La certificazione ISO 27001 è sempre più considerata una prova della maturità in materia di sicurezza informatica. È indice di una valutazione strutturata dei rischi, di controlli ben definiti e di responsabilità a livello dirigenziale. I clienti se la aspettano. Le autorità di regolamentazione la citano. Le procedure di appalto la richiedono.

Tuttavia, la certificazione non si traduce automaticamente in una governance della sicurezza resiliente.

Molte organizzazioni raggiungono la conformità ai requisiti della norma ISO 27001, mentre il rischio operativo continua a evolversi a un ritmo più rapido rispetto alla capacità di monitoraggio. I controlli che erano efficaci al momento della certificazione diventano progressivamente meno pertinenti man mano che il panorama delle minacce, il contesto tecnologico e la struttura organizzativa cambiano intorno a essi.

Il divario si trova tra la documentazione e l'attuazione.

Comprendere tale divario e cosa occorra per colmarlo è ciò che distingue le organizzazioni che vantano un’autentica maturità in materia di sicurezza delle informazioni da quelle che, pur essendo in possesso di una certificazione, rimangono esposte a rischi operativi.

La norma ISO 27001 è un quadro di riferimento per la governance dei rischi

Lo standard ISO 27001 (Sistema di gestione della sicurezza delle informazioni, ISMS) definisce le modalità con cui le organizzazioni identificano, valutano e gestiscono i rischi legati alla sicurezza delle informazioni. Esso richiede il coinvolgimento della dirigenza, obiettivi di controllo documentati, una gestione strutturata dei rischi e un miglioramento continuo dell’intero programma di sicurezza delle informazioni.

Questi requisiti non sono stati concepiti come semplici formalità burocratiche, bensì come principi di governance.

Il coinvolgimento della leadership implica che la responsabilità dei dirigenti in materia di rischi legati alla sicurezza delle informazioni sia attiva e consapevole, non del tutto delegata ai team tecnici e sottoposta a revisione annuale. Gli obiettivi di controllo documentati indicano che l’organizzazione ha preso decisioni esplicite su quali rischi affrontare, quali accettare e quali trasferire, e che tali decisioni vengono riesaminate al mutare delle condizioni operative. Il miglioramento continuo implica che l’ISMS diventi più efficace nel tempo attraverso un apprendimento strutturato derivante dagli incidenti, dai risultati degli audit e dai risultati del monitoraggio dei controlli.

Lo standard è stato concepito partendo dal presupposto che il rischio legato alla sicurezza delle informazioni sia dinamico. Le minacce si evolvono. Le strutture organizzative cambiano. Gli ambienti tecnologici subiscono continue modifiche. In diverse giurisdizioni emergono nuovi obblighi normativi.

La documentazione statica non è in grado di gestire il rischio dinamico.

La governance della sicurezza si basa su un modello di gestione dei rischi che si adegui costantemente alla realtà operativa, non su un modello che rifletta una valutazione puntuale effettuata tra un ciclo di audit e l’altro.

Webinar: Tenere sotto controllo documenti, competenze e formazione

Imparare a impostare un sistema conforme ed efficiente senza complessità

Webinar: Mantenere il controllo dei documenti

Quando la governance della sicurezza viene meno

In molte organizzazioni certificate, il divario tra la documentazione e l'attuazione si manifesta in modi prevedibili.

I registri dei rischi vengono rivisti annualmente anziché aggiornati in modo continuativo, man mano che il panorama delle minacce e il contesto operativo evolvono. Il monitoraggio dei controlli viene effettuato manualmente da persone la cui capacità di mantenere una supervisione coerente in un panorama tecnologico complesso e in continua espansione è strutturalmente limitata. Il tracciamento degli incidenti avviene in sistemi separati dai processi di governance concepiti per intervenire in merito.

Quando gli incidenti di sicurezza non sono collegati a misure di mitigazione strutturate attraverso la gestione CAPA, l’organizzazione risolve i singoli eventi senza affrontare le condizioni che li hanno generati. Le stesse classi di vulnerabilità ricompaiono in contesti tecnici diversi. L’organizzazione investe nella risposta agli incidenti, mentre il modello di governance sottostante continua a generare le condizioni che la rendono necessaria.

Quando i risultati degli audit individuati tramite Audit Management non determinano un aggiornamento della classificazione dei rischi in base alla priorità, l’ISMS assume un carattere descrittivo anziché preventivo. I programmi di audit confermano l’esistenza dei controlli, ma non garantiscono che tali controlli siano adeguati all’esposizione attuale. La dirigenza riceve prove delle attività di conformità, anziché indicazioni sul fatto che il livello di sicurezza stia effettivamente migliorando.

Man mano che le organizzazioni si espandono su più sedi, ambienti cloud, integrazioni con terze parti e operazioni internazionali, questa frammentazione si aggrava. Ogni nuovo contesto operativo comporta nuovi rischi. Senza un’integrazione strutturale tra valutazione dei rischi, monitoraggio dei controlli, gestione degli incidenti e governance correttiva, diventa sempre più difficile mantenere una visibilità sulla sicurezza a livello aziendale affidandosi esclusivamente al coordinamento.

