Perché per un’azienda che si occupa di formazione è importante avere questa certificazione?
Edulife, fin dalla sua nascita nel 2001 ed unica azienda nel proprio settore in Italia, ha conseguito una certificazione legata alla norma inglese BS 7799:2 che fino ad allora rappresentava la principale norma di riferimento per l’applicazione di un Sistema di Gestione per la Sicurezza delle Informazioni – SGSI.
La Norma ISO 27001 è stata redatta e pubblicata successivamente, nell’ottobre 2005 a fini certificativi, in modo da costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell’informazione. L’obiettivo principale è quello di stabilire un sistema per la gestione del rischio, la protezione delle informazioni e degli asset aziendali, ivi inclusi gli asset IT.
Edulife ha prontamente aggiornato la propria certificazione dal momento che quest’ultima non si limita a definire i requisiti di un sistema di gestione della qualità, ma si differenzia completamente in quanto segue un approccio basato sulla gestione del rischio. Lo standard di fatto prevede:
- Pianificazione e Progettazione
- Implementazione
- Monitoraggio
- Mantenimento e Miglioramento
Di fondamentale importanza per comprendere la complessità di questa certificazione, è l’Allegato A- Control objectives and controls- che contiene i 133 “controlli” che l’organizzazione che intende applicare la norma deve rispettare.
Essi vanno dalla politica e l’organizzazione per la sicurezza alla gestione degli asset alla sicurezza delle risorse umane (HR), dalla sicurezza fisica e ambientale alla gestione delle comunicazioni, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti relativi alla sicurezza delle informazioni.
La gestione della continuità operativa – ovvero della continuità del servizio erogato ai Clienti – e il rispetto normativo, completano l’elenco degli obiettivi di controllo.
Quantitativamente 133 controlli rappresentano un impegno di affidabilità non indifferente sia dal punto di vista qualitativo che quantitativo: ogni anno infatti la nostra azienda si sottopone a controlli dettagliati per poter garantire l’applicazione di questa normativa e mantenere uno standard elevato.
Tuttavia la logica di applicazione interpretata da Edulife non si basa solo su un’etero-valutazione periodica del verificatore esterno, ma anche e soprattutto su una consapevole auto-valutazione interna e continua nel rispetto delle linee guida e i controlli previsti dalla Norma.
Questo avviene principalmente attraverso:
- Una valutazione dei rischi generale almeno annuale o comunque in concomitanza di significativi cambiamenti di scenario. In questa fase si “ascoltano” i rischi.
- L’assunzione del rischio residuo e l’attuazione del conseguente piano di miglioramento, attraverso azioni concrete e investimenti economici. In questa fase di “orientano” gli sforzi per ridurre i rischi.
- Il monitoraggio della corretta applicazione del sistema e l’analisi degli incidenti (o non conformità) che si verificano con l’adozione delle relative misure correttive e preventive. In questa fase si “accompagna” l’organizzazione nel proprio percorso di miglioramento continuo.
- Un riesame annuale che consenta di “tirare le somme” e ridefinire gli obiettivi di miglioramento per l’anno successivo. In questa fase si riflette e si “promuovono” le migliori pratiche emerse.
Edulife in questo approccio si differenzia in modo significativo da altre realtà che si occupano di formazione si costringe a mantenersi al passo con le più recenti buone pratiche di cyber security, così da garantire ai propri clienti efficienza, sicurezza e capacità nel proprio campo di applicazione.