Storia vera.
Un security manager che ho formato l'anno scorso mi ha raccontato questo: era in azienda da tre mesi. Il suo predecessore se n'era andato. Il passaggio di consegne era una cartella condivisa. Al suo interno: 200 documenti, un registro dei rischi del 2022, una policy di sicurezza delle informazioni che citava il GDPR ma non ISO27001, e uno Statement of Applicability con ancora il nome di un'altra azienda nel piè di pagina.
Il suo capo gli disse: «Siamo in scadenza di ricertificazione tra sei mesi. Sei tu a guidarla.»
Lui sorrise. Annuì. Tornò a casa e iniziò ad aggiornare il suo LinkedIn.
Se vi siete mai avvicinati a un'implementazione di ISO27001, una versione di questa storia vi suonerà probabilmente familiare. Forse non avete ereditato un disastro. Forse state costruendo da zero. Ma la sensazione è la stessa: lo standard vi dice cosa deve esistere. Non vi dice mai come costruirlo.
Questo articolo parla di quel gap. E di come colmarlo.
Il documento che tutti fingono di capire
ISO/IEC 27001:2022 è lunga 30 pagine. È strutturata in modo impeccabile. Clausole da 4 a 10, Annex A, 93 controlli, 34 sottoclausole obbligatorie. Si legge come un insieme chiaro di istruzioni.
Finché non si prova a seguirle.
«L'organizzazione deve determinare le questioni esterne e interne rilevanti per il suo scopo.» Ottimo. Come si traduce in pratica? Un workshop? Un'analisi PESTLE? Una conversazione con il CEO davanti a un caffè? Lo standard non lo dice.
«L'organizzazione deve definire e applicare un processo di valutazione del rischio per la sicurezza delle informazioni.» Perfetto. Qualitativo o quantitativo? Scala a tre punti o a cinque? Come si definisce «probabile» in modo che IT e finance siano d'accordo? Come si evita che la colonna del risk owner dica semplicemente «Mario» per tutto? Lo standard non lo dice.
«L'organizzazione deve produrre uno Statement of Applicability.» Brillante. Ma cosa rende un SoA efficace? Quanto devono essere dettagliate le giustificazioni? Cosa conta come evidenza di implementazione? Come si evita che diventi un foglio di calcolo di 93 righe con «Sì, implementato» e nulla dietro? Lo standard non lo dice assolutamente.
Non è un difetto. ISO27001 è deliberatamente neutrale rispetto alla tecnologia, al settore e alle dimensioni. Deve esserlo. Ma quella neutralità crea un gap tra chi comprende lo standard e chi è in grado di implementarlo concretamente. Ed è in quel gap che le carriere si arenano, i progetti falliscono e gli audit vanno storto.
Cinque modi in cui ho visto morire le implementazioni di ISO 27001
Sono CISO da abbastanza tempo da aver visto ripetersi gli stessi errori. Non perché le persone siano scarse nel loro lavoro. Perché nessuno ha insegnato loro la metodologia.
- Il registro dei rischi che è in realtà un foglio di calcolo di opinioni.
Tutti seduti in una stanza. Qualcuno dice «ransomware» e tutti annuiscono. Probabilità: alta. Impatto: alto. Risk owner: IT. Rischio successivo. Si ripete per tre ore. Il risultato è un elenco di preoccupazioni, valutate a intuito, senza alcuna metodologia documentata. L'auditor chiede «come avete definito la scala di impatto?» e nella stanza cala il silenzio.
- Lo SoA copiato da internet.
Non lo sto inventando. Ho esaminato Statement of Applicability in cui la colonna delle giustificazioni riportava «implementato» per ogni singolo controllo, la colonna delle evidenze era vuota e nelle proprietà del documento compariva ancora l'autore originale di un'azienda completamente diversa. Il vostro SoA è il primo punto di partenza dell'auditor. Se è un copia-incolla, l'audit è finito prima di cominciare.
- L'ISMS che vive in una cartella SharePoint e da nessun'altra parte.
Policy che nessuno ha letto. Procedure che nessuno segue. Un inventario degli asset a cui mancano due dipartimenti. Un riesame della direzione avvenuto una volta, diciotto mesi fa, senza alcun seguito. Questo è compliance sulla carta. Spunta caselle in un foglio di calcolo, ma crolla nel momento in cui qualcuno chiede: «mostrami questo funzionante in pratica.»
- L'audit che coglie tutti di sorpresa.
Lo Stage 1 è la revisione documentale. Lo Stage 2 è l'evidenza operativa. La maggior parte dei team si prepara per uno e va nel panico per l'altro. Hanno documenti impeccabili ma non sanno dimostrare che i controlli sono in esecuzione. Oppure hanno controlli funzionanti ma non riescono a produrre la traccia delle evidenze. All'auditor non interessa quale gap avete: entrambi sono non conformità.
- Il board che pensa che ISO 27001 sia un firewall.
Chiedete budget. Il CFO dice «abbiamo già comprato il firewall.» Cercate di spiegare che ISO 27001 è un sistema di gestione, non un acquisto tecnologico. Il CFO guarda il telefono. È un fallimento di buy-in della leadership, e uccide più implementazioni di qualsiasi lacuna tecnica.
