Come ottenere la certificazione ISO 27001

Il processo di certificazione ISO 27001

Il processo di certificazione ISO 27001 è un valore aggiunto sempre più compreso e richiesto. Sono moltissime infatti le aziende che negli ultimi anni intraprendono questa strada per avere un’attestazione oggettiva del proprio sistema di gestione dati.

Ma come si svolge un processo di certificazione? Quali sono gli step principali? Chi sono gli attori coinvolti?

Partiamo col dire che la certificazione ISO 27001 è un processo volontario che l’azienda sceglie di intraprendere liberamente per rendersi conforme ad uno standard internazionale. In alcuni casi la spinta a certificarsi è data da condizioni esterne come un requisito per poer partecipare ad un bando e per poter rientrare nella catena di fornitori di una realtà terza.

Per questo l’azienda che decide di procedere alla certifica, deve avere la completa consapevolezza del percorso che la aspetta e delle relative risorse che deve mettere in campo, intese come risorse umane, organizzative ed economiche.

Gli attori della ISO 27001

I protagonisti di una certificazione ISO 27001 sono tendenzialmente 3:

• L’azienda che decide di certificarsi, intesa in senso allargato come realtà complessa che vive di processi, risorse umane, risorse economiche, vincoli normativi etc…
• Il consulente ISO 27001 esterno che può supportare l’azienda nel processo di certificazione
• L’ente di certificazione che procede alla verifica di conformità e che rilascia l’attestato finale

Intravediamo poi altri due attori:

• L’ente di accreditamento, che garantisce che l’ente di certificazione scelto sia a sua volta supervisionato
• L’eventuale realtà che richiede ai suoi fornitori la certificazione ISO 27001 e che in qualche modo è la forza propositiva del percorso di qualifica

Step e tempistiche per certificarsi

Per procedere con la certificazione ISO 27001 è necessario, ovviamente, conoscere quello che richiede la norma in vigore (per l’Italia è scaricabile dal sito UNI) e di conseguenza generare documentazione ed evidenze che dimostrino la conformità allo standard. Tendenzialmente questo tipo di processo richiede un minimo di 4/6 mesi di lavoro per poter essere implementato, me le tempistiche possono variare molto a secondo della tipologia e della complessità di una azienda.

Anche le giornate di audit che verranno proposte dall’ente di certificazione saranno calcolate in base alle dimensioni dell’Organizzazione, tendenzialmente non sono mai meno di 3/4 giornate uomo.

La redazione documentale è una parte fondamentale nella creazione del sistema ISO e prevede la realizzazione di procedure, modelli, allegati ed in generale di evidenze che dimostrino che le attività vengono svolte così come dichiarato e così come richiesto dalla normativa.

Facciamo un esempio: un aspetto fondamentale della certificazione ISO 27001 (ma in generale di tutte le ISO) è la scelta e la qualifica dei propri fornitori. Per questo dovrò definire e dichiarare (tendenzialmente attraverso una procedura scritta) come effettuo il mio processo di selezione e valutazione di un fornitore. Conseguentemente dovrò produrre delle evidenze che dimostrano che i fornitori qualificati rispecchino i prerequisiti dichiarati e che vengano periodicamente valutati secondo parametri predefiniti.

Gli aspetti principali che prevedono la generazione di contenuti sono ricollegabili ai 10 capitoli della norma:

1. Scopo e campo di applicazione
2. Riferimenti normativi
3. Termini e definizioni
4. Contesto e Organizzazione
5. Leadership
6. Pianificazione
7. Supporto
8. Attività operative
9. Valutazione delle prestazioni
10. Miglioramento

Questa struttura viene definita HLS (High Level System) e uniforma i sistemi di gestione per renderli meglio integrabili tra loro.

La documentazione e le evidenze

La ISO 27001 prevede, per ognuno degli ambiti sopra elencati, degli adempimenti richiesti con il termine DEVE, che indica la necessità di produrre del materiale collegato a quel requisito.

Anche in questo caso facciamo un esempio: nel capitolo 5 la norma dice che “L’alta direzione DEVE stabilire una politica per la sicurezza delle informazioni…”. Questo implica che dovrà essere redatto un contenuto dedicato a dichiarare come l’azienda ottempera al requisito con le specifiche elencate nel punto norma stesso. 

