Dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento.
Non c’è alcun dubbio pertanto che il tema della sicurezza delle informazioni e la famiglia ISO 27000 di standard internazionali che delineano il Sistema di Gestione della Sicurezza delle Informazioni siano oggi di grande attualità, poiché legate ad una delle certificazioni più importanti per la realtà aziendale. Risulta però altrettanto difficile negare la confusione che avvolge la materia e impedisce ai più di averne una visione chiara, vuoi per la oggettiva difficoltà vuoi per la enorme quantità di informazioni (a volte per la verità non del tutto congruenti) che si possono trovare in rete.
Pur non avendo la presunzione di chiarire una questione così complessa, vorremmo tentare di fissare alcuni punti certi per l’ “uomo comune” .
In primo luogo, quello di cui vogliamo parlare non è il percorso di certificazione del SGSI (ISMS in inglese) delle aziende, quanto delle qualifiche e certificazioni professionali che, in questo campo, possono conseguire le persone fisiche, e a quale fine.
Come sopra accennato, si parla in primo luogo di “famiglia” delle ISO 27000, perché la serie ISO 27000 comprende molti standard. Senza entrare nel loro dettaglio – proprio al fine di semplificare – sarà bene avere almeno chiara la differenza che intercorre fra ISO 27000, ISO 27001 e ISO 27002.
La prima fornisce una visione ad alto livello dei Sistemi di Gestione per la Sicurezza delle Informazioni (SGSI) che sono trattati dalle norme della famiglia 27000:
1. definisce i termini e le definizioni di cui tutte le suddette norme fanno uso;
2. fornisce una breve descrizione di tutti gli standard della famiglia 27000;
3. risulta applicabile a tutti i tipi di realtà organizzative di qualunque dimensione (imprese commerciali, enti governativi, organizzazioni no-profit, ecc.);
4. è assolutamente indispensabile per una piena comprensione dei requisiti della ISO 27001 e dei controlli di sicurezza della ISO 27002.
La ISO 27001 è un vero e proprio standard di gestione (nello specifico del Sistema di Gestione della Sicurezza delle Informazioni), nel senso che è in base a questo standard che si definisce come mettere in piedi e far funzionare il sistema: stabilire le responsabilità, fissare, misurare e rivedere gli obiettivi, eseguire gli audit interni e così via.
La ISO 27002 definisce i dettagli dei controlli che devono essere eseguiti e che sono descritti sinteticamente nell’Annex A dell’ISO 27001 (per capirci, la ISO 27002 dedica un’intera pagina alla descrizione di ogni singolo controllo, mentre l’Annex A lo riassume in una frase).
Dunque, da quanto brevemente detto, si capisce abbastanza facilmente che, siccome solo l’ISO 27001 è uno standard di gestione, è rispetto ad esso che si certificherà il sistema di gestione della sicurezza delle informazioni di un’azienda e quindi è sempre rispetto ad esso che avrà un reale significato conseguire una qualifica individuale di competenze.
Ci sono molti corsi (denominati Foundation, Internal Auditor, Professional …) che forniscono basi di conoscenza della ISO 27000, 27001 e 27002 e che ovviamente sono utilissimi per chi lavora all’interno di un’azienda che vuole certificarsi per l’ISMS, ed anche per chi vuole poi affrontare il percorso di qualificazione con solide conoscenze di base; ma se si vuole acquisire la qualifica di auditor/lead auditor (esterno e imparziale rispetto alle aziende che aspirano alla certificazione), bisogna necessariamente seguire un corso accreditato ISO 27001 Lead Auditor, della durata di 40 ore, attraverso il quale si apprende anche come eseguire gli audit.
Cosa succede una volta fatto quest’ultimo corso e superato l’esame finale? Si ottiene la qualifica di auditor/lead auditor. Dobbiamo considerare questo come un punto di arrivo? La risposta è sì e no al tempo stesso.
No, perché da quel momento inizia la raccolta delle “evidenze” per ottenere l’iscrizione in un registro di un Organismo di Certificazione che ci consentirà di raggiungere la certificazione di Provisional ISMS Auditor, ISMS Auditor/Internal Auditor, Lead ISMS Auditor (in funzione delle crescenti esperienze e competenze effettivamente dimostrate e non della mera qualifica ottenuta con il corso).
Sì, perché questo processo di certificazione non costituisce un passaggio obbligatorio per l’esercizio della professione di auditor imparziale, in quanto un auditor qualificato (cioè che abbia seguito il corso di cui si è detto sopra ed abbia superato l’esame finale) può svolgere l’attività di audit per conto di organismi di certificazione delle aziende, e anche proprio grazie allo svolgimento di tali audit acquisirà quella esperienza sul campo che gli servirà poi per ottenere la certificazione; quest’ultima, dunque, rappresenta un “quid pluris”, la conclusione di un processo volontario che si può decidere di intraprendere per consolidare e rendere riconoscibili la competenza e specializzazione acquisita, così come per attestare la propria adesione ad un codice deontologico che costituisce una garanzia per il mercato.
Ottenuta la qualifica (fermiamoci a quella) quali altri skill possono esserci di supporto per svolgere la professione di auditor di seconda/terza parte?
Sicuramente conoscenze e competenze di Project Management (l’audit altro non è che un progetto da gestire), una buona conoscenza della lingua inglese, soft skill quali il team building, la capacità di gestire i conflitti ed il c.d. public speaking.
È poi altamente consigliabile conoscere i modelli dell’IT più diffusi, quali ITIL ® e COBIT ®.
Molto importante, anche se spesso sottovalutata, risulta essere infine la conoscenza delle leggi e direttive comunitarie riferibili alla Sicurezza delle Informazioni, ad esempio in tema di privacy, responsabilità amministrativa, reati informatici. Una pregressa formazione di tipo giuridico può dunque essere anch’essa molto utile per lo svolgimento efficace di questa professione.

