Ogni azienda, grande o piccola che sia, si trova costantemente a dover bilanciare due esigenze fondamentali: la gestione del quotidiano, indispensabile per mantenere la competitività nel breve termine, e l’implementazione dei miglioramenti strategici necessari per crescere e innovare.
Per questo motivo, riteniamo che una consulenza esterna non debba limitarsi a fornire un piano d’azione, per quanto accurato e ben strutturato.
Nei nostri progetti ci impegniamo a delineare con chiarezza il percorso da seguire, indicando in modo concreto “che cosa fare” per raggiungere gli obiettivi attesi.
Ma non ci fermiamo alla teoria: affianchiamo il Cliente e i suoi collaboratori sul campo, con un supporto operativo e continuo, fino al raggiungimento dei risultati concordati.
Per raggiungere risultati di eccellenza è indispensabile utilizzare sia le metodologie organizzative più aggiornate sia i migliori strumenti di lavoro disponibili sul mercato, perché soltanto l’effetto combinato di questi due elementi rende possibile un deciso e tangibile cambiamento all’interno dell’organizzazione.
Le aziende in genere non hanno il tempo e, il più delle volte, non hanno le risorse umane da dedicare in autonomia alla ricerca di tali elementi.
Questa è la nostra missione: studiare ed implementare le migliori soluzioni gestionali, rendendo la nostra Clientela soddisfatta di ciò che ha acquistato; loro testimonianza il nostro miglior biglietto da visita.
Questa è la nostra missione: studiare ed implementare le migliori soluzioni gestionali, rendendo la nostra Clientela soddisfatta di ciò che ha acquistato; la loro testimonianza il nostro miglior biglietto da visita.
Parlandovi di me
La mia curiosità ed una formazione opportunamente indirizzata verso le specifiche tematiche dell’ottimizzazione dei processi mi hanno permesso di sviluppare le mie nozioni nell’ambito di aree che ho sempre ritenuto fondamentali per il buon funzionamento di qualsiasi organizzazione: la chiara definizione dei processi di lavoro e l’integrazione di questi con il sistema informativo aziendale. Una solida comprensione di teorie organizzative, quali, ad esempio, la TOC (Theory of Constraints – Teoria dei Vincoli), nonché dei meccanismi di funzionamento di sistemi ERP affermati quali SAP, Business Central, etc., sono stati determinati per lo sviluppo di progetti che hanno portato risultati concreti e tangibili alle Aziende Clienti.
Una pagina importante della mia vita lavorativa è stata indirizzata al settore dei servizi in ambito sanità e cura della persona, mondo al quale mi sono dedicato con particolare attenzione nella consapevolezza di quale impatto possa avere un buon sistema organizzativo non soltanto in ordine alla qualità della degenza del paziente/ospite bensì anche e soprattutto in ordine alla corretta gestione del personale medico, infermieristico, ausiliario ed amministrativo.
I passi significativi
Nel 1996, una volta conseguita la laurea in Ingegneria Meccanica presso l’Università degli Studi di Brescia con tesi svolta nel campo dell’organizzazione aziendale, ho iniziato una collaborazione con un primario studio di consulenza all’interno del quale ho affinato le mie conoscenze e che mi ha dato l’opportunità di relazionarmi con importanti aziende italiane operative sia nel settore produttivo che in quello dei servizi.
L’incontro con persone di comprovata esperienza mi ha spinto, nel 2001, a costituire la mia prima società di consulenza, esperienza che ha contribuito ad accrescere le mie competenze anche sotto l’aspetto della gestione diretta delle risorse umane ed economiche, in un contesto di progetti via via sempre più complessi e multidisciplinari.
Lo sviluppo del mercato, le leggi e normative emanate nel corso degli ultimi anni, nonché la mia naturale vocazione e predisposizione all’informatica, mi hanno spinto già nel 2009 ad approfondire anche aspetti particolari quali la Sicurezza delle Informazioni, la Cyber Security e la Business Continuity.