La maturità in materia di sicurezza richiede un’integrazione tra i vari livelli di governance. A livello aziendale, tale integrazione non è una semplice scelta operativa, ma un requisito strutturale.

L'illusione della conformità

La conformità alla norma ISO 27001 viene spesso discussa principalmente in termini di completezza della documentazione. Vengono tenuti aggiornati i registri dei rischi. Vengono compilati gli allegati relativi ai controlli. Le politiche vengono riviste e approvate. L’audit viene superato.

Ciò crea quella che si può definire al meglio come l’illusione della conformità.

L'illusione è che la certificazione confermi la maturità in materia di sicurezza. Ciò che la certificazione conferma effettivamente è che un quadro di riferimento esisteva ed era stato documentato correttamente in un determinato momento. Non conferma che i controlli all’interno di tale quadro rimangano efficaci al mutare dell’ambiente operativo. Non conferma che i rischi identificati durante l’implementazione vengano gestiti in modo dinamico man mano che emergono nuove minacce. Non conferma che l’organizzazione sarebbe in grado di rispondere efficacemente a un incidente di sicurezza significativo domani.

L’illusione diventa pericolosa quando riduce l’urgenza di un investimento costante nella governance. Le organizzazioni che considerano la certificazione come un traguardo piuttosto che come il punto di partenza della maturità in materia di sicurezza tendono a ridurre l’intensità della governance dopo l’audit. Gli aggiornamenti dei registri legali subiscono un rallentamento. Le rivalutazioni dei rischi vengono rinviate. Il monitoraggio dei controlli diventa meno rigoroso. L’ISMS continua a generare documentazione mentre l’esposizione operativa alla sicurezza aumenta silenziosamente.

Un ISMS maturo opera in modo diverso. Funziona all’interno di una struttura operativa integrata in cui rischio, audit e azioni correttive si influenzano a vicenda in modo continuo. Le nuove informazioni sulle minacce aggiornano la prioritizzazione dei rischi. I risultati degli audit innescano una rivalutazione strutturata dei controlli interessati. Le azioni correttive ne convalidano l’efficacia nel tempo, anziché limitarsi a confermarne la chiusura amministrativa. Il livello di sicurezza diventa progressivamente più solido, anziché allontanarsi progressivamente dalle condizioni in base alle quali è stato certificato.

La certificazione attesta l'esistenza di un quadro di riferimento. L'attuazione integrata determina se tale quadro di riferimento gestisce effettivamente il rischio di sicurezza.

policy-compliance-standards-concept-with-hand-selecting-checklist-document-icon (1).jpg

Da controlli frammentati a una governance integrata della sicurezza

Il passaggio dalla semplice conformità alle certificazioni a una vera e propria governance della sicurezza richiede un cambiamento strutturale nel modo in cui l’organizzazione integra le componenti del proprio ISMS.

La valutazione dei rischi deve essere direttamente collegata al monitoraggio dei controlli, in modo che le esposizioni individuate si traducano in misure di protezione attivamente mantenute piuttosto che in decisioni terapeutiche documentate. La gestione degli incidenti deve essere collegata ai flussi di lavoro relativi alle azioni correttive, in modo che gli eventi di sicurezza generino un apprendimento operativo strutturato piuttosto che ticket risolti. I programmi di audit devono essere collegati alla definizione delle priorità di rischio, in modo che i risultati influenzino il modello di governance piuttosto che limitarvisi a confermarne l’esistenza.

Quando la gestione degli audit, la gestione delle azioni correttive e preventive (CAPA), la gestione dei rischi e il controllo dei documenti operano all’interno di un’unica architettura di governance interconnessa, l’ISMS smette di funzionare come un insieme di processi di conformità indipendenti. Diventa invece un unico modello di governance della sicurezza ben coordinato, in cui le informazioni fluiscono continuamente attraverso i vari livelli di governance.

Ciò modifica i risultati che il Sistema di Gestione della Sicurezza delle Informazioni (ISMS) è in grado di garantire. Le organizzazioni acquisiscono la capacità di identificare modelli strutturali di vulnerabilità alla sicurezza in tutto il proprio ambiente operativo, anziché limitarsi a gestire gli incidenti in modo reattivo. Le lacune nei controlli diventano visibili prima che vengano sfruttate, anziché dopo. L’efficacia delle azioni correttive viene verificata nel tempo, anziché essere data per scontata al momento della chiusura dell’intervento.

Il risultato è una governance della sicurezza che rafforza continuamente la conformità, anziché dimostrarla solo in modo sporadico.

Dalla documentazione alla responsabilità dei dirigenti

La responsabilità a livello di consiglio di amministrazione in materia di rischio informatico sta aumentando in modo significativo in tutti i settori. Le autorità di regolamentazione di diverse giurisdizioni stanno estendendo la responsabilità personale dei dirigenti in relazione alle carenze nella governance della sicurezza delle informazioni. Gli investitori istituzionali stanno integrando la posizione di rischio informatico nelle valutazioni del rischio aziendale. I clienti dei settori regolamentati richiedono una capacità dimostrabile di governance della sicurezza, non solo il possesso di una certificazione.

