Sicurezza informatica: il Gruppo Telepass sceglie la ISO 27001

Mag. 10 2021

Il Gruppo Telepass nasce con una missione: offrire alle persone la possibilità di muoversi liberamente. Per farlo crea un sistema integrato di servizi per la mobilità in ambito urbano ed extraurbano. L’azienda si posiziona perfettamente all’interno di un mondo in continua evoluzione digitale anche grazie al suo servizio Telepass pay: un circuito di pagamento che pone al centro le esigenze dei clienti e, attraverso un’unica app, garantisce loro una mobilità più fluida.

Il trattamento dei dati dei clienti diventa dunque un elemento centrale nei servizi offerti da Telepass, motivo per cui l’azienda ha fatto della gestione della sicurezza una sua priorità. Al fine di assicurare la tutela di tali informazioni, Telepass ha ottenuto la Certificazione ISO 27001: uno standard internazionale che garantisce il rispetto dei requisiti necessari ad amministrare un sistema di gestione della sicurezza delle informazioni efficace ed efficiente. Ma la ISO 27001 è molto più di una norma centrata sulla sicurezza informatica, in quanto comprende anche elementi di sicurezza fisica/ambientale e organizzativa.

Per raccontare l’esperienza di Telepass con la ISO 27001 abbiamo scelto di intervistare la Chief Information Security Officer del Gruppo: Manuela Italia, che ci rivela come la ISO 27001 sia un’ottima alleata per coloro che ricoprono ruoli affini al suo:

Italia: “Personalmente sono una fan della 27001! Se declinata in maniera corretta è uno strumento molto importante per figure come me, al fine di avere un aiuto concreto nello strutturare i processi. La trovo utile nel mio lavoro day by day ed è anche una valida fonte di rassicurazione per il cliente”.

Ma come è stato impostato il progetto interno di implementazione del sistema ISO 27001?

Italia: “Il progetto è iniziato a dicembre 2019, con una fase di progettazione del sistema di gestione della sicurezza. È stato un progetto complesso, perchè iniziato in un momento di transizione in cui Telepass era impegnata a riprogettare sistemi e capability interne. In questo contesto, la ISO27001 ha rappresentato uno strumento che ha consentito di completare questa transizione in sicurezza. Le attività principali sono state: un assessment necessario ad identificare i gap rispetto alla norma e al contesto e a definire le azioni di miglioramento per un completo allineamento ai requisiti ISO27001 per l’avvio di un sistema di gestione della sicurezza certificabile.
La formalizzazione del sistema documentale e delle registrazioni è stata sicuramente l’attività maggiormente impegnativa, che ha coinvolto soprattutto l’area CTO, per la forte connotazione tecnologica dei nostri servizi.
Durante tutto il progetto, il coinvolgimento e la partecipazione attiva della senior leadership sono state sicuramente un fattore critico di successo, a supporto delle attività di formazione, di misurazione e di verifica della corretta attuazione nell’ambito dell’avviamento, per la quale abbiamo condotto degli audit interni dedicati.
Durante tutto il percorso, siamo stati affiancati dal nostro partner NTT Data, la società di consulenza che ha supportato Telepass nella creazione e nell’avvio del sistema di gestione della sicurezza con un team dedicato.”

A questo punto abbiamo chiesto a Italia quali fossero i principali cambiamenti e benefici riscontrati in seguito all’adozione della ISO 27001.

Italia: “Il più importante cambiamento interno è stato ottenere una visibilità centralizzata di tutti i processi del sistema ed una gestione integrata dei rischi di sicurezza. Sono state create delle dashboard di monitoraggio che ora vengono esposte a tutti i livelli aziendali. Gli indicatori di security devono infatti condivisi con il top management, perché la sicurezza riguarda tutti i livelli dell’organizzazione.
Telepass e Telepass Pay rispettano in primis le norme contenute nella PSD2 (ovvero la seconda direttiva sui servizi di pagamento, entrata in vigore dal 2016 nell’Unione Europea) e nel GDPR; le prescrizioni della ISO 27001 sono allineate a queste direttive e di conseguenza ci aiutano a gestire in maniera tutti i requisiti normativi di sicurezza.
Il processo di certificazione è stato anche un importante momento di gratificazione, abbiamo infatti ricevuto da parte degli auditor dell’ente certificatore un riconoscimento per aver dimostrato una forte competenza nella gestione della sicurezza, nonostante il periodo di grande cambiamento sia aziendale che del contesto esterno”

Inoltre, il processo di allineamento alla ISO 27001 ci ha abilitati a costruire un framerwork di riferimento per valutare gli standard di sicurezza dei nostri fornitori e partner, per poter richiedere anche contrattualmente l’adozione e l’allineamento allo standard di Telepass.
Passiamo ora ad indagare la percezione sul mercato della ISO 27001. Abbiamo domandato alla Dottoressa Italia se Gruppo Telepass, nella scelta di certificarsi, sia stato guidato da una pressione esterna da parte del mercato.

Italia: “No, la scelta è stata generata principalmente da un’esigenza di crescita interna.
Riprendendo le parole del nostro CEO: “Secondo noi di Telepass la sicurezza delle informazioni è fondamentale, perché i dati degli utenti vengono usati per rendere la mobilità un’esperienza migliore ogni giorno: perché leggere i dati, per noi, significa ascoltare i nostri clienti”.
I clienti sono infatti sempre più consapevoli e attenti alla tutela dei propri dati e per questo volevamo presentarci con uno standard riconosciuto a livello globale. In modo tale da rassicurare gli stakeholder sulla nostra credibilità e alimentare la fiducia data a Telepass nell’ambito della gestione dei dati. Sono stati questi i main driver, insieme alla volontà di rafforzare la cultura aziendale sul tema sicurezza.”

CONTATTACI PER MAGGIORI INFORMAZIONI