La elevata digitalizzazione dei servizi e dell’operatività delle aziende, unita alla sempre maggiore interconnessione tra le stesse, ha reso i rischi ICT e cyber i principali rischi a cui sono esposte le aziende rendendo la loro gestione una priorità con più rimandabile.
La cybersicurezza come priorità nell’era della digitalizzazione
La rilevanza assunta dalla cybersecurity ha spinto i principali enti normativi e le Autorità ad emettere standard (ISO serie 27000, Framework NIST,..) e normative obbligatorie nei settori più critici (NIS 1 e NIS2, PSD2, DORA..) con l’obiettivo di offrire dei framework di gestione di tali rischi oppure imporre dei requisiti e delle misure di sicurezza obbligatorie, sia preventive che reattive, per mitigarli e contenerli.
Va tuttavia osservato che uno dei maggiori errori che le aziende commettono in tale ambito è quello di considerare la gestione della cybersecurity come una tematica specifica e non integrata nei processi aziendali. Tale approccio rende, molto spesso, la strategia sulla cybersecurity inefficace perché non collegata alle strategie di business e all’operatività aziendale.
ISO 9001: una base solida per la gestione della cybersecurity
In tale ambito, la norma ISO 9001, norma che definisce i requisiti di un sistema di gestione della qualità, può venire in aiuto alle aziende perché crea una buona base dove può essere introdotta, in maniera graduale e efficace, la gestione della cybersecurity.
Questo non significa che gli standard e le norme di sicurezza ad oggi presenti non sono utili, ma sicuramente la ISO 9001 consente di implementarli in maniera più efficace e integrata nei processi aziendali applicando i principi di qualità la norma stabilisce.
Il risk-based thinking: un ponte tra qualità e sicurezza informatica
Nell’ultima versione della ISO 9001 rilasciata nel 2015 è stato introdotto il concetto di risk-based thinking, ovvero l’applicazione di un approccio basato sui rischi alla gestione della qualità, in sostituzione del precedente approccio che era basato sull’adozione di azioni preventive che nel tempo si è dimostrato poco efficace.
Il risk-based thinking infatti va molto al di là delle azioni preventive perchè prevede l’adozione di una visione globale dei rischi delle attività aziendali e prevede un forte coinvolgimento dell’alta direzione in tutto il processo di gestione.
Effettuando un parallelismo con la norma ISO 27001 che norma il sistema di gestione della sicurezza informatica, si può osservare come il processo di gestione dei rischi di qualità e quello di gestione dei rischi di sicurezza informatica (detti anche rischi ICT e Cyber) sono molto simili in quanto si pongono obiettivi simili ed entrambi fanno riferimento ai principi della ISO 31000:2009 che è la norma ISO specifica per la gestione dei rischi.
La struttura High Level della ISO 9001: Un framework flessibile
In linea con le indicazioni emesse dall’ISO già nel 2012, la versione del 2015 della norma ISO 9001 ha adottato una struttura chiamata High Level Structure (HLC) che è stata introdotta dell’ISO proprio per consentire una facile integrazione del sistema di gestione della qualità con altri sistemi di gestione (ambiente, sicurezza, sicurezza delle informazioni, ecc). Tale struttura è stata infatti poi adottata da altre norma ISO inclusa la ISO 27001.
I sette pilastri della ISO 9001: dal contesto al miglioramento continuo
La norma ISO 9001 è suddivisa in 7 capitoli principali per i quali si riportano, qui di seguito, alcune considerazioni sul loro contenuto:
Contesto
In questo capitolo viene richiesto all’organizzazione di monitorare e analizzare dettagliatamente il contesto in cui opera. L’obiettivo è quello di acquisire dati e informazioni su tutti i fattori esterni e interni che possono influenzare il sistema di gestione aziendale, nonché le esigenze dei potenziali clienti e le principali caratteristiche/evoluzioni del mercato di riferimento per l’organizzazione. Tale fase è rilevante anche per effettuare la valutazione dei rischi dell’organizzazione che può essere completa e attendibile solo si ha una perfetta conoscenza del contesto in cui opera l’organizzazione. Va inoltre ricordato che nel contesto dell’organizzazione rientrano l’organizzazione della stessa e anche tutte le altre parti interessate (fornitori, partners, dipendenti, clienti, …).
Leadership
La nuova versione della norma ISO 9001 elimina l’obbligo da parte dell’organizzazione di nominare un Rappresentante della Direzione poiché si richiede un diretto coinvolgimento, almeno nei passaggi fondamentali, dell’Alta Direzione, senza possibilità di delegare. Nella nuova norma, in accordo a tale principio, l’Alta Direzione deve:
- stabilire le finalità e gli obiettivi del sistema di gestione e creare le condizioni per poterli raggiungere;
- assicurare l’identificazione e la valutazione di tutti i rischi che potrebbero afferire all’azienda e mettere in pericolo la soddisfazione dei propri clienti e il rispetto dei requisiti della norma;
- enfatizzare la propria presenza anche e soprattutto nei confronti degli altri ruoli direzionali dimostrando loro autorevolezza e partecipazione alle dinamiche aziendali;
- promuovere ed incoraggiare direttamente il miglioramento continuo e l’innovazione.
