Il forum sulla Qualità di QualitiAmo

fermio · Nuova recluta del forum Registrato: 15/01/08 16:04 Messaggi: 9

Buogiorno a tutti.
Qualcuno di voi ha esperienza nel settore della security aziendale?

Devo gestire la funzione security di una azienda con un manuale e procedure nell'ottica del sistema iso 9001 che ha l'azienda.

Qualcuno può indirizzarmi su come impostare un lavoro cosi? :?:

Grazie

Stregatto · Inviato: Mer Gen 16, 2008 9:49 am Oggetto:

Scusa l'ignoranza ma con security cosa intendi? Sicurezza informatica o sicurezza contro i malintenzionati? Credo la seconda ma non si sa mai...

fermio · Inviato: Mer Gen 16, 2008 11:23 am Oggetto:

sicurezza fisica del patrimonio che comunque coinvolge anche quella informatica dell'IT

Simo · Inviato: Mer Gen 16, 2008 11:34 am Oggetto:

Ciao fermio. La norma 9001, per la sua stessa concezione, si applica a tutte le organizzazioni senza particolari problemi, dato che i suoi requisiti sono piuttosto generici. Per particolari settori, infatti, come quello dell'automotive o l'aerospaziale sono state sviluppate apposite norme per la qualità che vanno al di là di questi requisiti per soddisfare quelli tipici del settore.
Ora io non so se per il tuo settore (bancario?) sono state sviluppate norme apposite. Se così non fosse dovrai garantire l'espletamento di tutte le richieste della 9001 ma garantirti ulteriormente contro i rischi del tuo settore professionale. Una buona analisi de rischi ti supporterà in questo lavoro.
Se ci dici qualcosa di più, magari possiamo aiutarti meglio.

fermio · Inviato: Mer Gen 16, 2008 11:41 am Oggetto:

giusto simo!

diciamo che non ci sono norme specifiche per il settore security, o meglio ci sono ma l'azienda non intende adottarle.

Quella che adotta è la 9001 e proprio lei vuole che anche la funzione security abbia le sue procedure operative.

In questo senso credo sia più opportuno fare delle istruzioni operative per il personale interno e in outsourcing che poi porta avanti i processi della security.

Altro problema sono gli indicatori. Quali indicatori individuereste in una funzione simile? non riesco a trovarne di concreti.

fermio · Inviato: Mer Gen 16, 2008 11:44 am Oggetto:

dimenticavo... l'analisi dei rischi è impossibile farle se la proprietà non individua i beni aziendali da proteggere.

Es. stupido.. "voglio proteggere dal furto le penne degli impiegati".

Dal tronde è comprensibile. Come fa un titolare a dire proteggi questo e quello. E tutto il resto che fine farebbe?

Cosi come è impossibile dire voglio proteggere tutto. Servirebbe un bunker antiatomico e circa 1000000000000 € di dudget.

Quindi per non "sbagliare" non ti dicono nulla. Ovvero la politica non è chiara.

Studio Delta · Inviato: Mer Gen 16, 2008 1:13 pm Oggetto:

Senza obiettivi ben precisi fissati per la Security è un po' difficile fare quello che ti è stato richiesto, Fermio.

Partendo da questi obiettivi si può poi trasformarli in target operativi e questo sarebbe il tuo lavoro così come controllarli quotidianamente attraverso una serie di indicatori che incidono su questo profilo, definendo le azioni più opportune.

ma se mancano le premesse...

fermio · Inviato: Mer Gen 16, 2008 1:38 pm Oggetto:

Stregatto · Inviato: Mer Gen 16, 2008 1:41 pm Oggetto:

Secondo me dovresti dividere gli indicatori in 4 aree:

- Sicurezza logica
- Sicurezza dell’infrastruttura
- Sicurezza dei servizi
- Sicurezza dell’organizzazione

Al volo, nello specifico, mi sono venuti in mente questi indicatori ma io non sono del settore quindi potrebbero non essere realistici e adatti, vedi tu:

1) percentuale annua di zone sottoposte a verifiche e ispezioni sul totale
2) n° annuo di segnalazioni di "buchi" alla sicurezza
3) percentuale di persone formate sugli argomenti relativi alla sicurezza
4) percentuale di pc con firewall, antivirus e patch aggiornate sul totale
5) indicatori legati al disaster recovery plan