Il Direttore dell’ACN, Bruno Frattasi, ha recentemente evidenziato che la minaccia cyber si abbatte e riguarda in maniera particolare il settore manifatturiero che è il fulcro dell’economia italiana ed è costituito in gran parte da piccole e medie imprese (PMI). Queste ultime sono, dunque, chiamate a comprendere l’importanza di acquisire sempre maggiore consapevolezza e conoscenza del rischio cyber a cui sono esposte.
Le PMI devono comprendere l’importanza di investire in cyber security per proteggere i propri dati e la proprietà intellettuale nonché per garantire la continuità operativa. Questo comporta:
- adottare misure di sicurezza adeguate;
- formare i dipendenti;
- mantenere aggiornati i sistemi e prepararsi a rispondere efficacemente agli eventuali attacchi.
L’integrazione della norma ISO 9001 (attualmente nella versione del 2015 comprensiva dell’Annex 1:2022) con i 15 controlli essenziali del framework nazionale per la cybersecurity e la data protection rappresenta un modello ibrido innovativo.
Questo approccio può fornire alle piccole e medie imprese (PMI) una strategia efficace per rafforzare la propria postura di sicurezza informatica, migliorare l’efficienza operativa e garantire la conformità alle normative vigenti.
Indice degli argomenti
La norma tecnica ISO 9001
ISO 9001 è uno standard internazionale per i Sistemi di Gestione della Qualità (SGQ). Questa norma definisce i criteri per un Sistema di Gestione progettato per aiutare le organizzazioni a presidiare e migliorare l’efficienza dei processi, garantire la conformità normativa e, in ultima analisi, ridurre i rischi a beneficio della soddisfazione del cliente.
Tale obiettivo è raggiunto attraverso diverse misure, tra cui la necessità di proteggere le informazioni del cliente e il know-how dell’organizzazione[1].
ISO 9001 si basa su diversi principi di gestione della qualità, tra cui il focus sul cliente, il coinvolgimento della leadership, l’approccio per processi e il miglioramento continuo.
Il framework nazionale per la cybersecurity e la data protection
Sviluppato dal CIS – Research Center of Cyber Intelligence and Information Security dell’Università Sapienza di Roma e dal CINI – Cybersecurity National Lab, liberamente scaricabile, fornisce un insieme di misure di sicurezza per supportare le organizzazioni nella protezione dei dati personali e nella gestione della sicurezza informatica.
Sebbene non sia uno strumento di conformità normativa, il framework offre linee guida pratiche per sviluppare strategie di sicurezza efficaci, riducendo i costi di implementazione e aumentando l’efficacia delle misure adottate.
La possibile integrazione tra ISO 9001 e framework
Si è detto che il framework nazionale, come gli altri standard internazionali, non può essere utilizzato come strumento per garantire la conformità ai regolamenti vigenti.
Tuttavia, la sua implementazione può indubbiamente assistere le organizzazioni nel definire un percorso strategico verso una robusta capacità di cyber sicurezza e di protezione dei dati personali, proprio in linea con i requisiti normativi vigenti.
Questo non solo riduce i costi di implementazione ma aumenta anche l’efficacia delle misure adottate proprio in linea con quanto richiesto da ISO 9001.
Lo stesso framework evidenzia che il tessuto economico italiano è prevalentemente costituito da piccole e medie imprese, che spesso non dispongono di risorse dedicate per gestire in modo sistematico le sfide legate alla cyber security, a causa di limitazioni strutturali e di fatturato.
Di fronte a tali sfide, il framework nazionale introduce 15 Controlli Essenziali di Cybersecurity, progettati per essere implementati facilmente e, nella maggior parte dei casi, con un impatto economico contenuto.
Questi controlli costituiscono pratiche di sicurezza fondamentali che non possono essere trascurate.
L’integrazione di ISO 9001 con il framework nazionale determina la creazione di un modello ibrido che combina la gestione della qualità con la sicurezza informatica.