Pianificazione
La nuova versione del capitolo enfatizza la valutazione dei rischi che possono essere gestiti e mitigati attraverso una buona e corretta pianificazione delle attività consentendo così il raggiungimento degli obiettivi prefissati. In tale ambito è anche possibile individuare e sfruttare nuove opportunità. Come detto in precedenza, l’introduzione di nuovi requisiti in tale capitolo ha permesso il superamento del concetto di azioni preventive che sono state inglobate nelle attività di analisi e trattamento dei rischi.
Supporto
Per poter raggiungere gli obiettivi stabiliti, l’organizzazione deve definire e attribuire le corrette risorse umane, economiche, finanziarie e strutturali. Aspetto fondamentale sulla quale la norma insiste in maniera particolare è lo sviluppo nelle risorse umane, delle competenze e la consapevolezza sui rischi aziendali e le attività di pertinenza. In tale ambito, i requisiti relativi alla gestione documentale sono essenziali per raggiungere tali obiettivi e rafforzare l’accountability delle persone. Diventa quindi importante implementare un processo di comunicazione interno ed esterno che consenta la condivisione di tutti gli elementi importanti del sistema di gestione: obiettivi, documenti, politiche, indicatori, dati, etc.
Attività operative
Questo è il capitolo dove sono definiti i requisiti delle attività e dei processi tipici dell’organizzazione. In pratica, le attività devono essere pianificate e controllate, l’analisi dei rischi deve essere ripresa e riportata sui singoli processi, gli indicatori identificati devono essere implementati e consuntivati e i processi devono descrivere tutte le attività di dettaglio. Aspetto rilevante in tale ambito è la gestione delle non-conformità che devono essere identificate, documentate, corrette, o quanto meno contenute, e comunicate a tutti gli stakeholders, interni e/o esterni, interessati.
Valutazione delle prestazioni
In questo capitolo vengono definiti i sistemi di misura (cosa, come, quando) per il monitoraggio dei processi, dei prodotti/servizi dell’organizzazione e del sistema di gestione. Una volta raccolti e analizzati i dati di monitoraggio, l’organizzazione deve valutare la conformità di prodotti/servizi, il grado di soddisfazione dei clienti, le performance del sistema di gestione della qualità, l’efficacia delle azioni intraprese per mitigare i rischi e raccogliere le opportunità, le performance dei fornitori esterni e i punti di miglioramento. Le informazioni derivate dal monitoraggio, dalla misurazione e dalle analisi degli indicatori di monitoraggio e degli audit effettuati rappresentano gli input per il processo di miglioramento e per il Riesame della Direzione (composta dal membri del Top Management) che deve essere svolta almeno una volta l’anno. L’obiettivo del Riesame di Direzione è la revisione del sistema di gestione per valutarne l’appropriatezza, l’adeguatezza, l’applicabilità e l’efficacia. Il Riesame della Direzione identifica quindi sia punti di miglioramento che cambiamenti da effettuare sul sistema di gestione dell’organizzazione.
Miglioramento
Il miglioramento continuo è un principio chiave della ISO 9001 e richiede all’organizzazione di prendere delle decisioni e mettere in atto azioni che mirino al miglioramento continuo, siano esse azioni correttive, iniziative di formazione, riorganizzazioni aziendali o quant’altro. Gli input per il miglioramento continuo derivano dai risultati del Riesame della Direzione. Il miglioramento continuo consente di mantenere l’adeguatezza, l’efficacia e la convenienza di tutto il sistema di gestione
Integrare cybersecurity e qualità: vantaggi pratici per le organizzazioni
Come detto in precedenza, le organizzazioni che hanno adottato un sistema di gestione della qualità in accordo alla ISO 9001 hanno creato una base solida e flessibile dove poter introdurre in maniera graduale ed efficace anche la gestione dei rischi ICT e Cyber.
A titolo esemplificativo ma non esaustivo, i vantaggi che un’organizzazione che ha adottato un sistema di gestione della qualità in accordo alla ISO 9001 potrebbe ottenere integrando nel proprio sistema di gestione anche i rischi ICT e Cyber sono:
- l’analisi del contesto potrebbe essere arricchita con l’identificazione delle minacce cyber attraverso attività di Threat Intelligence mirate sul contesto ove opera l’organizzazione. Tali elementi sono di estrema utilità se si considera l’estremo livello di digitalizzazione dei servizi/prodotti offerti oggi dalle aziende.
- Il processo di gestione dei rischi definito dalla ISO 9001 può essere facilmente esteso ai rischi ICT e cyber in quanto condividono le stesse logiche di base. Va anche considerato che l’analisi di tali rischi può rafforzare o indebolire le opportunità che l’azienda identifica quando ci si rende conto della loro entità.