Nel 2011, la scelta di diventare Managing Partner di una stimolante realtà industriale di media dimensione ma di grande complessità organizzativa, nel settore premium di mercato, mi ha consentito di implementare ancor più nel dettaglio le competenze apprese nel corso degli anni, regalandomi l’opportunità di allargare ulteriormente i miei orizzonti e di migliorare la mia efficacia come consulente.
Servizi
Services Catalog
Riuscireste a guidare un’auto nella quale i componenti non rispondono ai vostri comandi o che, peggio, compiono azioni in disaccordo?
Migliorare l’organizzazione attraverso il reengineering dei processi interni è sostanziale sia per coloro che producono sia per coloro che erogano servizi, ed è il passo preliminare e propedeutico a qualsia ulteriore azione di sviluppo.
Fruire di una consulenza che abbia già maturato una significativa esperienza sul campo è fondamentale per introdurre metodiche efficienti ed efficaci, da subito, senza incorrere in perdite di tempo.
Garantire la Sicurezza delle Informazioni non significa soltanto implementare una buona Cyber Security. La Sicurezza Informatica, infatti, non garantisce di per sé che le tre grandezze fondamentali Disponibilità, Integrità e Riservatezza dei dati di business (o dei dati personali) siano implementate e mantenute nel corso del tempo.
Siamo in grado di supportavi nella costruzione di un Sistema di Gestione per la Sicurezza delle Informazioni rispondente alla UNI CEI EN ISO/IEC 27001, incluse le linee guida 27017 e 27018 (rispettivamente “Controlli avanzati per fornitori e clienti di servizi cloud” e “Fornitori di servizi cloud pubblici per la gestione dei dati personali”), nonché nella costruzione dell’analisi dei rischi rispondente e alla gestione del rischio in base alla norma ISO 31000 “Risk management”.
La recente crisi pandemica mondiale ha ulteriormente stimolato l’interesse verso questo schema normativo che specifica i requisiti necessari al fine di implementare un Sistema di Gestione che protegga la propria azienda da possibili “eventi destabilizzanti”.
Un’adeguata preparazione, a partire da una ben ponderata Business Impact Analisys (BIA), consente di costruire un efficace sistema di gestione (il così detto BCMS – Business Continuity Management System) che garantisca la continuità operativa anche in presenza di scenari, ipotizzati ma possibili, che possono limitare o, peggio, che possono minare la continuità aziendale.
In quest’ambito, la consulenza è essenziale per costruire processi aziendali sufficientemente resilienti, in grado di rispondere sia ad eventi destabilizzanti fisici sia ad attacchi informatici esterni o errori accidentali/comportamenti malevoli causati da risorse interne.
La norma offre l’opportunità ad una azienda che eroga servizi di costruire un catalogo codificato, chiaro ed intellegibile per ogni servizio distribuito, definendo al contempo per ognuno di essi chiari livelli di erogazione (i cosiddetti SLA – Service Level Agreement) da pattuire con i propri Clienti.
Riteniamo che adottare i requisiti della 20000 sia oggi giorno un passo distintivo per porsi sul proprio mercato in modo diverso e trasparente.
Attraverso la stretta collaborazione con lo Studio Legale Lippa, siamo in grado di integrare la Sicurezza delle Informazioni con la Protezione dei Dati Personali in un efficace Sistema di Gestione della Privacy sia nei confronti di soggetti pubblici che nei confronti di aziende private.
Ove richiesto, offriamo un servizio di DPO certificato secondo lo schema UNI 11697 da Cepas-Bureau Veritas nonché certificato a livello internazionale CIPP/E e CIPM secondo lo standard ISO 17024 da International Association of Privacy Professionals (IAPP).
In quest’ambito, l’area di consulenza è completata dalla attività di formazione obbligatoria del personale dipendente e dall’assistenza in sede giudiziaria, sia attiva che passiva, in tutti i casi di contenzioso con l’Autorità Garante o con i soggetti interessati.