Cosa funziona davvero
Ogni implementazione di ISO 27001 riuscita a cui ho partecipato ha gli stessi ingredienti. Non magia. Solo metodologia.
Un perimetro chiaro con una giustificazione documentata. Non «tutto» senza spiegazioni. Non artificialmente ristretto per evitare la complessità. Un perimetro che abbia senso per l'organizzazione, con confini spiegabili a un auditor in due minuti.
Una metodologia di valutazione del rischio ripetibile e difendibile. Scale definite. Criteri calibrati. Distinzione chiara tra minacce, vulnerabilità e rischi. Owner che capiscono realmente cosa gestiscono. Documentazione che un auditor può seguire senza che voi siate al suo fianco a spiegarla.
Uno SoA che racconta una storia. Non un esercizio di spunta. Ogni controllo ha una giustificazione che si ricollega alla valutazione del rischio. Le esclusioni sono spiegate, non lasciate in bianco. Le evidenze di implementazione sono referenziate, non date per scontate.
Una leadership che capisce cosa sta approvando. Riesami della direzione che producono decisioni, non solo verbali. Una security policy che il CEO ha effettivamente letto. Un'allocazione di risorse che riflette il perimetro dell'ISMS, non solo il budget IT.
Una preparazione all'audit che inizia dal Giorno 1, non la settimana prima. Ogni documento, ogni record, ogni processo progettato fin dall'inizio per produrre evidenze. Perché se non si riesce a dimostrare che è avvenuto, non è avvenuto.
A questo servono i 5 giorni
dall'11 al 15 maggio. Online. In inglese. Un gruppo live, limitato a 6 partecipanti, costruito attorno alla metodologia di implementazione che utilizzo nei progetti reali.
Non è una lettura guidata dello standard. Lo standard potete leggerlo da soli. Questo è il sistema operativo che sta dietro: come avviare il progetto, come strutturare la valutazione del rischio, come scrivere lo SoA, come selezionare e dispiegare i controlli, come impostare il monitoraggio e la misurazione, come prepararsi per l'audit di certificazione. Tutto, passo dopo passo, con esercizi e casi studio in ogni fase.
GiornoFocusLunedìISO 27001 nel contesto. Avvio dell'implementazione. Comprensione dell'organizzazione, del suo contesto e delle parti interessate. Definizione e giustificazione del perimetro dell'ISMS.MartedìOttenere il buy-in della leadership. Analisi di quanto già esiste. Redazione della security policy. Costruzione della metodologia di valutazione del rischio. Lo Statement of Applicability.MercoledìSelezione e progettazione dei controlli dell'Annex A. Dispiegamento di controlli adeguati. Gestione della documentazione. Comunicazione, competenza, consapevolezza. Gestione delle operazioni di sicurezza.GiovedìMonitoraggio e misurazione. Audit interno. Riesame della direzione. Gestione delle non conformità. Miglioramento continuo. Preparazione per lo Stage 1 e lo Stage 2.
Al venerdì, uscirete con una metodologia utilizzabile fin dalla settimana successiva, e una credenziale che lo dimostra.
Chi insegna questo corso
Io. Christophe. CISO attivo, fondatore di Cyber Academy.
Non insegno ISO 27001 perché ho letto un libro al riguardo. Lo insegno perché lo implemento. Quando parlo di valutazione del rischio, è perché ho facilitato sessioni in sala. Quando parlo di preparazione all'audit, è perché ho preparato organizzazioni per lo Stage 1 e lo Stage 2 e ho osservato cosa fa concretamente l'auditor. Quando qualcuno nel corso dice «il mio registro dei rischi è un disastro», non rispondo con una risposta teorica. Do loro quello che farei io se fossi seduto al loro posto il lunedì mattina.
Questa è la differenza tra una formazione e un mazzo di slide.
La garanzia
Completate il corso. Sostenete l'esame. Se non lo superate, rimborsiamo la quota di formazione.
Nessuna condizione oltre al completamento del programma e alla partecipazione all'esame. Nessuna clausola nascosta. La chiamiamo Certified or Refunded, e lo diciamo sul serio.
Perché? Perché la metodologia funziona. Il tasso di superamento lo dimostra. E se state investendo una settimana del vostro tempo e il denaro della vostra azienda, meritate di sapere che il provider sta puntando sullo stesso risultato che volete voi.
I dettagli
Corso: ISO/IEC 27001:2022 Lead Implementer, PECB Certified
Date: 11–15 maggio 2026
Formato: Live online. Interattivo. Non registrato.
Lingua: Inglese
CPD: 31 crediti
Ripetizione gratuita: Entro 12 mesi
La vostra mossa
Se siete nel mezzo di un'implementazione e siete bloccati, questo è il corso che vi sblocca.
Se vi è stato chiesto di guidare un progetto e non avete una metodologia, questo ve ne fornisce una.
Se siete un consulente e avete bisogno della credenziale a supporto di ciò che già sapete, questo vi porta alla certificazione.
Se avete ereditato una cartella SharePoint e una preghiera, questo è il vostro piano di salvataggio in cinque giorni.
Domande? Scrivete direttamente a me. Nessun team commerciale. Nessun chatbot. Solo io.
Christophe
