Il punto di vista di Cyber Academy
ISO 27001 è il framework certificabile che gli auditor utilizzano per valutare la sicurezza delle informazioni. La revisione del 2022 ha ridotto l'Annex A a 93 controlli distribuiti su quattro temi (organizzativo, persone, fisico, tecnologico). Il vostro ISMS si regge o cade sulla Statement of Applicability e sulle evidenze operative. Tutti lo citano; pochi lo gestiscono davvero.
Che cosa certifica realmente la ISO/IEC 27001
La ISO/IEC 27001 è la norma internazionale che specifica i requisiti per un sistema di gestione della sicurezza delle informazioni, o SGSI. Il certificato non afferma che i vostri sistemi siano inviolabili. Afferma che un organismo accreditato ha esaminato come individuate i rischi relativi alle informazioni, decidete cosa farne e mantenete attiva tale decisione sotto la supervisione della direzione. La norma si fonda sul ciclo Plan-Do-Check-Act, perciò la certificazione non è mai un evento isolato: vi impegnate in un ritmo ricorrente di valutazione del rischio, trattamento, audit interno, riesame della direzione e azione correttiva.
Una confusione frequente è considerare i controlli dell'Annex A come la norma stessa. Non lo sono. I requisiti certificabili risiedono nei punti numerati del sistema di gestione (contesto, leadership, pianificazione, supporto, attività operative, valutazione delle prestazioni, miglioramento). L'Annex A è un insieme di riferimento di controlli tra i quali operate una selezione. Potete superare un audit senza attuare ogni controllo, a condizione che la vostra Dichiarazione di applicabilità giustifichi ciò che avete escluso e le vostre evidenze sostengano ciò che avete mantenuto.
La revisione del 2022 e i temi dei controlli
La revisione del 2022 ha riorganizzato l'Annex A in quattro temi anziché nei precedenti quattordici domini. I temi raggruppano i controlli in base al tipo di elemento protetto o governato:
- I controlli organizzativi riguardano le politiche, i rapporti con i fornitori, l'intelligence sulle minacce e la sicurezza delle informazioni nella gestione dei progetti.
- I controlli relativi alle persone riguardano la verifica, le condizioni di impiego, la consapevolezza e il processo disciplinare.
- I controlli fisici riguardano le aree sicure, le apparecchiature, la scrivania pulita e lo smaltimento dei supporti.
- I controlli tecnologici riguardano la gestione degli accessi, la crittografia, la registrazione degli eventi, lo sviluppo sicuro e la gestione delle configurazioni.
Se vi siete certificati secondo la versione precedente, il lavoro di transizione è per lo più un esercizio di rimappatura: ridefinire la vostra Dichiarazione di applicabilità rispetto al nuovo insieme di controlli, confermare che nulla sia sfuggito attraverso le lacune create da controlli fusi o di nuova introduzione, e aggiornare i riferimenti alle evidenze. I punti del sistema di gestione sono cambiati molto meno rispetto all'annex.
Come si colloca accanto alle norme vicine
La ISO 27001 è l'ancora certificabile di una famiglia. La ISO 27002 fornisce indicazioni di attuazione per gli stessi controlli dell'Annex A ma non è certificabile da sola; gli auditor vi ricorrono quando vogliono mettere in discussione la qualità con cui gestite un controllo, non semplicemente se esiste. La ISO 27005 fornisce un metodo per la valutazione del rischio relativo alla sicurezza delle informazioni che il punto 6 richiede ma lascia deliberatamente aperto. Il SGSI è la macchina in funzione che la norma certifica, e la SoA ne è l'artefatto controllato centrale.
Sul lato delle persone, il lavoro si divide in due discipline complementari. Gli implementatori costruiscono e gestiscono il sistema di gestione. Gli auditor pianificano e conducono gli audit che lo mettono alla prova, operando secondo le linee guida di audit della ISO 19011. La maggior parte delle funzioni di sicurezza mature ha bisogno di entrambe le mentalità, anche quando all'inizio una sola persona indossa entrambi i cappelli.
Che cosa fanno realmente i professionisti
Gestire bene la ISO 27001, anziché limitarsi a superare il certificato, nella pratica appare così:
- Definire l'ambito con onestà. Un ambito troppo ampio vi sommerge di evidenze; uno troppo ristretto non inganna nessuno e mina il certificato.
- Condurre una vera valutazione del rischio e un piano di trattamento, e mantenerli aggiornati man mano che il business e il panorama delle minacce cambiano.
- Mantenere la Dichiarazione di applicabilità come un documento vivo collegato a evidenze reali, non come un foglio di calcolo compilato una sola volta per l'auditor.
- Svolgere gli audit interni e i riesami della direzione secondo il calendario, e chiudere le azioni correttive con prove anziché con promesse.
- Trattare gli audit di sorveglianza e il ciclo di ricertificazione come continuità, non come esercitazioni separate.
Frequently asked questions
01La ISO 27001 è un obbligo di legge?
No. La ISO 27001 è una norma volontaria, non una legge. Le organizzazioni la adottano perché clienti, autorità di regolamentazione o contratti richiedono una garanzia di sicurezza dimostrabile, e un certificato rilasciato da terza parte è il modo più pulito per fornirla.
02Qual è la differenza tra la ISO 27001 e la ISO 27002?
La ISO 27001 è la norma certificabile con i requisiti del sistema di gestione e i controlli di riferimento dell'Annex A. La ISO 27002 è una guida di attuazione per tali controlli e non può essere certificata da sola. Vi certificate rispetto alla 27001 e vi appoggiate alla 27002 per il dettaglio operativo.
03Devo attuare tutti i controlli dell'Annex A?
No. Selezionate i controlli in base alla vostra valutazione del rischio e documentate la motivazione nella Dichiarazione di applicabilità, compresi quelli che escludete. L'auditor verifica che la vostra selezione sia giustificata e che i controlli che avete mantenuto siano realmente operativi.
04Per quanto tempo rimane valida la certificazione?
Un certificato si sviluppa su un ciclo pluriennale con audit di sorveglianza periodici nel mezzo, seguiti da un audit di ricertificazione completo. La tempistica esatta è stabilita dal vostro organismo di certificazione, ma il principio è continuo: mantenete il SGSI per tutto il tempo, non solo al momento dell'audit.
05La certificazione significa che non possiamo subire una violazione?
No. La certificazione conferma che gestite un sistema di gestione basato sul rischio e che operate i controlli che avete selezionato. Riduce e governa il rischio; non lo elimina. La risposta agli incidenti e il miglioramento continuo fanno parte della norma proprio perché le violazioni restano possibili.