Subject: Newsletter n.6 / 2015

View this email online if it doesn't display correctly
ANSSAIF

Sommario
Articoli:
  • Il volo del cigno nero: spunti di riflessione per la nuova ISO 9001:2015
  • Contrasto al cybercrime: siamo sicuri che le PMI abbiano compreso i rischi?
  • Internal ed external auditing: obiezioni ed evoluzione collettiva

Attività dell’Associazione:
  • Decisioni del Consiglio Direttivo
Attività ANSSAIF
Articoli
Il volo del cigno nero: spunti di riflessione per la nuova ISO 9001:2015
di Alberto Buzzoli, Socio ANSSAIF 
 
Cresce sempre più, tra link ad articoli di approfondimento e discussioni nei gruppi professionali sui social, il fermento per la nuova versione della norma ISO 9001:2015, nella quale si stabiliscono i requisiti per un sistema di gestione per la qualità. Dal 5 del mese di maggio 2015 la norma si trova nello stadio 50.00, ovvero in fase di approvazione finale (FDIS). Per i non addetti ai lavori potrebbe essere interessante consultare la mappa dei codici di sviluppo delle normative dell’Organizzazione Internazionale per la Standardizzazione e la scheda di sviluppo della nuova 9001.

Le variazioni questa volta sono significative – non come successe con la revisione del 2008 che riguardò pochi chiarimenti – ed avranno un impatto indiscutibilmente elevato sulle organizzazioni. Le principali modifiche, che in questa sede prenderemo in considerazione per riflettere su alcuni argomenti, riguardano l’introduzione delle attività di analisi del contesto e di analisi dei rischi.

Proprio a proposito dei rischi è opportuno rammentare che l’ISO li definisce come l’effetto dell’incertezza sugli obiettivi. E’ quindi doveroso prendere in considerazione le possibili deviazioni rispetto ai risultati attesi, siano esse di natura negativa oppure di natura positiva, ovvero le opportunità. Nel testo è però presente (per il momento) la nota n. 5 che afferma: il termine rischio qualche volta viene utilizzato solamente per indicare conseguenze negative. Ed è proprio questo uno dei punti che mi spaventa. Per le altre norme, all’interno delle quali è già stato introdotto il concetto di analisi e valutazione dei rischi, mi sembra chiaro l’interesse degli auditor nel verificare la coerenza delle attività di valutazione delle catastrofi, senza però soffermarsi in modo altrettanto scrupoloso sul processo di valutazione delle opportunità.
L’applicazione della nuova norma potrebbe essere l’occasione buona per una virata secca, strutturando in modo articolato anche la metodologia che riguarda l’analisi e la valutazione di queste ultime, soprattutto in ottica di soddisfazione del cliente.
(segue su: http://www.key4biz.it/assetprotection-il-volo-del-cigno-nero-spunti-di-riflessione-per-la-nuova-iso-90012015/124614/ ).

Contrasto al cybercrime: siamo sicuri che le PMI abbiano compreso i rischi?
di Anthony Cecil Wright, Presidente ANSSAIF

L’impressione che si ha seguendo i dibattiti in tanti convegni e congressi che trattano il crimine digitale, è che le soluzioni ci siano, ma servano a poco; infatti, le organizzazioni colpite sono sempre di più, e crescono anche i danni.

Sappiamo che sono messe in atto difese attraverso strati di antivirus ed anti malware; si mettono in piedi sempre più sofisticati e professionali CERT; ma l’hacker riesce comunque ad entrare e provocare seri danni, che qui – per brevità – non stiamo a ricordare.

Onde cercare di capire le ragioni, facciamo una breve ipotesi.

Immaginiamo che una azienda sia colpita. A questo punto molto probabilmente il vertice aziendale, dopo aver ricevuto informazioni circa le conseguenze, si pone interrogativi relativamente all’avvenuto rispetto di semplici regole relative all’analisi dei rischi ed alla dovuta informazione del lavoratore (ma l’”untore” potrebbe essere stato il datore di lavoro…).

E’ naturale, ma il problema è un altro. Il dipendente coinvolto in un processo critico è stato addestrato a sospettare di tutto e di tutti? La crescente sofisticazione degli attacchi fa sì che il mittente può risultare un collega, o un fornitore, o un cliente, o comunque uno stakeholder, e l’oggetto ed il modo in cui era stata scritta la email non poteva non indurre il dipendente ad aprire l’allegato.
Anche se l’azienda si è coperta le spalle con adeguate istruzioni, ed ammesso e non concesso che conduca una sensibilizzazione continua ed efficace dei dipendenti e del personale anche esterno che opera nella organizzazione, il danno oramai è stato compiuto. Più tardi l’azienda se ne accorge e peggio è.

