Le novità della UNI ISO 27001:2014

Information security ISO 27001La norma ISO 27001 pubblicata nel 2013 è stata tradotta in italiano e convertita in norma UNI nel marzo 2014 come UNI CEI ISO/IEC 27001:2014 – Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti. Essa specifica i requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un sistema di gestione per la sicurezza delle informazioni nel contesto di un’organizzazione, includendo anche i requisiti per valutare e trattare i rischi relativi alla sicurezza delle informazioni adattati alle necessità dell’organizzazione. Continua a leggere

La privacy in Farmacia e nell’ambulatorio medico privato

FarmacistaLa privacy dei privati cittadini utenti delle farmacie e dei piccoli ambulatori privati spesso è messa a repentaglio da una gestione non accurata delle regole stabilite dalla normativa al riguardo (D.Lgs 196/2003 – “Codice per la protezione dei dati personali”) e da tutte le buone pratiche di gestione della sicurezza delle informazioni.

I titolari di farmacie ed ambulatori medici polifunzionali sono di fatto legali rappresentanti di imprese che, seppur di piccole dimensioni, raccolgono e gestiscono dati personali sensibili (in particolare dati sanitari relativi alla salute delle persone) di una grande moltitudine di persone fisiche e, come tali, sono tenuti a rispondere di fronte alla legge di tali gestioni. Continua a leggere

Finanziamento per Ict nelle piccole e medie imprese: nuovo bando dal 1° febbraio 2015

La Regione Emilia Romagna ha pubblicato un nuovo bando per il finanziamento di Progetti per l’ICT nelle piccole e medie imprese (Asse 2:Sviluppo innovativo delle imprese – Scadenza: 31/03/2015 – Attività II.1.1 Sostegno a progetti di introduzione di ict nelle pmi. Bando per piccole e medie imprese).

La Regione Emilia-Romagna con questo bando intende sostenere il potenziamento e la crescita delle imprese attraverso l’introduzione di Ict e di modalità e strumenti innovativi di gestione.

Le spese ammissibili sono quelle fatturate e pagate dall’1 dicembre 2014 al 31
dicembre 20153, non inferiori a 20 mila euro relative a progetti di:

  • Acquisto nuovi software e hardware,
  • Acquisto di apparati di trasmissione/ricezione, reti LAN, miglioramento di
    connettività misurabile in termini di banda larga,
  • Consulenze esterne specialistiche (max 40%) relative a introduzione di innovazioni organizzative correlate all’introduzione di strumenti informatici
    e telematici con dimostrazione della personalizzazione della soluzione per l’impresa beneficiaria e della capacità di utilizzo da parte della stessa.

Possono presentare domanda le piccole e medie imprese appartenenti a tutti i settori di attività economica Ateco 2007 ad eccezione delle imprese agricole e delle imprese operanti nel settore della pesca e acquacoltura.

L’agevolazione consiste in un contributo in conto capitale nella misura del 45% della spesa ritenuta ammissibile. La spesa ammissibile a seguito dell’istruttoria della Regione, non deve risultare inferiore a € 20.000.

Sarà possibile presentare la domanda di contributo dal 1° febbraio al 31 marzo 2015.

Sembra un’ottima occasione per iniziare o continuare ad investire nell’innovazione tecnologica per migliorare l’efficienza dei processi ed accrescere la competitività dell’organizzazione.

Per informazioni ed approfondimenti:

  • http://fesr.regione.emilia-romagna.it/news-archivio/ict-nelle-piccole-e-medie-imprese-nuovo-bando-dal-1-febbraio-2015
  • http://imprese.regione.emilia-romagna.it/Finanziamenti/industria-artigianato-cooperazione-servizi/progetti-per-lict-nelle-piccole-e-medie-imprese

Continua a leggere

La Fattura Elettronica non è un X-File

EmailAbbiamo già parlato in un precedente articolo della fatturazione elettronica che è divenuta obbligatoria dallo scorso 6 giugno per fatture emesse nei confronti di alcuni Enti della Pubblica Amministrazione e che andrà ad estendersi a tutta la P.A. entro marzo 2015. Vorrei, in queste righe, riprendere quanto discusso – a volte anche animosamente – nel bel convegno organizzato dall’Ordine degli Ingegneri di Bologna lo scorso 5 giugno.

Quello che si è sentito in quell’occasione, ma anche in altri tavoli e platee, è una sorta di insurrezione popolare contro questa novità che sembra imporre maggiori oneri anche a piccole organizzazioni (ad es. Studi professionali) che hanno rapporti, magari occasionali, con la P.A.. Continua a leggere

La certificazione SSAE 16 per i servizi in outsourcing

ssa16Oggi le imprese tendono ad esternalizzare molti processi ed attività secondarie al fine di ottimizzarne i costi e la qualità del servizio risultante che, se svolto da personale specializzato, è spesso superiore a quella ottenibile con personale interno.

