Dalla conformità alla resilienza: come i CISO possono colmare il divario di governance
L’allerta delle 3 del mattino: un fallimento di governance sotto mentite spoglie
Maria, CISO di una fintech in rapida crescita, fu svegliata di soprassalto da un’allerta P1. Un database di produzione, che avrebbe dovuto essere isolato, stava comunicando con un indirizzo IP esterno sconosciuto. Il suo team SOC era già operativo e stava tracciando la connessione fino a un bucket di archiviazione cloud configurato in modo errato, creato dal team di analisi marketing per testare un nuovo strumento di segmentazione dei clienti. Il danno immediato fu contenuto, ma l’analisi post-incidente rivelò un problema molto più grave, che non aveva nulla a che vedere con firewall o malware.
Il responsabile marketing che aveva commissionato lo strumento non era soggetto ad alcuna supervisione formale di sicurezza. L’ingegnere DevOps che aveva predisposto l’ambiente aveva aggirato i controlli di sicurezza standard per rispettare una scadenza molto stretta. I dati nel bucket, pur anonimizzati, erano abbastanza sensibili da attivare clausole contrattuali di notifica nei confronti di diversi clienti chiave.
La causa radice non era una vulnerabilità tecnica. Era un fallimento catastrofico della governance. Maria aveva policy, strumenti e un team competente. Ciò che le mancava era un quadro di governance vivo, applicato e compreso anche al di fuori della funzione sicurezza. La sua azienda era conforme su carta, con il certificato ISO/IEC 27001:2022 ancora bene in vista, ma non era resiliente nella pratica.
È questo il divario critico su cui inciampano molte organizzazioni e i loro CISO. Confondono gli artefatti della governance, cioè policy e checklist, con la governance stessa. Questo articolo analizza dove questo approccio fallisce e propone una roadmap concreta per trasformare la conformità su carta in un controllo aziendale sostenibile, utilizzando il set di strumenti integrato di Clarysec.
Oltre il raccoglitore: ridefinire la governance come azione
Per troppo tempo la governance è stata trattata come un sostantivo: una raccolta statica di documenti archiviati su un server. La vera governance della sicurezza delle informazioni, invece, è un’azione continua. È l’insieme costante di attività con cui la leadership indirizza, monitora e sostiene la sicurezza come funzione aziendale essenziale. Significa creare un sistema in cui tutti, dal consiglio di amministrazione al team di sviluppo, comprendono il proprio ruolo nella protezione degli asset informativi dell’organizzazione.
I quadri di riferimento, da ISO/IEC 27001:2022 a NIS2, partono da questa verità: la governance è una funzione manageriale, non tecnica. Secondo ISO/IEC 27014:2020, l’alta direzione deve definire una strategia di sicurezza delle informazioni allineata agli obiettivi dell’organizzazione. Tale strategia deve assicurare che i requisiti di sicurezza soddisfino esigenze interne ed esterne, inclusi impegni legali, normativi e contrattuali. Per confermarlo, la leadership deve disporre audit indipendenti, promuovere una cultura che sostenga attivamente la sicurezza e assicurare che obiettivi, ruoli e risorse siano coordinati in modo efficace.
Il problema è che questo indirizzo del vertice spesso non si traduce in azione a livello operativo. Qui entra in gioco il controllo più critico e spesso più frainteso: le responsabilità della direzione.
L’effetto a cascata: perché la sicurezza non può fermarsi al CISO
Il principale punto di fallimento di qualsiasi Sistema di gestione della sicurezza delle informazioni (SGSI) è l’assunto che il CISO sia l’unico responsabile della sicurezza. In realtà, il CISO è il direttore d’orchestra, ma i responsabili di ciascuna unità organizzativa sono i musicisti. Se non svolgono la propria parte, il risultato è rumore, non armonia.
È esattamente ciò che ISO/IEC 27001:2022 affronta nel controllo 5.4, “Responsabilità della direzione”. Questo controllo richiede che le responsabilità per la sicurezza delle informazioni siano assegnate e applicate in tutta l’organizzazione. Come evidenzia il nostro Zenith Blueprint: roadmap dell’auditor in 30 passaggi al Passaggio 23, questo controllo mira ad assicurare che la leadership della sicurezza si propaghi attraverso ogni livello dell’organizzazione.
“In ultima analisi, il controllo 5.4 ribadisce che la leadership della sicurezza non si ferma al CISO. Deve propagarsi attraverso ogni livello della gestione operativa, perché il successo o il fallimento del SGSI spesso non dipende da policy o strumenti, ma dal fatto che i responsabili promuovano attivamente la sicurezza nei rispettivi ambiti.” Zenith Blueprint
Nel caso di Maria, il responsabile marketing vedeva la sicurezza come un ostacolo, non come una responsabilità condivisa. L’ingegnere DevOps vedeva una scadenza, non un dovere di diligenza. Un quadro di governance vivo avrebbe integrato punti di controllo di sicurezza nel processo di avvio del progetto e nelle metriche di prestazione del team DevOps. In questo modo la governance smette di essere un onere di conformità e diventa uno strumento per evitare eventi disastrosi.