Ma ammettiamo per un attimo che al dipendente, nell’esempio dell’allegato alla email, sorga il sospetto che si tratti di una trappola:
(segue su: http://www.key4biz.it/assetprotection-contrasto-al-cybercrime-siamo-sicuri-che-le-pmi-abbiano-compreso-i-rischi/124310/ )
Internal ed external auditing: obiezioni ed evoluzione collettiva
di Alberto Buzzoli, socio ANSSAIF

Come per ogni organizzazione che attua il ciclo di Deming in riferimento ad uno o più aree di compliance, dopo il momento della pianificazione e della messa in opera di quanto definito, arriva la fase del controllo. Una delle attività principali che riguardano questo terzo stadio è la conduzione degli audit interni ed esterni.
Nel corso di tutto questo semestre abbiamo ripetutamente cercato di mettere in evidenza e di trattare da un lato le buone pratiche che riguardano la valutazione e la gestione dei rischi, dall’altro di condividere le resistenze comuni e le argomentazioni più logiche per disfarle.
Anche per gli audit non mancano alcune obiezioni ricorrenti, sollevate istintivamente dalle persone coinvolte che manifestano un livello di consapevolezza ancora in fase di evoluzione.
Il commento solitamente bisbigliato, che si ripete come una cantilena sia per gli audit interni che per quelli esterni è riferito all’auditor: “Speriamo che non se ne accorga, che non lo veda”.
In questo caso le considerazioni sono due. Se si tratta di un problema già noto all’organizzazione, perché non condividere con l’auditor le modalità di gestione identificate e le operazioni già compiute? Non potrà fare altro che acquisire un’evidenza positiva circa la capacità dell’organizzazione di identificare e trattare situazioni non conformi, fornendo eventualmente ulteriori spunti di miglioramento. Di contro, qualora l’organizzazione non avesse già provveduto a trattare la situazione non conforme, il fatto che la rilevi l’autor e che metta nero su bianco l’evidenza, inducendo l’azienda a trattarla, rappresenta in ogni caso l’opportunità di gestire una situazione potenzialmente dannosa.

Esistono poi delle obiezioni più specifiche che riguardano gli audit interni. Per lo più vengono identificati (...)
(segue su: http://www.key4biz.it/assetprotection-internal-ed-external-auditing-obiezioni-ed-evoluzione-collettiva/125418/ )
Decisioni del Consiglio Direttivo
Il giorno 13 luglio alle ore 13 si è riunito il Consiglio.
All’ordine del giorno:
  • cooptazione nel direttivo della socia Clara Salpietro Damiano, giornalista;
  • cooptazione di altri eventuali colleghi attualmente non soci;
  • nomina Segretario e Tesoriere;
  • deleghe del presidente ad alcuni consiglieri;
  • situazione XI Congresso.
Le decisioni:
• Incarichi e deleghe del presidente:
  • Segretario: Clara Salpietro Damiano
  • Tesoriere: Mario Sestito
  • Organizzazione banche: Leonardo Procopio
  • Rapporti con le scuole: Marco Recchia
  • Leggi e regolamenti: Stefano Cabianca
• E' stato approvato il programma dell’ XI Congresso ANSSAIF che si terrà a Roma il 13 novembre presso il ROME CAVALIERI, WALDORF ASTORIA HOTELS & RESORTS.
Il programma prevede che i lavori si svolgano dalle ore 15 alle ore 19,30.  Seguirà un aperitivo e, alle 20,30, la cena sociale, sempre in terrazza con vista su Roma.
Il tema è così sintetizzabile: "Intelligence, integration, experience".  Sottotitolo: "mettiamo in pratica le nostre conoscenze!".

I soci sono invitati a segnare la data in agenda!

A seguito delle decisioni assunte, il Consiglio Direttivo risulta così formato:
  • Stefano Cabianca – delega su: Leggi e regolamenti
  • Clara Salpietro Damiano – Segretario – Comunicazione e relazioni con i Soci
  • Alain De Cristofaris
  • Romain Defline
  • Marco Recchia – delega: Rapporti con le scuole
  • Vincenzo Giardina
  • Marcello Milano
  • Leonardo Procopio – delega: Organizzazione banche
  • Anna Ryolo
  • Mario Sestito - Tesoriere
  • Anthony Cecil Wright - Presidente

Al neo Segretario i migliori auguri!

A tutti i Soci tanti auguri di buone vacanze.   Ci rivedremo a Settembre.
Visualizza questa e-mail online se non viene mostrata correttamente.
ANSSAIF 
Via Monterosi 52 - 00191

VIA MONTEROSI 52, 00191, ROME, Italy
Puoi cancellare la tua iscrizione o modificare i tuoi dati in qualsiasi momento.

Powered by:
GetResponse