Per la certificazione ISO 27001 la documentazione comprende anche 93 controlli specifici collegati alla norma ISO 27002 (aggiornata a febbraio 2022*).

Appare dunque chiaro che uno degli step fondamentali, probabilmente il più complesso, è quello della creazione del sistema, inteso come insieme di procedure, documenti, modelli, allegati ed evidenze. Inoltre vanno considerate due attività ad alto valore aggiunto che devono essere presenti per poter accedere alla prima certificazione e in generale ad ogni verifica con l’ente:

• un audit di prima parte sull’intero sistema (chiamato anche audit interno)
• un riesame della direzione

Molto spesso l’audit interno viene redatto con il supporto di un consulente esterno anche su sistemi già maturi. Questo per garantire un maggior livello di oggettività e la possibilità di avere un occhio esterno con un grado di indipendenza maggiore.

In generale un’azienda può decidere di certificarsi  in piena autonomia, senza il supporto di un consulente. Ma è un’opzione spesso molto rischiosa e complessa da portare a termine poiché una ISO 27001 comprende aspetti  molto trasversali e richiede un buon grado di esperienza nell’applicarla. Per questo va fatta un’attenta valutazione sull’opportunità di intraprendere il processo in autonomia.

Come procedere con l’ente di certificazione

Una volta che il sistema ISO 27001 è implementato, è possibile procedere con la verifica da parte di un ente accreditato. L’azienda sottoscrive un contratto con l’ente selezionato e verranno programmate le giornate di audit che prevedono sia delle verifiche documentali, sia delle verifiche pratiche sull’operato. Come dicevamo le giornate uomo sono tendenzialmente almeno 4 e in prima certifica riguardano tutte le sedi aziendali.

Il primo anno l’azienda, a seguito delle opportune verifiche e conferme positive, riceve l’attestato di certificazione ISO 27001 che ha una validità di 3 anni e che prevede una sorveglianza all’anno. Il ciclo triennale è quindi composto da 1 audit di certifica + 2 sorveglianze (salvo eventuali audit aggiuntivi che dovessero rendersi necessari). Al termine dei 3 anni, si procede con un audit di ri-certificazione e così via, sempre in cicli triennali. Ovviamente il trascorrere del tempo e l’esperienza daranno origine ad un sistema sempre più maturo che punterà ad obiettivi sempre più ambiziosi nell’ottica del miglioramento continuo.

In sede di audit, l’ente può segnalare delle “non conformità”: qualora queste fossero lievi, non precluderebbero la certificazione. Devono però essere gestite in tempistiche concordate affinché nella sorveglianza successiva risultino chiuse, ovvero risolte.

La certificazione ISO 27001

Una volta ottenuta la certificazione ISO 27001, è possibile “spendere” questo valore aggiunto comunicandolo all’interno e all’esterno dell’azienda. La comunicazione è uno degli aspetti previsti dalla norma stessa, che la reputa un aspetto fondamentale per il coinvolgimento di tutte le pari interessate e per la gestione dei fornitori.

In particolar modo, essere certificato ISO può diventare un requisito sine qua non per diventare o rimanere fornitori di aziende strutturate. Pensiamo per esempio al settore automotive: per rientrare nella supply chain dei più grossi player del settore, spesso è indispensabile presentare la propria certificazione ISO 27001.  E’ facile capirne il motivo se si pensa che a fine febbraio 2022, Toyota ha perso 10 milioni di € a causa di un attacco hacker su un fornitore che ha causato un fermo produzione di 48 ore.

Un ulteriore aspetto da non dimenticare è quello della formazione: partendo dalla Direzione e arrivando a tutti i livelli di risorse interne, è importante che tutti siano consapevoli dell’importanza del sistema ISO 27001 implementato e che ne comprendano i vantaggi e doveri che ne derivano.

 

*L’aggiornamento della ISO 27002 comporta la necessità di aggiornamento della ISO 27001, un processo lungo e complesso che al momento della pubblicazione del presente articolo è in fase di pianificazione.