Categoria: ISO 27001

Pubblicato il di

Caso studio: Aggiornamento del SGSI di un’azienda con il kit di documentazione ISO27001:2022 e la Raccolta di policies ISO 27001:2022

 

Caso studio: Aggiornamento del SGSI di un’azienda con il kit di documentazione ISO27001:2022 e la Raccolta di policies ISO 27001:2022

Introduzione

TechSecure (chiameremo così l’azienda) è un’azienda specializzata in servizi di sicurezza informatica. Avevano precedentemente implementato un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) basato sulla norma ISO 27001:2017, ma necessitavano di aggiornarlo in linea con la versione ISO 27001:2022 per mantenere la conformità.

Sfida

TechSecure doveva affrontare due principali sfide:

  1. Comprendere le differenze tra la norma ISO 27001:2017 e ISO 27001:2022, e
  2. Aggiornare e implementare le nuove modifiche nel SGSI esistente in modo efficiente e senza interruzioni.

Soluzione

TechSecure ha deciso di utilizzare il kit di documentazione ISO27001:2022 e la Raccolta di policies ISO 27001:2022 per guidare il processo di aggiornamento.

Il kit di documentazione ISO27001:2022 ha fornito a TechSecure un quadro dettagliato e comprensibile delle nuove modifiche nella norma. Questo ha incluso procedure standardizzate, formulari di registrazione, politiche, piani e modelli che hanno facilitato la transizione. Questi documenti erano facilmente personalizzabili, permettendo a TechSecure di adattarli in base alle loro specifiche necessità di business.

La Raccolta di policies ISO 27001:2022, d’altro canto, ha dato a TechSecure una serie di policies dettagliate che erano già in conformità con la norma ISO 27001:2022. Questo ha salvato l’azienda da molte ore di lavoro nel riscrivere le policies esistenti o nel crearne di nuove da zero.

Risultato

TechSecure è stata in grado di aggiornare il suo SGSI alla norma ISO 27001:2022 in modo efficiente. Il kit di documentazione e la raccolta di policies hanno reso il processo di transizione fluido, riducendo il tempo e lo sforzo richiesti. Inoltre, l’azienda è stata in grado di formare il proprio team sulle nuove modifiche, grazie ai documenti formativi inclusi nel kit.

Grazie a questi strumenti, TechSecure non solo ha mantenuto la conformità, ma è stata anche in grado di migliorare la sua gestione della sicurezza delle informazioni, rafforzando così la fiducia dei clienti e degli stakeholder.

Pubblicato il di

Errori da evitare nel realizzare un sistema di gestione iso 27001:2022

La realizzazione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) conforme alla norma ISO/IEC 27001:2022 è un processo complesso che richiede attenzione e precisione. Di seguito, espongo alcuni degli errori comuni che le organizzazioni dovrebbero evitare quando implementano un SGSI:

  1. Non comprendere l’ambito: Uno degli errori più gravi è non definire correttamente l’ambito del SGSI. L’ambito deve essere chiaro e coerente con gli obiettivi aziendali, comprendendo tutti i processi, le unità operative e i sistemi informativi rilevanti.
  2. Tralasciare il coinvolgimento della dirigenza: La dirigenza deve essere attivamente coinvolta nell’implementazione del SGSI. Senza il loro impegno, sarà difficile garantire le risorse necessarie e promuovere una cultura della sicurezza all’interno dell’organizzazione.
  3. Sottovalutare la valutazione dei rischi: La valutazione dei rischi deve essere effettuata con attenzione per identificare, analizzare e valutare i rischi per la sicurezza delle informazioni. Sottovalutare questa fase può portare a una cattiva gestione dei rischi e a potenziali violazioni della sicurezza.
  4. Ignorare il fattore umano: Le persone sono spesso il punto debole nella sicurezza delle informazioni. La formazione e la consapevolezza degli utenti sono fondamentali per ridurre gli errori e aumentare la protezione contro attacchi esterni.
  5. Non documentare adeguatamente i processi: La documentazione è un requisito chiave della norma ISO 27001. Molti SGSI falliscono a causa di una documentazione inadeguata, che porta a incomprensioni e non conformità durante gli audit.

  6. Trascurare la manutenzione e il miglioramento continuo: Un SGSI non è un progetto con una fine ma un processo continuo. È essenziale stabilire procedure per il monitoraggio, la revisione e il miglioramento continuo del SGSI.
  7. Non prepararsi adeguatamente per gli audit: Gli audit sono essenziali per valutare l’efficacia del SGSI e identificare aree di miglioramento. Non prepararsi adeguatamente agli audit interni ed esterni può portare a risultati negativi e alla perdita della certificazione.

