Una storia di successo
Gruppo Manyways

Il gruppo Manyways ha deciso di gestire la transizione al cloud nell'ottica della sicurezza delle informazioni, modificando processi, sistema ed infrastruttura tecnologica in accordo con lo standard ISO 27001.

Il gruppo Manyways

Il Gruppo Manyways si occupa di sviluppo di soluzioni tecnologiche informatiche, opera nel campo sanitario, dell'energia, nella Pubblica Amministrazione e su importanti organizzazioni private.

I progetti e le soluzioni Manyways si basano principalmente su tecnologia web e riguardano prevalentemente gestionali e soluzioni per la gestione di workflow.

Al passo con le attuali tecnologie e con le richieste del mercato, Manyways, negli ultimi anni, ha iniziato ad offrire le proprie applicazioni e quelle sviluppate taylor made su specifica dei clienti attraverso servizi cloud secondo il paradigma SaaS.

SaaS - Software as a Service - è un modello di servizio nel quale viene offerta al cliente la possibilità di fruire di un software tramite web, previo pagamento di un abbonamento il cui valore può essere funzionale delle risorse utilizzate, del numero di utenti o di altri parametri di configurazione.
Rispetto alla diffidenza iniziale di qualche anno fa, le organizzazioni oggi si stanno muovendo verso questa tipologia di servizi accettando rischi in termini di riservatezza, spesso infondati, ma ottenendo innumerevoli vantaggi in termini di disponibilità, riduzione della complessità e di minimizzazione dei costi di infrastruttura.

Erogare servizi cloud non è semplice, oltre alle competenze in materia di sviluppo occorre disporre di conoscenze sistemistiche, di sicurezza delle informazioni e legate alla gestione del ciclo di vita delle applicazioni.
Il passaggio da prodotto a servizio è complesso e deve essere gestito in modo strutturato per non rischiare di compromettere la fiducia dei clienti. Inoltre, erogare servizi SaaS introduce nuovi rischi legati alla privacy in quanto i provider assumono il ruolo di responsabile per il trattamento su ogni istanza delle applicazioni.

photo-43

L'applicazione dello standard ISO 27001 per la sicurezza delle informazioni

Vediamo come Manyways, supportata dalla consulenza tecnica di QSA, ha deciso di gestire la transizione al cloud nell'ottica della sicurezza delle informazioni, modificando processi, sistema ed infrastruttura tecnologica.

I processi

I processi aziendali sono stati ridisegnati, definendo specifiche responsabilità legate ai servizi cloud e procedurizzando le fasi di acquisizione del contratto, attivazione del servizio, personalizzazione dell'applicazione. Ma anche regolando sia contrattualmente che nei processi interni le fasi di interruzione del contratto e consegna della base dati al cliente.

Il sistema

Al fine di garantire la sicurezza delle informazioni, tutelare la privacy dei clienti e dimostrare l'impegno in materia di sicurezza è stato affiancato al sistema di gestione per la qualità secondo ISO 9001 un sistema per la gestione delle informazioni secondo ISO 27001.

Al set di controlli standard sono stati aggiunti quelli riportati nelle norme:

  • ISO 27017 - Controlli di Sicurezza per i Servizi Cloud
  • ISO 27018 – Controlli per la protezione delle informazioni personali in cloud pubblici.

Contestualmente alla introduzione del sistema sono stati migliorati i contratti di fornitura e adeguata la documentazione del set privacy estendendola ai servizi di tipo SaaS.

L’infrastruttura

L’infrastruttura sulla quale si appoggiano le applicazioni e le basi dati delle soluzioni SaaS è stata migliorata migrando verso fornitori di tecnologie PaaS – Platform as as Service. Nel passaggio sono inoltre stati implementati servizi di protezione, log, replica geografica, versionamento, backup e di autenticazione sicura.

L’intervento tecnico ha permesso gestire la transizione efficacemente e di migliorare la gestione della sicurezza delle informazioni attraverso l’implementazione del sistema ISO 27001. L’analisi dei rischi iniziale ha evidenziato le potenziali minacce e le vulnerabilità, l’applicazione dei controlli di sicurezza e il piano di intervento ha permesso di gestire efficacemente il rischio.

Sono state poste solide basi per offrire soluzioni avanzate e sicure che consentiranno di raggiungere i nuovi obiettivi di business.

Le nostre storie di successo