Gli standard dell’Organizzazione Internazionale per la Standardizzazione (ISO) coprono aree essenziali come, ad esempio, la gestione della qualità, della sicurezza IT, la continuità operativa, la qualità del servizio e l’impatto ambientale.
Sviluppati da esperti dei 167 organismi membri dell’ISO e continuamente riesaminati e migliorati nel tempo, rappresentano le migliori pratiche in una vasta gamma di aree operative.
Certificazioni ISO: è importante ottenerle, ma diamogli valore
Indice degli argomenti
L’importanza dei sistemi certificativi
Le aziende che decidono di adottare i sistemi di gestione secondo le ISO possono apportare miglioramenti sostenibili e di lungo corso alle operazioni aziendali in funzione della conformità, ma questo avviene realmente, se e solo se l’azienda opera un cambio di gestione effettivo e non solo ai fini di una compliance normativa o di facciata.
Infatti, la conformità ISO di per sé non è obbligatoria; tuttavia, se gli standard ISO sono considerati affidabili dalle organizzazioni di tutto il mondo, e questo rende la conformità ISO un prerequisito importante ai fini della reputazione aziendale.
ISO/IEC 27400:2022: perché è importante per la sicurezza e la protezione dati dell’IoT
Un questione reputazionale
Inoltre alcuni tipi di certificazione ISO possono essere richiesti come prerequisito nei procedimenti di gara, ovvero come mezzo di filtro per scremare le azienda considerate più virtuose rispetto alle altre dove l’assenza di un processo certificato non consente di valutare criteri come l’affidabilità e la priorità della soddisfazione del cliente (ISO 9001) o il sistema di gestione della sicurezza delle informazioni (ISO 27001) o anche l’attenzione all’impatto ambientale (ISO14001) solo per citare alcuni degli esempi più noti.
La compliance alle ISO
Gli standard della ISO possono essere considerati come una “una formula che descrive il modo migliore di fare qualcosa” (fonte: ISO) e coprono un’ampia gamma di diversi processi aziendali, servizi e prodotti. Includono infatti Standard di gestione della qualità, standard di gestione ambientale, standard di salute e sicurezza, standard di gestione dell’energia, norme di sicurezza alimentare e standard di sicurezza IT e standard di continuità operativa.
La conformità si ottiene quando un’organizzazione soddisfa i requisiti delineati in uno standard specifico sviluppato fra quelli delle ISO e si sottopone ad un processo di verifica da parte di terzi autorizzati e certificati per il procedimento di audit.
I framework ISO sono utilizzati dalle organizzazioni per incorporare pratiche commerciali standardizzate a livello internazionale e costituiscono buone prassi di gestione che, rivalutate periodicamente, apportano il miglioramento continuo alle operazioni aziendali secondo il noto ciclo di Deming (Plan-do-check-act).
Il significato della conformità
Quindi essere conforme allo standard ISO significa che l’organizzazione utilizza processi e procedure sviluppati da esperti. Progressivamente all’adozione delle prassi e alla ottimizzazione, le organizzazioni possono allinearsi agli standard internazionali e ottenere un immediato Ritorno di Investimento (ROI) delle spese legate alla preparazione e certificazione.
Tra tutti i tipi di standard, la ISO 27001 (Sicurezza delle informazioni e IT) aiuta le organizzazioni a creare e mantenere un sistema di gestione della sicurezza delle informazioni (ISMS) che rafforza le difese contro le minacce informatiche. La conformità alla ISO 27001 significa che un’organizzazione dispone di controlli di sicurezza IT chiari per proteggere le operazioni, l’hardware e i dipendenti dagli attacchi informatici. Gli interventi sono organizzativi, di processo e di tipo tecnologico.
Quando ISO 27001 e cyber security vanno a braccetto: il caso E-Repair
Dalla necessità di compliance alla efficacia reale
Fino ad oggi l’adozione delle certificazioni per la sicurezza ha avuto una adozione a macchia di leopardo in Italia. Lara Lattanzi, Privacy manager e auditor chiarisce che “in Italia i sistemi di gestione per la sicurezza delle informazioni (UNI ISO 27001) hanno avuto negli anni passati una bassa diffusione rispetto ad altri standard quali ad esempio la ISO 9001”.
