Sicurezza dei sistemi informativi ISO 27000

ProcessFrame supporta un sistema di gestione della sicurezza informatica conforme allo standard ISO 27000 , sia in modalità autonoma con una configurazione dedicata, che in modalità integrata con i sistemi di gestione ISO 9000, ISO 14000, ISO 45000, sfruttando al meglio la comunanza di approccio fra di essi.

Sicurezza ISO 27000

Lo standard per la sicurezza ISO 27000 è ispirato al modello Plan Do Check Act e si basa su un approccio per processi, come tutta la nuova generazione degli standard ISO.
Molte delle funzionalità sono comuni e facilmente integrabili con quelle degli altri sistemi di gestione: dalla documentazione all'audit, dalle segnalazioni di anomalie e incidenti alla gestione degli interventi di correzione e miglioramento, dal monitoraggio delle competenze alle comunicazioni interne ed esterne all'Azienda.

Sicurezza informatica ISO 27000: Contesto dell'organizzazione

Il primo passo nella configurazione del sistema di gestione sicurezza ISO 27000 è la definizione del contesto relativamente al tema sicurezza: quali sono le parti interessate con i loro requisitive e aspettative e quali sono gli aspetti normativi e contrattuali rilevanti.

Valutazione e Gestione rischio

In ProcessFrame si registrano tutti gli asset e le minacce potenziali; per ogni combinazione di asset e minaccia si associano la probabilità e la gravità che la minaccia si verifichi. Da questa analisi si ricava un elenco di combinazioni ordinate per importanza.

Sulla base di questo elenco si definiscono le possibili strategie:

  1. Mettere in atto delle azioni per ridurre probabilità e/o gravità;
  2. trasferire il rischio ad una terza parte (assicurazione);
  3. Rinunciare ad attività che sono troppo rischiose;
  4. Accettare il rischio.

Per tutti casi che rientrano nella prima strategia (intervenire per migliorare la situazione) le Azioni di mitigazione e/o miglioramento possono essere registrate in ProcessFrame. Queste sono sottoposte a workflow approvativo, monitorate nella loro esecuzione, verificate nella loro efficacia.

Competenze e Documentazione

In ProcessFrame è possibile tracciare i requisiti di competenza e i piani formativi del personale incaricato della gestione della sicurezza, così come gli analoghi requisiti per tutti gli utenti dei sistemi informativi.

È anche possibile registrare le schede di valutazione delle competenze, con l'individuazione delle aree carenti in modo da poter adeguare il piano formativo di conseguenza.

La gestione relativa alla Sicurezza ISO 27000 naturalmente può essere integrata con un più generale sistema di gestione delle competenze e della formazione, in modo integrato con i requisiti del sistema di gestione della qualità (ISO 9001) e di gestione della Sicurezza sul lavoro (ISO 45001).

Infine il sistema di gestione documentale di ProcessFrame consente di gestire il processo di creazione e diffusione delle procedure interne (cicli di revisione e approvazione, gestione delle versioni, richieste di aggiornamento) così come l'archiviazione di documenti e normative di utile consultazione.

Competenze e Documentazione

In ProcessFrame è possibile tracciare i requisiti di competenza e i piani formativi del personale incaricato  della gestione della sicurezza, così come gli analoghi requisiti per tutti gli utenti dei sistemi informativi.

E' anche possibile registrare le schede di valutazione delle competenze, con l'individuazione delle aree carenti in modo da poter adeguare il piano formativo di conseguenza.

La gestione relativa alla Sicurezza ISO 27000 naturalmente può essere integrata con un più generale sistema di gestione delle competenze e della formazione, in modo integrato con i requisiti del sistema di gestione della qualità (ISO 9001) e di gestione della Sicurezza sul lavoro (ISO 45001).

Infine il sistema di gestione documentale di ProcessFrame consente di gestire il processo di creazione e diffusione delle procedure interne (cicli di revisione e approvazione, gestione delle versioni, richieste di aggiornamento) così come l'archiviazione di documenti e normative di utile consultazione.

Monitoraggio e Miglioramento

Come per tutti i sistemi di gestione, il monitoraggio per la sicurezza ISO 27000 prevede due attività complementari:

  1. bottom up: registrazione degli incidenti e dei quasi incidenti, con analisi della causa ed eventuali azioni di correzione
  2. top down: verifiche periodiche (audit) del rispetto delle procedure e dei log dei sistemi informatici

ProcessFrame supporta entrambe le attività e mette a disposizione degli strumenti di analisi statistica per identificare trend potenzialmente pericolosi e le azioni preventive necessarie.

Infine la registrazione delle Azioni di miglioramento e mitigazione e il loro collegamento con le minacce e gli asset consente di verificare se le azioni stesse hanno contribuito a ridurre la loro frequenza e gravità, consentendo di rivedere le valutazioni di rischiosità.

Rischi e opportunità

Non conformità, eventi avversi, incidenti e quasi incidenti, analisi dei rischi danno luogo ad Azioni correttive e/o Azioni di mitigazione rischio /miglioramento. Il software ProcessFrame consente di tracciare tutto ciò, di monitorare tempi e scadenze, di analizzare con strumenti statistici i costi e di registrare le rilevazioni di efficacia delle Azioni svolte, come prescritto dallo standard.

Competenze, Documentazione e Comunicazione

Il requisito del nuovo standard sposta l’attenzione dalla formazione alla competenza: la formazione è un strumento, ma non l’unico, per acquisire le competenze ed è importante che il software consenta sia di tracciare le valutazioni di competenza delle persone che svolgono determinate mansioni sia di identificare e monitorare le attività formative identificate come necessarie a raggiungere il livello di competenza richiesto.

Monitoraggio, Gestione degli eventi, Miglioramento

Lo standard 45001 include nel contesto da analizzare in termini di rischi anche i fornitori ed in particolare i subappaltatori che sono coinvolti nei processi aziendali. In questo senso è indispensabile che il processo di omologazione/qualificazione dei fornitori tipico del sistema di gestione qualità venga esteso a coprire i requisiti emersi dalla valutazione dei rischi aziendali

Registro Incidenti

Gli infortuni sono registrati nel sistema, insieme ai danni sulla salute del personale coinvolto e agli eventuali fermi impianto.
La registrazione segue un workflow che prevede un’analisi dell’impatto economico, un’analisi delle cause ed eventualmente l’apertura di una richiesta di Azione correttiva e/o una richiesta di manutenzione straordinaria.
Inoltre le registrazioni possono essere analizzate in termini statistici allo scopo di individuare criticità di sistema e piani di miglioramento.

Obblighi associati alle mansioni

La normativa prevede che il personale abbia le dotazioni di dispositivi sicurezza (DPI) rilevanti per la sua mansione, così come che sia sottoposto alla sorveglianza sanitaria opportuna e partecipi alle attività formative specifiche. 
ProcessFrame Sicurezza consente di definire i requisiti di DPI, sorveglianza sanitaria e formazione (e le relative durate di validità) per ogni mansione e di tracciare l’effettivo adempimento degli obblighi previsti per ogni persona associata alle mansioni censite.

Autorizzazioni lavori pericolosi

Tutta una serie di attività (ad esempio interventi di manutenzione, operazioni in ambienti ad alto rischio) richiedono autorizzazioni di sicurezza da erogare caso per caso. Con ProcessFrame Sicurezza è possibile definire una o più checklist di sicurezza da compilare e approvare al momento di preparare i permessi di lavoro relativi.