Evitando questi errori comuni, le organizzazioni possono stabilire un SGSI efficace e resiliente, migliorando la sicurezza delle loro informazioni e aumentando la fiducia dei clienti e delle parti interessate.

Pubblicato il di

Ebook gratuito – Guida per implementare un sistema di gestione ISO 27001:2022

Ebook gratuito – Guida per implementare un sistema di gestione ISO 27001:2022

Guida pratica per l’implementazione di un sistema di gestione della sicurezza delle informazioni
(SGSI) secondo la norma ISO/IEC 27001:2022

 

Pubblicato il di

Come diventare un esperto della norma ISO 27001:2022 – sistema di gestione sicurezza informazioni

**Come diventare un esperto della norma ISO 27001:2022 – sistema di gestione sicurezza informazioni**

La norma ISO 27001:2022 è diventata uno standard essenziale per le organizzazioni che desiderano garantire la sicurezza delle informazioni. Ma come si può diventare un vero esperto in questo campo? Ecco alcuni passi chiave:

1. **Formazione ed Educazione**: Inizia con una formazione ufficiale sull’ISO 27001. Sono disponibili molti corsi, sia online che in aula, che forniscono una solida base sulla norma.

2. **Esperienza sul Campo**: L’apprendimento teorico è essenziale, ma la vera comprensione arriva quando applichi la teoria in un contesto reale. Unisciti a un team che sta implementando o mantenendo la certificazione ISO 27001.

3. **Partecipazione a Seminari e Workshop**: Questi eventi sono ottimi per approfondire temi specifici e per fare networking con altri professionisti del settore.

4. **Lettura Continua**: La sicurezza informatica è un campo in rapida evoluzione. Mantieniti aggiornato su nuove minacce, tecnologie e migliori pratiche leggendo libri, articoli e blog di settore.

5. **Certificazione Professionale**: Considera l’ottenimento di certificazioni specifiche, come Lead Auditor o Lead Implementer per ISO 27001, che dimostrano la tua competenza e dedizione al settore.

6. **Networking**: Costruisci e mantieni relazioni con altri esperti del settore. Il networking ti consente di condividere esperienze, sfide e soluzioni con i tuoi colleghi.

7. **Pratica Continua**: Come in ogni professione, la pratica rende perfetti. Continua a lavorare su progetti legati all’ISO 27001 e cerca opportunità per mettere alla prova le tue conoscenze.

Diventare un esperto della norma ISO 27001 richiede tempo, dedizione e impegno, ma la ricompensa è la capacità di contribuire attivamente a un mondo digitale più sicuro.

#ISO27001 #sicurezzainformatica #formazione #professione

Pubblicato il di

Nuovo listino dei Kit documentali dei sistemi di gestione

E’ attivo il nuovo listino dei Kit documentali dei sistemi di gestione, di cui siamo stati i primi in Italia nel 2002 a curare la realizzazione e la distribuzione online.

Il nuovo listino ti offre prezzi ancora più convenienti a partire da 167 euro i.e.

Kit integrato qualità ambiente e sicurezza  (ISO 9001, ISO 14001, ISO 45001)
Kit sistema gestione integrato qualità e ambienteISO 9001, ISO 14001
Kit ISO 27001:2022
Kit SA 8000
Kit ISO 45001:2018
Kit UNI PdR 125/2022 – Certificazione parità di genere
Kit ISO 37001:2016 – sistema di gestione anticorruzione
Kit ISO 22001
Kit ISO 50001:2018
Kit ISO 13485
KIt ISO 9001:18
Kit ISO 14001:18
Raccolta Kit Documentali sistemi di gestione ISO – versione 2.0 – 2023
Raccolta software per gestire i Sistemi di Gestione ISO

Pubblicato il di

Pubblicato Kit Esperto ISO 27001

Abbiamo pubblicato Kit Esperto ISO 27001, lo strumento completo per realizzare e/o aggiornare i sistemi di gestione sicurezza delle informazioni secondo la norma ISO 27001:2022.

Accedi ai contenuti dal seguente link

Su www.edirama.org sono attive fino a sabato 23/9/23 due opportunità:
sconto 30% al carrello, per sbloccarlo è sufficiente aggiungere il prodotto che desideri, al carrello
pagamento in tre rate senza interessi scegliendo al checkout Scalapy o Klarna come modalità di pagamento

Pubblicato il di

Il Gruppo Trevi all’avanguardia in Italia nella gestione della sicurezza delle informazioni

Grazie al rilascio della Certificazione ISO/IEC 27001:2022, avvenuta lo scorso 31 maggio 2023, il Gruppo Trevi risulta fra le prime società in Italia ad essere certificata secondo la più recente versione dello standard internazionale sui sistemi di gestione della sicurezza delle informazioni. La certificazione è stata rilasciata al Gruppo Trevi da DNV, uno dei principali enti di terza parte, a livello globale, che fornisce servizi di assurance, certificazione, verifica e gestione del rischio.

