Facoltà: Ingegneria Gestionale - classe L-9
Collocazione: 17601
Autore: Perozzo Haiat
Data: 25/07/2019
Titolo: Analisi e gestione dei processi aziendali – ISO/IEC 27001
Relatore: Buonanno Giacomo
Autorizzazione per la consultazione: SI
Le tesi si possono consultare unicamente in sede
Mitric è un'azienda che realizza e sviluppa applicazioni mobile per le aziende, destinate a semplificare e incrementare l'efficienza dei processi interni attraverso l'uso di device mobili. L'azienda ha visto la necessità, dopo essere cresciuta di anno in anno, di garantire ai propri clienti una maggiore sicurezza relativamente alla protezione dei dati. È proprio per questo motivo che Mitric ha deciso di intraprendere il percorso di certificazione ISO 27001: "una norma internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni, ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa". Per iniziare questo percorso è stata delineata l'analisi dei processi aziendali, utilizzando un Diagramma a Tartaruga, come base da cui partire, con la consapevolezza che sarebbe stato necessario affrontare delle modifiche dei processi stessi durante il percorso di certificazione. È stata eseguita una ricerca sulle informazioni caratterizzanti la ISO 27001, ricerca che è stata svolta attraverso siti internet e libri ("I nove passi per il successo" di Alan Calder, ITgp). Creata una base di conoscenza preliminare, in seguito sono state applicate l'Analisi dei Requisiti e dei Rischi attraverso un foglio Excel (modello di Cesare Gallotti), il cui completamento è stato eseguito mediante interviste ai membri di Mitric. In particolare, per l'Analisi dei Requisiti, considerati i processi aziendali, si è cercato di individuare le lacune presenti, tra cui: l'assenza di un Asset Inventory, di regole precise riguardanti la sicurezza tecnica dei dati e delle informazioni (ad esempio regole rigide sull'utilizzo delle password, sull'esecuzione obbligatoria dei penetration test,…), della documentazione richiesta e la necessaria condivisione con tutti i membri di essa, la definizione dei ruoli (anche attraverso un organigramma precedentemente assente) aziendali. Mentre, per l'analisi dei Rischi sono stati attribuiti dei livelli di rischio affrontati dall'azienda relativamente alle varie aree tracciate dalla ISO 27001. Terminata questa fase Mitric ha contattato una società di certificazione che potesse portare l'azienda all'ottenimento effettivo della ISO/IEC 27001, ossia CSQA. Quest'ultima ha svolto con Mitric un'attività di pre-audit per poi organizzare con l'azienda 2 successivi stage per effettuare un'ultima verifica sulla presenza di tutti quei requisiti imposti dalla ISO 27001. Mitric in definitiva si è dimostrata pronta per il rilascio del timbro di certificazione.
