È con grande gioia che vi annunciamo che il Sistema di Gestione della Sicurezza delle Informazioni di 3DGIS è certificato ISO 27001:2022 ed accoglie con entusiasmo anche le linee guida per la sicurezza del cloud ISO 27017 e la protezione delle informazioni personali PII ISO 27018.
Un grande traguardo per una piccola ma vivace realtà come la nostra, sempre in prima linea con l’innovazione e ha affrontato questa sfida affiancando e integrando il nostro prezioso Sistema di Gestione della Qualità, certificato ISO 9001.
Un viaggio tra le prassi consolidate
Si può implementare un ISMS in due modi: costruendo un overlay energivoro che deve essere alimentato costantemente con finzioni più o meno strutturate, oppure rivedere tutti i processi aziendali e ottimizzarli al fine di raccogliere informazioni utili per la gestione della sicurezza delle informazioni e, perché no, per lavorare meglio.
Il primo approccio è tipico della compliance fine a se stessa, richiede una struttura aziendale capace di supportarne i costi e maschera le inefficienze sia procedurali che sostanziali nella gestione dell’azienda. Possiamo chiamarlo la “scorciatoia”.
3DGIS è un’azienda di software ma con un cuore profondamente ingegneristico. Il 90% dei nostri addetti sono tecnici e i background sono i più disparati. Chi vi scrive ha lavorato nella consulenza per una decina d’anni prima di assumere l’incarico di CTO e ancor prima sono state molte le notti dedicate al coding e all’hacking. Abbiamo gli algoritmi nel sangue.
Nel 2013 abbiamo certificato per la prima volta per il nostro Sistema di Gestione della Qualità e, nel prepararci, fin dal principio abbiamo cercato di integrare i concetti della norma direttamente nelle nostre procedure.
Sviluppare software è un arte. Gli artisti possono però essere irrazionali e difficili da domare. Un’azienda diventa efficiente ed efficace se è regolata da procedure condivise. È possibile far convivere arte e industria? 3DGIS cerca di farlo introducendo un livello di burocrazia compartecipata, capace di creare ordine senza soffocare la creatività del singolo.
Dalla nostra nascita, nel lontano 2008, abbiamo costruito un insieme di direttive e istruzioni operative condivise capaci di farci crescere anno dopo anno, come team e come singoli individui. A latere, abbiamo consolidato una serie di prassi di buon senso, frutto di scambi continui, seppur non formalizzati.
Grazie all’esperienza dei singoli, 3DGIS è forte di conoscenze tecniche e di dominio, dal suo campo di attività – l’informazione geospaziale – alla cybersecurity e al design.
Abbracciare la sicurezza informatica: un driver per migliorare i nostri servizi attraverso una maggiore conoscenza.
L’intera norma ruota intorno al concetto di gestione del rischio, partendo dalla comprensione del contesto operativo fino ai dettagli più pratici, seppur restando sempre sul lato organizzativo e non quello strettamente tecnico, che è funzionale all’ottemperanza dei controlli.
La versione 2022 della ISO 27001 riorganizza i controlli e ne definisce 93, organizzati per 4 aree tematiche. Le linee guida ISO 27017 e 27018 ne aggiungono di ulteriori e specificano in ottica di cloud e PII i controlli della norma 27001, pur facendo riferimento ancora alla versione precedente.
Gli innumerevoli aspetti da tenere sotto controllo, combinati alle procedure esistenti ci hanno portato alla costruzione di un bellissimo documento di mapping tra controlli e modalità di implementazione degli stessi.
Come primo passo abbiamo formalizzato il nostro commitment alla sicurezza. Abbiamo trascritto le nostre idee, che portiamo avanti dalla nascita, in un documento, la policy di privacy e security, che definisce per filo e per segno quali sono le nostre idee in termini di sicurezza delle informazioni. Il secondo passo è stata l’analisi di contesto che ha portato alla definizione dei rischi e dei potenziali impatti sulle attività aziendali. Il terzo passo è stato l’assessment dello stato attuale delle nostre procedure e processi interni.
Questi tre elementi combinati alle possibili contromisure implementabili per minimizzare il rischio hanno portato ad una revisione generale delle nostre attività, con un impatto minimo sul quotidiano.
Formalizzare significa poter controllare che tutto sia sotto controllo e che possano essere inseriti dei punti di verifica delle attività. Il nostro sistema gestionale interno è stato ripensato per accogliere queste nuove informazioni, fortunatamente senza grossi impatti dato che è stato sufficiente organizzare quello che facevamo già.
Abbiamo impiegato diversi mesi per rivedere tutti i nostri processi interni e metterli a punto per la nuova norma: una serie di piccoli interventi per passare da prassi consolidate a procedure. Non è stata una passeggiata ma questo percorso ci consente ora di raccogliere dati per ogni attività che svolgiamo e questa maggior conoscenza ci permette di migliorare i nostri servizi, sia in termini assoluti che in termini di sicurezza delle informazioni.
Migliorarsi costantemente per crescere
L’inizio di questo viaggio ha messo in carreggiata una serie di iniziative che hanno migliorato in maniera molto importante la consapevolezza delle modalità di sviluppo e degli impatti in termini di sicurezza delle valutazioni e analisi preliminari.
In termini pratici continueremo a fare quello che abbiamo sempre fatto: piccoli cambiamenti incrementali alle modalità operative per migliorare il modo in cui lavoriamo e offriamo i nostri servizi.
Aziendalmente questa certificazione è un’ulteriore conferma che quanto messo in campo ormai tanti anni fa è stata una scelta di qualità, seguita da piccole conferme quotidiane.
Essere stato capace di organizzare un processo così complesso in una realtà di piccole dimensioni come la nostra, implementandone realmente i concetti, è un’enorme soddisfazione, colta con entusiasmo e ulteriore voglia di fare per il futuro di 3DGIS.