Introduzione

Il piano di sviluppo Sernet 2020 prevede una forte focalizzazione su progetti consulenziali relativi alle Norme ISO dedicate alla Privacy e all’area IT, in quanto tali Norme, continuamente aggiornate per rispondere ai trend di mercato, possono costituire per le aziende una risorsa gestionale che può aiutare a rispondere con efficacia ed efficienza ad uno scenario tecnologico e di compliance sempre più dinamico e articolato. La parola d’ordine, che sintetizza il valore delle Norme ISO, è il termine “good practices”, in quanto dà un’idea semplice e immediata del prezioso patrimonio che è contenuto nelle Norme che, a prima vista, possono evocare un approccio burocratico.  Ma non è così, il sistema di gestione e le prassi (identificate convenzionalmente come controlli) contenute nelle Norme sono una preziosa leva di gestione e innovazione, che, in alcuni casi, può assumere, in relazione alle diverse tipologie di aziende, anche una dimensione strategica.

I primi standard Internazionali dedicati alla sicurezza delle informazioni, in particolare la norma ISO 27001, risalgono a circa 15 anni fa. Negli anni successivi sono state pubblicate altre norme, fra le quali ISO 20000 dedicata all’IT Service Management e ISO 22301 dedicata alla Business Continuity.

Le norme della famiglia ISO non sono nate per “intuizione” o “visione” di chi le ha definite, ma sono state sviluppate nel tempo da Gruppi di Lavoro di esperti a livello internazionale ed hanno risposto all’esigenza concreta di disporre di un quadro metodologico (c.d. “sistemi di gestione”) per aiutare le aziende a fronteggiare le minacce rappresentate da carenti misure di sicurezza, da servizi informatici inadeguati e dalla indisponibilità di soluzioni atte a garantire la continuità operativa di processi di business sempre più dipendenti dai sistemi informatici interni o terziarizzati.

In questa logica le norme della famiglia ISO si sono evolute nel tempo, adeguandosi alle evoluzioni del mondo ICT. Nel 2013 è stata aggiornata la norma ISO 27001, che rappresenta il caposaldo per la sicurezza delle informazioni, e negli anni seguenti la norma è stata ulteriormente estesa ai servizi Cloud (ISO 27017), alla Privacy nell’ambito dei servizi Cloud (ISO 27018) e più recentemente, alla protezione dei dati personali (ISO 27701). Le norme ISO 20000 e ISO 22301, dopo la pubblicazione della loro prima versione nel 2011 e 2012, sono “arrivate” alla loro seconda versione pubblicata rispettivamente nel 2018-19.

Esperienze Sernet in area IT e Privacy

Sernet ha realizzato, dai primi anni duemila, numerosi interventi consulenziali relativi alla Privacy e all’ ICT Risk Assessment, per aziende nazionali e internazionali di svariati settori economici, fra i quali Telco, Energy, Insurance, Betting, Media, Music, Consumer goods, IT Services, Real Estate, Watches productions and sales, Hospitality, Logistics, Environmental services, Publishing, etc, ed ha supportato decine di aziende di vari settori e dimensione nella certificazione dei Sistemi di Gestione ISO 27001 (Sicurezza delle informazioni), ISO 20000 (IT Service Management) e ISO 22301 (Business Continuity).

Dal 2016 ha affrontato la tematica degli adempimenti al Regolamento Europeo 679/2016 in tema di protezione dati personali (meglio conosciuto come “GDPR”), proponendo una apposita metodologia di pianificazione (Master Plan) e di implementazione GDPR, promossa tramite Workshop e Webinar, e realizzando specifici progetti per alcune importanti aziende di vari settori (chimica, servizi IT, brokeraggio e outsourcing assicurativo, commercio e distribuzione, editoria, alimentare, hotels, etc.). Da anni ha costituito un Centro di Competenza Privacy con approccio interfunzionale, aperto ai contributi di un network di specialisti Privacy in area metodologica-organizzativa, tecnologica e legale, svolgendo anche il ruolo di DPO (persona giuridica) per importanti aziende tramite consulenti certificati da Kiwa-Cermet secondo la Norma UNI 11697/2017.

Il Centro di Competenza ha anche sviluppato, partendo dai requisiti del GDPR, da pubblicazioni delle Autorità Garanti e da esperienze progettuali, una serie di strumenti operativi (checklist, modelli  di informative/nomine, tool per la compilazione dei registri, modelli per l’analisi dei rischi integrata, etc.) utilizzati per la realizzazione di progetti di adeguamento a GDPR.

Le opportunità per le Azienda nella adozione delle Norme ISO

Le norme della famiglia ISO, unitamente alla predisposizione di idonee misure di prevenzione di natura tecnico-organizzativa, costituiscono una rilevante (se non indispensabile) opportunità per le aziende. Gli Standard Internazionali, costantemente aggiornati, sono un importante riferimento per le organizzazioni per poter rispondere ai trend di mercato relativi alla compliance, alle innovazioni tecnologiche digitali e alla Cyber Security.

In questa chiave di lettura possono essere utili per tutte le aziende e, in particolare, per quelle che trattano informazioni critiche per i processi di business o che hanno una significativa dipendenza del loro modello di business dai servizi informatici utilizzati. Inoltre sono interessati i fornitori di dette aziende che, ovviamente, devono garantire erogazione dei servizi informatici allineati alle “Best Practices” per assicurare ai loro clienti il rispetto dei requisiti di compliance.

In particolare sono interessate, come già indicato in precedenza, le aziende fornitrici della PA o delle aziende che sono considerate operatori di servizi essenziali secondo quanto previsto dalla Direttiva UE n° 1148/2019 (ribattezzata “NIS”, acronimo di Network and Information Security).

Il piano editoriale Sernet

Per cogliere le opportunità presenti nella adozione delle Norme ISO, SERNET S.p.A. propone due approcci complementari di utilizzo delle norme: lo svolgimento di un IT Risk Assessment integrato e la Certificazione dei sistemi di gestione aziendali.

In questo contesto Sernet ha pianificato la pubblicazione di una serie di articoli sul Sito Web aziendale proprio per cercare di valorizzare le Norme e, nello stesso tempo, per comunicare al mercato le esperienze di Sernet nei numerosi progetti nelle aree Privacy, Sicurezza e Governance IT.