Scenario relativo alla certificazione dei Sistemi di gestione delle Norme ISO relative all’area IT e alla Privacy

Vi sono molte categorie di aziende che potrebbero cogliere le notevoli opportunità di una certificazione aziendale relativa ad uno o a tutti gli ambiti delle Norme considerate: sicurezza delle informazioni, sicurezza dei servizi Cloud, protezione dei dati personali, IT Service Management, Business Continuity. Tali opportunità sono relative sia alle aziende sia ai loro Fornitori. Molte sono le aziende che a livello nazionale ed internazionale si sono certificate nel tempo. Le motivazioni aziendali per far certificare, da terze parti accreditate, i propri sistemi di gestione secondo le Norme citate in precedenza sono: soddisfacimento dei requisiti per la partecipazione a bandi di gara, conseguimento di vantaggi di natura interna (qualità e sicurezza dei processi aziendali) o esterna (competitività sul mercato), minimizzazione di possibili sanzioni a fronte di violazioni di compliance, possibile riduzione del premio relativo a polizze assicurative, miglioramento dell’immagine verso gli Stakehoders (es. Clienti, azionisti, parti sociali, ecc.), motivazione e crescita professionale dei dipendenti, etc.

La situazione del mercato italiano relativa alle certificazioni delle Norme ISO considerate è in forte evoluzione.  La certificazione più diffusa è la ISO 27001 (sicurezza delle informazioni): in Italia il  numero di aziende certificate al luglio 2019 è stimabile, secondo le fonti ISO e Accredia, in circa 1250 aziende (circa 200 in più rispetto al 2018), a fronte di un numero di aziende certificate  livello mondiale, rilevato da ISO nel 2018, pari a circa 31.910 aziende. Le certificazioni aziendali  in Italia, relative a ISO 20000 (IT Service Management), rilevate nel 2018 da ISO,  sono pari a 134, mentre la certificazione ISO 22301 (Business Continuity) ha interessato 21 aziende (26 aziende censite da Accredia nel 2019). Per tali certificazioni i dati mondiali 2018 rilevati da ISO evidenziano 5.308 certificazioni ISO 20000 e 1506 certificazioni  ISO 22301. L’incremento di certificazioni ISO 27001 e ISO 22301 è particolarmente legato ad una serie di fattori, fra i quali lo sviluppo dei servizi Cloud, l’ottemperanza al “GDPR”, alla Direttiva “NIS” e ai requisiti chiesti ai Fornitori della PA.

Un discorso a parte merita la certificazione del Sistema di gestione per la Protezione dei dati Personali, prevista dall’articolo 42 del “GDPR”. Ad oggi non è ancora stato pubblicato lo schema di certificazione relativo alla recente Norma ISO 27701, già citata, relativa all’estenzione del sistema di gestione per la sicurezza delle informazioni alla protezione dei dati personali. In pratica fino alla pubblicazione dello schema di gestione, la norma ISO 27701 non è certificabile. In tale scenario per le aziende che effettuano trattamenti “critici” di dati personali (aziende particolarmente interessate alla certificazione citata) si può proporre, in attesa della pubblicazione dello schema di certificazione ISO 27701, di svolgere una istruttoria di Risk Assessment come step preparatorio per il conseguimento della certificazione del sistema di gestione della privacy secondo la norma ISO 27701, unitamente alla certificazione del sistema di gestione della sicurezza delle informazioni seconda la norma ISO 27001.

In alternativa, le aziende possono perseguire la certificazione del sistema di gestione della privacy secondo la Norma UNI-PDR 43:2018, intitolata “Linee guida per la gestione dei dati personali in ambito ICT”: in questo caso non è necessario ottenere anche la certificazione del sistema di sicurezza secondo lo standard ISO 27001  . Premesso che l’Unione Europea non ha ancora precisato i criteri per conseguire la certificazione prevista dall’articolo 42 del “GDPR”, le ipotesi individuate presentano tutte una pratica utilità. In termini generali è ragionevole che le azienda già certificate secondo la Norma ISO 27001 attendano la pubblicazione dello schema di certificazione ISO 27701 e svolgano l’Istruttoria di Rik Assessment utilizzando i controlli previsti dalla Norma. Così come può essere una valida alternativa per le Aziende non certificate ISO 27001 o che non ne abbiano pianificato una futura certificazione, prevedere una certificazione secondo la Norma UNI-PDR 43 o lo svolgimento di un Risk Assessment relativo ai dati personali utilizzando i controlli della Norma.

Adempimenti per la certificazione dei Sistemi di Gestione delle Norme ISO relative all’Area IT e alla Privacy

Cosa deve fare e quali problemi deve affrontare un’Azienda che ritenga opportuno certificarsi secondo le Norme citate? Diversamente da quanto a volte si creda, per carenze di informazioni o preconcetti, la certificazione non comporta attività particolarmente gravose e costose e non distoglie la focalizzazione dell’Azienda dalle priorità di Business. Anzi, la certificazione può essere considerata un aiuto al miglioramento dei processi aziendali e allo sviluppo del mercato, se il progetto di certificazione è ben condotto con il coinvolgimento attivo del personale aziendale interessato.

Un progetto di certificazione ha due momenti distinti: la preparazione  alla certificazione e l’iter di certificazione (iniziale e mantenimento nel tempo). La preparazione alla certificazione è svolta dall’Azienda con l’eventuale supporto di società di consulenza esperte sulle tematiche oggetto di certificazione, come SERNET. L’iter di certificazione è svolto da Enti di Certificazione accreditati.

Le principali attività previste nella preparazione alla certificazione sono la definizione dell’ambito di certificazione, lo svolgimento di una fase di formazione preliminare del Team di Progetto con assegnazione di ruoli e responsabilità, la definizione  e applicazione della metodologia per la rilevazione della situazione aziendale nei confronti dei controlli previsti dalla/e norma/e (Risk Assessment), la definizione di un piano di mitigazione dei rischi con la individuazione e attuazione di un Action Plan finalizzato ad aggiornare o realizzare (se non già disponibili) le soluzioni documentali (es. politiche e procedure interne), organizzativa (es. ruoli e responsabilità) e tecnologiche necessarie, la predisposizione ed erogazione della formazione destinata al personale aziendale interessato, lo svolgimento di sessioni di Audit finalizzati a verificare la corretta applicazione delle misure di sicurezze (tecniche e organizzative) definite dall’Azienda e la condivisione dei risultati delle attività di monitoraggio del sistema di gestione con il vertice aziendale (Management Review).

 Le principali attività previste per il rilascio della certificazione a cura degli Enti di Certificazione sono le analisi documentali e le verifiche sul campo (a campione) svolte dall’Ente di Certificazione stesso mediante interviste ai Process Owners aziendali interessati. Il certificato ha validità triennale ed è soggetto a verifiche annuali a cura dell’Ente di Certificazione. La durata del progetto di certificazione varia in funzione della dimensione e della compessità dei processi aziendali, ma anche dal livello di conformità dell’azienda rispetto alla/e norma/e in oggetto. In una prima ipotesi, valida per aziende di medie dimensioni, è ragionevole ipotizzare una durata del progetto fra i sei e i nove mesi. Da considerare al riguardo che le norme, pur avendo un diverso ambito, hanno uno schema di gestione comune (HLS – High Level Structure), che ne favorisce l’integrazione e l’utilizzo di soluzioni comuni ai diversi ambiti.