SPI Certificazioni ISO

Services

Servizi

Servizi

SPI offre alle Amministrazioni Comunali una serie di servizi utili per realizzare (e soprattutto migliorare nel tempo) il proprio “Piano di Protezione Civile”.

I servizi descritti di seguito saranno realizzati da personale SPI e da specialisti qualificati (ad es. ingegneri iscritti all’albo o partner tecnici) di provata esperienza.

Digitalizzazione PEC

Questo servizio permette ad un Comune che utilizza per la prima volta i servizi del sistema TEGIS per realizzare il proprio PPC, di recuperare tutta l’informazione presente in una precedente versione del piano (anche se è ancora nel formato ormai obsoleto di “Piano di Emergenza Comunale – PEC ”).

Il PEC/PPC cartaceo viene convertito in informazioni digitali, caricate nel Repository cartografico del sistema TEGIS, in modo che possa essere:

  • Prodotto nel formato aggiornato del PPC a partire dalla base dati cartografica ed informativa di TEGIS
  • Facilmente accessibile in via informatica, a partire dal sito del Comune
  • Facilmente aggiornato, anche nel caso di evoluzioni normative
  • Migliorato, per la gestione di specifici Rischi
  • Utilizzato come base per altri interventi legati alla gestione della sicurezza, gestiti da altre funzioni di TEGIS
Microzonazione Sismica (MS)

La Microzonazione Sismica rappresenta uno strumento per analizzare la pericolosità sismica locale, attraverso l'individuazione di zone del territorio caratterizzate da comportamento sismico omogeneo. Questa Analisi è necessaria per orientare le scelte nell’ambito della pianificazione territoriale e dell’emergenza, nonché per fornire un supporto alla progettazione delle costruzioni. Agli Studi di Microzonazione può essere associata l’Analisi della “Condizione Limite per l’Emergenza” dell’insediamento urbano (CLE), che valuta l’adeguatezza degli elementi che, a seguito di un evento sismico, devono garantire l’operatività della maggior parte delle funzioni strategiche per l’emergenza, la loro accessibilità e connessione.

Nella pianificazione d’emergenza, sia di livello comunale che provinciale, gli studi di MS consentono una migliore e consapevole individuazione degli elementi strategici di un piano di emergenza ed in generale delle risorse di protezione civile.

La conoscenza dei possibili effetti locali indotti da un evento sismico su un territorio contribuisce a:

  • scegliere aree e strutture di emergenza ed edifici strategici in zone stabili;
  • individuare, in caso di collasso, i tratti “critici” delle infrastrutture viarie e di servizio e le opere rilevanti per le quali potrebbero essere necessarie specifiche valutazioni di sicurezza.

La Microzonazione Sismica rappresenta quindi un utile servizio di affinamento del Rischio Sismico, che è compreso nel PPC.

Calcolo Condizione Limite per l’Emergenza (CLE)

La Condizione Limite per l’Emergenza (CLE) è lo strumento di verifica dei principali elementi fisici di gestione dell’emergenza, individuati a partire dai Piani di Protezione Civile (aree di emergenza, edifici strategici e infrastrutture di collegamento).

Ha l’obiettivo di garantire l’operatività del sistema a seguito di un evento sismico. Gli elementi che costituiscono il sistema di gestione dell’emergenza sono 5: Edifici Strategici (ES), Aree di Emergenza (AE), Infrastrutture di Accessibilità e Connessione (AC), Aggregati Strutturali interferenti (AS) e Unità Strutturali (US).

L'analisi CLE dell’insediamento urbano viene condotta in concomitanza agli studi di microzonazione sismica (MS), al fine di una migliore integrazione degli interventi di mitigazione sul territorio previsti dal piano nazionale per la prevenzione del rischio sismico (L. 77/2009)

L’analisi della CLE dell’insediamento urbano viene sviluppata a partire dai dati contenuti nel Piano Comunale di Protezione Civile vigente e comporta:

  1. l’individuazione degli edifici e delle aree che garantiscono le funzioni strategiche per l’emergenza;
  2. l’individuazione delle infrastrutture di accessibilità e connessione con il contesto territoriale degli oggetti di cui al punto 1 e gli eventuali elementi critici;
  3. l’individuazione degli aggregati strutturali e delle singole unità strutturali che possono interferire con le infrastrutture di accessibilità e connessione con le aree di emergenza.