Alcune di queste attività – ad esempio la gestione delle paghe e del personale, l’acquisizione di documenti e dati in formato digitale e la relativa archiviazione sostitutiva, la gestione contabile e fiscale, i servizi informatici, ecc. – prevedono la gestione di informazioni critiche dal punto di vista della riservatezza e degli aspetti legali e di compliance ad essi correlati.

Per questo motivo alcune aziende internazionali – multinazionali o grandi gruppi con sedi all’estero, in particolare negli Stati Uniti – richiedono, alle loro filiali o consociate italiane, evidenza della buona gestione dei servizi affidati in outsourcing. Continua a leggere

Cosa hanno in comune privacy, cloud computing e business continuity?

Montagna01In precedenti articoli (Il cloud computing e la PMI, i sistemi di gestione della sicurezza delle informazioni, ISO 22301 e la business continuity, le novità sulla privacy) abbiamo affrontato tutti questi argomenti che, indubbiamente, hanno un unico filo conduttore.

Oggi molte aziende, fra cui anche numerose PMI, hanno dati “nel cloud”, ovvero memorizzati in risorse fisiche non collocate all’interno dell’azienda, bensì su internet, magari senza rendersene conto. Infatti, oltre a veri e propri servizi cloud erogati da fornitori specializzati, molte PMI utilizzano servizi di archiviazione gratuiti quali SkyDrive, Dropbox o Google Drive in maniera non strutturata, in quanto sono propri reparti o uffici o addirittura singoli collaboratori che, per praticità, hanno pensato di sfruttare suddetti tool di archiviazione remota.

In altri casi alcune organizzazioni utilizzano software via web che memorizzano i dati su server remoti, magari presso il fornitore del software (spesso si tratta di Saas, Software as a Service). Continua a leggere

Quando serve la perizia informatica contro i dipendenti disonesti?

EmailOggigiorno, con lo sviluppo delle tecnologie informatiche, le organizzazioni di ogni settore mantengono sempre più il loro know-how sui sistemi informatici, talvolta solo su di essi! Pensiamo a progetti di impianti e macchinari, programmi software, dati di clienti e fornitori, ecc..
Questo costituisce un rischio che spesso non viene valutato a dovere, infatti la perdita di tali dati o, peggio, la sottrazione di essi da parte di malintenzionati è sempre più frequente. Ma se il rischio di perdita dei dati dovuto ad incidenti informatici (danneggiamento dei supporti e dei sistemi) e non (incendi, allagamenti, terremoti, ecc.) spesso viene analizzato e più o meno adeguatamente gestito – almeno nelle organizzazioni più strutturate – il rischio di sottrazione di dati da parte di soggetti che operano dall’interno dell’azienda o dello studio professionale sovente non è analizzato in modo idoneo e, quindi, la perizia non serve se non è stata preceduta da adeguate misure preventive.

Continua a leggere

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Risk  assessmentLa norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni – Requisiti), recentemente pubblicata in nuova versione 2013 dall’ISO, richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.

Gli approcci possibili alla valutazione dei rischi possono essere diversi ed i metodi per effettuare il cosiddetto Risk Assessment possono variare di caso in caso, in funzione della dimensione, della complessità e del tipo di organizzazione che si sta esaminando.

La ISO 27005 (Information security risk management) è il principale riferimento per la gestione del rischio in ambito sicurezza delle informazione, ma anche altre norme quali la ISO 31000 (Risk management – Principles and guidelines) – recepita in Italia come UNI ISO 31000 (Gestione del rischio – Principi e linee guida) – e ISO 31010 (Risk management – Risk assessment techniques) possono essere prese a riferimento.

Vediamo un esempio di possibile approccio alla gestione del rischio finalizzato a preparare una valutazione dei rischi sulla sicurezza delle informazioni. Continua a leggere

La norma ISO 19011 sugli audit nei sistemi di gestione

AuditChecklistLa UNI EN ISO 19011:2012 – Linee guida per audit di sistemi di gestione pubblicata lo scorso anno, presenta alcune interessanti novità rispetto alla versione precedente del 2003, anche se nella sostanza i cambiamenti non impattano in modo significativo sul processo di audit.

Anzitutto già dal titolo si capisce che la norma è valida per qualsiasi tipo di audit su sistemi di gestione, non solo per quelli relativi a qualità ed ambiente (ISO 9001 e ISO 14001), ma – come era ovvio supporre – si adatta anche alla gestione degli audit per i sistemi di gestione sulla sicurezza delle informazioni ISO 27001, sulla sicurezza e salute sul lavoro, ecc. Continua a leggere

La documentazione del sistema qualità nell’era del web 2.0

Documenti sistemaOggi la documentazione del sistema di gestione per la qualità ISO 9001 (o altra certificazione) può essere gestita in modo molto più efficiente che un tempo, grazie soprattutto agli strumenti informatici per la gestione dei documenti in formato elettronico ed alle possibilità offerte dalle applicazioni web per la collaborazione tramite internet. Continua a leggere

image_pdfimage_print