Lo scenario globale si sta concentrando sempre più sui temi della information security, della privacy e della cybersecurity, per questo il Gruppo Trevi ha rafforzato la necessità di promuovere e diffondere la consapevolezza della sicurezza fra i propri dipendenti per prevenire gli ormai numerosi tentativi di minare i dati e le applicazioni.

Come evidenzia il rapporto annuale del Global Cybersecurity Outlook 2022, pubblicato al World Economic Forum, gli attacchi informatici sono aumentati, nel solo 2021, del 125% e la tendenza proseguirà anche negli anni a venire.

– ISO/IEC 27001 è uno standard internazionale sulla gestione della sicurezza delle informazioni. Descrive i requisiti per la creazione, l’implementazione, il mantenimento e il miglioramento continuo di un Sistema di Gestione sulla Sicurezza delle Informazioni, al fine di garantire la protezione del patrimonio informativo aziendale, ivi comprese le informazioni e i dati relativi a clienti e fornitori.

Giuseppe Caselli, Amministratore Delegato del Gruppo Trevi: “Il Gruppo Trevi consolida la strategia di trasformazione digitale per rendere flessibili, ma allo stesso tempo più sicure le fondamenta dell’ecosistema aziendale. Investendo in tecnologie, persone e organizzazione puntiamo a raggiungere l’eccellenza in termini di protezione del patrimonio aziendale e dei suoi dati. Inoltre, l’ottenimento della certificazione ISO/IEC 27001 ci permette di raggiungere uno degli obiettivi del Piano di Sostenibilità di Gruppo”.

Massimo Alvaro, Amministratore Delegato di Business Assurance Italy per DNV, commenta: “Il rilascio della certificazione ISO/IEC 27001 sottolinea con quanta attenzione il Gruppo Trevi abbia compreso l’importanza di un sistema di gestione della sicurezza delle informazioni certificato per dare concretezza al proprio impegno. Le nostre verifiche hanno dato esito pienamente soddisfacente, a conferma del percorso virtuoso del Gruppo, dimostrazione di una volontà di miglioramento continuo per una gestione sicura dei dati, nel rispetto dei requisiti previsti dai più importanti standard internazionali”.

Scopo primario della ISO/IEC 27001 è quello di garantire la sicurezza dei dati aziendali, sia a livello della information security, della privacy, della cybersecurity che a livello di sicurezza fisica/ambientale e organizzativa, tramite un’accurata analisi e gestione dei rischi.

I punti chiave sono:

  • Preservazione della riservatezza, integrità e disponibilità delle informazioni;
  • Analisi, valutazione e trattamento dei rischi per prevenire e contrastare le minacce;
  • Protezione dei dati contro le frodi informatiche.

Il Gruppo Trevi ha deciso di intraprendere il percorso di integrazione a sistema di questa nuova certificazione ponendosi l’obiettivo di acquisirla per Trevi Finanziaria Industriale S.p.A. (la holding del Gruppo Trevi quotata in borsa) che gestisce l’erogazione dei servizi IT a tutte le società del Gruppo per aumentare la consapevolezza della sicurezza a livello di Gruppo e per migliorare le competenze interne in materia di sicurezza delle informazioni.

Il percorso di certificazione è iniziato nel maggio 2022 con il supporto della società di consulenza NIER Ingegneria S.p.A.. Internamente se ne sono occupate risorse dei Dipartimenti IT e QHSE e Sistemi di Gestione.

Nell’ottobre 2022 è stata pubblicata la nuova versione dello standard, la cui ultima stesura era datata 2017, e TreviFin ha voluto fermamente aggiornare il proprio obiettivo per conseguire la certificazione secondo questa nuova versione.

A marzo 2023 è stato effettuato, da parte di DNV, l’audit di stage 1, e a fine maggio è stato completato l’audit di stage 2 con esito positivo e conseguente emissione del Certificato.

Fonte: DNV

Pubblicato il di

Corso online Esperto ISO 27001:2022 – Aperte le pre-iscrizioni

Sono aperte le pre-iscrizioni al nuovo corso online Esperto ISO 27001:2022 che sarà disponibile dal 18/9/2023. Puoi effettuare il pagamento in tre rate mensili senza interessi scegliendo al checkout Scalapay o Klarna come modalità di pagamento.

