La norma ISO 27001 pubblicata nel 2013 è stata tradotta in italiano e convertita in norma UNI nel marzo 2014 come UNI CEI ISO/IEC 27001:2014 – Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti. Essa specifica i requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un sistema di gestione per la sicurezza delle informazioni nel contesto di un’organizzazione, includendo anche i requisiti per valutare e trattare i rischi relativi alla sicurezza delle informazioni adattati alle necessità dell’organizzazione. Leggi tutto
La Fattura Elettronica non è un X-File
Abbiamo già parlato in un precedente articolo della fatturazione elettronica che è divenuta obbligatoria dallo scorso 6 giugno per fatture emesse nei confronti di alcuni Enti della Pubblica Amministrazione e che andrà ad estendersi a tutta la P.A. entro marzo 2015. Vorrei, in queste righe, riprendere quanto discusso – a volte anche animosamente – nel bel convegno organizzato dall’Ordine degli Ingegneri di Bologna lo scorso 5 giugno.
Quello che si è sentito in quell’occasione, ma anche in altri tavoli e platee, è una sorta di insurrezione popolare contro questa novità che sembra imporre maggiori oneri anche a piccole organizzazioni (ad es. Studi professionali) che hanno rapporti, magari occasionali, con la P.A.. Leggi tutto
La norma ISO 50001 per il risparmio energetico delle aziende
La norma UNI CEI EN ISO 50001:2011 “Sistemi di gestione dell’energia – Requisiti e linee guida per l’uso” è la versione ufficiale italiana della norma internazionale ISO 50001 (“Energy management systems — Requirements with guidance for use”, edizione dell’ottobre 2011). La norma specifica i requisiti per creare, avviare, mantenere e migliorare un sistema di gestione dell’energia il cui obiettivo è quello di consentire ad un‘organizzazione di perseguire, con un approccio sistemico, il miglioramento continuo delle proprie prestazioni energetiche, comprendendo in ciò l’efficienza energetica, nonché il consumo e l’uso dell’energia.
Anche questa norma, così come le altre normative sui sistemi di gestione, è basata sull’approccio Plan-Do-Check-Act che ben si sposa con le caratteristiche di questo sistema di gestione. Leggi tutto
Fatturazione elettronica: obbligatoria verso la Pubblica Amministrazione da giugno
C’è fermento in giro per l’obbligo, dal 6 giugno 2014, di emettere le fatture verso la Pubblica Amministrazione (PA) solo in formato elettronico. Tale obbligo è fomentato da fornitori di applicativi software (o moduli software integrati nei gestionali) che cercano di promuovere l’acquisto dei loro prodotti per ottemperare agli obblighi di legge che, una volta tanto, se non adempiuti dovrebbero portare a danni economici, infatti non dovrebbero permettere al fornitore della PA di incassare il compenso stabilito per la fornitura. Il condizionale è d’obbligo perché, come noto, in Italia sono possibili ulteriori proroghe e modificazioni anche dopo la scadenza prefissata. Leggi tutto
La certificazione SSAE 16 per i servizi in outsourcing
Oggi le imprese tendono ad esternalizzare molti processi ed attività secondarie al fine di ottimizzarne i costi e la qualità del servizio risultante che, se svolto da personale specializzato, è spesso superiore a quella ottenibile con personale interno.
Alcune di queste attività – ad esempio la gestione delle paghe e del personale, l’acquisizione di documenti e dati in formato digitale e la relativa archiviazione sostitutiva, la gestione contabile e fiscale, i servizi informatici, ecc. – prevedono la gestione di informazioni critiche dal punto di vista della riservatezza e degli aspetti legali e di compliance ad essi correlati.
Per questo motivo alcune aziende internazionali – multinazionali o grandi gruppi con sedi all’estero, in particolare negli Stati Uniti – richiedono, alle loro filiali o consociate italiane, evidenza della buona gestione dei servizi affidati in outsourcing. Leggi tutto
Cosa hanno in comune privacy, cloud computing e business continuity?
In precedenti articoli (Il cloud computing e la PMI, i sistemi di gestione della sicurezza delle informazioni, ISO 22301 e la business continuity, le novità sulla privacy) abbiamo affrontato tutti questi argomenti che, indubbiamente, hanno un unico filo conduttore.
