SUPSI 10 dicembre 2019 - slide presentate da Maurilio Savoldi
IL FUTURO DELLA QUALITA' - la cultura della cybersecurity per garantire la soddisfazione del cliente
1. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
IL FUTURO DELLA
QUALITÀ: la cultura della
cybersecurity per
garantire la soddisfazione
del cliente
SUPSIMAURILIO SAVOLDI
Consulente e Formatore
Value4b – SUPSI – Relinc Consulting
2. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
Mi presento
2
‐ Docente di Business Process Management
(BPM) presso il Dipartimento di Tecnologie
Innovative della Scuola Universitaria
Professionale della Svizzera Italiana-SUPSI
‐ Auditor di terza parte Iso 9001
e Iso 27001
Processi
Sistemi di gestione
Miglioramento
Tecnologia
Formazione
‐ Titolare della Value4b (www.value4b.ch)
‐ Partner di Relinc Consulting (www.relinc.it) società di
consulenza specializzata nell’area del miglioramento di
processo e BPM, partner italiano di PNMsoft, QPR
Software e TOPP-TI
3. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 3
Certificazione
sistemi di gestione
Assicurazione
contro i rischi
4. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
…processi, persone e tecnologie, rappresentano
un "unicum" su cui lavorare in modo integrato
4
CLOUD
CRUSCOTTO dei PROCESSI CUSTOMER STARTS
REQUEST
5. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 5
…l'accesso alla tecnologia non
è un problema, al massimo
potrebbe diventare un
problema economico!
Sicuramente, sul mercato,
c'è la soluzione più adatta
ale vostre esigenze!
6. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 6
…perché, tutta la
tecnologia del
mondo non
serve se…
7. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 7
Nell'ultimo anno ho maturato
alcune esperienze
…le persone e le
organizzazioni non
sono "attrezzate"!
8. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 8
Perché il futuro
(o sicuramente uno
scenario futuro)
della qualità?
9. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 9
Un'azienda che, seppur dotata di un
adeguato sistema di gestione qualità,
non tratta
in modo adeguato i dati personali dei suoi
clienti, dipendenti o fornitori, oppure che
non garantisce
un'adeguata protezione a dati e
informazioni trattate può dire di lavorare
in qualità?
10. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 10
Iso 31000
Iso 27701 e
GDPR/RLPDP
Iso 9001
Iso 22301Iso 27001
maurilio.savoldi@value4b.ch
11. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 11
…il concetto di
condivisione e
protezione di dati e
informazioni non è
nuovo…
12. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 12
…quello che oggi rende tutto più complicato
è la "variabile digitale"…
19. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 19
L'affermazione:
"La frase più pericolosa in
assoluto è:
abbiamo sempre fatto così.”
Grace Murray Hopper
(New York, 9 dicembre 1906 – Arlington, 1º gennaio 1992)
è stata una matematica, informatica e militare
statunitense definita da molti una pioniera della
programmazione informatica.
20. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 20
Con le persone
che sono le figure
chiave
21. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
Sicurezza delle informazioni
Molte persone considerano la sicurezza delle informazioni un problema di
tecnologia.
Ritengono che qualsiasi cosa abbia a che fare con la sicurezza dei dati o la
protezione dei computer dalle minacce, sia qualcosa che soltanto gli
specialisti (specificamente i professionisti della sicurezza dei computer)
possono gestire.
Niente di più lontano dalla verità.
È l’utente che deve decidere da quali minacce proteggersi e quali
compromessi tra sicurezza e flessibilità è disposto ad accettare.
Certo, una volta prese le decisioni, lo specialista di sicurezza deve progettare
ed attuare una soluzione tecnologica che fornisca tali risultati, ma sulle
specifiche e secondo la valutazione dei rischi dell’utente.
21
22. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 22
Questo richiede
forte attenzione allo
sviluppo della
cultura della
cybersecurity
26. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
Un framework per la sviluppo della
cultura della sicurezza informatica
28
1. Consapevolezza
2. Analisi
3. Plan
4. Implementazione
5. Valutazioni e
identificazione di
eventuali azioni
correttive
27. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 29
Immagine di Karn-b - Karn G. Bulsuk (http://www.bulsuk.com).
La sicurezza è un processo, non un prodotto,
un processo di miglioramento continuo
29. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 31
…introdurre le
5S della
Cybersecurity…
30. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
32
Nel mondo "lean organizational, le 5S sono un acronimo
che si riferisce ai cinque termini in lingua giapponese che
sono una delle basi del miglioramento continuo
32
Ordine
(Seiri)
Sistemazione
(Seiton)
Standardizzazione
(Seiso)
Evidenziazione,
anomalie ed
opportunità
(Seiketsu)
Miglioramento
continuo
(Shitsuke)
31. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
33
Le 5S sono una delle basi del miglioramento
continuo
33
Ordine
(Seiri)
Sistemazione
(Seiton)
Standardizzazione
(Seiso)
Evidenziazione,
anomalie ed
opportunità
(Seiketsu)
Miglioramento
continuo
(Shitsuke)
32. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
34
Basare un percorso di sviluppo della cultura, e di
conseguenza del miglioramento continuo, su un
framework come quello individuato dal CIS:
" 15 Controlli Essenziali di Cybersecurity"
34
34. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
36
I 15 Controlli Essenziali di Cybersecurity
A. Inventario dispositivi e software
1. Esiste ed è mantenuto aggiornato un inventario dei sistemi,
dispositivi, software, servizi e applicazioni informatiche in uso
all’interno del perimetro aziendale.