Ciò aumenta notevolmente la posta in gioco in termini di governance.

I dirigenti devono avere una visione chiara delle tendenze relative all'esposizione ai rischi, delle lacune nei controlli e dell'efficacia delle misure di miglioramento. Devono comprendere in quali ambiti la sicurezza dell'organizzazione si sta rafforzando e in quali rimane vulnerabile. Devono prendere decisioni informate sull'allocazione delle risorse basandosi sulla realtà attuale dei rischi piuttosto che sulle attività di conformità svolte in passato.

Quando la governance della sicurezza opera in compartimenti stagni, la supervisione da parte dei vertici aziendali risulta strutturalmente frammentata. Le informazioni giungono alla dirigenza sotto forma di sintesi elaborate manualmente, ricavate da sistemi scollegati tra loro. I modelli degli incidenti non sono collegati ai dati sull’efficacia dei controlli. I risultati degli audit non sono collegati alle tendenze relative alla prioritizzazione dei rischi. Il quadro presentato nella revisione della direzione riflette le attività completate piuttosto che l’esposizione operativa attuale.

La governance integrata cambia radicalmente questa dinamica. Quando la valutazione dei rischi, il monitoraggio dei controlli, la gestione degli incidenti e le azioni correttive operano all’interno di un’unica architettura di governance interconnessa, la leadership acquisisce una visibilità continua sullo stato di sicurezza dell’intera azienda. Il reporting a livello di consiglio di amministrazione si basa su dati strutturali anziché su istantanee puntuali. La responsabilità dei dirigenti acquista significato operativo poiché le informazioni su cui si basa sono affidabili, aggiornate e interconnesse.

La sicurezza delle informazioni smette quindi di essere una disciplina tecnica gestita al di sotto del livello di governance. Diventa parte integrante della gestione del rischio aziendale, visibile a livello dirigenziale e integrata nel processo decisionale strategico, proprio come avviene per la gestione dei rischi finanziari, operativi e normativi.

FAQ sulla certificazione ISO 27001

No. La certificazione conferma che un sistema di gestione della sicurezza delle informazioni soddisfa i requisiti dello standard in un momento specifico. Non conferma che i controlli rimangano efficaci con l'evolversi del panorama delle minacce e dell'ambiente operativo, né elimina il rischio continuo per la sicurezza. La maturità della sicurezza dipende dalla gestione dinamica del rischio, dalla governance integrata e dal miglioramento continuo, piuttosto che dalla certificazione periodica.

Un Sistema di gestione della sicurezza delle informazioni strutturato secondo i requisiti della norma ISO 27001. Definisce come un'organizzazione identifica, valuta e tratta i rischi per la sicurezza delle informazioni attraverso una combinazione di responsabilità della leadership, controlli documentati, esecuzione operativa e miglioramento continuo. La sua efficacia dipende dall'integrazione strutturale dei suoi componenti piuttosto che dalla loro completa documentazione.

Integrando la gestione del rischio, i processi di audit, i flussi di lavoro delle azioni correttive e il monitoraggio dei controlli all'interno di un'unica dorsale operativa collegata, in modo che i segnali di rischio si muovano continuamente attraverso i livelli di governance, anziché rimanere isolati all'interno dei singoli processi. In questo modo l'ISMS passa da un quadro di conformità periodica a un modello di governance della sicurezza in continuo funzionamento.

Perché la valutazione del rischio e la governance correttiva rimangono frammentate. Quando gli incidenti vengono risolti in modo isolato senza essere collegati a una rivalutazione strutturata del rischio, quando i risultati degli audit non aggiornano le priorità dei controlli e quando le azioni correttive confermano la chiusura amministrativa invece di convalidare l'efficacia a lungo termine, le condizioni che producono gli incidenti di sicurezza persistono. L'integrazione strutturale tra i livelli di governance è necessaria per interrompere questo ciclo e costruire una postura di sicurezza progressivamente più forte nel tempo.

Consulta le nostre risorse correlate

Piattaforma Iso 9001
Il vostro registro di conformità legale non vi dà il controllo
Piattaforma Iso 9001
Il vostro registro di conformità legale non vi dà il controllo
Piattaforma Iso 9001
Il vostro registro di conformità legale non vi dà il controllo
Piattaforma Iso 9001
Il vostro registro di conformità legale non vi dà il controllo
Piattaforma Iso 9001
Le normative cambiano. Siete in grado di valutare l'impatto su tutti i vostri siti?

Siete pronti a trasformare i vostri processi di qualità ed EHS?

Unisciti a centinaia di organizzazioni che stanno portando la loro conformità e sicurezza a un livello superiore con Bizzmine.

Richiedi una demo
Mockup Bizzmine 2-klein.png