L’analisi della CLE non può quindi prescindere dal piano di emergenza o di protezione civile ed è un'attività che serve per verificare (o migliorare) le scelte contenute nel piano.

Ricerca Finanziamenti in ambito Gestione Rischi

A livello Regionale, Nazionale ed Europeo vengono periodicamente aperti Bandi per finanziare Progetti innovativi destinati a migliorare le gestione dei Rischi del Territorio, e per ottenere i finanziamenti viene richiesto ai Richiedenti (ad esempio Comuni) di preparare un progetto Funzionale, Tecnico, Economico con chiari obiettivi e garanzie di ottenere i risultati attesi, progetto che deve infine risultare vincente sulla base di una serie di prestabiliti criteri di valutazione.

SPI può aiutare i propri Clienti (già acquisiti o potenziali) a partecipare a questo tipo di Bandi,  collaborando alla produzione del progetto tecnico-economico da presentare insieme alla Domanda per i Finanziamenti.

SPI, anche insieme ad altri partner tecnici selezionati sulla base delle caratteristiche del singolo Bando, fornirà tutte le informazioni necessarie sui propri prodotti, sui propri metodi di gestione dei Rischi, insieme alla propria conoscenza ed esperienza di tecniche di EuroProgettazione, al fine di preparare un progetto vincente per la Amministrazione che vorrà rispondere al Bando in partnership con SPI.

Questi finanziamenti, quando acquisiti, avranno un impatto migliorativo sul PCC e sui sistemi collegati, innescando un processo di continuo miglioramento della gestione dei rischi sul territorio.

La gestione dei Rischi di un Comune presuppone la necessità di gestire dati sensibili dei propri cittadini, ad esempio i dati anagrafici e personali degli appartenenti alle fasce più deboli.

SPI garantisce che i dati trattati dai propri sistemi soddisfano alla normativa per la gestione della Privacy e del trattamento dei dati personali contenuta nel GDPR vigente, ma anche il Comune dovrebbe avere la stessa cura per trattare i dati sensibili quando sono utilizzati nelle procedure della sua amministrazione.

La mancanza di attenzione nel trattare i dati personali secondo le direttive del GDPR può diventare motivo di contestazione al Comune stesso, anche nel caso che il Comune sia vittima di un tentativo fraudolento di accesso a dati riservati (sia contenuti negli archivi informatici che in altri formati): la mancata “difesa preventiva” dei dati affidati alla Amministrazione Pubblica è considerata una mancanza a cui il comune potrebbe dover rispondere.

SPI può mettere la propria esperienza nella protezione dei dati sensibili secondo le direttive del GDPR, a vantaggio delle Amministrazioni Pubbliche, per aiutarle a gestire il proprio “Rischio Organizzativo”.

(Non è necessario che la Amministrazione sia già cliente SPI, si tratta di servizi che possono essere erogati da SPI indipendentemente dall’acquisto di altri Prodotti.)

SPI raccomanda ai propri Clienti di verificare l’effettiva aderenza al GDPR dei propri sistemi e procedure, come ulteriore verifica della completezza delle procedure del PPC, che devono anche prevedere la salvaguardia dei Dati della Amministrazione, oltre che la salvaguardia delle persone e delle infrastrutture.

Protezione Del Know-How Riservato e delle Informazioni Commerciali Riservate

La direttiva n. 943/2016 è  volta alla “protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti”.

A livello nazionale la tutela apprestata dal legislatore è contenuta nel Codice della proprietà industriale che all’art. 98, indica che costituiscono oggetto di tutela i segreti commerciali, ossia le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali (ad es. la lista di clienti, fornitori, prodotti ecc.), soggette al legittimo controllo del detentore, a condizione che tali informazioni abbiano i seguenti requisiti:

  • segretezza: nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;
  • valore economico: abbiano valore economico in quanto segrete ovvero siano suscettibili di sfruttamento ed utilizzo nell’ambito di un’attività economica con relativo vantaggio concorrenziale da parte del detentore degli stessi;
  • misure di sicurezza: le informazioni devono essere sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.

