Case studies

Impatto misurabile: storie di aziende che ci hanno scelto

Caso studio 1: azienda ICT con Certificazioni ISO 9001, ISO/IEC 27001 e UNI PdR 125

L’organizzazione ci contattò all’inizio dell’anno 2024 poichè dopo un triennio di certificazione ISO 9001 e ISO/IEC 27001 non era soddisfatta del valore che ne traeva, di fatto non avendo sviluppato il sistema nella maniera idonea e con la documta consapevolezza non ne traeva alcuna vantaggio a livello organizzativo.

A fronte di un’assessment ci si rendeva conto che il sistema per come strutturato era poco adatto alla dinamicità dell’organizzazione in forte crescita e non portava i vantaggi attesi.

La scelta fu quella di ripartire facendo un reset totale del Sistema di Gestione e con gli incontri di analisi dei processi nei quali il coinvolgimento esteso di tutti gli attori avevano anche funzione formativa.

In questo modo abbiamo fatto crescere la consapevolezza dell’importanza del sistema di gestione come strumento strategico per governare la crescita dell’organizzazione e contribuito al miglioramento della governance dei progetti in relazione all’aquisizione di commesse in ambiti particolarmente critici e con committenti di risonanza internazionale.

I consulenti EtoM hanno supportato l’organizzazione mediante un progetto personalizzato sviluppato con le seguenti fasi:

  • Definizione obiettivi e Pianificazione del progetto;
  • Identificazione dei ruoli e responsabilità;
  • Formazione delle figura individuata come Resp.le del Sistema di Gestione;
  • Analisi dei processi e sessiojjni formative degli attori coinvolti;
  • Supporto nella definizione delle registrazioni come evidenze di attività e controlli svolti;
  • Redazione della documentazione di sistema (Politiche, Procedure, Istruzioni, Regolamenti, ecc.);
  • Esecuzione dell’Audit interno;
  • Gestione dei rilievi emersi;
  • Esecuzione dell’Audit interno di Follow Up;
  • Riesame della Direzione;
  • Scelta dell’Organismo di Certificazione;
  • Assistenza durante l’audit dell’Organismo di Certificazione.

A novembre 2024 l’organizzazione ha brillantemente superato l’Audit dell’Ente di certificazione con un Sistema di Gestione Integrato ISO 9001 e ISO/IEC 27001 completamente nuovo.
A Gennaio 2025 l’organizzazione, soddifatta della precedente esperienza, si pone l’obiettivo di perseguire la certificazione UNI PdR 125 per la Parità di Genere.
Il progetto, gestito con il metodo EtoM, ha portato all’ottenimento della Certificazione nel mese di Maggio 2025.
Attualmente l’Organizzazione ha deciso di avviare l’implementazione dei Sistemi ISO 14001 e ISO 45001 con l’obiettivo di certificarsi nel 3 quarter 2026.

Il caso studio presentato è particolarmente significativo inquanto si è passati da una certificazione formale ad una sostanziale con l’introduzione di tutti ibenefici che questo può rappresentare per lgli obiettivi di Business ma soprattutto per il personale che vi opera in qualisasi ruolo ed in qualsiasi forma.

Caso studio 2: Pubblica Amministrazione centrale (PAC) con Sistemi di Gestione conforme alle norme ISO/IEC 27001 e ISO/IEC 27701

Una rilevante Pubblica Amministrazione Centrale ha contattato EtoM alla fine del 2023. Nonostante l’ente gestisse una mole massiva di dati sensibili dei cittadini, l’approccio alla sicurezza delle informazioni e alla privacy era vissuto come un mero adempimento burocratico. A fronte di un assessment iniziale, emergeva che le misure esistenti erano frammentate, non integrate e non fornivano una reale consapevolezza del rischio e della protezione dei dati personali.

La scelta metodologica è stata quella di operare un progressivo aggiornamento dell’approccio alla sicurezza e alla privacy, avviando incontri di analisi dei flussi amministrativi e tecnici che hanno coinvolto trasversalmente i vari dipartimenti. Questo processo non ha avuto solo una valenza tecnica, ma anche formativa, aumentando la consapevolezza dei funzionari sull’importanza del Sistema di Gestione come strumento di governance strategica per la protezione del patrimonio informativo pubblico.

Sviluppo del progetto (metodo EtoM) Il supporto consulenziale ha seguito un percorso personalizato articolato nelle seguenti fasi:

  • Definizione obiettivi e Pianificazione: Allineamento del sistema ai requisiti della ISO/IEC 27001 (Sicurezza) e all’estensione ISO/IEC 27701 (Privacy/PIMS).
  • Identificazione dei ruoli: Definizione chiara delle responsabilità tra Responsabili della Protezione dei Dati (DPO), CISO e figure operative.
  • Formazione specifica: Sessioni dedicate ai referenti del sistema per garantire l’autonomia nella gestione dei controlli.
  • Analisi dei processi e documentazione: Redazione di Politiche di sicurezza, Procedure per il data breach e Regolamenti interni per il trattamento dei dati.
  • Ciclo di Audit e Riesame: Esecuzione di Audit interni e Audit di Follow Up per verificare la tenuta del sistema prima della certificazione.
  • Supporto nel corso dell’Audit dell’Ente Terzo: Assistenza durante l’audit dell’Organismo di Certificazione prescelto.

Il passaggio da una “compliance formale” a una “sostanziale” ha permesso all’ente di migliorare drasticamente la propria postura di sicurezza e la fiducia dei cittadini nel trattamento dei dati. Visto il successo ottenuto, l’Amministrazione ha già pianificato per il 2025 ulteriori miglioramenti al Sistema di Gestione al fine di renderlo sempre più uno strumento strategico per il raggiungimento degli obiettivi aziendali.