Oggi molte aziende, fra cui anche numerose PMI, hanno dati “nel cloud”, ovvero memorizzati in risorse fisiche non collocate all’interno dell’azienda, bensì su internet, magari senza rendersene conto. Infatti, oltre a veri e propri servizi cloud erogati da fornitori specializzati, molte PMI utilizzano servizi di archiviazione gratuiti quali SkyDrive, Dropbox o Google Drive in maniera non strutturata, in quanto sono propri reparti o uffici o addirittura singoli collaboratori che, per praticità, hanno pensato di sfruttare suddetti tool di archiviazione remota.
In altri casi alcune organizzazioni utilizzano software via web che memorizzano i dati su server remoti, magari presso il fornitore del software (spesso si tratta di Saas, Software as a Service). Leggi tutto
La norma ISO 22301 per la certificazione della business continuity
Lo standard ISO 22301 (Societal security — Business continuity management systems — Requirements) specifica i requisiti per progettare, implementare e gestire efficacemente un Sistema di gestione della continuità operativa.
Il sistema di gestione della continuità operativa (business continuity management system o BCMS) enfatizza l’importanza di:
- comprendere le esigenze dell’organizzazione e le necessità per stabilire la politica e gli obiettivi di un sistema di gestione per la continuità del business;
- implementare e rendere operativi controlli e misure per gestire la capacità di un’intera organizzazione nella gestione delle interruzioni dell’operatività dovute a cause accidentali;
- monitorare e riesaminare le prestazioni e l’efficacia del sistema di gestione della continuità operativa
- del miglioramento continuo del BCMS basato su obiettivi misurabili.
Una metodologia di valutazione dei rischi per la sicurezza delle informazioni
La norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni – Requisiti), recentemente pubblicata in nuova versione 2013 dall’ISO, richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.
Gli approcci possibili alla valutazione dei rischi possono essere diversi ed i metodi per effettuare il cosiddetto Risk Assessment possono variare di caso in caso, in funzione della dimensione, della complessità e del tipo di organizzazione che si sta esaminando.
La ISO 27005 (Information security risk management) è il principale riferimento per la gestione del rischio in ambito sicurezza delle informazione, ma anche altre norme quali la ISO 31000 (Risk management – Principles and guidelines) – recepita in Italia come UNI ISO 31000 (Gestione del rischio – Principi e linee guida) – e ISO 31010 (Risk management – Risk assessment techniques) possono essere prese a riferimento.
Vediamo un esempio di possibile approccio alla gestione del rischio finalizzato a preparare una valutazione dei rischi sulla sicurezza delle informazioni. Leggi tutto
La norma ISO 19011 sugli audit nei sistemi di gestione
La UNI EN ISO 19011:2012 – Linee guida per audit di sistemi di gestione pubblicata lo scorso anno, presenta alcune interessanti novità rispetto alla versione precedente del 2003, anche se nella sostanza i cambiamenti non impattano in modo significativo sul processo di audit.
Anzitutto già dal titolo si capisce che la norma è valida per qualsiasi tipo di audit su sistemi di gestione, non solo per quelli relativi a qualità ed ambiente (ISO 9001 e ISO 14001), ma – come era ovvio supporre – si adatta anche alla gestione degli audit per i sistemi di gestione sulla sicurezza delle informazioni ISO 27001, sulla sicurezza e salute sul lavoro, ecc. Leggi tutto
Con la riforma del condominio quale organizzazione per gli Amministratori condominiali?
Con la Legge 11 dicembre 2012 n. 220 “Modifica alla disciplina del condominio negli edifici”, la c.d. “Riforma del Condominio” sono state introdotte numerose novità nella gestione condominiale ed alcune di esse richiedono agli Amministratori di Condomini, siano essi piccoli studi professionali o società di capitali, di dotarsi di una struttura organizzativa idonea.
Se da un lato gli adempimenti e le responsabilità per gli Studi di Amministrazione Condominiale sono cresciute negli ultimi anni, dall’altro i compensi riconosciuti dai condòmini e dal mercato sono troppo bassi per gestire in modo efficace ed efficiente un certo numero di condomini. Leggi tutto