 

Pubblicato il di

Sistemi di gestione – 10 errori da evitare nella gestione dei reclami

In questi tre video, 10 pratici consigli per gestire i reclami all’interno dei sistemi di gestione

Video 1

 

Video 2

Video 3

 

**10 Errori da Evitare nella Gestione dei Reclami**

La gestione efficace dei reclami è fondamentale per il successo di qualsiasi azienda. I reclami dei clienti possono offrire un feedback prezioso e forniscono l’opportunità di migliorare i servizi e prodotti offerti. Tuttavia, molti gestori fanno errori comuni nel gestire questi reclami. Ecco dieci errori da evitare nella gestione dei reclami.

1. **Ignorare i reclami**: Questo è il più grande errore che le aziende possono fare. I reclami dei clienti sono un’opportunità per imparare e migliorare. Ignorarli può portare a insoddisfazione del cliente e potenziale perdita di affari.

2. **Rispondere in modo difensivo**: Quando un cliente si lamenta, è importante ascoltare con un atteggiamento aperto e non difensivo. Difendere l’azienda o il prodotto può far sentire il cliente non ascoltato e non apprezzato.

3. **Non documentare i reclami**: E’ importante registrare ogni reclamo per tracciarli e analizzarli. Questo aiuta a identificare i problemi ricorrenti e a elaborare piani per risolverli.

4. **Risposta ritardata**: Il tempo di risposta è fondamentale quando si gestiscono i reclami. Una risposta rapida mostra al cliente che il suo problema è considerato importante.

5. **Non formare adeguatamente il personale**: Il personale che gestisce i reclami dovrebbe essere adeguatamente formato su come rispondere e risolvere le lamentele dei clienti in modo efficace ed efficiente.

6. **Non risolvere il problema alla radice**: Se non si affronta la causa principale del reclamo, è probabile che lo stesso problema si ripresenti in futuro. Questo può portare a una maggiore insoddisfazione del cliente.

7. **Non comunicare con il cliente**: La mancanza di comunicazione può far sentire il cliente trascurato. È importante mantenere il cliente aggiornato sullo stato del suo reclamo e sulle azioni che l’azienda sta intraprendendo per risolverlo.

8. **Non personalizzare la risposta**: Ogni cliente e ogni reclamo sono unici. Rispondere con una risposta generica può far sentire il cliente non valorizzato. È importante personalizzare la risposta in base al cliente e al problema specifico.

9. **Non seguire i reclami**: Dopo aver risolto un reclamo, è importante fare un follow-up con il cliente per assicurarsi che sia soddisfatto della risoluzione e per dimostrare che l’azienda si preoccupa del suo benessere.

10. **Non imparare dai reclami**: Infine, ogni reclamo dovrebbe essere visto come un’opportunità di apprendimento. Analizzare i reclami può aiutare l’azienda a identificare le aree in cui può migliorare.

In conclusione, la gestione efficace dei reclami richiede attenzione, impegno e una comunicazione chiara e aperta. Evitando questi dieci errori comuni, le aziende possono trasformare i reclami dei client

Pubblicato il di

I nuovi controlli introdotti dalla ISO 27001:2022 – parte 2 – A.5.23 Sicurezza delle informazioni per l’uso dei servizi cloud

Questa settimana pubblichiamo l’approfondimento sul seguente controllo:

A.5.23 Sicurezza delle informazioni per l’uso dei servizi cloud

Descrizione. Questo controllo richiede di impostare requisiti di sicurezza per i servizi cloud al fine di avere una migliore protezione delle tue informazioni nel cloud. Questo include l’acquisto, l’uso, la gestione e la cessazione dell’uso dei servizi cloud.

Tecnologia. Nella maggior parte dei casi, non sarà necessaria una nuova tecnologia, poiché la maggior parte dei servizi cloud ha già funzionalità di sicurezza. In alcuni casi, potresti aver bisogno di aggiornare il tuo servizio a uno più sicuro, mentre in alcuni casi rari dovrai cambiare il fornitore di cloud se non dispone di funzionalità di sicurezza. Per la maggior parte, l’unico cambiamento richiesto sarà utilizzare in modo più approfondito le esistenti funzionalità di sicurezza del cloud.

Organizzazione/processi. Dovresti impostare un processo per determinare i requisiti di sicurezza per i servizi cloud e per determinare i criteri per la selezione di un fornitore di cloud; inoltre, dovresti definire un processo per determinare l’uso accettabile del cloud e anche i requisiti di sicurezza quando si annulla l’uso di un servizio cloud.

Persone. Rendi i dipendenti consapevoli dei rischi di sicurezza nell’uso dei servizi cloud e formali su come utilizzare le funzionalità di sicurezza dei servizi cloud.

Documentazione. Non è richiesta alcuna documentazione da ISO 27001; tuttavia, se sei una piccola azienda, potresti includere regole sui servizi cloud nella Politica di Sicurezza del Fornitore. Le aziende più grandi potrebbero sviluppare una politica separata che si concentrerebbe specificamente sulla sicurezza per i servizi cloud.