Tale ultimo aspetto è molto importante soprattutto alla luce della Direttiva che, all’art. 11, enuncia il principio secondo cui le autorità, competenti a giudicare della sussistenza o meno della violazione del segreto, devono valutare anche se il soggetto il cui diritto si ritiene violato abbia attuato le dovute misure per la tutela.

In caso negativo, seppure un’informazione risultasse segreta, non sarebbe tutelabile a livello giudiziale. È dunque necessario costruire una corretta protezione, dimostrabile e documentabile e verificabile caso per caso.

SPI può aiutare le Amministrazioni a proteggersi dai rischi di violazione del Know-How e delle Informazioni Riservate con una serie di interventi coordinati, realizzati dai propri Consulenti.

Adozione GDPR

Per ottemperare correttamente alle disposizioni ed essere conformi al Regolamento UE in materia di data protection n. 679/2016 (GDPR-General Data Protection Regulation) le aziende devono definire un percorso di adeguamento ed essere in grado di dimostrare le azioni implementate e quelle ancora da implementare, opportunamente inserite all’interno di un piano d’azione.

Viene effettuata una mappatura della struttura dei processi attualmente operativi nella vostra società per il garantire la privacy dei dati, attraverso una revisione delle seguenti aree:

  • Governance della protezione dei dati
  • Gestione del rischio
  • Responsabile della protezione dei dati
  • Ruoli e responsabilità
  • Ambito di conformità
  • Processi di dati personali
  • Sistema di gestione delle informazioni personali (PIMS)
  • Sistema di gestione della sicurezza delle informazioni (ISMS)
  • Diritti degli interessati
  • DPIA Valutazione di impatto e rischio del trattamento
  • Privacy by Design

In sostanza, la conformità al GDPR porta alla adozione di un mix di misure organizzative e tecniche, mediante le quali si può da un lato ridurre il rischio da parte delle organizzazioni di incorrere nelle suddette sanzioni e dall’altro cogliere l’occasione per mitigare il rischio di essere esposti ad attacchi informatici che possono arrivare a bloccare gli iter amministrativi / la produzione industriale, o a far trapelare informazioni riservate.

Si tratta quindi non solo di aderire ad un astratto “standard” quanto piuttosto di mettere in campo azioni necessarie per proteggere la sicurezza, e in ultima istanza, la capacità di sopravvivenza del proprio Ente, della propria Azienda, a fronte del rischio di “perdita dei dati”, che deve essere uno dei rischi considerati (e mitigati) dal PPC.

Servizi DPO

Il Responsabile della Protezione dei Dati (Data Protection Officer) è una figura professionale esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento dei dati personali, e dunque la loro protezione, all'interno di enti come un'impresa, un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente.

Questa figura può essere anche ricoperta da una persona esterna all’organizzazione, se l’organizzazione non dispone di queste competenze al suo interno.

I consulenti SPI, in possesso dell’”Attestato di Competenza” in ambito DPO rilasciato da TÜV Italia e soci di FEDERPRIVACY, possono ricoprire questo ruolo, con il vantaggio di essere persone “terze” rispetto alla Amministrazione, e quindi possono intervenire nelle procedure di trattamento dati solo sulla base della propria professionalità, senza avere dipendenze gerarchiche con la Amministrazione stessa.

Preparazione delle aziende per l’auditing iso 27001

La certificazione ISO 27001 serve alle Aziende per garantire di avere delle procedure interne adatte a proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.

I consulenti SPI possono fare una analisi preventiva dello stato dei sistemi e delle procedure della Amministrazione e indicare le azioni da intraprendere per raggiungere la “Digital Security”  prima di chiedere formalmente la Certificazione ISO 27001 ad un Ente di Certificazione Accreditato (ad esempio TÜV). 

Gran parte dei dati gestiti da una Amministrazione sono trattati dai propri sistemi informatici e registrati nei propri archivi Informatici. E’ quindi necessario proteggere le risorse informatiche dal rischio di accessi fraudolenti, o di perdite accidentali, e per questo servono competenze e progetti specifici di miglioramento della “Digital Security”.

SPI dispone di consulenti in grado di verificare il grado di “robustezza” dei sistemi informatici di un ente pubblico o di una impresa privata, e di identificare (e attuare) le contromisure necessarie.

