Il Gruppo Sofidel, con sede a Porcari (Lucca), è uno dei leader mondiali nella produzione di carta per uso igienico e domestico. Fondato nel 1966, il Gruppo è presente in 13 Paesi – Italia, Spagna, Regno Unito, Francia, Belgio, Germania, Svezia, Polonia, Ungheria, Grecia, Romania, Turchia e Stati Uniti – con oltre 6.000 dipendenti, un fatturato consolidato netto di 1.706 milioni di euro (2018) e una capacità produttiva di oltre un milione di tonnellate annue (1.308.000 tonnellate nel 2018). “Regina” è il suo brand più noto, presente nella maggior parte dei mercati di riferimento. Altri brand: Softis, Le Trèfle, Sopalin, Thirst Pockets, KittenSoft, Nalys, Cosynel, Lycke, Nicky, Papernet. Membro del Global Compact e del programma internazionale WWF Climate Savers, il Gruppo Sofidel considera la sostenibilità un fattore strategico di crescita ed è impegnato nella promozione di uno sviluppo socialmente e ambientalmente responsabile.
Di recente, grazie all’aiuto di Nexpack (divisione packaging & corrugated di MPI Consulting), un Advisor con competenze ed expertise acquisite nel settore del cartone ondulato e packaging, e unico player nazionale a fornire servizi di consulenza di organizzazione aziendale, riorganizzazione dei processi e protocolli di lavoro, certificazioni e sistemi di gestione, analisi customer satisfaction, business intelligence e consulenza in ambito M&A (operazioni societarie e di finanza straordinaria), il Gruppo Sofidel ha ottenuto la Certificazione IT Security ISO 27001.
È innegabile che le minacce e le violazioni dei sistemi di sicurezza siano in continuo aumento. Pertanto, è diventato oramai inevitabile dotarsi di un vero sistema che garantisca la gestione sicura dei dati e delle informazioni – le informazioni custodite con mezzi informatici e supporti IT hanno sempre più criticità – così da garantire la protezione dei dati e delle informazioni, per assicurarne l’integrità e la riservatezza.
La Certificazione IT Security ISO 27001 è il principale standard organizzativo riconosciuto a livello internazionale che permette di realizzare un sistema di gestione della Sicurezza delle Informazioni (ISMS – Information Security Management System) in grado da adottare standard, procedure e protocolli in modo pianificato tale da coprire tutti i processi che impattano le caratteristiche e problematiche di security, sia sugli aspetti organizzativi sia su quelli tecnologici.
In sostanza, lo standard ISO 27001, quando non viene addirittura previsto contrattualmente o dalla compliance societaria, spesso lo impone la competizione come segno distintivo, portando molteplici vantaggi. Tra questi, si ricorda l’attuazione sistematica della policy di sicurezza IT, l’applicazione del monitoraggio efficace dei rischi legati alla sicurezza delle informazioni, l’analisi sistematica dei rischi, un corretto aggiornamento delle proprie infrastrutture tecniche, il miglioramento organizzativo e, last but not least, quale forte plus di affidabilità verso stakeholder istituzionali e comunicativo/mkt verso l’esterno.
A tu per tu con Fabio Giannini, Vice Corporate Finance Director – Sofidel
All’atto pratico questa certificazione che cosa ha comportato per i processi aziendali del Gruppo Sofidel?
“Per Sofidel la digitalizzazione, e tutto quanto essa comporta in termini di innovazione dei processi di produzione, manutenzione, amministrazione, logistica e commercializzazione, ha assunto nel corso di questi anni un’importanza sempre crescente. Il che significa, per noi, operare per integrare le migliori pratiche e, se possibile, compiere i passi giusti anche per preparare al meglio il futuro, prestando grande attenzione alle nuove frontiere tecnologiche che stanno interessando anche il settore della carta tissue e l’industria della distribuzione: Industria 4.0 – Big Data – Predictive maintenance – Internet of Things (IoT) e Cyber Security. Proprio in relazione a quest’ultimo aspetto, grazie al percorso fatto per arrivare all’ottenimento della Certificazione ISO 27001, molti dei processi aziendali che hanno un diretto impatto sull’asset intangibile “informazione e dati” sono stati analizzati, procedurizzati in modo migliore e più correttamente collocati in termini di responsabilità e gestione. Le buone prassi già in essere sono diventate Policy e Procedure formali e ufficiali”.
