ISO 27001 per uno studio legale: l’ottenimento della certificazione passo dopo passo

La digitalizzazione, e le conseguenti policy da implementare a favore della cybersecurity, favoriscono un piacevole incontro tra mondo legale e mondo informatico.

Sebbene possano sembrare due mondi completamente distinti, in effetti, seguendo l’iter 27001, possono e devono diventare complementari tra loro.

ISO 27001: i primi passi per uno studio legale

Andiamo per ordine.

La prima cosa che uno studio legale dovrebbe fare quando intraprende questo percorso è stabilire dei tempi. Tendenzialmente per adattarsi a un sistema di gestione ISO: 27001 ci vogliono dai 6 agli 8 mesi, dipende dal livello di consapevolezza che si vuole raggiungere e soprattutto dalla tipologia di studio legale.

Alcune realtà sono digitalmente pronte, ricche di procedure e prassi consolidate che le rendono organizzate.

In questo caso sarà sicuramente più semplice adattarsi ai requisiti in materia di sicurezza delle informazioni.

In altri casi il processo è più lento e necessita di maggior tempo. Un periodo compreso tra i 6 / 8 mesi resta un tempo congruo per la creazione di un sistema di gestione 27001 completo nei suoi requisiti minimi obbligatori; occorre ribadire fin da subito che il tempo stabilito per l’impostazione del sistema è l’inizio di un percorso che entrerà solo successivamente nella logica quotidiana.

L’importanza di una consulenza esperta ISO 27001

Dopo aver stabilito le tempistiche, occorre affidarsi a dei consulenti esperti nel settore.

I vantaggi di rivolgersi a soggetti esterni competenti in materia sono molteplici:

• Da una parte è utile nel rispetto dell’obiettivo prefissato: lo studio si prepara ad essere sottoposto ad audit 27001 di seconda parte da parte dei consulenti esterni che applicano le logiche dei futuri certificatori;
• Rivolgersi ad auditor certificati risulta necessario per rispettare i requisiti sull’audit interno richiesti proprio dalla norma 27001.
• Con l’aiuto dei consulenti si procede all’impostazione del sistema documentale.

Gli step del sistema documentale

1. Solitamente si parte dall’analisi della norma: una fase in cui ci rende conto dell’organizzazione dello studio. Analizzando i requisiti richiesti si può scoprire che certi aspetti vengono già gestite nel modo corretto, non tutto deve essere riorganizzato. L’obiettivo resta l’impostazione del sistema documentale, dunque, se documenti/procedure/modelli vengono già utilizzati dallo studio vanno semplicemente adattati al sistema.
2. Una volta compreso il livello di organizzazione si passa alla definizione del campo di applicazione, ovvero il “confine” entro cui lo studio decide di rendere applicabile il sistema di gestione ISO: 27001. Non è necessario che il campo di applicazione riguardi tutto quello che viene effettuato all’interno di uno studio legale, potrebbe anche essere limitato a un settore specifico, potrebbe essere una scelta strategica quella di voler applicare la norma ad un campo limitato, magari per assolvere ad alcune richieste dei clienti.
3. A seguito della scelta del campo di applicazione, si procede con la definizione della “politica delle informazioni”; la politica è fondamentale, definisce lo scopo, la direzione, i principi e le regole di base per la gestione della sicurezza delle informazioni.
4. A questo punto siamo pronti per procedere con il rispetto dei requisiti obbligatori richiamati dal capitolo 4 al capitolo 10 della norma. Essi confluiscono in una serie di controlli operativi presenti nell’annex A.

Lo studio legale potrebbe decidere di escludere dei controlli operativi, perché non pertinenti alla sua realtà. La scelta delle esclusioni deve sempre essere giustificata e se così non fosse, potrebbe essere contestata dai certificatori.

È compito dei consulenti fare le verifiche del caso e suggerire allo studio come agire sul punto.

Fondamentale nel processo sono gli interlocutori, non a caso la norma richiede che ci sia un responsabile del sistema, una persona che sia da collante sia per i collaboratori interni che per gli esterni.

Generalmente la difficoltà principale di uno studio legale che sceglie questo percorso è imporre dei vincoli procedurali ai suoi collaboratori; su questo occorre intervenire sul lato formativo, solo in questo modo si potrà sensibilizzare all’aderenza al sistema creato.