Estendere la certificazione ISO 27001 a più entità senza perdere il controllo sulla governance

L'implementazione della norma ISO 27001 all'interno di una singola entità è impegnativa. Estenderla a più sedi, filiali o giurisdizioni comporta un livello di complessità di tutt'altro genere.

L'esposizione al rischio varia a seconda della sede. I contesti normativi differiscono da una giurisdizione all'altra. La responsabilità dei controlli viene distribuita tra i vari team, aree geografiche e strutture organizzative. Gli ambienti tecnologici divergono man mano che ciascuna entità sviluppa la propria infrastruttura, i propri servizi cloud e le proprie dipendenze da terze parti.

Senza un allineamento strutturale, l’ISMS rischia di frammentarsi.

Quello che nasce come un unico programma di sicurezza informatica coordinato si trasforma gradualmente in una serie di interpretazioni locali diverse. Ogni entità garantisce la conformità tecnica, mentre la governance della sicurezza a livello aziendale si deteriora silenziosamente.

Comprendere perché ciò accade e cosa occorre fare per prevenirlo diventa sempre più importante man mano che le organizzazioni crescono attraverso acquisizioni, espansione internazionale e aumento della complessità operativa.

La sfida della governance multisito

Molte discipline di governance possono essere adattate al contesto locale in misura significativa. I programmi di gestione ambientale, ad esempio, possono tenere conto delle condizioni operative specifiche di ciascun sito pur rimanendo sostanzialmente in linea con gli orientamenti a livello aziendale. I programmi di sicurezza fisica possono essere adattati ai requisiti normativi locali senza creare incongruenze fondamentali nella governance.

La sicurezza delle informazioni non può essere gestita in modo efficace con lo stesso approccio.

Il motivo è di natura strutturale. I moderni ambienti di sicurezza informatica sono caratterizzati dall’interdipendenza piuttosto che dall’indipendenza. I servizi cloud operano oltre i confini organizzativi. L’infrastruttura condivisa collega entità che possono essere distinte sia dal punto di vista geografico che operativo. I flussi transfrontalieri di dati generano obblighi normativi che interessano contemporaneamente più giurisdizioni. Una vulnerabilità nell’ambiente di un’entità può comportare un rischio per l’intera azienda nel giro di poche ore.

Questa interdipendenza implica che le decisioni di governance locale prese in un’entità abbiano ripercussioni sulla sicurezza a livello aziendale. Quando ogni entità gestisce registri dei rischi separati, l’organizzazione non è in grado di identificare i modelli di esposizione trasversali tra i siti finché questi non si manifestano sotto forma di incidenti. Quando le librerie dei controlli divergono tra le diverse sedi, il livello di sicurezza aziendale diventa incoerente in modi che sfuggono alla leadership centrale. Quando i cicli di audit si svolgono in modo indipendente tra le entità, l’organizzazione accumula prove di conformità ma perde la capacità di valutare l’efficacia sistemica della sicurezza nell’ambito del proprio raggio d’azione operativo.

La governance multisito non è quindi semplicemente una sfida di coordinamento. Si tratta di un problema di architettura strutturale. Le organizzazioni che riescono a risolverlo lo fanno progettando fin dall’inizio il proprio ISMS in modo da garantire la coerenza a livello aziendale, anziché tentare di allineare a posteriori programmi locali sviluppati in modo indipendente.

Governance centrale, attuazione locale

Il modello di governance che affronta in modo più efficace la complessità della norma ISO 27001 in contesti con più sedi è quello basato su una chiara distinzione tra ciò che deve essere coerente a livello aziendale e ciò che può legittimamente variare da una sede all’altra.

La governance centrale stabilisce gli elementi non negoziabili. Le metodologie di valutazione del rischio devono seguire un unico modello coerente in tutte le entità, in modo che i livelli di esposizione siano comparabili e possano essere aggregati in una visione a livello aziendale. Il monitoraggio dell’efficacia dei controlli deve essere strutturato a livello centrale, in modo che la leadership possa valutare lo stato di sicurezza dell’intera organizzazione anziché esaminare sintesi di conformità prodotte a livello locale. I flussi di lavoro relativi alle azioni correttive gestiti tramite CAPA Management devono confluire in processi di governance unificati, in modo che le lezioni apprese in un’entità possano influenzare le decisioni operative nelle altre.

