in merito ai prodotti e ai processi informatici. Tale impegno mira a preservare gli interessi nazionali nel settore, contribuendo a mitigare le minacce emergenti nel panorama cibernetico.
La qualificazione dei propri servizi ad un'agenzia per la cybersicurezza nazionale non soltanto conferisce un impulso tangibile al potenziamento delle capacità di difesa cibernetica interne di un'azienda, ma assume un ruolo cruciale nel plasmare una reputazione aziendale improntata all'affidabilità e all'impegno nei confronti della sicurezza informatica.
Potrebbe interessarti anche:
