Per anni la ISO/IEC 27001 è stata prigioniera di due narrazioni opposte: da un lato il “gold standard” della sicurezza, dall’altro un esercizio di burocrazia fatto di policy, procedure, template e verbali. La realtà sta nel mezzo: sebbene la certificazione non equivalga alla sicurezza assoluta, un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) ben costruito resta uno degli strumenti più efficaci per portare ordine, responsabilità e continuità. Senza di esso, i programmi di sicurezza rischiano di vivere perennemente di urgenze e iniziative scollegate.
Di questi tempi, il tema è diventato attuale, in quanto le normative DORA e NIS2 stanno spingendo le aziende verso modelli organizzativi più orientati agli standard internazionali: governo dei rischi, controllo della filiera dei fornitori, evidenze, misurazione e miglioramento continuo. In questo scenario, la ISO/IEC 27001 non risolve automaticamente i requisiti normativi, ma offre le indicazioni per definire una struttura organizzativa adeguata su cui innestare controlli e adempimenti con maggiore coerenza e sostenibilità.
Quello che vi racconto nasce sul campo: un percorso reale di certificazione in ambito bancario, concluso nel dicembre 2025. È il punto di vista di chi negli anni ha vissuto la 27001 da tutte le angolazioni: consulenza, audit interno (anche come Lead Auditor) e, infine, come CISO con la responsabilità diretta del programma.
Indice degli argomenti
Quando la certificazione parte da obiettivi reali
La prima lezione è tanto semplice quanto cruciale: non si persegue un percorso di certificazione ISO27001 per accontentare una richiesta esterna, ma perché è necessario per costruire un sistema di gestione utile all’azienda. Nel percorso che descrivo, la certificazione era stata inserita già un paio di anni prima all’interno di un programma pluriennale più ampio di governance e sostenibilità, con un collegamento esplicito ai temi ESG. In sintesi: non il “solito” progetto isolato della Security, ma un tassello della resilienza complessiva dell’organizzazione.
Questo approccio ha un impatto pratico enorme: prima di arrivare al kickoff, bisogna investire in un pre-work che spesso è sottovalutato. Nel 2024, per ottenere l’approvazione del budget, abbiamo dovuto mappare la situazione di partenza, stimare i costi e mettere in chiaro un aspetto essenziale: il costo della certificazione non coincide con la fattura dell’ente certificatore. C’è il design del sistema, l’adeguamento dei processi, la formazione, gli audit, oltre al tempo delle persone chiave coinvolte.
Il principio di fondo è questo: la certificazione è l’ultimo passo, non il primo.
Se si avvia un programma con l’unico scopo di superare l’audit, si rischia di costruire un SGSI scollato dal business e destinato a spegnersi in fretta. Se invece si parte da obiettivi effettivi (riduzione del rischio, affidabilità verso i clienti, disciplina sui fornitori), allora la certificazione diventa una naturale, sorprendente e piacevole conseguenza.
Il kickoff della ISO/IEC 27001 si prepara prima
Nel nostro caso, il lavoro operativo si è svolto tra marzo e dicembre 2025; ma il vero “kickoff” è iniziato prima, puntando a tre traguardi irrinunciabili:
- ottenere il commitment del top management;
- identificare con chiarezza perimetro, ruoli e strutture aziendali impattate;
- preparare il terreno con le persone da coinvolgere, allineandole sui nuovi impegni prima ancora di partire.
Questo passaggio fa la differenza perché la 27001, per come è pensata, non è un compito delegabile. Il SGSI richiede leadership e decisioni importanti: sul rischio, sui controlli, sulle priorità, sui compromessi. Se il vertice aziendale non ci crede, il programma si riduce a pura compliance. Se invece fa da sponsor, il kickoff si trasforma in un momento di forte impatto aziendale, in cui si dichiara apertamente l’inizio di un percorso strutturato.
