Grazie per averci contattato!
La tua richiesta è stata mandata con successo.
Dobbiamo implementare tutti i controlli dell'Allegato A per certificarci ISO27001?
Come Lead Auditor, una delle domande più frequenti che mi sento rivolgere durante le fasi preliminari di consulenza o negli audit di Stage 1 è: "Dobbiamo implementare tutti i controlli dell'Allegato A per certificarci ISO27001?". Esiste un timore diffuso che la norma imponga una sorta di "pacchetto preconfezionato" di misure di sicurezza che potrebbero risultare eccessive o inadatte alla specifica realtà aziendale.
La risposta breve è no, non è obbligatorio implementare ogni singolo controllo presente nell'Allegato A. Tuttavia, la risposta articolata richiede una comprensione profonda di come funziona il framework ISO/IEC 27001:2022 e di quale sia il legame inscindibile tra la valutazione del rischio e la scelta delle contromisure.
ShutterstockLa natura dell'Allegato A: Un catalogo, non una lista della spesa
L'Allegato A della ISO/IEC 27001 (che nella versione 2022 è stato riorganizzato in 93 controlli suddivisi in 4 temi: Organizzativo, Persone, Fisico e Tecnologico) non deve essere visto come una checklist di obblighi assoluti. La norma stessa lo definisce come un set di obiettivi di controllo e controlli di riferimento.
Il principio cardine della norma è la flessibilità. L'obiettivo è creare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) che sia "su misura" per l'organizzazione. Questo significa che l'azienda deve implementare solo i controlli che sono necessari per mitigare i rischi identificati durante la fase di Risk Assessment.
Il ruolo centrale del Risk Assessment e del Risk Treatment Plan
Per capire se dobbiamo implementare tutti i controlli dell'Allegato A per certificarci ISO27001, occorre guardare al punto 6.1.3 della norma. Questo paragrafo specifica che l'organizzazione deve:
• Identificare le minacce e le vulnerabilità relative ai propri asset informativi.
• Valutare l'impatto e la probabilità di tali rischi.
• Definire un Piano di Trattamento del Rischio (Risk Treatment Plan).
È solo a questo punto che entra in gioco l'Allegato A. L'azienda confronta i controlli scelti per il trattamento dei rischi con quelli presenti nell'Allegato A per assicurarsi che non siano state trascurate misure importanti. Se un rischio non esiste nel contesto aziendale (ad esempio, il rischio legato allo sviluppo software se l'azienda non sviluppa codice), i relativi controlli possono essere legittimamente esclusi.
La Dichiarazione di Applicabilità (SoA): Il documento del "Perché sì" e del "Perché no"
Il cuore documentale di questa scelta è la Dichiarazione di Applicabilità, nota come Statement of Applicability (SoA). Questo documento è fondamentale per ogni auditor: in esso l'organizzazione deve elencare tutti i controlli dell'Allegato A e specificare:
1. Quali controlli sono stati selezionati: Quelli che l'azienda ha deciso di implementare perché necessari a mitigare un rischio o richiesti da leggi e contratti.
2. La giustificazione per la loro inclusione: Perché quel controllo è rilevante?
3. Lo stato di implementazione: Il controllo è già attivo o è in fase di realizzazione?
4. La giustificazione per le esclusioni: Questo è il punto critico. Se decidete che un controllo non è applicabile, dovete spiegare il motivo tecnico o logico dietro questa scelta.
Giustificare le esclusioni: Cosa accetta un Lead Auditor?
Durante un audit, la mia attenzione cade immediatamente sulle esclusioni. Non basta dire "non lo facciamo". La giustificazione deve essere solida. Ad esempio, se un'azienda esclude il controllo relativo alla sicurezza fisica degli uffici perché opera in una modalità 100% smart working senza sedi fisiche, l'esclusione è valida. Se invece si tenta di escludere la crittografia solo perché ritenuta "costosa" nonostante si gestiscano dati sensibili, l'auditor solleverà certamente una non conformità.
Controlli non presenti nell'Allegato A
È importante sottolineare che l'Allegato A non è esaustivo. Se la vostra valutazione del rischio evidenzia la necessità di una misura di sicurezza che non è presente nell'Allegato A, potete (e dovete) aggiungerla. La norma permette di attingere da altri framework come il NIST, i controlli CIS o normative specifiche di settore come il TISAX per l'automotive.
I rischi di un'esclusione eccessiva
Molte aziende cercano di ridurre il numero di controlli per "velocizzare" la certificazione. Questo è un errore strategico. Una ISO/IEC 27001 con troppe esclusioni ingiustificate perde di credibilità agli occhi degli stakeholder e dei clienti. Inoltre, l'evoluzione delle minacce cyber rende oggi applicabili controlli che pochi anni fa sembravano opzionali, come la gestione delle identità (IAM) o la sicurezza delle configurazioni cloud.
Il passaggio alla versione 2022: Cambia qualcosa?
Con l'aggiornamento della norma nel 2022, l'Allegato A è diventato più snello ma anche più moderno. Sono stati introdotti 11 nuovi controlli, tra cui Threat Intelligence, Security of cloud services e Data leakage prevention. Sebbene la domanda se dobbiamo implementare tutti i controlli dell'Allegato A rimanga valida, la nuova struttura spinge le aziende a considerare temi tecnologici che prima erano spesso trascurati.
Conclusioni operative per l'azienda
La conformità alla ISO/IEC 27001 non si misura sulla quantità di controlli implementati, ma sulla coerenza tra i rischi reali e le difese adottate. Il percorso corretto non è partire dall'Allegato A e cercare di applicarlo tutto, ma partire dai propri processi aziendali, mappare i pericoli e usare l'Allegato A come una guida autorevole per non lasciare zone d'ombra nella propria postura di sicurezza.
Ricordate sempre: l'auditor non cerca la perfezione assoluta su 93 controlli, ma cerca la prova documentata che ogni scelta (inclusione o esclusione) sia frutto di un processo decisionale consapevole e basato sul rischio.