Dalla teoria alla pratica: costruire la governance con policy attuabili
Una policy su uno scaffale è un artefatto; una policy integrata nelle attività quotidiane è un controllo. Per rendere operativa la governance, le organizzazioni hanno bisogno di una definizione chiara e univoca dei doveri. La nostra Governance Roles & Responsibilities Policy è progettata proprio per questo. Uno dei suoi obiettivi principali è:
“Mantenere un modello di governance che imponga la separazione dei compiti, elimini i conflitti di interessi e consenta l’escalation delle problematiche di sicurezza irrisolte.” Politica sui ruoli e sulle responsabilità di governance
Questa formulazione trasforma un principio di alto livello in un requisito concreto e verificabile in sede di audit. Crea un quadro di responsabilità a più livelli, in cui ogni livello manageriale risulta formalmente responsabile della propria parte del programma di sicurezza. Per le organizzazioni più piccole, la Governance Roles & Responsibilities Policy - SME semplifica l’approccio, stabilendo direttamente alla clausola 4.3.3 che ogni dipendente “deve segnalare immediatamente gli incidenti e le problematiche di conformità al Direttore generale”. Questa chiarezza elimina ambiguità e consente a tutti di agire.
Torniamo all’incidente di Maria e vediamo come avrebbe potuto usare gli strumenti Clarysec per ricostruire il proprio approccio alla governance, trasformando un fallimento reattivo in un sistema proattivo e resiliente.
La policy come fondamento: innanzitutto, Maria avrebbe applicato la Politica sui ruoli e sulle responsabilità di governance. Lavorando con le Risorse Umane, avrebbe integrato specifici doveri di sicurezza nelle descrizioni delle mansioni di tutti i responsabili, dal marketing alla finanza. In questo modo la sicurezza diventa parte formale del loro ruolo, non un aspetto secondario.
Definire il “come”: successivamente, avrebbe utilizzato la policy per stabilire un processo chiaro. La clausola 7.2.2 della policy stabilisce: “I rischi connessi alla governance devono essere riesaminati dal Comitato direttivo del SGSI e convalidati durante gli audit interni.” Questo crea una sede formale in cui il nuovo progetto del responsabile marketing sarebbe stato riesaminato prima della creazione di qualsiasi ambiente cloud, prevenendo la configurazione errata iniziale.
Sfruttare l’intelligence di conformità trasversale: per comprendere l’intero perimetro del nuovo modello di governance, Maria avrebbe consultato Zenith Controls: guida alla conformità trasversale. Questa risorsa mostra come le “Responsabilità della direzione” (ISO 5.4) non siano un’attività isolata, ma un nodo centrale collegato ad altri controlli critici. Ad esempio, evidenzia il collegamento diretto tra 5.4 e 5.8 (“Sicurezza delle informazioni nella gestione dei progetti”), assicurando che la direzione fornisca la supervisione necessaria per integrare la sicurezza in tutte le nuove iniziative.
Questo approccio proattivo sposta la governance dall’analisi reattiva successiva all’incidente a una funzione abilitante per l’attività aziendale. Assicura che, quando un responsabile vuole avviare un nuovo strumento, il primo pensiero non sia “Come faccio ad aggirare la sicurezza?”, ma “Con chi del team di sicurezza devo collaborare?”.
Sta arrivando l’auditor: dimostrare che la governance è reale
Un auditor competente è addestrato a cercare evidenze dell’attuazione, un concetto che Zenith Blueprint definisce come allineamento della policy con la “realtà”. Quando un auditor valuta il quadro di governance, non si limita a leggere documenti: verifica la memoria operativa dell’organizzazione. Cerca evidenze che la governance sia viva, attiva e reattiva.
Auditor diversi esamineranno il quadro di governance da angolazioni diverse. Ecco come testerebbero il nuovo e solido modello di governance di Maria:
L’auditor ISO/IEC 27001:2022: questo auditor andrà direttamente alle evidenze dell’impegno della leadership richiesto dalla clausola 5.1. Chiederà i verbali delle riunioni di Riesame della direzione (clausola 9.3). Cercherà punti all’ordine del giorno in cui siano state discusse le prestazioni della sicurezza, siano state allocate risorse e siano state prese decisioni sulla base delle valutazioni del rischio. Vuole vedere che la leadership non si limita a ricevere report, ma indirizza attivamente il SGSI.