Leadership e governo continuo del sistema
Troppo spesso il capitolo “Leadership” della norma viene liquidato con una bella policy e un paio di firme. Nella realtà, per far vivere un SGSI serve una disciplina costante: portare i temi nei Comitati, portare i fatti sul tavolo della Direzione, rendere trasparenti avanzamento e criticità e pretendere scelte chiare quando servono. La continuità è l’unico antidoto contro due problemi tipici: farsi sommergere dalle urgenze quotidiane e trasformare il progetto in un “esamificio” che produce carta solo per l’auditor.
Un SGSI funziona quando passa da “documentare” a “governare” e quindi decidere: qual è la nostra propensione al rischio? Quali controlli sono vitali e quali possiamo rimandare? La ISO27001, in fondo, è un modo per rendere ripetibile e migliorabile la gestione della sicurezza, non un Manuale operativo per descriverla.
Costruire il sistema: obbligatorio, utile, proporzionato
Una delle preoccupazioni comunemente diffuse in questo percorso è che la ISO27001 porti con sé montagne di documentazione inutile: potrebbe succedere, ma solo se si imposta male. Nel nostro percorso, una regola pratica è stata quella di distinguere con chiarezza tre livelli:
• Il “must-have”: ciò che la norma esige e che è necessaria per dimostrare l’efficacia del sistema;
• L’utile: ciò che è vantaggioso per far funzionare bene il sistema (processi, ruoli, indicatori, dashboard, registri);
• Il “nice to have”: ciò che è desiderabile, ma non prioritario nel primo ciclo.
Questa divisione aiuta a mantenere la lucidità: la ISO27001 non richiede di costruire tutto da subito, ma di sapere quali sono i rischi, affrontarli e misurarne l’efficacia.
Il rischio va trattato come un processo vivo
Un tema centrale è la valutazione del rischio; non come documento statico, ma da aggiornare quando necessario: se cambiano condizioni (nuove esternalizzazioni, nuovi servizi digitali, nuove minacce, nuovi vincoli normativi), anche la valutazione deve cambiare. Questo approccio è perfettamente allineato con DORA e NIS2, che chiedono di governare il rischio in modo dinamico e dimostrabile. In questo senso, la 27001 è un “abilitatore”: fornisce un linguaggio comune, un meccanismo di misurazione e un ciclo di miglioramento continuo. Non basta, ma aiuta ad evitare l’approccio a silos, in cui ogni nuova normativa genera un progetto separato, con duplicazioni e affaticamento organizzativo.
Formazione e comunicazione: il sistema non è (solo) del team Information Security
Processi e controlli funzionano solo se le persone li comprendono e li riconoscono come parte del lavoro quotidiano. Per questo comunicazione e formazione non sono attività di contorno, ma sono il collante che tiene insieme il sistema.
Nel nostro percorso è stato fondamentale far percepire ai team in perimetro di essere parte del sistema: illustrare i ruoli e le responsabilità, renderli partecipi sui rischi da mitigare, sulle aspettative degli stakeholder, allinearli sullo stato avanzamento lavori, condividere le principali milestone completate.
Quando questo passaggio riesce, la ISO27001 smette di essere un progetto “della sicurezza” e diventa un modo di lavorare.
Management Review: farla bene (e farla più di una volta)
Un altro aspetto spesso sottovalutato è l’importanza della Management Review.
C’è la tentazione di eseguirla una volta sola, perché è obbligatorio e con il minimo set minimo necessario di slide. Per esperienza personale, è molto più saggio pianificarne almeno due:
• una prima, fondativa, per approvare il sistema: roadmap, perimetro, policy, analisi dei rischi, piano di trattamento, indicatori, stato di attuazione;
• una seconda, di rifinitura, più vicina all’audit dell’ente certificatore, per consolidare l’insieme delle evidenze e verificare che l’organizzazione “viva” realmente il sistema.
