Gestire la transizione alla ISO/IEC 27001:2022
Iniziamo a vedere i primi effetti della transizione. Già da qualche mese rinnovi e nuove certificazioni possono essere fatte solo con la ISO/IEC 27001:2022. Anche qualche audit di sorveglianza inizia ad essere sfruttato per agganciare la transizione alle normali attività di mantenimento del certificato.
Fin qui nulla di particolare.
Il punto è che più ci si avvicina alle scadenze e più eventuali criticità, che possono essere rilevate, diventeranno un problema. Se poi sommiamo gli impatti normativi quali NIS2, Cyber Act, DORA, etc. il panorama diventa ancora più articolato.
Supponiamo di ricevere una NC maggiore in un audit di sorveglianza in questo periodo: tra audit di follow up e annessi, siamo intorno ai 3 mesi per la risoluzione della non conformità. Se avviene una sospensione del certificato (perché il follow up è andato male), porre rimedio comporterà un periodo complessivo di circa 5 mesi. Cioè, siamo già a fine 2024, ancora in una zona relativamente sicura, sempre che si sia impostata la transizione in modo corretto.
Se però ci avviciniamo all’inizio del nuovo anno senza aver fatto nulla, allora i tempi si fanno via via più stretti fino a diventare quasi ingestibili in caso di problemi (questo a partire dal primo trimestre del 2025).
A questo dobbiamo aggiungere la naturale scadenza dei certificati e la tempistica per le sorveglianze annuali.
Insomma, un bell’incastro da valutare con molta attenzione.
È vero che la scadenza per la transizione è fissata al 31/10/2025 ma è anche vero che occorre prenotare l’audit, trovare gli auditor qualificati per la transizione, prepararsi, avere le informazioni documentate necessarie, completare i cicli PDCA necessari, dimostrare l’efficacia del SGSI, etc.
I passi principali della transizione
Quindi, considerato quanto sopra elencato, sei mesi sono il tempo giusto necessario per affrontare una transizione con relativa tranquillità.
Provo a riepilogare qui gli step (principali) necessari per affrontare la transizione:
· Svolgere la gap analysis (peraltro richiesto da quasi tutti gli Organismi)
· Implementazione delle differenze sui requisiti (praticamente vi sono modifiche, più o meno rilevanti, in ogni requisito della norma)
· Rifare la gestione dei rischi per gestire i nuovi (11) controlli e sistemare gli altri che sono stati modificati e/o integrati (82)
· Aggiornare la SoA
· Se si possiede una estensione della certificazione per le ISO/IEC 27017, ISO/IEC 27018 e/o ISO/IEC 27701 allora si devono anche gestire gli impatti dei controlli dell’Annex A della ISO/IEC 27001 con le relative estensioni
· Aggiornare la documentazione del SGSI
· Formare il personale
· Attuare il SGSI come definito
· Raccogliere le prove dell’efficacia del SGSI
· Riprogrammare e completare gli audit interni
· Fare il riesame della direzione.
Una lista di attività straordinarie che al momento si sommano a quelle ordinarie del SGSI.
Cosa succede in realtà?
Elenco i principali problemi riscontrati in campo (come auditor) fino ad oggi:
· Scarsa conoscenza delle novità introdotte nella ISO/IEC 27001 (non ultimo l’AMD 1 per il climate change), con significativi impatti sul SGSI. Ad esempio, i 2 “errori” della ISO/IEC 27001 in versione originale non tutti li hanno visti e gestiti. Sembra banale ma è così. Non dovrebbero avere impatto se si conoscono la norma e i sistemi di gestione.
· Assenza di un progetto, basato su una gap analysis, per gestire le attività necessarie a garantire efficacia e conformità del sistema (durante e dopo la transizione), incluso il collegamento ai requisiti che gestiscono il cambiamento nella ISO/IEC 27001 (vedi requisiti 6.3, 8.1, etc.).
· Nuovi controlli non compresi o applicati/esclusi per default, senza giustificazioni o analisi realistiche.
· Controlli non rivalutati per mezzo degli attributi della ISO/IEC 27002 e quindi non in linea con le “viste” associate a politiche, contratti, regolamenti, etc.
· Formazione debole di chi gestisce il SGSI e degli auditor interni (che spesso non “vedono” le NC che poi verranno identificate nel corso degli audit dell’Organismo).
· Sottostima dei tempi necessari a completare la transizione e sovrastima delle competenze richieste.
· Scarse prove (evidenze) di dimostrazione dell’efficacia per aver sottovalutato i tempi e gli effort necessari a dimostrare l’efficacia dei processi e dei controlli del SGSI.
· ….
Rexilience è per voi
Sin dall’inizio diciamo che è un progetto tattico (se non strategico per alcune realtà vincolate alla certificazione) che non può essere inventato o gestito da persone prive di competenza ed esperienza approfondita. Non solo sulla norma ma anche rispetto ai processi di certificazione.
I nostri clienti hanno completato la transizione nei tempi previsti e con costi/attività chiare. Nulla è stato lasciato al caso. Ciò dipende dal fatto che il team di consulenza si avvale di competenze ventennali su questi temi.
Evitiamo i “cugggini” (sì quelli con tre “g”) e chi si inventa consulente per l’occasione visto il momento. O almeno confrontiamoci con chi sa, prima di accettare l’offerta più bassa o, peggio ancora, quella del consulente che si occupa di tutt’altro e che si inventa “super-cyber-specialist-advisor-auditor certificato-senior consultant” per l’occasione.
Noi siamo a disposizione, anche solo per un confronto propositivo.
Fabrizio Cirilli
Senior Partner – Rexilience Srl