Proteggere i dati, garantire la sicurezza delle informazioni e gestire i rischi in modo strutturato e responsabile, tenendo alta l’attenzione su buone pratiche, procedure e modalità operative condivise. Da oggi, questo nostro impegno quotidiano per la sicurezza del patrimonio informativo dei nostri clienti (e nostro) ha una solidità ulteriore.

La certificazione ISO/IEC 27001, ottenuta per il nostro Sistema di Gestione per la Sicurezza delle Informazioni, è frutto di un lavoro di squadra: di quanti, negli ultimi due anni, hanno seguito da vicino il progetto, di chi ha partecipato alle verifiche, e anche di quanti - ogni giorno - contribuiscono con attenzione e responsabilità alla sicurezza dei dati. Oltre la certificazione, infatti, c’è molto di più. Un Gruppo che si è strutturato nelle procedure, nei processi e che ha interpretato e vissuto l’iter della certificazione come acceleratore per dare solidità a tutta l’organizzazione.

«La certificazione rappresenta l’ultimo miglio di un percorso che per noi è stato dimostrazione di grande adattamento e resilienza – le parole del presidente di Atumtek Group, Fabio Piccinini – un’attività impegnativa che ci ha fatto uscire dalla comfort zone e, sì, ci ha messo alla prova. Per garantire la sicurezza, infatti, non basta una certificazione, ma è fondamentale aderire ad una modalità di lavoro che ci ha reso più solidi, affidabili e pronti ad affrontare le sfide del futuro. Più dell’obiettivo, è stato fondamentale il percorso: ridisegnare e dare solidità all’organizzazione interna che fa di Atumtek, oggi, un Gruppo evoluto e un interlocutore referenziato».

La priorità della sicurezza delle informazioni, gli “standard ISO”, la ricaduta sui processi e procedure interne. E, ancora, il valore aggiunto per i nostri clienti. Sono tanti e importanti gli aspetti su cui questa certificazione va ad impattare. A coordinare il progetto e il team dedicato: Massimiliano Grimoldi, Responsabile per la Sicurezza delle Informazioni di Atumtek con cui abbiamo voluto andare addentro a questo percorso; Vincenzo Madè (Referente di Direzione) e Gabriele Brognoli, Head of ICT Policy and Security.

Un traguardo, dunque, che dice molto di più, come sottolinea - di seguito - Massimiliano Grimoldi con cui abbiamo approfondito alcuni aspetti di questo percorso impegnativo ma che ha dato grandi soddisfazioni.

«Sì, questo percorso è stato pensato, voluto ed è frutto di una scelta. La certificazione diventa per noi un acceleratore per consolidare regole aziendali e per strutturare determinati processi che vanno dalla gestione dei fornitori (si veda il tema DORA), alla gestione degli strumenti aziendali, dallo sviluppo sicuro del software alla gestione della continuità operativa. Quindi, oserei dire che - più ancora della certificazione in sé - ciò che ha valore per Atumtek Group è tutto il percorso fatto: un investimento importante da parte dell’azienda, un asset esso stesso. Quasi a dire – per estremizzare - che la certificazione, “il bollino”, interessi quasi più il cliente rispetto a noi».

Che cosa significa, per un’azienda come Atumtek Group, proteggere i dati interni e quelli del cliente?

«Per un’azienda come Atumtek il tema della gestione dei dati e delle informazioni è fondamentale. Occorre considerarne sia la “quantità” sia la diversa tipologia, il grado di riservatezza e la provenienza, ovvero – come dicevamo – in relazione sia ai dati interni sia a quelli dei clienti. Tutto il patrimonio informativo chiede accortezza e attenzione. Inoltre, è chiaro che il contesto del nostro mercato – insurance e banking – fortemente regolamentato e che gestisce dati sensibili è un ulteriore punto di attenzione che prevede come garanzia minima di sicurezza la certificazione di conformità del SGSI a standard internazionali. Trasferire all’interno di procedure certificate le linee guida volte a garantire consapevolezza e attenzione diffuse all’interno dell’azienda, garantisce al Gruppo Atumtek quella affidabilità e credibilità che possono garantirgli un ulteriore salto di qualità in termini di posizionamento sul nostro mercato, riducendo anche al minimo i rischi che, lavorando nell’ambito dei software e trattando informazioni tramite prodotti software, inevitabilmente ci troviamo a dover gestire.

Non solo dati esterni dei clienti, ma anche la gestione delle informazioni di nostra proprietà, in relazione ai nostri prodotti, ovvero gli asset proprietari che sono la sostanza di Atumtek.  Anche su questo fronte “proprietario” gli strumenti e le linee guida sono fondamentali e all’avanguardia: tuttavia, senza una consapevolezza e una conoscenza diffusa all’interno dell’azienda, anche in questo caso strumenti e linee guida rischiano di essere inutili».

Possiamo circoscrivere gli standard ISO 27001?

Il team ha costruito un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) che fosse appropriato in funzione della natura del nostro business, delle dimensioni e della tipologia della nostra organizzazione e, soprattutto, della tipologia di informazioni che gestiamo e delle modalità con cui lo facciamo. Lo abbiamo fatto basandoci su due pilastri fondamentali:

• da un lato, le persone: la leadership, innanzitutto, che è consapevole dell’importanza del SGSI e la trasferisce a tutta l’organizzazione;
• quindi, gli strumenti e risorse: la leadership che mette a disposizione dell’organizzazione strumenti e risorse per applicare in maniera efficace il SGSI.

Un sistema che si muove e viene alimentato attraverso le 4 attività che consentono al sistema un miglioramento continuo: pianificazione, azione, controllo/misurazione, miglioramento/correzione -> plan, do, check, act.

Come questa Certificazione rappresenta un valore aggiunto e migliora i servizi e processi (interni ed esterni) e la fiducia dei clienti?

Essere certificati da un ente internazionale come DNV, leader mondiale nella certificazione di sistemi di gestione accreditati, è un attestato che garantisce ai clienti la bontà, l’affidabilità e l’adeguatezza agli standard del nostro sistema di gestione delle informazioni. È, in un certo senso, il biglietto da visita del nostro SGSI che ci rende trasparenti verso il cliente. Un percorso che ci ha chiesto, negli ultimi due anni, di proceduralizzare e documentare in maniera analitica l'operatività, i processi e le best practices con cui già gestivamo in modo compliance il patrimonio informativo. L’evoluzione del Gruppo, nelle dimensioni e asset, e il suo posizionamento su determinati campi ci ha portato in questo percorso e al raggiungimento dell’obiettivo».

Cosa cambia “operativamente” per i clienti?

Per il cliente cambia lo “sguardo” verso Atumtek: quello che abbiamo sempre garantito e assicurato, ovvero la sicurezza del nostro sistema di gestione delle informazioni, è stato sezionato, analizzato, valutato, auditato ed ispezionato da un ente terzo qualificato. Un sistema che è affidabile, riconosciuto e applicato dall’organizzazione nella sua operatività quotidiana.

Leggi di più: https://atumtek.it/certificazione-iso-27001-dalla-formazione-alle-procedure-organizzative