Avvalendoci anche di collaborazioni specialistiche, siamo in grado di sviluppare, implementare e mantenere sistemi integrati QUALITA – SICUREZZA – AMBIENTE rispondenti rispettivamente alle norme UNI EN ISO 9001 – UNI EN ISO 14001 – UNI EN ISO 45001.
News
Il concetto di Zero Trust è stato inizialmente proposto nel 2010. Da allora, questo approccio ha guadagnato sempre più rilevanza, specialmente alla luce delle crescenti minacce cyber e della digitalizzazione accelerata.
Il National Institute of Standards and Technology (NIST) ha formalizzato questo approccio nel Special Publication 800207, definendolo come un modello di sicurezza informatica che nega l’accesso per impostazione predefinita e richiede la verifica esplicita di ogni tentativo di accesso alle risorse, indipendentemente dalla posizione.
L’implementazione del modello Zero Trust richiede una trasformazione profonda non solo dell’infrastruttura tecnologica, ma anche della cultura organizzativa.
Secondo un recente studio di Gartner, entro il 2025, il 60% delle organizzazioni utilizzerà Zero Trust come punto di partenza per la sicurezza, rispetto a meno del 10% nel 2021.
Questo cambiamento paradigmatico è guidato dalla crescente consapevolezza che il tradizionale modello di sicurezza perimetrale non è più sufficiente in un’era di cloud computing, lavoro remoto e minacce cyber sempre più sofisticate.
Le nuove modalità di lavoro agile, sempre più diffuse anche in Italia, spesso attraverso l’uso di dispositivi non aziendali e mobili, la necessità di essere operativi sempre e ovunque, il contesto geopolitico internazionale, la transizione verso il cloud e le recenti evoluzioni dell’intelligenza artificiale, rendono necessario ripensare il modello di sicurezza per aziende e enti pubblici, al fine di mitigare i rischi crescenti legati alla sicurezza informatica.
Il modello Zero Trust si basa su tre principi fondamentali identificati dal NIST:
- Verifica esplicita di ogni accesso: Ogni richiesta deve essere autenticata e autorizzata in base all’identità dell’entità richiedente e al contesto della richiesta. Questo include non solo l’identità dell’utente, ma anche fattori contestuali come il dispositivo utilizzato, la posizione geografica e il comportamento storico
- Privilegio minimo: Gli accessi devono essere limitati a ciò che è strettamente necessario per svolgere le attività richieste. Larga parte degli attacchi cyber sfrutta infatti privilegi eccessivi per muoversi lateralmente all’interno delle reti
- Assunzione della compromissione: Il sistema deve operare presumendo che sia già stato compromesso. Questo principio si traduce in pratiche come la microsegmentazione della rete, il monitoraggio continuo e la risposta automatizzata agli incidenti.
L’implementazione di questi principi richiede un’architettura stratificata che integri molteplici tecnologie e processi, così articolata:
- Trust degli utenti: al centro del modello Zero Trust vi è l’utente, o meglio la fiducia riposta nell’utente, non in modo generico ma in relazione al ruolo ricoperto all’interno dell’organizzazione. Ogni organizzazione, anche di media complessità, non può più permettersi di applicare privilegi di accesso uniformi. È essenziale raggruppare gli utenti in base ai loro ruoli e alle autorizzazioni necessarie per l’accesso ai servizi, definendo specifiche forme di autenticazione in funzione del profilo di rischio associato. La fiducia negli utenti si basa sul garantire che l’utente sia effettivamente chi dichiara di essere e non un impostore.
