La sicurezza delle Informazioni ISO 27001 per InfoCert

InfoCert S.p.A. è il Primo Ente Certificatore per la firma digitale in Italia, leader di mercato per i processi di conservazione sostitutiva dei documenti a norma di legge e per i servizi di Posta Elettronica Certificata.
 
InfoCert S.p.A. progetta e sviluppa soluzioni informatiche ad alto valore tecnologico per la dematerializzazione dei processi documentali di imprese, associazioni, ordini professionali, Pubblica Amministrazione e professionisti.
 
InfoCert S.p.A., con un capitale sociale di 25.292.700,00 euro, eroga servizi per la gestione Documentale (LegalCycle), la conservazione digitale a norma dei documenti (LegalDoc), la certificazione e la sicurezza digitale (LegalCert), la gestione di Posta Elettronica Certificata (Legalmail), la formazione e conservazione a norma del Libro Unico del Lavoro in formato elettronico (LegalHR), la gestione informatica dei registri di protocollo, dei flussi documentali, dei processi e degli atti deliberativi delle Pubbliche Amministrazioni (LegalWork) e, infine, la gestione efficiente e sicura della modulistica elettronica (LegalForm). InfoCert è infine azionista al 100% di KLever, società di consulenza tecnologica focalizzata su soluzioni di Enterprise Content Management (ECM), e al 25% di Sixtema, il partner tecnologico per il comparto artigianale e le PMI del mondo CNA.

 

Quali sono state le motivazioni principali che vi hanno spinto a certificarvi ISO 27001?

 
Risponde Danilo Cattaneo, Direttore Generale di InfoCert
 
InfoCert vende prodotti e servizi la cui caratteristica principale è quella di essere “trusted”. Di conseguenza, la qualità e la sicurezza dei nostri processi e dei nostri prodotti rappresentano un asset strategico per continuare a presentarsi sul mercato come un player autorevole e affidabile.

C'è peraltro da sottolineare come il modello definito dalla ISO 27001 sia un requisito implicito nelle regole applicate da DigitPA/CNIPA nella vigilanza sulle attività di CA e PEC e negli standard in preparazione per la Conservazione Documentale.
Già questa sarebbe stata una motivazione sufficiente ad intraprendere la certificazione, ma a questo si aggiunge il fatto contingente che è spesso un prerequisito per partecipare a gare sia pubbliche che private. Non è infatti un caso
che anche i nostri principali competitor stiano pianificando di ottenere la certificazione.

C'è inoltre da sottolineare che InfoCert ha adottato un modello etico funzionale a mitigare i rischi derivanti dal d.lgs. 231/01, di cui è attualmente in corso la revisione, e che tale modello trae grandi vantaggi sinergici dall'implementazione in azienda di un Sistema di Gestione della Sicurezza delle Informazioni che sia basato su standard internazionali riconosciuti.

 
Quali sono state le principali aree di intervento e quali le vostre aspettative rispetto al progetto di certificazione?

La principale area di intervento ha riguardato il modello organizzativo, razionalizzando i vari modelli organizzativi già presenti a supporto della ISO 9001, dell’organizzazione 231 e delle attività specifiche di Certificatore e di Gestore PEC.
Meno rilevanti, invece, gli interventi sugli aspetti tecnologici, che già si presentavano in linea con i requisiti della norma, data la natura del core business aziendale: Certificazione Digitale e Posta Elettronica Certificata.
 

Quale soluzione o quale strumento adottato si è rivelato particolarmente importante nel migliorare il vostro sistema di gestione?

L'implementazione del SGSI non ha richiesto particolari soluzioni applicative né l’adozione di strumenti ad hoc. L’esistenza del sistema SGQ - ISO 9001, ha permesso un riuso di alcune procedure, quali ad esempio la gestione Documentale, degli audit e delle azioni di miglioramento; così come abbiamo sfruttato le buone pratiche ITIL in materia di gestione degli asset e di alcune problematiche come, ad esempio, il change management, il problem e l’incident management. Il risultato è stata una forte sinergia tra i sistemi e di conseguenza anche un onere finanziario minore.

 
Qual è stato per voi il valore aggiunto della certificazione?

Molto sinteticamente, prevediamo che la certificazione:
 
Aumento della fiducia dei
clienti
consentirà al mercato di percepire in maniera ancora più accentuata l’impegno aziendale nella sicurezza dei dati e delle informazioni, incrementando conseguentemente la fiducia dei clienti nei confronti di InfoCert quale soggetto in grado di trattare in modo appropriato i dati affidati all’organizzazione.
Integrazione dei servizi agevolerà una sempre maggior integrazione dei servizi aziendali, estendendo al resto dell'azienda il rigore già applicato nel rispondere ai requisiti per i prodotti/servizi normati, facilitando l'attuazione del Modello Etico 231.
Bandi di gara rimuoverà l'ostacolo alla partecipazione a bandi di gara, sia pubblici che privati, in particolare verso le filiali italiane di multinazionali, per le quali un riferimento a standard di sicurezza internazionali rappresenta un vincolo per l'acquisizione di forniture da terzi.
Polizze assicurative determinerà un risparmio sui premi di assicurazione per le polizze relative agli incidenti informatici.
Coinvolgimento del personale aumenterà sia la consapevolezza del personale sui problemi di sicurezza e privacy non solo in termini di obblighi normativi, sia la sensibilità dei dipendenti InfoCert verso il ruolo dell’azienda fornitore di “trust” non solo nelle aree tradizionalmente già sensibili ai problemi di sicurezza, come CA e PEC.

Sono in corso azioni formative e di consapevolizzazione sulla sicurezza delle informazioni erogate utilizzando l’area dell'intranet aziendale dedicata e tramite iniziative specifiche svolte in collaborazione con i colleghi delle linee produttive e finalizzate alla diffusione delle best practice nell'attività di progettazione e sviluppo del codice.