CONVOTIS ha ricevuto la certificazione ISO 27001. Nikola Dinic, CISO del Gruppo, ci parla delle sfide e dei vantaggi derivanti dalla certificazione.

Caro Nikola, congratulazioni per il successo della ricertificazione di CONVOTIS a Vienna e Amburgo. Insieme al suo team, lei è stato determinante per questo successo. Qual è il significato di questa certificazione?

L’ottenimento di questa certificazione dimostra l’alta qualità delle pratiche di sicurezza applicate, migliorando così la reputazione dell’azienda. Rafforza il rapporto con i nostri clienti e ci offre un significativo vantaggio competitivo, aprendo nuove opportunità commerciali.

La certificazione ISO 27001 richiede revisioni e audit interni regolari dell’ISMS, che vengono ripetutamente verificati da revisori esterni. Esperti indipendenti valutano la funzionalità dell’ISMS e il livello di sicurezza delle informazioni dell’organizzazione e dei suoi clienti.

 

Per un gruppo internazionale come CONVOTIS, quali sono i vantaggi della certificazione ISO27001?

Oltre ai vantaggi già citati, le misure di sicurezza rilevanti diventano più strutturate e mirate. Soprattutto le aziende in rapida crescita, come CONVOTIS, possono aumentare la loro produttività con l’aiuto della norma ISO 27001, in quanto vengono definite le responsabilità per i rischi informatici. Infine, ma non meno importante, la certificazione fornisce un’indicazione riconosciuta a livello globale dell’efficacia della sicurezza, che elimina la necessità di ripetuti audit da parte dei clienti e crea quindi un sostanziale risparmio sui costi.

 

Come si è svolto il processo di ricertificazione presso CONVOTIS? Quali sono state le maggiori sfide durante il percorso?

Le nostre sfide più importanti riguardavano principalmente la standardizzazione o l’armonizzazione dell’infrastruttura IT eterogenea e dei relativi processi di sicurezza delle informazioni che la supportano o ne dipendono. Ci siamo inoltre concentrati sulla gestione del rischio per migliorarne l’identificazione, la contestualizzazione e la mitigazione.
Quest’area è stata giudicata altamente critica dal nostro team di sicurezza CONVOTIS, soprattutto nel contesto di un settore innovativo e delle minacce quotidiane all’azienda. Un grande impegno è stato profuso anche nell’area della gestione degli asset, che non va sottovalutata.

 

Che consiglio ha per i clienti che devono affrontare una certificazione simile?

È una domanda estremamente complessa. Ci sono molti fattori che influenzano l’ambito, la maturità dei processi e i risultati degli audit che devono essere tenuti in considerazione. L’azienda deve affrontare diversi rischi.

Vorrei però sottolineare i seguenti punti, che possono essere applicati indipendentemente dall’azienda:

  • Certificare al momento giusto. Indipendentemente dal fatto che la vostra azienda abbia recentemente subito una violazione dei dati o stia semplicemente valutando i rischi, impegnarsi per la certificazione ISO 27001 è sempre il primo e più importante passo.
  • Familiarizzate con il processo il prima possibile. Istruiteli sulla protezione dei dati dei clienti e sul miglioramento della salute aziendale. Questo aumenterà l’interesse della vostra azienda per la sicurezza dei dati e chiarirà il valore, i processi e gli obiettivi della certificazione ISO.
  • Non sottovalutate la portata dell’ISMS della vostra organizzazione. Determinando ciò che l’ISMS dell’organizzazione deve includere e coprire, si struttura contemporaneamente il sistema:
  • Le dipendenze sono esterne all’organizzazione e comprendono servizi di terzi, come la contabilità. Una volta identificate ed eliminate, ci si concentra sulle interfacce. Queste comprendono tutti gli endpoint della rete, come il router, e le interfacce di livello superiore, come i dipendenti e i processi.

In che modo la ricertificazione influisce sul portafoglio di sicurezza di CONVOTIS?

Il processo di ricertificazione ci ha mostrato l’importanza degli effetti sinergici nell’ambito della sicurezza informatica. In particolare, si tratta di uno scambio di know-how tra le nostre entità, di attività di gestione congiunta dei progetti presso i nostri clienti e di un maggiore utilizzo di strumenti di sicurezza uniformi a livello di gruppo.

Per il periodo 2023-2024, puntiamo a una certificazione ISO 27001 uniforme a livello di Gruppo nell’area della conformità in tutte le entità e i siti.