La NIS2 ha innescato un processo di attenzione verso la certificazione ISO 27001 (e non solo), tuttavia questo processo ha prodotto delle comprensibili perplessità all’interno delle organizzazioni. Cerchiamo di fornire qualche dettaglio nel merito.
Standard e garanzia di qualità
Gli standard sono buone prassi, in questo sito lo abbiamo scritto più volte. Le buone prassi indicano una strada ottimale per raggiungere un obiettivo, non stabiliscono specifiche tecnologie, l’utilizzo di particolari prodotti e non si legano a particolari marchi. Le buone prassi sono quindi delle “linee guida” che l’organizzazione può scegliere di adottare per sviluppare delle capacità parzialmente implementate o ancora da implementare.
Certamente la ISO 27001 è tra le più richieste e osservate, perché rappresenta uno degli standard “fondanti” rispetto a tanti altri. Tuttavia è importante chiarire che le modalità di adozione della ISO 27001 sono più importanti della “semplice implementazione”: avere delle organizzazioni certificate che, nel quotidiano, abbandonano le buone prassi, fino a due tre mesi prima della successiva certificazione, significa non aver capito la logica dello standard. Un esempio di questa dicotomia è dimostrato dall’analisi dei data breach, in cui è possibile notare che molte aziende blasonate, in realtà, detengono i file in modo improprio e inopportuno, molto lontano dalla logica degli standard. Ciò significa non aver adottato correttamente lo standard nonostante la presenza di loghi, certificati e sticker vari.
Usare più standard
È possibile usare più standard per raggiungere una corretta conformità alle norme di sicurezza; non sempre uno standard esclude l’altro; l’esempio più evidente di questo è rappresentato dall’interazione tra i Critical Security Controls e la ISO 27001. Sul sito del Center for Internet Security, è stato pubblicato (ormai molto tempo fa) il documento “CIS Controls v8 Mapping to ISO/IEC 27001:2022” che dimostra la corrispondenza tra i Critical Security Controls v8 e la ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) 27001:2022.
Questo significa che il dipartimento/ufficio sistemi informativi può dedicarsi all’implementazione delle capacità mancanti, utilizzando i CSC 8 mentre il resto degli uffici può utilizzare la ISO 27001 senza venire meno alla conformità e stabilendo un ampio regime di compatibilità e sicurezza all’interno dell’organizzazione. Questa metodologia, tra l’altro, favorisce un approccio multirischio molto caro alla NIS2 (e non solo) e permette la raffinazione di conoscenze eterogenee e compatibili con lo sviluppo della capacità di fronteggiare eventuali problemi in modo personalizzato ed efficiente.
Mantenere uno standard è complesso
Spesso le organizzazioni si concentrano molto sull’ottenimento della certificazione (che tra l’altro non è obbligatoria) e poco sul mantenimento delle buone prassi di sicurezza, con il risultato che alla fine dei tre anni, le procedure formalmente in vigore, sono state sostanzialmente tradite. La documentazione non risulta aggiornata e tra gli uffici, in molti casi, vi è un generale malcontento all’idea di dover procedere alla visita ispettiva o alla rivalutazione delle procedure; nei casi peggiori vi è anche la letterale falsificazione di procedure di sicurezza mai implementate o immediatamente inosservate. L’organizzazione deve lavorare coerentemente con le proprie capacità e con gli obiettivi prefissati: ciò può significare implementare meno norme ma di certa manutenzione nel tempo. Abbandonare delle norme sulla sicurezza dopo pochi mesi dalla loro implementazione, ha molto meno senso che mantenere meno regole ma in modo costante nel tempo.
Adottare correttamente lo standard
Le organizzazioni spesso lamentano la complessità organizzativa richiesta dagli standard: attività da definire, regole da osservare, procedure da implementare, politiche da assegnare. La verità è che lo standard, per sua natura, contempla un’adozione molto graduale, per la quale l’organizzazione si assume la responsabilità ma che permette un miglioramento sostanziale della situazione della sicurezza. Significa che l’organizzazione è invitata a valutare “come” adottare lo standard, in modo che sia sostenibile per le sue necessità e sulla base di quello effettuare tutte le analisi del caso. È possibile non applicare uno o più requisiti di sicurezza, basta fornire una motivazione e un razionale che sia coerente con la scelta presa e questa non dovrebbe risultare una novità per gli addetti ai lavori. È quindi fondamentale adottare correttamente gli standard, sia in termini di quali misure di sicurezza adottare, sia – e soprattutto – di come implementare queste politiche.
Una nota finale riguarda certamente l’utilizzo di strumenti di sintesi e di supporto, tra cui intelligenza artificiale: i risultati ottenuti sono spesso qualitativamente inadatti a rappresentare l’organizzazione e le sue politiche. Ci sono strategie generiche, istruzioni approssimative, capacità teorizzate inadeguate rispetto all’effettivo, il tutto allo scopo di concludere gli interventi di analisi in poco tempo e con costi bassi. Lo dimostrano anche i recenti data breach ad organizzazioni impattate dalla NIS2 che, seppur apparentemente “in regola”, hanno mostrato la completa inosservanza delle più basilari misure di sicurezza.
Conclusioni
La sensazione che si ricava analizzando alcune organizzazioni è che lo standard sia sinonimo di immunità dalle ispezioni o di simbolo di qualità da vendere ai clienti. Lo standard, innanzitutto, dovrebbe essere un mezzo di verifica e correzione delle politiche organizzative; le corrette modalità d’implementazione sono necessarie e indispensabili per una giusta adozione. In queste settimane abbiamo potuto vedere realtà pubbliche e private, a che di alto profilo, mostrare vulnerabilità elementari a seguito di data breach: gestione dei file sbagliata, mancato controllo degli accessi, mancata segmentazione dei sistemi. In breve un’assunzione di forma e non di sostanza e questo, oltre che essere deprimente, è anche assolutamente irresponsabile.