Questo approccio sinergico offre numerosi vantaggi per le piccole e medie imprese (PMI), che possono così rafforzare la loro sicurezza e migliorare l’efficienza operativa. Di seguito, esploreremo in dettaglio i principali benefici di questa integrazione.
Peraltro, non va dimenticato che per le PMI che saranno chiamate ad applicare la NIS 2 le misure proposte dal framework nazionale ben si integrano con quelle richieste dalla stessa Direttiva, con vantaggi in termini di riduzione di costi ed a favore di una sempre più completa integrazione.
Il modello ibrido
I 15 controlli essenziali vanno a declinare 8 capacità/funzioni che possono essere potenziate con l’integrazione dei requisiti previsti dalla norma ISO 9001. Nella tabella seguente viene riportato il modello ibrido proposto. Per ogni controllo sono riportati i requisiti della ISO 9001:2015 di riferimento ed una traccia di misure da mettere in atto per integrare il controllo nel framework della norma.
Inoltre, sono riportati dei riferimenti a quelle che possono essere considerate procedure di supporto da documentare.
L’integrazione con tutti i controlli risulta trasversale. Così, il Requisito 6.1 “Azioni per affrontare i rischi e le opportunità” porta a considerare, nell’analisi dei rischi, anche quelli che incidono sulla sicurezza delle informazioni, i quali sono mitigati dalle misure del framework.
Tale requisito è richiamato anche dal requisito 4.4.1 f)[2] Affrontare i rischi e le opportunità come determinanti in conformità ai requisiti di cui al 6.1.
Analogamente risulta trasversale anche il requisito 5.3 Ruoli, responsabilità e autorità secondo il quale sono da identificare le responsabilità delle figure apicali e subordinate che hanno in capo il controllo[3].
Infine, per tutti i controlli dovrebbero essere:
- previste delle registrazioni di supporto per le quali devono essere definite le responsabilità in termini di modalità, luogo e tempi di conservazione (come definito dal requisito 7.5 Informazioni documentate);
- previsti audit nel corso della pianificazione degli stessi come richiesto dal requisito 9.2 Audit interno.
Dette registrazioni costituirebbero ovviamente evidenze, mentre i criteri sono rappresentati dal framework e dalle procedure indicate nella seguente tabella.
Capacità/funzione | Controllo essenziale | Requisito ISO 9001:2015 |
Protezione da Malware | 6. Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware ecc.) regolarmente aggiornato. | Requisito 7.1.3 Infrastrutture – messa in atto misure (compreso uno scadenziario) per garantire che le infrastrutture (di cui al controllo 1) le adeguate misure di protezione e l’aggiornamento continuo. Requisito 7.5 Informazioni documentate – verificare attraverso adeguate misure che le informazioni documentate siano adeguatamente protette da perdita di riservatezza utilizzo improprio o perdita di integrità (vedi 7.5.3.1 a). Procedura – ciclo di vita del dispositivo (dalla valutazione di acquisto alla eliminazione sicura). Procedura – gestione delle misure di sicurezza delle informazioni (nello specifico per la parte di gestione delle protezioni ai dispositivi). Nel caso in cui i fornitori fornissero del personale che opera con i propri dispositivi le misure devono essere estesi anche tali soggetti. |
7. Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori). | Requisito 7.5 Informazioni documentate – verificare attraverso adeguate misure che le informazioni documentate siano adeguatamente protette da perdita di riservatezza utilizzo improprio o perdita di integrità (vedi 7.5.3.1 a). Procedura – ciclo di vita del dispositivo (dalla valutazione di acquisto alla eliminazione sicura) Procedura – gestione delle misure di sicurezza delle informazioni (nello specifico per la parte di gestione degli accessi e delle configurazioni) | |
8. Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati. | Requisito 5.3 Ruoli, responsabilità e autorità – aggiornamento del mansionario con indicate le limitazioni per registrazione a servizi di terze parti per le varie funzioni aziendali. 7.2 Competenza – piano di formazione – il personale che accede ai sistemi è formato in merito alle proprie responsabilità sulla protezione degli accessi (disciplinare da aggiornare in relazione all’evoluzione del contesto). 7.5 Informazioni documentate – per il riesame periodico dei servizi web associati alle varie funzioni aziendali. Procedura – ciclo di vita del collaboratore (dall’ingresso nell’organizzazione al termine del rapporto di collaborazione) Procedura – formazione del personale [4] Nel caso in cui i fornitori fornissero del personale le misure devono essere estesi anche tali soggetti. | |
9. Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza. | Requisito 5.3 Ruoli, responsabilità e autorità – aggiornamento del mansionario con indicate le limitazioni per gli accessi alle informazioni per le varie funzioni aziendali. Requisito 7.5 Informazioni documentate – verificare attraverso adeguate misure che le informazioni documentate ed i relativi permessi di accesso siano adeguatamente protetti da perdita di riservatezza utilizzo improprio o perdita di integrità (vedi 7.5.3.1 a). Procedura – ciclo di vita del collaboratore (dall’ingresso nell’organizzazione al termine del rapporto di collaborazione). Procedura gestione delle misure di sicurezza delle informazioni (nello specifico per la parte di gestione degli accessi alle informazioni) . |
Capacità/funzione | Controllo essenziale | Requisito ISO 9001:2015 | ||
Formazione e consapevolezza | 10. Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, …). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza. | Requisito 5.1 Leadership – il vertice dell’organizzazione rende disponibili adeguate risorse per sensibilizzare il personale sui rischi della cybersecurity[5]. Requisito 5.3 Ruoli, responsabilità e autorità aggiornamento del mansionario con indicate le responsabilità in capo al vertice di rendere disponibili adeguate risorse e delle varie funzioni aziendali sulle misure di sicurezza di loro competenze da applicare. Requisito 7.2 Competenza – piano di formazione – il personale che accede ai sistemi è sensibilizzato (formato) in merito ai rischi, alle proprie responsabilità sulla protezione degli accessi (disciplinare da aggiornare in relazione all’evoluzione del contesto) ed alle misure da mettere in atto. Tale formazione è sostenuta (anche da adeguate risorse economiche) da parte del vertice dell’organizzazione. Tale formazione è pianificata ad intervalli oltre che all’ingresso del nuovo collaboratore. Requisito 9.3 Riesame di direzione – nel contesto del riesame tra gli elementi di ingresso (vedi 9.3.2) anche le azioni poste in atto per sensibilizzare il personale in materia di cybersecurity (periodo precedente) e tra quelli in uscita (vedi 9.3.3) la pianificazione delle misure da porre in atto per sensibilizzare il personale in materia di cybersecurity (periodo successivo) anche sulla base dei risultati del periodo precedente. Procedura – ciclo di vita del collaboratore (dall’ingresso nell’organizzazione al termine del rapporto di collaborazione). Procedura – formazione del personale Nel caso in cui i fornitori fornissero del personale le misure devono essere estesi anche tali soggetti. | ||
Capacità/funzione | Controllo essenziale | Requisito ISO 9001:2015 |
Prevenzione e mitigazione | 14. In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto. | Requisito 5.3 Ruoli, responsabilità e autorità – Integrazione dell’organigramma/ funzionigramma, aggiornamento del mansionario con la funzione/i del responsabile della sicurezza che ha in capo l’attività di gestione degli incidenti (si veda anche il controllo 4). 