Servizi di Vulnerability Assessment e Penetration Test

Il Vulnerability Assessment e Penetration Test (VAPT) si articola in 3 fasi:

  • identificare il perimetro di azione, cioè quali applicazioni sono critiche per la sicurezza del sistema complessivo e devono essere quindi oggetto di verifica più attenta
  • Vulnerability Assessment, per identificare, quantificare e classificare le vulnerabilità che affliggono un sistema informativo, analizzandone tutti i componenti, siano essi dispositivi di rete, sistemi di difesa perimetrale, PC desktop, workstation o server, con particolare attenzione per questi ultimi alle applicazioni ed ai servizi esposti. Prevede l’uso di strumenti diagnostici volti ad ad identificare i “punti deboli” dei sistemi informatici, punti che potrebbero essere forzati da un hacker per accedere in modo fraudolento ai dati contenuti nelle applicazioni informatiche
  • Penetration Test, per provare a sfruttare le vulnerabilità identificate per accedere ai dati o danneggiare i sistemi. Si tratta di attività che vengono svolte da un professionista con il profilo di “Hacker Etico” che non mira ad ottenere un vantaggio dalle attività di “forzatura” dei sistemi ma solo a dimostrare la possibilità di accessi fraudolenti, in modo che possano essere impediti con interventi mirati sui sistemi.

Al termine del VAPT viene prodotto un report con l’elenco delle vulnerabilità identificate, indicando il loro potenziale pericolo, e le contromisure ritenute necessarie per rendere più sicuri i sistemi.

A seguito del VAPT è sempre opportuno avviare un progetto di “rinforzo” (Hardening) o di miglioramento (Upgrade) dei sistemi, per sanare le vulnerabilità individuate. Al termine del “Computer Upgrade” si può ripetere il VAPT per dimostrare che tutti i problemi di sicurezza sono stati risolti.

Considerando che le tecniche di “attacco hacker” sono in continua evoluzione, è opportuno pianificare attività VAPT più volte nel tempo, per mitigare anche le nuove minacce, e mantenere alto il livello di security informatica (Digitl Security).

Servizi di Gestione della security dei sistemi informatici

Si tratta di servizi continuativi di presidio sistemistico dei Sistemi Informatici, che possono iniziare con una fase di Upgrade dei sistemi stessi, se l’attività di VAPT ha identificato vulnerabilità da sanare.

Personale SPI con il ruolo di “Amministratore di Sistema” (System Administrator) si occuperà di garantire il mantenimento dei livelli di sicurezza conseguiti al completamento delle attività di Computer Upgrading.

Sarà inoltre responsabile di:

  • Consulenza Organizzativa e Gestionale in ambito Tecnologico, per mettere a punto le procedure organizzative di gestione continuativa dei sistemi informatici
  • Interventi mirati per risolvere le problematiche relative alla installazione, configurazione, gestione e monitoraggio dei sistemi operativi che equipaggiano le postazioni di lavoro
  • Gestione delle policy di accesso e degli account degli utenti
  • Gestione delle procedure di Backup e Recovery dei dati

SPI segue i propri Clienti in modo da:

  • renderli autonomi nell’utilizzo dei prodotti che hanno acquisito
  • risolvere tempestivamente i problemi che possono incontrare.

Per questo obiettivo, SPI fornisce servizi di formazione all’uso dei propri prodotti e di Assistenza “a chiamata”.

Formazione iniziale

La formazione sui prodotti SPI può venire erogata in due modalità:

  • on Site, presso il Cliente, con la presenza del docente
  • da remoto, con la modalità del “Web Seminar”

La scelta fra le due modalità dipende dalla numerosità della Classe, dalla complessità della informazione da trasmettere e da motivi contingenti (quali ad esempio limitazioni covid).

La formazione è sempre compresa nelle attività di rilascio dei prodotti SPI ad un nuovo Cliente, e viene rinnovata in caso di rilascio di nuove funzionalità.

Assistenza “a chiamata”

L’Assistenza “a chiamata”, su problemi che riguardano l’uso dei prodotti SPI, viene erogata da consulenti SPI che sono responsabili della manutenzione dei prodotti stessi, per tutta la durata contrattuale del rapporto con SPI, fino al completamento del periodo di garanzia.

  • via canale telefonico, in orario 10-13LU-VE, con risposta immediata
  • via email, con risposta entro il successivo giorno lavorativo.