Abbiamo Superato L’Audit ISAE3000 Tipo 1

·

Introduzione

Cari lettori e sostenitori di EGSSIS,

Tutti sono consapevoli dell’importanza di una sicurezza informatica a tenuta stagna quando si tratta di dati e sistemi sensibili, anche se non si è esperti di informatica.

Negli ultimi decenni si è assistito all’aumento di diversi tipi di attacchi che possono paralizzare interi sistemi IT. Non vi esporremo alcun esempio, ma una breve ricerca su google dovrebbe fornirvi qualche anno di lettura 😉 .

In passato (e in alcuni casi ancora oggi), le aziende garantivano il controllo e la sicurezza gestendo i server locali tramite l’esecuzione di applicazioni proprie (o di terzi). Una parte di questa responsabilità si è trasferita ai fornitori IT a causa del passaggio delle applicazioni al “cloud” e delle soluzioni di outsourcing a fornitori specializzati di Software-as-a-Service.

I fornitori di cloud hosting offrono servizi a una frazione dei costi di autoinstallazione sui server locali. I piani di pagamento flessibili evitano grandi investimenti e offrono nuove opportunità per linee di business nuove ed esistenti.

La flessibilità e il controllo dei costi comportano anche dei rischi; la sicurezza, la privacy e la disponibilità sono consolidate come vi aspettate o come richiesto dai vostri supervisori e clienti? Un ISAE 3000 (SOC 2) fornisce tutte le risposte a queste domande e rischi.

COS’È L’AUDIT ISAE 3000, SOC2

ISAE sta per International Standards for Assurance Engagements. Le organizzazioni esternalizzano sempre più spesso processi o dati a fornitori di servizi. I processi o la raccolta di dati che non hanno alcuna relazione con i processi finanziari sono rilevanti per un ISAE 3000 (rapporto SOC 2).

Un rapporto SOC2 è un rapporto di controllo interno che si concentra sui controlli presso un fornitore di servizi rilevanti per la sicurezza, la disponibilità, l’integrità dei processi, la riservatezza e la privacy di un’organizzazione. Un rapporto ISAE 3000 (SOC 2) garantisce che un’organizzazione di servizi mantenga la riservatezza e la sicurezza dei dati durante l’elaborazione o l’archiviazione e che i dati siano accessibili in qualsiasi momento.

COSA SIGNIFICA QUESTO PER VOI

I nostri clienti sono attivi in tutta Europa nel trading, shipping e fornitura agli utenti finale di gas ed elettricità (città, grandi industrie, ecc.). Mentre le nostre soluzioni SaaS sono utilizzate per gestire l’aspetto operativo delle cose, sono strettamente integrate con l’ecosistema software dei nostri clienti.

Dobbiamo scambiare dati con soluzioni software responsabili per il trading, previsioni, prenotazioni di capacità, ecc. Inoltre il nostro software gestisce la comunicazione tra i nostri clienti e le loro controparti (TSO, SSO, ecc.).

Se un messaggio viene intercettato o se i dati sono corrotti, questo potrebbe portare a perdite considerevoli per i nostri clienti sotto forma di costi di sbilanciamento, violazione di contratti (di fornitura), mancata esecuzione di un trade redditizio, o incapacità di consegnare il gas/elettricità dove occorre.

PERCHÉ LO STIAMO FACENDO

“Il motivo per cui stiamo implementando le ISAE / ISO information security framework è perché abbiamo a cuore le vostre informazioni.

Tali framework consistono in una serie di obiettivi di controllo e relative attività di controllo che abbiamo tradotto in politiche e procedure nella nostra organizzazione. Tutti i dipendenti EGSSIS saranno regolarmente istruiti, in modo che lavorino secondo queste politiche e procedure.

L’implementazione di queste procedure in un modo di lavorare già esistente (basato su AGILE) è stata una sfida, perché non volevamo aumentare il carico di lavoro dei nostri dipendenti.  Pertanto, la maggior parte delle procedure sono supportate da flussi di automatizzazione in JIRA / Teams / Strumenti di monitoraggio, dove guidiamo le persone attraverso questi processi.  Come ulteriore vantaggio, i nostri auditor possono raccogliere tutti i dati all’interno di un unico sistema (JIRA).

Quindi, in conclusione, per voi come clienti, potete vedere che diamo valore ai vostri dati e che li gestiamo in modo sicuro seguendo le procedure corrette.”

Jan Corluy – Chief Technology Officer at EGSSIS

I NOSTRI AUDITORI: EY BELGIO

EY Belgium dispone di un team di esperti di sicurezza IT altamente qualificati all’interno della sua divisione Advisory. Durante l’audit di attestazione ISAE3000, Soc2 Type 1, abbiamo lavorato a stretto contatto con il team di EY per valutare, documentare e migliorare una serie di argomenti:

  • Sicurezza e gestione del rischio
  • Gestione del cambiamento
  • Gestione logica degli accessi
  • Recupero dai disastri
    (per saperne di più sul nostro esercizio di DR clicca qui)
  • Gestione degli incidenti
  • Gestione delle vulnerabilità
  • Gestione delle operazioni
  • Gestione dei fornitori

Dopo 9 mesi di duro lavoro del nostro CTO, Jan Corluy, e dei team IT & operations, abbiamo superato con successo l’audit ISAE3000, Soc2 Type 1 il 25/06/2020!

PASSI SUCCESSIVI: ISO 27001

L’implementazione dell’ISAE ci ha fornito l’implementazione di un importante sottosegmento di controlli e attività di controllo del framework ISO 27001.

Per andare avanti sul nostro percorso di implementazione per il progetto ISO, abbiamo attualmente progettato tutti i documenti ISO 27001.  Il passo successivo è ora quello di tradurre questi documenti / politiche in procedure chiare / controlli automatizzati e di allenare i nostri dipendenti nel loro utilizzo.

CONTATTACI PER IL RAPPORTO COMPLETO

Ogni potenziale cliente e cliente che desideri leggere il report di revisione di 71 pagine non deve esitare a chiedere. Mettetevi in contatto tramite il pulsante qui sotto, oppure contattate il vostro account manager EGSSIS!