Lo Staff di PME

PME fornisce servizi di consulenza orientati all’obiettivo e a costi realmente sostenibili a supporto dei progetti di cambiamento aziendale, fra i quali anche progetti di implementazione di Sistemi di Gestione della Sicurezza delle Informazioni per aziende internazionali certificati ISO 27001:2013 da enti accreditati indipendenti. Se desideri avere ulteriori informazioni scarica la nostra brochure oppure contattaci.

Dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento.
Non c’è alcun dubbio pertanto che il tema della sicurezza delle informazioni e la famiglia ISO 27000 di standard internazionali che delineano il Sistema di Gestione della Sicurezza delle Informazioni siano oggi di grande attualità, poiché legate ad una delle certificazioni più importanti per la realtà aziendale. Risulta però altrettanto difficile negare la confusione che avvolge la materia e impedisce ai più di averne una visione chiara, vuoi per la oggettiva difficoltà vuoi per la enorme quantità di informazioni (a volte per la verità non del tutto congruenti) che si possono trovare in rete.
Pur non avendo la presunzione di chiarire una questione così complessa, vorremmo tentare di fissare alcuni punti certi per l’ “uomo comune” .
In primo luogo, quello di cui vogliamo parlare non è il percorso di certificazione del SGSI (ISMS in inglese) delle aziende, quanto delle qualifiche e certificazioni professionali che, in questo campo, possono conseguire le persone fisiche, e a quale fine.
Come sopra accennato, si parla in primo luogo di “famiglia” delle ISO 27000, perché la serie ISO 27000 comprende molti standard. Senza entrare nel loro dettaglio – proprio al fine di semplificare – sarà bene avere almeno chiara la differenza che intercorre fra ISO 27000, ISO 27001 e ISO 27002.
La prima fornisce una visione ad alto livello dei Sistemi di Gestione per la Sicurezza delle Informazioni (SGSI) che sono trattati dalle norme della famiglia 27000:
1. definisce i termini e le definizioni di cui tutte le suddette norme fanno uso;
2. fornisce una breve descrizione di tutti gli standard della famiglia 27000;
3. risulta applicabile a tutti i tipi di realtà organizzative di qualunque dimensione (imprese commerciali, enti governativi, organizzazioni no-profit, ecc.);
4. è assolutamente indispensabile per una piena comprensione dei requisiti della ISO 27001 e dei controlli di sicurezza della ISO 27002.
La ISO 27001 è un vero e proprio standard di gestione (nello specifico del Sistema di Gestione della Sicurezza delle Informazioni), nel senso che è in base a questo standard che si definisce come mettere in piedi e far funzionare il sistema: stabilire le responsabilità, fissare, misurare e rivedere gli obiettivi, eseguire gli audit interni e così via.
La ISO 27002 definisce i dettagli dei controlli che devono essere eseguiti e che sono descritti sinteticamente nell’Annex A dell’ISO 27001 (per capirci, la ISO 27002 dedica un’intera pagina alla descrizione di ogni singolo controllo, mentre l’Annex A lo riassume in una frase).
Dunque, da quanto brevemente detto, si capisce abbastanza facilmente che, siccome solo l’ISO 27001 è uno standard di gestione, è rispetto ad esso che si certificherà il sistema di gestione della sicurezza delle informazioni di un’azienda e quindi è sempre rispetto ad esso che avrà un reale significato conseguire una qualifica individuale di competenze.