- Trust dei dispositivi: una volta verificata l’identità dell’utente, è fondamentale valutare il dispositivo che l’utente sta utilizzando. Le modalità di lavoro agile e in mobilità hanno ampliato l’utilizzo non solo di dispositivi aziendali, ma anche di dispositivi di proprietà dell’utente o dispositivi utilizzati in contesti estemporanei, come quelli di terzi, di Internet café o stazioni condivise pubbliche. La classificazione del livello di fiducia da riporre in un dispositivo è un aspetto cruciale, poiché determina se il dispositivo può accedere ai sistemi dell’organizzazione e a quali risorse
- Trust del perimetro interno della rete: sebbene il perimetro aziendale non sia più limitato al solo perimetro fisico dietro il firewall, a causa del lavoro remoto, delle interazioni con la supply chain e delle estensioni verso il cloud, il concetto di perimetro aziendale rimane comunque rilevante, ma deve essere ridefinito rispetto alle modalità tradizionali. l nuovo concetto di perimetro aziendale può essere inteso come il contesto in cui viene eseguita un’autenticazione: ogni volta che ci autentichiamo, ci troviamo all’interno del perimetro aziendale e proiettiamo il nostro dispositivo all’interno di questo perimetro in modo più o meno forte. In questo senso, il perimetro aziendale comprende non solo la rete cablata dell’organizzazione dietro il firewall, ma anche le VPN, i servizi cloud, le reti wireless autenticate e le aree riservate dei siti web aziendali. Tutto ciò che non rientra in queste definizioni deve essere considerato come non trusted e, quindi, come una potenziale fonte di rischio.
- Trust delle applicazioni: il controllo a livello applicativo è cruciale per la protezione dei dati, che siano dati personali soggetti al GDPR o dati strategici per l’organizzazione, come risultati di ricerca, brevetti o piani strategici. La protezione del dato secondo le tre direttive RID (Riservatezza, Integrità, Disponibilità) richiede una piena implementazione del modello Zero Trust per ridurre i rischi correlati. Questo livello di controllo non è raggiungibile se i precedenti elementi del modello Zero Trust non sono stati affrontati correttamente dal punto di vista organizzativo. Ad esempio, non è praticabile creare una whitelist o blacklist di applicazioni senza che il dispositivo sia sotto la gestione dell’organizzazione e che siano implementate policy di compliance per gli applicativi permessi o vietati. Analogamente, risulta inefficace assegnare privilegi agli utenti senza verificare la loro identità e la modalità con cui si collegano alla rete. La gestione dei privilegi e l’applicazione del principio del privilegio minimo all’interno di un’organizzazione riducono il rischio di accessi non autorizzati o alterazioni ai dati, proteggendo anche da danni accidentali. Limitare l’operatività di ciascun utente a un contesto definito è fondamentale per minimizzare tali rischi.
- Misurare e controllare e affinare il modello di Trust: analogamente ai processi di gestione della qualità, il feedback continuo dal contesto operativo è essenziale per instaurare un ciclo virtuoso di miglioramento incrementale, che si traduce in una progressiva maturazione della postura di sicurezza aziendale. Il monitoraggio del modello Zero Trust richiede l’impiego di metriche strutturate e specifiche, che riflettano in modo accurato lo stato di sicurezza dell’organizzazione.
Fonte: ICT Security Magazine – Maggio 2025
Giugno 2025
Sta arrivando il Cyber Resilience Act, una nuova legge europea che imporrà ai produttori di prodotti IOT di garantire aggiornamenti di sicurezza per almeno cinque anni. Chi non rispetterà le regole rischierà multe fino a 15 milioni di euro. Le prime misure entreranno in vigore nel 2025, con l’obbligo completo dal 2027.
Per il momento, la situazione è un vero far west. Un’indagine ENISA ha rivelato che nel 2023 il 45% dei dispositivi IoT venduti in Europa non ha mai ricevuto un aggiornamento. Questo significa che le nostre reti domestiche hanno porte aperte agli hacker, che scansionano continuamente il web in cerca di vulnerabilità.
Un caso emblematico è stato il malware Mirai, che ha infettato milioni di videocamere e router in tutto il mondo. Bastarono pochi clic per trasformarli in un’arma digitale capace di mandare offline persino siti di rilievo globale.
