Miorelli Service e la certificazione ISO 27001: “un vantaggio competitivo concreto spendibile nelle gare d’appalto”
Matteo Durin, consulente e partner ewico, ha accompagnato l’azienda trentina Miorelli Service nell’introduzione – e integrazione all’interno del preesistente sistema di gestione integrato – di un sistema di gestione per la sicurezza delle informazioni secondo la norma ISO 27001. Al termine del progetto e in seguito all’ottenimento da parte dell’azienda di questa ulteriore certificazione ISO, abbiamo chiesto a Giorgia Versini – responsabile del sistema di gestione integrato e ASPP – di raccontarci di questa collaborazione.
Scoprite le motivazioni che hanno spinto questa importante azienda trentina a conduzione familiare ad ottenere questa certificazione e come questo progetto li abbia portati a scoprire ed intervenire su potenziali aree di rischio a livello di sicurezza informatica.
Può presentarci brevemente la vostra azienda?
Miorelli Service S.p.a. è un’azienda di multiservizi che opera sul mercato italiano da oltre 40 anni e ad oggi:
- è presente e opera su tutto il territorio nazionale
- conta oltre 5.000 dipendenti
- serve oltre 7.000 cantieri
- pulisce ogni giorno oltre 6.000.000 di mq di immobili
Miorelli Service offre un’ampia gamma di servizi quali la progettazione, organizzazione ed erogazione di servizi di pulizia, sanificazione, disinfestazione e derattizzazione – in qualsiasi ambito (civile, infrastrutturale, industriale, ospedaliero, mezzi di trasporto). Oltre al core business dei servizi di pulizie e sanificazione, offriamo servizi di facchinaggio e movimentazione; portierato e reception; ausiliariato; piccole manutenzioni e manutenzione del verde.
Ad oggi la nostra azienda ha ottenuto numerose certificazioni fra cui: UNI EN ISO 14001, UNI EN ISO 9001, UNI ISO 45001, SA8000, UNI EN 16636, EMAS, Ecolabel UE, UNI ISO 37001, ISO/IEC 27001, Family Audit.
Dove siete diretti come azienda? Quali sono i vostri obiettivi?
Seppur di dimensioni medio-grandi, la nostra azienda è un’impresa familiare con obiettivi chiari, definiti e molteplici:
- inclusione sociale
- informatizzazione e digitalizzazione dell’erogazione del servizio
- implementazione di politiche ESG
- sviluppo e diffusione della cultura della sicurezza
Cosa vi ha spinto a voler introdurre un sistema di gestione per la sicurezza delle informazioni secondo la norma ISO 27001?
Essendo uno degli obiettivi l’informatizzazione e digitalizzazione dell’erogazione dei servizi e lavorando prevalentemente con grandi gruppi ed enti pubblici attenti a tale aspetto, abbiamo ritenuto di dover dimostrare un miglioramento della nostra cultura aziendale implementando la norma ISO 27001.
Solamente dall’analisi della matrice dei rischi abbiamo potuto “scoprire” delle aree particolarmente critiche a livello di sicurezza informatica a cui inizialmente non si era data così importanza.
Fra le molte società che offrono consulenza in quest’area, cosa vi ha portato a scegliere ewico per questo progetto?
Sicuramente la massima competenza specifica nel progetto, la serietà e la disponibilità del nostro consulente, che già ci sostiene dall’implementazione del GDPR.
Ci può raccontare come avete integrato nel vostro modo di lavorare le modifiche e soluzioni suggerite, e come avete trovato questo processo?
Avendo già un sistema di gestione integrato per altre certificazioni, con documenti comuni e condivisi, siamo riusciti ad integrare alcune delle modalità operative che richiede la norma ISO 27001 nella nostra documentazione e pertanto nella nostra operatività.
Cosa è cambiato – nel vostro modo di lavorare e di gestire le informazioni – con l’introduzione di questo sistema di gestione?
Tutti i nostri dipendenti prestano maggiore attenzione alla sicurezza e protezione delle informazioni.
La formalizzazione delle procedure e la verifica periodica delle stesse ci ha dato maggior tranquillità. Ora periodicamente vengono controllati in modo analitico e predisposti dei report che spaziano dai controlli dei backup fisici/cloud ai semplici aggiornamenti delle patch.
Concretamente, quali benefici avete ottenuto o vi aspettate di ottenere, come azienda, grazie a questo progetto?
Auspichiamo che i nostri clienti diano importanza a questa certificazione che si differenzia molto per tipologia e verticalità degli argomenti rispetto alle classiche certificazioni.
Speriamo che tutto questo ci porti – oltre alla tranquillità di gestire le informazioni in modo corretto e sicuro – ad un vantaggio competitivo concreto spendibile nelle gare d’appalto.
Ritiene che la vostra cultura aziendale sia cambiata in seguito a questo progetto? Se sì, in che modo?
Certamente, ci ha dato una maggior consapevolezza che è estesa a tutti i livelli gerarchici – la sicurezza, la continuità e l’aggiornamento dei dati in un’azienda come la nostra è alla base di tutto.
Com’è stato lavorare con noi? Ci sono aspetti che vi hanno colpito o che avete particolarmente apprezzato?
Abbiamo iniziato la collaborazione con Ewico circa 2 anni fa e si è dimostrato da subito un partner strategico, competente e affidabile. Avere la sicurezza di essere seguiti da Ewico nel processo di ottenimento della ISO 27001 è stato fondamentale.
Cosa consiglierebbe ad un’azienda che si trovasse ad affrontare sfide simili alle vostre e stesse valutando se investire in un sistema di gestione per la sicurezza delle informazioni?
Di affidarsi ad Ewico per la consulenza in quanto conformarsi alla norma ISO 27001 non è semplice per chi non opera nel campo specifico. Ritengo impossibile sostenere la certificazione “in autonomia”.
Sicuramente è una certificazione impegnativa che impone investimenti e rigore, ma nulla potrebbe essere paragonabile a un blocco delle attività o a potenziali perdite di dati.