Il punto di vista di Cyber Academy
Un ISMS è il sistema documentato che si gestisce per proteire gli asset informativi: basato sul rischio, supportato da evidenze, sottoposto a riesame della direzione. Non è un raccoglitore di policy. Gli auditor non valutano le policy; valutano le evidenze operative. Ciclo Plan-Do-Check-Act, certificato secondo ISO 27001, con il SoA come artefatto centrale.
Che cos'è realmente un SGSI
Un sistema di gestione della sicurezza delle informazioni è il sistema operativo che mette in funzione per proteggere gli asset informativi in modo deliberato e ripetibile. La parola che conta di più è «sistema». Non sono gli strumenti di sicurezza, e non è una cartella di politiche approvate posata su un'unità condivisa. È l'insieme di processi, ruoli, decisioni e registrazioni attraverso cui un'organizzazione identifica quali informazioni deve proteggere, decide quanto rischio è disposta ad accettare, sceglie i controlli per trattare quel rischio e poi dimostra che quei controlli funzionano davvero nel tempo. Una politica dice ciò che dovrebbe accadere. Un SGSI è il meccanismo che lo fa accadere e che genera la prova che è accaduto.
Le sue caratteristiche distintive sono che è basato sul rischio e supportato da evidenze, e che opera sotto riesame della direzione. Basato sul rischio significa che i controlli non sono scelti da una lista dei desideri ma giustificati da una valutazione documentata delle minacce a specifici asset. Supportato da evidenze significa che ogni controllo ha degli artefatti alle spalle: riesami degli accessi che sono stati eseguiti, log che sono stati monitorati, incidenti che sono stati gestiti, formazione che è stata erogata. Il riesame della direzione significa che la dirigenza è proprietaria del sistema, ne fissa gli obiettivi e verifica periodicamente se vengono raggiunti. Togliete uno qualunque di questi tre elementi e avrete un programma di sicurezza, non un sistema di gestione.
Perché gli auditor valutano le evidenze, non le politiche
Un fraintendimento comune e costoso è credere che la certificazione riguardi l'avere una buona documentazione. Non è così. Un auditor di certificazione presume che lei sappia scrivere una politica di controllo degli accessi competente. Ciò che è lì a verificare è se la sua realtà operativa corrisponde a quanto affermano i suoi documenti. Chiederà di vedere l'ultimo riesame degli accessi e verificherà che sia stato effettivamente completato, campionerà i ticket per confermare che le modifiche siano state autorizzate, e tracerà un incidente dalla rilevazione fino alle lezioni apprese. Politiche belle senza alcuna evidenza operativa alle spalle non superano gli audit. È per questo che i professionisti descrivono il SGSI come qualcosa che si mette in funzione, non qualcosa che si scrive.
Plan-Do-Check-Act: come il sistema resta vivo
Un SGSI è costruito per migliorare di continuo anziché essere perfezionato una volta sola. La maggior parte delle implementazioni segue il ciclo Plan-Do-Check-Act, che mantiene onesto il sistema:
- Plan: stabilire il campo di applicazione, valutare i rischi, fissare gli obiettivi di sicurezza e selezionare i controlli per trattare i rischi che ha individuato.
- Do: attuare e gestire quei controlli e i processi di supporto nel quotidiano.
- Check: monitorare, misurare, condurre audit interni ed eseguire riesami della direzione per vedere se i controlli funzionano e se gli obiettivi vengono raggiunti.
- Act: correggere ciò che non funziona, affrontare le cause profonde delle non conformità e reimmettere i miglioramenti nel ciclo successivo.
Quel ciclo è ciò che distingue un SGSI vivo da uno sforzo di conformità una tantum. Un registro dei rischi riesaminato una volta all'anno e poi mai più toccato non è un SGSI in alcun senso significativo, anche se a un certo punto ha prodotto un certificato.
Dove si colloca tra i concetti vicini
Il SGSI è il quadro di riferimento, certificato secondo la ISO/IEC 27001, la norma internazionale che specifica i requisiti che un sistema di gestione deve soddisfare. La ISO/IEC 27001 è la norma dei requisiti certificabile; guide di accompagnamento come la ISO/IEC 27005 supportano il lavoro di valutazione e trattamento del rischio che la alimenta. Spesso si confonde il SGSI con i controlli al suo interno, ma i controlli sono input che il sistema seleziona e gestisce. Non sono il sistema. La disciplina del SGSI sta proprio nel fatto che riconduce ogni controllo a un rischio e ogni rischio a una decisione documentata presa da persone che ne sono responsabili.
Frequently asked questions
01Un SGSI è la stessa cosa della ISO 27001?
Non proprio. Un SGSI è il sistema di gestione in sé: i processi e le evidenze che mette in funzione per proteggere le informazioni. La ISO/IEC 27001 è la norma che specifica cosa un tale sistema deve contenere, e il quadro rispetto al quale un SGSI può essere certificato. Può gestire un SGSI senza certificarlo, ma la certificazione significa che un organismo accreditato ha sottoposto ad audit il suo rispetto alla ISO 27001.
02Che cos'è la dichiarazione di applicabilità e perché conta così tanto?
La dichiarazione di applicabilità, o SoA, è il documento che elenca ogni controllo di riferimento, indica se si applica alla sua organizzazione e giustifica ogni decisione rispetto alla sua valutazione del rischio. È l'artefatto centrale di un SGSI perché collega i suoi rischi ai suoi controlli, e gli auditor la usano come mappa per tutto il resto che ispezionano.
03Abbiamo bisogno di ogni controllo per certificarci?
No. I controlli sono selezionati in base alla sua valutazione del rischio, e le esclusioni sono ammesse purché siano giustificate nella dichiarazione di applicabilità e non compromettano la sua capacità di gestire i rischi nell'ambito. Il punto è una selezione difendibile e basata sul rischio, non la copertura massima fine a se stessa.
04Quanto tempo serve per impostare un SGSI?
Varia molto a seconda dell'ambito, della dimensione dell'organizzazione e di quanto siano già mature le pratiche di sicurezza esistenti. Il vincolo maggiore è di solito l'evidenza: un SGSI ha bisogno di controlli che operino da abbastanza tempo per produrre registrazioni che un auditor possa campionare, cosicché anche un'organizzazione ben preparata ha bisogno di un periodo operativo prima che un audit di certificazione abbia senso.
05Chi è il proprietario del SGSI all'interno?
La responsabilità spetta all'alta direzione, che deve dimostrare leadership, fissare gli obiettivi e condurre i riesami della direzione. Il coordinamento quotidiano è tipicamente guidato da un responsabile della sicurezza delle informazioni o da un ruolo equivalente, ma la proprietà non può essere delegata al di fuori della dirigenza senza infrangere il requisito di riesame della direzione che è al cuore della norma.