Richiedi un preventivo
Home Risorse Blog Settembre 2020

ANALISI DELLE NON CONFORMITÀ NELLA ISO 27001

21 settembre 2020
In qualità di ente di certificazione, NQA non può fornire consulenza sul sistema di gestione. Noi rimaniamo indipendenti e imparziali.

Abbiamo pubblicato un eccellente Guida all'implementazione ma non possiamo dirti come implementare e mantenere il tuo ISMS. Possiamo però dirti dove le cose solitamente vanno storte durante gli audit e come possono spesso portare a non conformità.
 
In questa serie di articoli esaminerò ogni clausola della ISO 27001 e discuterò le non conformità tipiche riscontrate dai nostri auditor. Ci sono alcuni fattori comuni alla base della maggior parte delle non conformità. Alcuni di essi possono essere evitati prestando molta attenzione ai requisiti dello standard. Eccone due come esempio:

1. Documentazione obbligatoria mancante

Ci sono 17 clausole e 10 controlli dell'allegato A, in cui è obbligatorio conservare informazioni documentate o documentare qualcosa. L'auditor si aspetterà di vedere le evidenze di queste e la loro assenza quasi certamente si tradurrà in una non conformità. Inoltre, ci sono alcuni controlli che non richiedono la documentazione, ma l'intento è lo stesso, come la politica crittografica, la politica del desk, i registri degli eventi e le politiche di trasferimento dei dati. Una non conformità comune è A.12.1.1 che richiede la documentazione delle procedure operative.

2. Mancata osservanza delle proprie procedure

A volte anche un ISMS placcato in oro rimane deluso quando l'auditor visita l'officina. Gli operatori del processo rivelano che o non stanno seguendo una procedura di sicurezza delle informazioni definita o non sanno che esiste. Potrebbe trattarsi dell'invio di e-mail sensibili in modo poco sicuro, oppure non rivedere i registri di sistema, gli esempi sono molti. Una delle cause di ciò potrebbe essere che l'organizzazione non ha comunicato o integrato efficacemente l'SGSI nell'organizzazione: l'auditor cercherà di scoprire il motivo per determinare dove il sistema di gestione ha fallito. Alcune persone non seguono le procedure perché non hanno le risorse necessarie per seguirle correttamente. Anche in questo caso l'auditor prenderà in considerazione questo perché è un requisito di leadership del top management garantire che le risorse siano disponibili.

Clausola 4, contesto dell'organizzazione

Quasi la metà delle NC sollevate contro la clausola 4 da NQA erano perché l'ISMS non definiva adeguatamente le questioni esterne e interne che influenzavano lo scopo dell'organizzazione. Perché devi elencare i problemi? Bene, a meno che tu non conosca i problemi che interessano la tua organizzazione, in tutti gli altri casi non sarai in grado di integrare la gestione del rischio nelle tue operazioni: non puoi gestire il rischio se non capisci la tua organizzazione e il suo contesto.
 
La gestione del rischio può essere difficile se la tua organizzazione non dispone di conoscenze sulla sicurezza, di cui parlerò in un futuro articolo. Ma conoscendo i problemi che potrebbero interessarti, stai ponendo le basi per la gestione dei tuoi rischi. L'elenco dei problemi è richiesto dalla clausola 4.1 e fa parte della determinazione dell'ambito dell'ISMS, quindi l'inadeguatezza qui influisce anche sulla definizione dell'ambito richiesto nella clausola 4.3.
 
Cosa si intende per problemi? I problemi esterni sono l'ambiente in cui opera l'organizzazione. Sono determinati da ciò che fa l'organizzazione e da come influenzano i suoi obiettivi. Ad esempio, i problemi esterni di un rivenditore online saranno molto diversi da quelli di una scuola. Sebbene le questioni interne influenzino anche gli obiettivi dell'organizzazione, sono autoimposte, come la cultura e la struttura. La ISO 31000:2018 contiene indicazioni utili ed esempi che potresti prendere in considerazione.
 
L'ambito è il successivo NC più comune, in cui manca completamente l'ISMS o è incompleto. La clausola 4.3 definisce esattamente ciò che è richiesto, e dipende anche dalle clausole 4.1 e 4.2. Lo scopo è importante perché definisce i confini dell'ISMS. A volte diventa evidente durante un audit, quando l'auditor acquisisce familiarità con l'organizzazione, che manca qualcosa nello scopo di applicazione. O forse la valutazione del rischio rivela informazioni che non rientrano nello scopo. O che rientrano chiaramente nel campo di applicazione ma non sono stati inclusi.
 
La comprensione delle esigenze e delle aspettative delle parti interessate dalla clausola 4.2 spesso sorprende le persone. Ma lo standard vuole che tu consideri esplicitamente i requisiti di sicurezza delle informazioni delle parti interessate. Quindi rileva utilmente che i loro requisiti potrebbero essere legali, normativi o contrattuali, il che essenzialmente ti dice cosa è richiesto.
 
I nostri Lead Auditor hanno spesso notato che mancano alcuni riferimenti essenziali: ci sono molti statuti che hanno un'implicazione sulla sicurezza delle informazioni, anche se non è ovvio a prima vista. Si noti inoltre che durante l'audit di Fase 2 l'auditor esaminerà anche l'Allegato A-18 che richiede esplicitamente la documentazione di tutti i requisiti legali, normativi e contrattuali pertinenti.

In che modo i nostri revisori esaminano il tuo SGSI rispetto alla Sezione 4? Come ci si aspetterebbe, sono esperti di attualità e legislazione applicabile, hanno ascoltato te e il tuo top management descrivere l'organizzazione, sono professionisti della sicurezza esperti e probabilmente hanno verificato altre organizzazioni simili. Sapranno cosa aspettarsi, sia in generale che come richiesto dallo standard. Lo standard stabilisce i requisiti minimi di documentazione, quindi qualsiasi cosa mancante di solito si tradurrà in una non conformità.
 
Nel mio prossimo articolo esaminerò i motivi tipici per cui si verificano non conformità nella clausola 5.

A cura di: Tim Pinnell, NQA Information Security Assurance Manager