Cosa vi ha motivato ad avere la certificazione ISO 27001?
“Sofidel, su base volontaria, ha scelto di intraprendere il percorso di Certificazione ISO 27001 anzitutto per dotarsi di un sistema di governance in ambito IT adeguato alle nostre dimensioni internazionali, per implementare una corretta strategia di sicurezza a protezione dei dati e delle informazioni aziendali, sulla base di un modello di gestione aggiornato agli standard più avanzati e garantito da una terza parte indipendente, che ci possa aiutare al meglio nel relazionarci con i molteplici aspetti legati al bene “informazione”: dal rispetto dei requisiti normativi e contrattuali, alla prevenzione legata a eventuali danni reputazionali o a sanzioni derivanti dalla violazione dei dati. Un passo conseguente e coerente rispetto alla crescente rilevanza che l’informatica ha acquisito nello sviluppo del Gruppo”.
Come valuta il costo/beneficio di questo sistema di gestione?
“Vediamo la ISO 27001 in termini di investimento. Da parte nostra, quindi, un investimento destinato senz’altro a produrre benefici. Ad esempio, la garanzia di potere soddisfare le richieste dei vari stakeholder esterni quali quelle contrattuali di clienti attuali o potenziali, o le necessità interne al fine di contribuire a rendere l’azienda e tutti i suoi dipendenti sempre più consapevoli e attenti circa la rilevanza di queste tematiche”.
Qual è l’importanza di avere un advisor durante il processo di certificazione e come vi siete trovati con Nexpack?
“Nexpack si è dimostrato un partner competente e affidabile, che ci ha ben supportato nei passi che hanno portato alla certificazione, e ci ha anche aiutato ad accrescere la nostra cultura e sensibilità sulla materia. Penso, ad esempio, alla valutazione dei rischi, alle competenze interne, alla formazione del personale. Un rapporto senza dubbio positivo”.
A tu per tu con Francesco Pagliarini e Laura Raffo, rispettivamente General Manager e Project Manager di Nexpack
La certificazione ISO 27001 è trasversale, nel senso che può essere applicata a diversi settori industriali, o ci sono procedure specifiche per il settore del tissue?
Francesco Pagliarini: “La certificazione ISO 27001, della famiglia 27000, è un sistema di gestione abbastanza recente nato per tipologie di imprese dove esistono fisiologicamente criticità nella sicurezza IT, come nel comparto Telco, IC&T, Bancario, Sanitario, Negli ultimi anni, tuttavia, sempre più aziende di settori diversi e che possiedono strutture IT importanti, su cui transitano volumi notevoli di big data, hanno sentito l’esigenza di dotarsi di questo sistema di gestione che, con l’adozione di procedure e protocolli secondo lo standard internazionale ISO 27001, consente di proteggere la sicurezza delle informazioni e dei dati aziendali.
La nostra esperienza anche in questo campo, grazie ad un team altamente qualificato, ci permette di portare avanti progetti di certificazioni customizzando il lavoro a seconda della tipologia di azienda e settore.
Il progetto realizzato per Sofidel corporate è stato per noi gratificante, abbiamo trovato sin da subito una perfetta sinergia e condivisione del percorso di lavoro con il Management dell’azienda e il risultato ottenuto ci rende particolarmente orgogliosi.
Come identificare e gestire i rischi legati alla sicurezza delle informazioni?
Laura Raffo: “L’identificazione dei rischi legati alla sicurezza delle informazioni deve partire dall’analisi del contesto aziendale, individuando fattori esterni e interni che possono influenzare il raggiungimento degli obiettivi strategici previsti dalla direzione, rilevando le principali minacce cui il sistema informativo è sottoposto, verificando l’efficacia delle misure di sicurezza adottate e pianificando un miglioramento continuo a difesa dei pericoli di perdita di integrità, disponibilità e riservatezza delle informazioni azienda”.