7.2 Competenza – piano di formazione – definire le competenze necessarie, assicurare la competenza (sia iniziale che nel corso delle attività) e registrare la l’evidenza di tale competenza per tale funzione per la funzione/i che ha in capo la sicurezza ed i collaboratori (personale esperto). Requisito 8.4 Controllo dei processi, prodotti e servizi forniti dall’esterno – tra i fornitori considerare anche quelli esperti (se l’organizzazione ricorre all’interno) considerando iter di qualifica iniziale, dinamica e ciclo di fornitura. Requisito 8.7 Controllo degli output non conformi – tra gli output non conformi anche gli eventi che minano o avrebbero potuto minare la sicurezza dei sistemi. Requisito 10.2 Conformità ed azioni correttive – tra le azioni da mettere in atto anche quelle relative alle misure per rimuove le cause degli incidenti/potenziali incidenti sulla sicurezza delle informazioni. Procedura – gestione del processo di selezione con la definizione dei profili minimi per il ricoprimento del ruolo associato alle varie funzioni e nello specifico Responsabile della sicurezza ed i suoi collaboratori. Procedura – formazione del personale Procedura – gestione degli incidenti sulla sicurezza delle informazioni[6]. Procedura – gestione dei fornitori e gestione ciclo approvvigionamento (estesa anche agli eventuali fornitori che intervengono sulle misure di sicurezza con personale esperto). |
15. Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi. | Requisito 7.5 Informazioni documentate – integrare nell’elenco dei sistemi per la gestione della documentazione anche i SW, i servizi e le applicazioni informatiche (vedi 7.5.2 a) e 7.5.3.1 b); verificare che tali elementi siamo costantemente aggiornati e quando il caso dismessi. Requisito 7.1.3 Infrastrutture – integrare l’elenco delle infrastrutture con i dispositivi che impattano sulla sicurezza delle informazioni e pianificare la loro manutenzione e dismissione. Procedura – ciclo di vita del dispositivo (dalla valutazione di acquisto alla eliminazione sicura). Procedura – ciclo di vita del SW, i servizi e le applicazioni informatiche (dalla valutazione di acquisto alla eliminazione sicura dell’applicazione e dei dati ed eventualmente il trasferimento degli stessi su una nuova applicazione). |
In un’ottica più ampia tutte le misure proposte dovrebbero essere estese a tutti i sistemi informativi e non solo a quelli informatici[7].
Resta inteso che le integrazioni proposte sono una traccia ed ogni organizzazione, in relazione al contesto in cui opera potrebbe affinare/integrare i suggerimenti forniti.
Inoltre, molte delle misure definite potrebbero avere anche rilevanti implicazioni per quanto concerne la protezione dei dati personali come, ad esempio, nel caso del controllo n. 3 “Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti”.
Conclusioni
Con questo intervento si è cercato di dimostrare come l’integrazione della norma ISO 9001 con il framework nazionale per la cybersecurity e la data protection offra un approccio completo e robusto per le PMI che desiderano migliorare la qualità dei propri processi e la sicurezza dei dati.
Questo modello ibrido non solo aiuta a ottimizzare l’efficienza operativa e a ridurre i rischi, ma facilita anche il rispetto delle normative e aumenta la soddisfazione dei clienti.
Le PMI che adottano questo approccio possono ottenere un vantaggio competitivo significativo in un mercato sempre più esigente e complesso, fornendo anche garanzie ai propri clienti sui loro sistemi di business continuity per la componente della gestione delle informazioni.
[1] Come si evince dal contenuto rispettivamente dei requisiti 8.5.3 Proprietà che appartengono ai clienti ed ai fornitori e 7.5 Informazioni documentate
[2] Si veda il requisito 4.4 Sistema di gestione per la qualità e relativi processi.
[3] Solo laddove fosse necessario mettere in evidenza un aspetto peculiare di tale requisito, nella tabella è stato riportato un riferimento esplicito.
[4] Per quanto sono riportati, rispetto al controllo, diversi requisiti, la ISO 9001 è piuttosto lacunosa per quanto riguarda un riferimento esplicito alla gestione degli accessi (sia logici che fisici) a differenza, comprensibilmente dei numerosi controlli presenti nella ISO/IEC 27001:2022.
[5] Nel contesto dell’analisi dei rischi sono da individuare quelli specifici che devono essere mitigati anche con misure di sensibilizzazione nei confronti del personale.
[6] Potrebbe essere un’estensione della procedura sui data breach (vedi GDPR artt. 33 e 34).
[7] In linea con quanto previsto anche dalla ISO/IEC 27001:2022.