Il problema non è solo tecnico. Se un attacco parte dalla nostra rete, anche se causato da un dispositivo compromesso, inizialmente i responsabili sembriamo noi. E provare a spiegare che il colpevole è il frigorifero non sarà così semplice. Si rischiano guai seri, anche legali.
Maggiori informazioni sul blog di Marco Camisani Calzolari – Link
Marzo 2025
L’intelligenza artificiale sta trasformando profondamente sia il settore industriale che la società, grazie alla digitalizzazione e all’automazione. Questa evoluzione porta con sé grandi opportunità, ma anche rischi che necessitano di una gestione attenta e strutturata.
In Europa, il Regolamento sull’IA (AI Act) è stato sviluppato per garantire un utilizzo responsabile di questa tecnologia. Esso stabilisce obblighi specifici per fornitori e produttori di sistemi di intelligenza artificiale, regolando la loro immissione nel mercato unico dell’UE.
Per rispondere a queste sfide, anche l’Infrastruttura per la Qualità ha avviato la definizione di standard specifici. Tra questi, la norma internazionale UNI CEI ISO/IEC 42001:2024, pubblicata nel 2023 e adottata a livello europeo nel 2024, è ora disponibile anche in versione italiana.
Le organizzazioni che scelgono di adottare la UNI CEI ISO/IEC 42001 potranno dimostrare la conformità a diversi requisiti dell’AI Act, come la gestione dei rischi, la trasparenza e la documentazione dei processi.
Questo standard è pensato per supportare enti pubblici e aziende nello sviluppo, nell’uso e nell’adozione responsabile dell’intelligenza artificiale. Basandosi sulla Harmonized Structure (HS), facilita inoltre l’integrazione con altre norme di gestione, offrendo un quadro unificato in termini di terminologia e struttura.
Gennaio 2025
L’email è uno dei principali vettori di attacco utilizzato dai cybercriminali, con minacce che includono malware, phishing e ransomware.
Il white paper “Email Security: Intelligenza Artificiale, Protocolli e Best Practice contro gli Attacchi Informatici” a cura di Fabrizio Giorgione analizza in dettaglio le tecnologie e le strategie necessarie per proteggere le comunicazioni via email. L’autore sottolinea come l’email security sia una parte essenziale della cyber security, mirata a prevenire l’esecuzione di malware, URL malevoli ed esfiltrazione di informazioni sensibili.
Per saperne di più clicca qui
Giugno 2024
L’Unione Europea ha adottato il primo schema di certificazione della cyber security sui criteri comuni, redatto da ENISA, che potrebbe rappresentare il via per altri schemi già in preparazione. Ecco tutti i dettagli e le modalità di adozione
Per saperne di più clicca qui
Febbraio 2024
Nelle loro scelte strategiche per la tutela dell’ambiente, l’efficienza energetica e la circolarità, le imprese e le istituzioni richiamano gli elementi cardine dello sviluppo sostenibile, e scelgono le certificazioni rilasciate da organismi accreditati.
Per saperne di più clicca qui
Ottobre 2023
Negli appalti pubblici europei i certificati Iso emessi da società britanniche non possono essere più utilizzati in conseguenza della Brexit.
Per saperne di più clicca qui
Maggio 2023
L’Unione Europea lavora da tempo per applicare la stessa metodologia ai temi ambientali e per questo ha elaborato due indicatori per misurare e calcolare l’impatto della produzione e dei consumi dell’Unione europea.
Per saperne di più clicca qui
Aprile 2023
Contenuti ingannevoli, fuorvianti, falsificati o fabbricati ad arte vengono regolarmente creati e diffusi online a mezzo BOT con l’intento di creare confusione e ampliare le divisioni politiche-sociali, o di commettere crimini.
Per saperne di più clicca qui
Dicembre 2022
È stata recentemente pubblicata l’attesa terza edizione della ISO/IEC 27001, intitolata (con l’importante aggiunta delle parole cybersecurity e privacy protection, assenti nei titoli delle vecchie edizioni) “Information security, cybersecurity and privacy protection I Information security management systems / Requirements”.