Ma gli ultimi dati pubblicati dall’International Organization for Standardization (ISO) per il 2021 ISO – The ISO Survey mostrano un incremento delle certificazioni ISO 27001 in Italia a dimostrazione che la protezione delle informazioni si sta rivelando sempre più una priorità per le Organizzazioni (fonte: ISO survey 2021).
GDPR, come funzionano le certificazioni in ambito privacy: rischi e opportunità
Lara Lattanzi spiega inoltre che l’incremento di certificazioni ISO 27001 in Italia è particolarmente legato ad una serie di fattori, fra i quali lo sviluppo dei servizi Cloud, l’ottemperanza al “GDPR”, alla Direttiva “NIS” e ai requisiti chiesti ai fornitori della PA (con le estensioni alla normativa ISO 27017 e ISO 27018) e ultimo ma non meno importante l’esigenza di adeguare la propria organizzazione interna alle sfide poste dall’attuale sistema economico globale (incremento degli attacchi informatici a seguito della pandemia e della guerra russo ucraina):
“Il crescente numero di attacchi, virus e intrusioni ha aumentato la consapevolezza delle aziende del valore strategico del Sistemi di gestione ISO 27001, inteso come opportunità per migliorare la propria organizzazione, la resilienza e adattabilità, la consapevolezza dei dipendenti sui rischi legati alla sicurezza delle informazioni, per evitare danni reputazionali e per dare un segno distintivo nei confronti di clienti, dipendenti, azionisti e competitor non solo quindi come puro adeguamento ad una norma”.
Come intervenire per un reale cambio della gestione aziendale
Con l’estensione progressiva della digitalizzazione per elaborare dati e trasformare digitalmente l’impresa, il rischio legato alla violazione informatica delle informazioni sensibili aziendali aumenta di pari passo.
Le organizzazioni che adottano un sistema di gestione della sicurezza delle informazioni (ISMS) dimostrano di voler proteggere preventivamente le reti IT e i propri sistemi dai rischi della minaccia digitale ed inoltre si dotano procedure per reagire agli incidenti informatici o data breach quando sono coinvolti dati personali.
Quest’ultima è una parte importante della conformità al GDPR e dovrebbe essere centrale per la governance IT e la gestione del rischio digitale. Dunque, la conformità ISO può conferire all’organizzazione la certezza che il proprio sistema di gestione della sicurezza delle informazioni sia accreditato secondo uno standard riconosciuto.
E questo non tanto per una mera “evidenza di facciata” e per la compliance necessaria alla partecipazione di gare e bandi, quanto maggiormente e soprattutto per attuare una gestione realmente efficace da un punto di vista manageriale che garantisce la resilienza del business nonostante le minacce di sicurezza che potrebbero minare l’operatività giornaliera.
La ISO della continuità operativa
È doveroso ricordare che fra le ISO esiste anche la 22301 finalizzata proprio a garantire la continuità operativa mediante l’implementazione di piani ed esercitazioni, finalizzati a risolvere le interruzioni dell’attività evitando le perdite di profitti.
In questi contesti, i professionisti che lavorano nella implementazione delle ISO presso le organizzazioni pubbliche e private possono giocare un ruolo importante nel cambio di approccio verso l’adozione di questi framework.
Lara Lattanzi suggerisce infatti che i consulenti che supportano le organizzazioni nelle gap analysis propedeutiche alla adozione di ISO di questo tipo dovrebbero concentrarsi sula creazione di valore per l’organizzazione; si dovrebbero prediligere sistemi di gestione snelli e facili da mantenere trovando il giusto compresso tra il mero rispetto dei requisiti della normativa ISO e il giusto mix di principi, procedure e processi che l’impresa decide di adottare per funzionare meglio.
Quando invece si opera in qualità di auditor durante le verifiche ispettive si dovrebbero prediligere approcci mirati ad accompagnare le Organizzazioni in un percorso di crescita e miglioramento continuo piuttosto che svolgere audit formali e burocratici volti solo al rilevamento di non conformità rispetto requisiti della norma.