2. I servizi web (social network, cloud computing, posta elettronica,
spazio web, ecc. . . ) offerti da terze parti a cui si è registrati sono
quelli strettamente necessari.
3. Sono individuate le informazioni, i dati e i sistemi critici per
l’azienda affinché siano adeguatamente protetti.
4. È stato nominato un referente che sia responsabile per il
coordinamento delle attività di gestione e di protezione delle
informazioni e dei sistemi informatici
36
35. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
37
I 15 Controlli Essenziali di Cybersecurity
B. Governance
5. Sono identificate e rispettate le leggi e/o i regolamenti con
rilevanza in tema di cybersecurity che risultino applicabili per
l’azienda
C. Protezione da malware
6. Tutti i dispositivi che lo consentono sono dotati di software di
protezione (antivirus, anti-malware, ecc...) regolarmente
aggiornato.
37
36. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
38
I 15 Controlli Essenziali di Cybersecurity
38
D. Gestione password e account
7. Le password sono diverse per ogni account, della complessità
adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più
sicuri offerti dal provider del servizio (es. autenticazione a due
fattori).
8. Il personale autorizzato all’accesso, remoto o locale, ai servizi
informatici dispone di utenze personali non condivise con altri;
l’accesso è opportunamente protetto; i vecchi account non più
utilizzati sono disattivati.
9. Ogni utente può accedere solo alle informazioni e ai sistemi di cui
necessita e/o di sua competenza
E. Protezione da malware
10. Tutti i dispositivi che lo consentono sono dotati di software di
protezione (antivirus, anti-malware, ecc...) regolarmente aggiornato.
37. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
39
I 15 Controlli Essenziali di Cybersecurity
39
F. Protezione dei dati
11. La configurazione iniziale di tutti i sistemi e dispositivi è svolta da
personale esperto, responsabile per la configurazione sicura degli
stessi. Le credenziali di accesso di default sono sempre sostituite
12. . Sono eseguiti periodicamente backup delle informazioni e dei
dati critici per l’azienda (identificati al controllo 3). I backup sono
conservati in modo sicuro e verificati periodicamente.
G. Protezione delle reti
13. Le reti e i sistemi sono protetti da accessi non autorizzati
attraverso strumenti specifici (es. Firewall e altri
dispositivi/software anti-intrusione).
38. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
40
I 15 Controlli Essenziali di Cybersecurity
40
H. Protezione e mitigazione
14. In caso di incidente (es. sia rilevato un attacco o un malware)
vengono informati i responsabili della sicurezza e i sistemi
vengono messi in sicurezza da personale esperto.
15. Tutti i software in uso (inclusi i firmware) sono aggiornati
all’ultima versione consigliata dal produttore. I dispositivi o i
software obsoleti e non più aggiornabili sono dismessi.
39. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 41
…senza trascurare i
processi
(e l'organizzazione),
con…
44. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 46
…e, perché no,
avere un robusto
set di KPI di
governo e controllo
45. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 47
Costruzione di un set di
indicatori per il governo
della cybersecurity
46. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 48
Responsabilità
assegnate
Visione
temporale
Portafoglio di KPI
collegato a tutte le
iniziative aziendali, a
tutti i progetti e nelle
diverse prospettive
temporali, così da
garantire la
condivisione delle
misure ad ogni
attore aziendale
coinvolto
MISURARE LE PRESTAZIONI
48. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
50
LA CONTINUITÀ NEI PROCESSI –
UN ELEMENTO CHIAVE PER LA
QUALITÀ
Mar 14 gen 2020 12.30 - 13.30 CET
Per info e iscrizioni:
https://register.gotowebinar.com/register/244098581799571468
50
49. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 51
Rimaniamo in contatto
Maurilio Savoldi
www.linkedin.com/in/maurilio-savoldi-a097853/
Value4b
Via Industria 3
CH - 6814 Lamone
www.value4b.ch
maurilio.savoldi@value4b.ch
+41 768121309
Relinc Consulting
Via Moscova 32
IT - 20121 Milano
www.relinc.it
maurilio.savoldi@relinc.it
+39.389.2373447
SUPSI - Dipartimento tecnologie innovative (DTI)
Via Cantonale 2C,
CH - 6928 Manno
http://www.supsi.ch/dti
+41 58 666 65 11