L’attuazione a livello locale tiene conto delle legittime differenze. I requisiti normativi variano da una giurisdizione all’altra e le modalità di attuazione dei controlli devono riflettere tali differenze. Gli ambienti tecnologici variano da una sede all’altra e le decisioni relative alla gestione dei rischi devono tenere conto delle realtà operative locali. Le strutture dei team e i ritmi operativi differiscono da un’entità all’altra e i processi di governance devono essere progettati per funzionare nell’ambito di tali realtà, anziché imporre ovunque un comportamento operativo identico.

L’equilibrio tra la governance centrale e l’esecuzione locale è difficile da mantenere solo attraverso il coordinamento. Quando tale equilibrio dipende dalla disciplina individuale, da riunioni di allineamento programmate e dal consolidamento manuale dei report, esso si erode gradualmente man mano che la pressione operativa aumenta in tutta l’organizzazione. Le entità iniziano ad adattare i processi di governance alle esigenze locali piuttosto che a quelle aziendali. Il centro perde visibilità. I team locali perdono il collegamento con il modello di governance aziendale.

Per mantenere questo equilibrio a livello strutturale, è necessario che la logica di governance centrale sia integrata nei processi operativi che gli enti locali utilizzano quotidianamente, anziché essere comunicata attraverso meccanismi di supervisione periodici che entrano in conflitto con le priorità operative.

Le specifiche carenze di governance che si aggravano su larga scala

Gli ambienti ISO 27001 distribuiti su più sedi tendono a generare carenze di governance secondo schemi prevedibili. Comprendere tali schemi è importante perché sono difficili da individuare da un unico punto di osservazione all’interno dell’organizzazione.

I registri dei rischi frammentati rappresentano la lacuna più comune e con le conseguenze più gravi. Quando ogni entità gestisce la propria valutazione dei rischi in modo indipendente, l’azienda non è in grado di identificare i modelli di vulnerabilità trasversali alle diverse sedi che rappresentano l’esposizione sistemica più significativa. È molto più importante affrontare una debolezza ricorrente nei controlli, distribuita su cinque sedi, piuttosto che un singolo rischio ad alta gravità in una sola sede; tuttavia, una governance del rischio frammentata rende invisibile questo modello distribuito fino a quando non si verifica un incidente.

Un monitoraggio dei controlli incoerente genera una falsa sensazione di sicurezza a livello aziendale. Quando l’efficacia dei controlli viene valutata a livello locale utilizzando criteri, metodologie e frequenze diverse, la dirigenza centrale riceve resoconti di conformità che non possono essere confrontati o aggregati in modo significativo. L’organizzazione ritiene di avere una visione chiara del proprio stato di sicurezza. In realtà, ciò che sa è solo se i team locali hanno portato a termine le proprie attività di monitoraggio.

I cicli di audit che si svolgono in modo indipendente tra le diverse entità non consentono, per loro stessa natura, di individuare criticità sistemiche. Quando i programmi di audit non sono coordinati a livello aziendale dalla funzione di gestione degli audit, l’organizzazione produce una serie di valutazioni di conformità a livello di sede anziché una valutazione coerente delle prestazioni del Sistema di Gestione della Sicurezza delle Informazioni (ISMS) nell’ambito dell’intera azienda.

L'isolamento delle azioni correttive impedisce l'apprendimento organizzativo. Quando un incidente di sicurezza in una sede dà luogo a un'azione correttiva che viene risolta a livello locale senza influire sulla valutazione dei rischi o sul monitoraggio dei controlli presso altre entità, l'azienda continua a operare in tutte le altre sedi nelle stesse condizioni che hanno causato l'incidente.

Integrazione della sicurezza nella gestione del rischio aziendale

La norma ISO 27001 non dovrebbe essere applicata in modo isolato rispetto alla più ampia gestione dei rischi aziendali, e in contesti con più sedi tale isolamento assume particolare rilevanza.

