Dopo un’intensa attività di audit interno e 600 ore di lavoro dedicate – più altre 700 per i task propedeutici e la gestione delle reti – Irion ha conseguito l’importante certificazione ISO/IEC 27001:2013. L’ente specializzato DNV Business Assurance ha verificato infatti che la nostra azienda rispetta lo standard internazionale per la sicurezza delle informazioni e la riduzione dei rischi nella gestione di informazioni sensibili, inclusi i dati sui clienti e gli eventuali segreti industriali.
Privacy e benefici per i clienti
Per riferirsi a questo sistema gestionale completo si usa l’acronimo inglese ISMS (Information Security Management System) che corrisponde all’italiano SGSI e coinvolge tutta l’organizzazione in modo attivo. Le persone che lavorano in Irion, ha attestato DNV, adottano adeguati livelli di riservatezza dei documenti (digitali e cartacei) e dell’hardware (computer e reti). Un esempio pratico è l’adozione del nuovo template Word aziendale con indicazioni sulla privacy e l’ownership di ogni documento, ovvero la politica di classificazione dei dati e delle informazioni in esso contenute. Ne conseguono sette diversi gradi di confidenzialità, con i relativi criteri e restrizioni.
Per i nostri clienti presenti e futuri, avere relazioni con un’azienda certificata significa collaborare con un interlocutore che adotta già procedure, accortezze, sistemi e processi che garantiscono un elevato livello di servizio e di sicurezza, risparmiando tempo e risorse nel controllo autonomo del fornitore: la norma richiede già di condurre verifiche periodiche e audit interni per garantire il rispetto delle best practice e il miglioramento continuo delle procedure. Inoltre, è previsto l’intervento periodico di revisori esterni.
Nelle sue linee guida tecnico-amministrative, l’Agenzia per l’Italia Digitale (AgID) cita la norma ISO 27001 tra i requisiti dei fornitori per una Pubblica amministrazione più sicura. Per chi la consegue, la certificazione contribuisce a proteggere la reputazione e favorire l’espansione del business, con minori possibilità di sanzioni e minori rischi relativi a eventuali attacchi informatici.
L’allegato 14.2 della norma ISO27001 si occupa nei dettagli delle attività necessarie per rafforzare la sicurezza nei processi di sviluppo e supporto, con riferimento all’intero ciclo di vita dei sistemi informativi. Si fa riferimento alla “secure development policy” per garantire che gli ambienti stessi di sviluppo siano sicuri e che i processi incoraggino l’uso di pratiche idonee per il coding; ad esempio, “quando avvengono dei cambiamenti nelle piattaforme operative, le applicazioni critiche per il business devono essere riesaminate e sottoposte a test” (14.2.3).
Sicurezza proattiva: pentest rinnovati
Un importante aggiornamento sulla sicurezza dei sistemi di sviluppo e supporto di Irion: in continuità con gli investimenti per la certificazione ISO 27001 (Information Security), di cui abbiamo scritto in precedenza, abbiamo scelto di sottoporre costantemente i nostri sistemi a rigorosi penetration test, eseguiti da esperti indipendenti nel settore della sicurezza informatica, ottenendo risultati estremamente positivi.
Il test ha permesso di ottenere un quadro completo sulla robustezza delle applicazioni coinvolte. L’obiettivo di quest’attività è innanzi tutto identificare le eventuali vulnerabilità, tramite una valutazione orientata alla riduzione del rischio; ma anche utilizzare le falle rinvenute per verificare i potenziali impatti e definire correttamente la priorità delle azioni di rimedio.
- Solidità confermata: I test hanno confermato che i sistemi Irion sono altamente resistenti alle minacce esterne, dimostrando la robustezza delle nostre infrastrutture e applicativi
- Sicurezza garantita: anche se non gestiamo direttamente i dati dei nostri clienti, ci impegniamo a garantire che le soluzioni siano sviluppate e supportate in un ambiente sicuro e protetto.
Questo è importante anche nell’ottica della conformità normativa (compliance): anche se non gestiamo direttamente dati dei clienti, ci assicuriamo che le pratiche di sviluppo e supporto siano conformi alle più rigide normative di sicurezza, garantendo la qualità e sicurezza delle soluzioni.
Siamo impegnati a mantenere i più elevati standard di sicurezza e continuiamo a investire nelle tecnologie e nei processi necessari per proteggere l’integrità e l’affidabilità. Un ringraziamento speciale va ai nostri Team IT e Software Quality Assurance per il loro impegno costante nel mantenere i nostri sistemi sicuri e all’avanguardia.