L’aggiornamento dello standard – inizialmente rilasciato nel 2005 e già varie volte integrato tramite revisioni quinquennali o technical corrigenda specifici – ha lo scopo di allineare i requisiti alle nuove esigenze di sicurezza di aziende ed enti istituzionali nei vari Paesi, a prescindere dal segmento di business o dalle finalità perseguite dalle singole organizzazioni.
Come le antecedenti edizioni, la norma s’impone a titolo di riferimento per ogni sistema di gestione per la sicurezza delle informazioni (SGSI nell’acronimo italiano, ISMS – Information Security Management System in inglese) sul piano internazionale.
Per saperne di più clicca qui
Novembre 2022
Circa il 50% di tutti i nuovi veicoli venduti quest’anno saranno veicoli connessi, e molti tra gli osservatori di questo mercato hanno stimato che la cifra salirà a circa il 95% entro il 2030.
Tali connessioni via Bluetooth®, USB, LTE, 5G, Wi-Fi® e altro portano ai consumatori molta comodità. Tuttavia, gli hacker sono molto entusiasti delle possibili superfici di attacco, in drammatico aumento, che questa comodità aggiuntiva porta. Tutti i software possono essere soggetti a bug e i bug sono sfruttabili dagli hacker.
Per saperne di più clicca qui
Ottobre 2022
Lo scorso 18 maggio il Comitato interministeriale per la Cybersicurezza, presieduto dal premier Mario Draghi, ha approvato la Strategia Nazionale di Cybersicurezza (2022-2026) e l’annesso Piano di implementazione, entrambi elaborati dall’Agenzia per la Cybersicurezza Nazionale (ACN).
Per saperne di più clicca qui
Giugno 2022
Un errore frequente avviene quando un telefono aziendale di un collaboratore viene riassegnato ad un’altra persona.
Solitamente viene eseguita una re-inizializzazione del dispositivo, in modo da eliminare tutti i contenuti presenti, proteggendo così la privacy del precedente collaboratore.
Ma attenzione: se con lo stesso numero telefonico viene riattivato WhatsApp, LE VECCHIE CHAT RITORNANO MAGICAMENTE VISIBILI. Perciò, non dimenticate di cancellare anche queste!
Marzo 2022
Una delle vulnerabilità più importanti del 2021: così mi sentirei di definire la CVE-2021-44228 anche comunemente denominata Log4Shell, la nota vulnerabilità rilasciata pubblicamente il 10 dicembre del 2021 che affligge la libreria log4j realizzata da Apache e che potrebbe esporre oltre 3 miliardi di dispositivi in tutto il mondo.
Dicembre 2021
Un gruppo di ricercatori del dipartimento di fisica della Sapienza Università di Roma ha inviato una chiave quantistica in modalità wireless tra due edifici del campus distanti circa 250 metri, usando come sorgente un quantum dot
Giugno 2021
Come già anticipato qualche mese fa, purtroppo gli attacchi Ramsoware sono stati i protagonisti nel corso del 2021.
La crescita dei riscatti pagati ne sono una prova inequivocabile.
Giugno 2021
Gli attacchi di cybersecurity hanno registrato un’impennata eccezionale nel primo semestre 2020 – 850 attacchi – il 7% in più rispetto allo stesso periodo dell’anno precedente.
Sfortunatamente la tendenza in aumento sembra confermata anche per il 2021.
Marzo 2021
Nella notte del 10 marzo 2021, alle ore 00.47, un incendio ha devastato uno dei quattro datacenter della compagnia, il SBG2, danneggiando parzialmente un secondo datacenter, il SBG1.
L’impatto dell’indisponibilità del servizio di Cloud Service Provider è stato elevato, con molti siti irraggiungibili, tra i quali si annoverano anche quelli appartenenti ad istituzioni e amministrazioni pubbliche italiane.
Marzo 2021
