Un sistema integrato ISO 9001-ISO 27001

Abbiamo avuto il piacere di intervistare Simona Carullo di Sielco – AD della compliance aziendale.

Sielco è un’azienda che si occupa dal 1977 di servizi informatici per le piccole-medie imprese e attualmente è certificata, con un sistema integrato, ISO 9001-ISO 27001 – ISO 27017 e ISO 27018.

——————————————-

Grazie Simona per la disponibilità. La vostra azienda ha alle spalle un lungo percorso di certificazioni ISO, con il primo attestato della 9001 che risale al 1999. Come mai questa scelta?

Buongiorno! Si è corretto. Il primo attestato è datato 10 settembre 1999. Ai tempi io non ero ancora in azienda, ma all’epoca la Direzione, con una visione piuttosto lungimirante, comprese che essere in possesso di queste certificazioni avrebbe elevato il livello di credibilità dell’azienda, soprattutto nei rapporti con la pubblica amministrazione.

Il passo venne fatto in un periodo storico molto importante per l’azienda e per i due soci fondatori: era infatti un momento di espansione positiva e si era deciso di trasferire la sede a Buguggiate, dove è tutt’oggi. In quest’ottica, si decise di puntare su una nuova pianificazione dei processi aziendali, per garantire che la fase di crescita fosse accompagnata da un’organizzazione strutturata e solida.

La 9001 sembrò un’ottima soluzione e così iniziò il viaggio.

Quali vantaggi ha portato la 9001 all’interno dell’azienda?

Nel 1999 la ISO 9001 richiedeva più documentazione rispetto alla normativa attuale, versione 2015. Ci fu quindi un po’ l’obbligo di dover scrivere tutte le procedure aziendali e questo permise alla Direzione di comprendere meglio alcune dinamiche che nella routine quotidiana possono sfuggire.

Anche oggi il fatto di dover gestire il sistema è uno stimolo costante per avere sempre un buon controllo sui processi organizzativi e le antenne alzate su eventuali eventi “non conformi”. Per non parlare poi della valutazione della “Soddisfazione dei clienti” che ha la duplice funzione di segnalare a noi, in maniera piuttosto repentina, eventuali malumori del cliente e di permette ai clienti di sentirsi apprezzati e ascoltati anche dopo aver, per così dire, saldato la fattura.

Dal mio punto di vista l’aspetto che più di tutti apprezzo è il fatto di dover essere sottoposti ad audit periodici. Non nego che la cosa porta con sé anche un certo stress, ma anno dopo anno mi rendo conto che sono i momenti più costruttivi perché portano in azienda un occhio esterno ed estraneo che può analizzare le cose da una prospettiva differente.

Diciamo che in questo modo abbiamo tanti occhi sul sistema: gli occhi di Sielco, gli occhi dei consulenti mondo27001 che ci seguono e gli occhi dell’Ente di certificazione. Ognuno apporta il suo personale contributo e al termine di ogni sorveglianza c’è sempre qualche spunto che dà nuova carica al progetto ISO.

Sei anni fa, nel 2016, decidete di aggiungere una nuova certificazione, molto calzante e qualificante per il vostro settore: la ISO 27001. Come è avvenuto il processo?

In realtà in quel periodo la sfida che avevo in mente di affrontare era un’altra, ovvero il passaggio alla nuova ISO 9001:2015. La ISO 27001 è entrata un po’ a gamba tesa e bussò alle nostre porte in concomitanza con il servizio di gestione documentale e di archivio elettronico. Non fu facile, soprattutto perché in prima battuta abbiamo impostato i due sistemi in maniera parallela, senza un vero sistema integrato. In ogni caso il 16 dicembre 2016 ci certificammo ISO 27001 e fu una grande soddisfazione anche a livello personale.

Fu una strategia molto apprezzata anche dai clienti che percepirono subito la voglia di offrire maggiori garanzie e tutele.

Quando arrivò il sistema integrato ISO 9001-ISO27001?

Nel 2020. La vera e completa integrazione è stata fatta circa 2 anni fa con il sostengo di mondo27001 e devo dire che da allora la gestione è notevolmente migliorata. Molte attività sono state ottimizzate, la gestione documentale è semplificata e la percezione è quella di avere un miglior controllo sul sistema.

Senza dubbio aiutano molto anche gli strumenti tecnologici che non sono più quelli di anni fa e che nella normale evoluzione di questi aspetti ci ha portato ad avere una suite web based molto apprezzata anche dagli auditor esterni.

Come dicevano nell’introduzione, Sielco è certificata anche ISO27017 e ISO 27018: Cosa aggiungono queste due norme?

Anche in questo caso la decisione è stata abbastanza repentina ed è collegata ad un progetto che avevamo in programma con un Cliente. Ci è sembrata l’occasione per fare un ulteriore passo avanti e per avere una posizione favorevole anche nel mercato della PA entrando sul marketplace di AGID.

Sono due certificazioni che entrano in maniera più verticale sul cloud (ndr: ISO 27017 – Controlli avanzati sia per fornitori di servizi cloud) e sulla protezione dei dati personali in sistemi cloud (ndr: ISO 27018 – Codice di condotta per la protezione delle PII – Personally Identifiable information – nei servizi di public cloud per i cloud provider).

Dopo un processo lungo e impegnativo, con il tuo ruolo che è senza dubbio centrale, ti senti di dire che ne è valsa la pena?

Assolutamente sì! È stato impegnativo e a tratti faticoso, questo non posso negarlo, ma oggi la soddisfazione è tanta. L’immagine aziendale ne è uscita rafforzata, siamo presenti su importanti marketplace proprio perché siamo certificati.

Oggi il sistema è ormai maturo (posso dirlo!) e questo ci consente di avere maggior consapevolezza a tutti i livelli. È un progetto partito senza dubbio dalla Direzione che oggi coinvolge tutti, dipendenti e collaboratori in primis. La loro formazione sul sistema integrato è stato uno step molto importante per arrivare ad un coinvolgimento reale di tutte le figure dell’organizzazione. Ha aiutato noi a mettere in luce in nostri obiettivi e ha aiutato i lavoratori a comprendere meglio il perché di alcuni sforzi.

Penso poi a come è cambiato il nostro approccio verso i fornitori: nella selezione dei nuovi, la presenza di certificazioni è un aspetto primario, soprattutto in ambito cloud. La supply-chain ora è un concetto ben chiaro e teniamo molto che tutto il processo di erogazione del servizio rispetti standard ben precisi.

L’obiettivo è sempre la sicurezza e la protezione del DATO!

Ultimissima domanda, usciamo un po’ da Sielco. Qual è la tua sensazione sull’approccio generale del mondo del lavoro alle certificazioni?

Negli ultimi è cresciuto molto il numero di aziende che decidono di certificarsi, soprattutto nel mercato legato alla pubblica amministrazione. Sono soprattutto i big del mercato che richiedono con sempre maggior insistenza standard di livello più alto e questo costringe anche le piccole realtà ad adeguarsi.

L’approccio è cambiato e sta cambiando e questo è senza dubbio un segnale positivo. Noi le vediamo maggiormente nel settore informatico ma non mancano esempi importanti legati per esempio all’ambiente e alla sicurezza sui luoghi di lavoro (ndr: certificazioni ISO 14001 e ISO 45001)