Ci sono molti corsi (denominati Foundation, Internal Auditor, Professional …) che forniscono basi di conoscenza della ISO 27000, 27001 e 27002 e che ovviamente sono utilissimi per chi lavora all’interno di un’azienda che vuole certificarsi per l’ISMS, ed anche per chi vuole poi affrontare il percorso di qualificazione con solide conoscenze di base; ma se si vuole acquisire la qualifica di auditor/lead auditor (esterno e imparziale rispetto alle aziende che aspirano alla certificazione), bisogna necessariamente seguire un corso accreditato ISO 27001 Lead Auditor, della durata di 40 ore, attraverso il quale si apprende anche come eseguire gli audit.
Cosa succede una volta fatto quest’ultimo corso e superato l’esame finale? Si ottiene la qualifica di auditor/lead auditor. Dobbiamo considerare questo come un punto di arrivo? La risposta è sì e no al tempo stesso.
No, perché da quel momento inizia la raccolta delle “evidenze” per ottenere l’iscrizione in un registro di un Organismo di Certificazione che ci consentirà di raggiungere la certificazione di Provisional ISMS Auditor, ISMS Auditor/Internal Auditor, Lead ISMS Auditor (in funzione delle crescenti esperienze e competenze effettivamente dimostrate e non della mera qualifica ottenuta con il corso).
Sì, perché questo processo di certificazione non costituisce un passaggio obbligatorio per l’esercizio della professione di auditor imparziale, in quanto un auditor qualificato (cioè che abbia seguito il corso di cui si è detto sopra ed abbia superato l’esame finale) può svolgere l’attività di audit per conto di organismi di certificazione delle aziende, e anche proprio grazie allo svolgimento di tali audit acquisirà quella esperienza sul campo che gli servirà poi per ottenere la certificazione; quest’ultima, dunque, rappresenta un “quid pluris”, la conclusione di un processo volontario che si può decidere di intraprendere per consolidare e rendere riconoscibili la competenza e specializzazione acquisita, così come per attestare la propria adesione ad un codice deontologico che costituisce una garanzia per il mercato.
Ottenuta la qualifica (fermiamoci a quella) quali altri skill possono esserci di supporto per svolgere la professione di auditor di seconda/terza parte?
Sicuramente conoscenze e competenze di Project Management (l’audit altro non è che un progetto da gestire), una buona conoscenza della lingua inglese, soft skill quali il team building, la capacità di gestire i conflitti ed il c.d. public speaking.
È poi altamente consigliabile conoscere i modelli dell’IT più diffusi, quali ITIL ® e COBIT ®.
Molto importante, anche se spesso sottovalutata, risulta essere infine la conoscenza delle leggi e direttive comunitarie riferibili alla Sicurezza delle Informazioni, ad esempio in tema di privacy, responsabilità amministrativa, reati informatici. Una pregressa formazione di tipo giuridico può dunque essere anch’essa molto utile per lo svolgimento efficace di questa professione.

Lo Staff di PME

PME fornisce servizi di consulenza orientati all’obiettivo e a costi realmente sostenibili a supporto dei progetti di cambiamento aziendale, fra i quali anche progetti di implementazione di Sistemi di Gestione della Sicurezza delle Informazioni per aziende internazionali certificati ISO 27001:2013 da enti accreditati indipendenti. Se desideri avere ulteriori informazioni scarica la nostra brochure oppure contattaci.

Iscriviti per rimanere aggiornato

Non perdere offerte o novità sui prossimi corsi.

Leggi al nostra Privacy Policy.

Related Posts