I rischi legati alla sicurezza delle informazioni si intrecciano sempre più con la continuità operativa, la conformità normativa, la resilienza della catena di approvvigionamento e i rischi aziendali strategici, in modi che non possono essere gestiti efficacemente nell’ambito di un SGSI a sé stante. Un incidente di sicurezza di rilievo non comporta semplicemente un problema tecnologico, ma genera contemporaneamente interruzioni operative, esposizione a rischi normativi, rischi reputazionali e potenziali responsabilità contrattuali.

Quando il rischio di sicurezza è strutturalmente integrato nei processi più ampi di gestione del rischio, la leadership acquisisce una visibilità a livello aziendale che va oltre la sola sicurezza delle informazioni. I modelli di sicurezza trasversali alle sedi diventano evidenti insieme alle tendenze relative ai rischi operativi e normativi. Le vulnerabilità sistemiche possono essere gestite in modo strategico, stabilendo le priorità, anziché essere affrontate in modo reattivo come singoli incidenti.

Questa integrazione modifica anche la qualità del processo decisionale a livello dirigenziale. Quando i dirigenti del consiglio di amministrazione hanno accesso a informazioni sui rischi interconnesse che abbracciano la sicurezza informatica, la continuità operativa e la conformità normativa, possono prendere decisioni informate sull’allocazione delle risorse basandosi sull’esposizione attuale dell’azienda, anziché su riepiloghi di conformità relativi a un determinato momento, provenienti da programmi di governance non integrati tra loro.

Negli ambienti con più sedi, questa integrazione dei rischi aziendali non è facoltativa. Poiché i quadri normativi attribuiscono sempre più spesso ai dirigenti la responsabilità personale per le carenze nella governance della sicurezza delle informazioni, la capacità di dimostrare l’esistenza di un rischio di sicurezza integrato e gestito in modo continuativo a livello aziendale diventa un requisito di governance piuttosto che una best practice.

Dalle entità frammentate alla governance integrata della sicurezza

Il passaggio da diverse implementazioni di sistemi di gestione della sicurezza delle informazioni (ISMS) gestite a livello locale a un unico modello integrato di governance della sicurezza aziendale richiede un cambiamento strutturale nel modo in cui l’organizzazione progetta e gestisce i propri processi di governance.

La valutazione dei rischi deve avvenire secondo una metodologia coerente in tutte le entità, in modo che i livelli di esposizione siano comparabili, aggregabili e visibili alla leadership aziendale in tempo reale, anziché essere ricavati attraverso un consolidamento periodico. Il monitoraggio dei controlli deve essere strutturato a livello centrale, in modo che i dati sull’efficacia confluiscano nei processi di governance anziché rimanere confinati nei registri di conformità locali. I programmi di audit coordinati tramite [Audit Management] devono valutare le prestazioni dell’ISMS a livello aziendale, anziché limitarsi a confermare la conformità procedurale a livello locale nelle singole sedi.

Quando questi processi operano all’interno di un’unica struttura di governance interconnessa, il sistema di gestione della sicurezza delle informazioni (ISMS) multisito smette di funzionare come un insieme di programmi locali allineati tra loro. Diventa invece un unico modello coordinato di governance della sicurezza aziendale, in cui le informazioni circolano continuamente tra le entità, i livelli di governance e i livelli dirigenziali.

Questo cambia ciò che l'organizzazione è in grado di realizzare. I modelli di vulnerabilità alla sicurezza trasversali ai vari siti diventano visibili prima ancora che si verifichino incidenti. Le azioni correttive gestite tramite il sistema CAPA generano un processo di apprendimento organizzativo, anziché una risoluzione limitata a singoli casi. La leadership ottiene una visibilità continua sullo stato di sicurezza dell'azienda, anziché dover mettere insieme sintesi frammentarie provenienti da entità indipendenti.

Il risultato è un SGSI che si adatta alle dimensioni dell’organizzazione anziché frammentarsi man mano che questa cresce.

Visibilità della leadership su scala aziendale

Man mano che le organizzazioni si espandono a livello internazionale, la visibilità della leadership diventa una delle competenze di governance più importanti e più difficili da mantenere nell’ambito di un programma ISO 27001 che coinvolge più sedi.