- La norma ISO 9001 prevede un forte e diretto coinvolgimento dell’Alta Direzione del sistema di gestione della qualità sia come indirizzo che come monitoraggio. Uno dei punti critici che si riscontra ogni giorno nella gestione dei rischi ICT e Cyber è proprio la non elevata consapevolezza del Management verso tali rischi che sono percepiti come costi e non come opportunità per proteggere e sviluppare il business aziendale. Applicare la logiche delle ISO 9001 in tale ambito significa incrementare il coinvolgimento del Management aziendale in tale ambito (vedi il Riesame della Direzione) aumentandone la consapevolezza.
- La norma ISO 9001 definisce dei principi di qualità per tutti i processi aziendali. Questo permette all’azienda di operare in maniera strutturata, ordinata e controllata. L’adozione dei principi di qualità anche per i processi di sicurezza garantisce una loro corretta implementazione e l’adozione di indicatori di monitoraggio permette all’organizzazione di poter intervenire tempestivamente quando si creano delle deviazioni da quanto stabilito. A titolo esemplificativo, i processi di change management e di patch management sono essenziali per garantire un sistema di sicurezza. La loro non corretta implementazione può creare delle vulnerabilità (es. patch di sicurezza non installate) o dei disservizi (es. fallimenti del rilascio in produzione dei change) che aumentano i rischi ICT e Cyber.
- La norma ISO 9001 richiede un monitoraggio ed un controllo molto stringente dei fornitori e dei beni e servizi da questi offerti. Integrare tali valutazioni anche con i rischi ICT e Cyber è di estrema utilità per un’organizzazione perché permette di gestire i rischi ICT delle terze parti che, negli ultimi anni, sono aumentati in maniera esponenziale a causa dell’elevato ricorso da parte delle aziende alle esternalizzazioni. Non è un caso che le Autorità europee e nazionali hanno molto normato in tale ambito (si pensi alle Linee Guida EBA sull’outsourcing e ai rischi delle terze parti in ambito Regolamento DORA). Estendere pertanto il processo di review dei contratti e dei servizi/prodotti acquisiti ad oggi disponibile in ambito ISO 9001 anche ai controlli specifici per i rischi ICT e Cyber non risulta essere eccessivamente oneroso e, dall’altro canto, garantirebbe anche una conformità normativa quando ci requisiti cogenti da applicare.
- Infine, la logica del miglioramento continuo, pilastro della ISO 9001, è essenziale in ambito sicurezza ICT per garantire l’efficacia e la robustezza delle misure di sicurezza implementate rispetto alle nuove minacce cyber che sempre più appaiono nel panorama della cybersecurity. Bisogna quindi integrare le attività di verifica previste ad oggi dalla ISO 9001 con test specifici per l’ambito sicurezza ICT (vedi Pen Testing, Red teaming, Vulnerability assessment,..) e audit specifici sui processi di sicurezza ICT.
L’evoluzione della qualità: da obbligo a valore aggiunto per la cybersecurity
La prima versione della norma ISO 9001 è stata emessa nel 1987 e negli anni si è evoluta sia in termini di approccio e contenuti che di ambito di applicazione.
L’esigenza della “qualità” nasce dalla necessità di avere dei sistemi di gestione aziendale che siano solidi, efficaci e controllabili. Avere un sistema di gestione della qualità consente di aumentare la fiducia nei prodotti e servizi forniti dalle aziende, nelle relazioni business-to-business tra partner commerciali, nella scelta dei fornitori nelle supply chain e nella selezione dei partecipanti a bandi di gara. Per anni però, la qualità è stata percepita più come un obbligo di compliance che come un reale valore aggiunto.
Negli ultimi anni, con l’emissione di norme ISO sempre più basate su approcci risk-based e su strutture sempre più simili (vedi la HIGH LEVEL STRUCTURE), si è modificata la percezione dell’utilità di tali standard e delle certificazioni associate.
Oggi un’azienda che opera in ambito cybersecurity fornendo servizi altamente specializzati (vedi laboratori di valutazione della sicurezza, società che eseguono PenTest, RedTeam e VA, società che offrono servizi di sicurezza quali il SOC e così via) non può competere sul mercato se non possiede le opportune certificazioni (es. ISO 9001, ISO 27001, ISO 17025,..) e non dimostra le competenze del proprio personale con altrettante certificazioni riconosciute sul mercato (es. LA 27001, CEH, CompTIA, CISSP, CISM,..).
Conclusioni
D’altra parte, anche le aziende cliente stanno iniziando a riconoscere i vantaggi offerti da queste norme soprattutto quando si rendono conto che la maggior parte dei rischi che corrono o che hanno corso sono dovuti a disfunzioni del proprio sistema di gestione, alla scelta di fornitori sbagliati (il criterio del “fornitore” più economico non paga più), errori delle persone non opportunamente addestrato e così via.