E questo vale non solo per il primo anno, ma anche in quelli successivi.
Questo approccio aumenta la qualità del dialogo con il top management e riduce il rischio di arrivare all’audit con decisioni ancora sospese o con evidenze immature.
Audit interni: dove emergono davvero i gap
L’internal security audit è il momento in cui si scopre se il sistema sia stato definito, implementato e messo in esercizio secondo quanto previsto dallo standard.
Farlo bene significa cercare i gap, non sperare di non trovarne ed è principalmente per questo ritengo fondamentale assegnare l’attività di audit a una società specializzata. Una società terza garantisce maggiore indipendenza, porta l’esperienza fatta in altre aziende, permette di individuare non conformità od osservazioni che un team interno potrebbe trascurare per troppa familiarità con il contesto.
L’audit interno, inoltre, è un ottimo banco di prova per la qualità della documentazione e delle evidenze: non mi riferisco solo ai documenti obbligatori, ma anche alla accuratezza delle formalizzazioni (copertine, versioni, date, approvazioni al corretto livello, tracciabilità). Un auditor non valuta solo cosa fai, ma anche quanto sei in grado di dimostrarlo.
Audit di certificazione: l’esito si costruisce nei mesi precedenti
Quando arriva la fatidica settimana dell’audit finale, ci si rende conto che il risultato dipende molto poco da quella settimana e molto da ciò che è stato costruito nei mesi precedenti. Se il SGSI è stato impostato con obiettivi chiari, processi realistici, ruoli compresi, evidenze curate e soprattutto avendo coinvolto le persone necessarie, l’audit diventa quasi un piacere di dimostrare quanto svolto.
Le persone che hanno contribuito all’implementazione del sistema saranno felici di poter dimostrare il suo funzionamento.
Se invece si arriva con un sistema appena costruito, l’audit diventa un momento stressante, spesso orientato a chiudere in fretta buchi e incoerenze.
Qui c’è un punto culturale: la certificazione non deve essere una corsa, ma essere il primo ciclo di un percorso.
In un contesto regolato – e ancor più con DORA e NIS2 – la capacità di dimostrare controllo e miglioramento nel tempo vale più del superare l’audit una volta.
Comunicare la certificazione con equilibrio
Ottenuta la certificazione, un aspetto spesso trascurato è la comunicazione verso l’esterno. La certificazione, se coerente con un sistema reale, è anche un messaggio di affidabilità per clienti, partner e stakeholder: “abbiamo un modello di gestione della sicurezza e lo sottoponiamo a verifica indipendente”. Questo valore va però comunicato con equilibrio, evitando promesse implicite, come “siamo sicuri al 100%”, e mantenendo l’accento su governance e miglioramento continuo.
Allo stesso modo, la comunicazione interna è cruciale: condividere il risultato, riconoscere l’impegno delle persone coinvolte. Un SGSI non finisce con la consegna del certificato: inizia una fase nuova, fatta di monitoraggio, audit periodici, aggiornamenti del rischio, revisione dei controlli e manutenzione della cultura.
Quando la ISO/IEC 27001 diventa un metodo
Se dovessi riassumere la lezione principale del percorso concluso nel dicembre 2025, direi questa: la ISO/IEC 27001 funziona quando smette di essere un obiettivo e diventa un metodo. Un metodo per decidere, misurare, correggere, migliorare.
Un metodo che, nel contesto di DORA e NIS2, non elimina il lavoro, ma lo rende più sostenibile e dimostrabile.
Per chi sta valutando di intraprendere un percorso simile, l’invito è a partire dalle domande giuste: quali obiettivi vogliamo raggiungere? Che tipo di organizzazione vogliamo diventare? quanto siamo disposti a far vivere il sistema oltre l’audit?
Perché il certificato, in fondo, attesta solo ciò che siete stati fino a ieri. Il sistema, al contrario, è il metodo con cui garantirete la sicurezza tutti i giorni.