I dirigenti non si accontentano di semplici report aggregati sulla conformità a livello locale. Hanno bisogno di un monitoraggio continuo delle esposizioni alla sicurezza tra i vari siti, dei modelli ricorrenti di vulnerabilità, dell’efficacia delle azioni correttive in tutte le entità, delle tendenze relative ai rischi legati a terze parti e alla catena di fornitura, nonché dei risultati degli audit a livello dell’intera azienda.

Quando la governance della sicurezza opera in compartimenti stagni tra le diverse entità, la supervisione da parte dei vertici aziendali risulta strutturalmente frammentata. La dirigenza riceve sintesi delle attività di conformità a livello locale anziché una visione d’insieme dello stato di sicurezza dell’azienda. Le decisioni strategiche relative agli investimenti nella sicurezza, alla propensione al rischio e al miglioramento della governance vengono prese sulla base di informazioni incomplete, raccolte attraverso processi di consolidamento manuali che comportano ritardi, incongruenze e una visibilità selettiva.

La governance integrata cambia questa dinamica. Quando la valutazione dei rischi, il monitoraggio dei controlli, la gestione degli incidenti e le azioni correttive operano all’interno di un’unica architettura di governance interconnessa che abbraccia tutte le entità, la leadership ottiene una visibilità affidabile, aggiornata e generata a livello strutturale sullo stato di sicurezza dell’azienda. I rapporti presentati al consiglio di amministrazione riflettono la realtà operativa anziché limitarsi a sintesi periodiche sulla conformità.

A quel punto, la responsabilità dei dirigenti in materia di sicurezza delle informazioni assume un significato concreto dal punto di vista operativo. La dirigenza può intervenire sui rischi di sicurezza anziché limitarsi a riconoscerli. Le decisioni di governance si basano su informazioni raccolte a livello aziendale, anziché su dati raccolti a livello locale.

La maturità in materia di sicurezza su scala aziendale dipende dall'architettura, non dalla posizione geografica.

Conformità continua su larga scala

Garantire la conformità continua alla norma ISO 27001 in più entità richiede un modello di governance sostanzialmente diverso da quello applicabile all’interno di una singola sede.

L’allineamento periodico non è sufficiente. Quando le entità sincronizzano le attività di governance attraverso cicli di revisione programmati, l’azienda è costantemente esposta al divario tra tali cicli. Le minacce si evolvono. Gli ambienti operativi cambiano. Gli obblighi normativi mutano. Un’organizzazione con più sedi che si affida all’allineamento periodico per mantenere la coerenza della governance sta sempre gestendo lo stato di sicurezza che aveva all’ultimo punto di sincronizzazione, anziché quello attuale.

La conformità continua richiede che i processi di governance rispondano agli eventi operativi piuttosto che ai calendari di audit. Quando viene individuata una nuova vulnerabilità in un’entità, la valutazione del rischio deve essere aggiornata a livello aziendale. Quando viene generata una constatazione di audit tramite [Audit Management], questa deve influenzare la definizione delle priorità dei controlli in tutte le entità interessate, anziché essere risolta a livello locale. Una volta completata un’azione correttiva, la sua efficacia deve essere convalidata nel tempo, anziché essere data per scontata al momento della chiusura.

Questo livello di coerenza continua nella governance tra più entità non è raggiungibile solo attraverso il coordinamento. Richiede un’architettura di governance integrata in cui i processi utilizzati dalle entità locali siano strutturalmente collegati alla governance aziendale in tempo reale, anziché essere comunicati periodicamente ai livelli superiori tramite meccanismi manuali.

Una volta implementata tale architettura, la governance si adatta alle dimensioni dell’organizzazione senza richiedere la moltiplicazione dei sistemi. La conformità viene garantita in modo continuativo anziché dimostrata periodicamente. La maturità in materia di sicurezza diventa una caratteristica strutturale dell’organizzazione anziché dipendere dalla data in cui è stato completato l’ultimo audit.

La maturità in materia di sicurezza dipende dall'architettura, non dalla posizione geografica.