L’auditor COBIT 2019: un auditor COBIT ragiona in termini di obiettivi aziendali. Si concentrerà sugli obiettivi di governance come EDM03 (“Ottimizzazione del rischio garantita”). Chiederà di vedere i report sui rischi presentati al consiglio di amministrazione e vorrà sapere se la direzione monitora gli indicatori chiave di sicurezza e intraprende azioni correttive quando tali indicatori mostrano un andamento negativo. Per lui, la governance serve ad assicurare che la sicurezza abiliti e protegga il valore aziendale.
L’auditor ISACA: guidato da quadri di riferimento come ITAF, questo auditor si concentra in modo particolare sull’indirizzo del vertice. Condurrà interviste con i dirigenti apicali per valutarne comprensione e impegno. Una risposta lenta o liquidatoria della direzione a una precedente risultanza di audit è un grave segnale di allarme, perché indica una cultura di governance debole.
L’autorità di regolamentazione NIS2 o DORA: con normative come NIS2 e DORA, la posta in gioco è più alta. Questi quadri attribuiscono agli organi di gestione una responsabilità diretta e personale per i fallimenti di cybersecurity. Un auditor di un’autorità competente richiederà evidenze che il consiglio di amministrazione abbia approvato il quadro di gestione dei rischi di cybersecurity, ne abbia supervisionato l’attuazione e abbia ricevuto formazione specialistica. Cerca prove che la direzione non sia solo consapevole, ma attivamente coinvolta e responsabile.
Per soddisfare questi diversi approcci di audit, non basta presentare policy. Serve un portafoglio di evidenze.
| Area di attenzione dell’audit | Evidenze richieste |
|---|---|
| Coinvolgimento dell’alta direzione | Verbali delle riunioni di Riesame della direzione, budget approvati, presentazioni al consiglio di amministrazione e comunicazioni strategiche. |
| Riesami dell’efficacia | Log delle azioni derivanti dalle decisioni della direzione, azioni di mitigazione tracciate a seguito delle valutazioni del rischio. |
| Responsabilità e risposta | Matrici RACI, descrizioni delle mansioni con doveri di sicurezza, rapporti sugli incidenti che mostrano l’escalation alla direzione. |
| Assegnazione formale | Mandati firmati per i comitati di sicurezza, descrizioni formali dei ruoli dei titolari del rischio, attestazioni annuali dei responsabili di dipartimento. |
Se le evidenze si riducono a PDF di policy e non includono log operativi, l’audit non sarà superato. La guida Zenith Controls aiuta a costruire il portafoglio corretto per dimostrare evidenze, non solo intenzioni.
Il ciclo di feedback: trasformare gli incidenti in resilienza
In definitiva, la prova più forte di un quadro di governance resiliente è il modo in cui l’organizzazione risponde ai fallimenti. La vera resilienza significa imparare, adattarsi e agire. Come afferma Zenith Blueprint trattando il controllo 5.24 (“Pianificazione e preparazione per la gestione degli incidenti di sicurezza delle informazioni”):
“Ciò che definisce un’organizzazione sicura non è l’assenza di incidenti, ma la preparazione a gestirli quando si verificano… Questo controllo riguarda il miglioramento, non solo la chiusura. Gli auditor chiederanno: ‘Che cosa avete imparato dall’ultimo incidente?’ Si aspetteranno di vedere l’analisi della causa radice, le lezioni apprese e, soprattutto, evidenze che qualcosa sia cambiato di conseguenza.”
Nel caso di Maria, il “qualcosa che era cambiato” non era solo una regola del firewall. Era l’attuazione di un processo di governance che richiedeva l’approvazione formale della direzione per i nuovi progetti, una matrice RACI chiara per i rilasci in cloud e formazione obbligatoria sulla sicurezza per il team marketing. La capacità di Maria di dimostrare questo ciclo di apprendimento trasformerebbe una potenziale non conformità maggiore in evidenza di un SGSI maturo e in miglioramento.
È qui che la governance dimostra il proprio valore. Un fallimento non è più soltanto un problema tecnico da correggere, ma una lezione organizzativa da apprendere e integrare. Come stabilisce la Politica sui ruoli e sulle responsabilità di governance nella sezione 9.1.1.4, le “risultanze di audit significative o gli incidenti che coinvolgono un fallimento di governance” non vengono nascosti; sono riesaminati, sottoposti a escalation e gestiti con azioni conseguenti.
Rendere stabile la governance: il ruolo della responsabilizzazione
Anche con le migliori policy e il sostegno della direzione, la governance può fallire se non esistono conseguenze per la non conformità. Un quadro realmente solido deve essere sostenuto da un processo disciplinare equo, coerente e comunicato in modo chiaro. Questo è l’ambito del controllo 6.4 di ISO/IEC 27001:2022, “Processo disciplinare”.
Questo controllo assicura che le regole del SGSI non siano facoltative. Fornisce il meccanismo di applicazione che dimostra l’impegno della leadership verso la sicurezza. Come illustrato in Zenith Controls, questo processo è un trattamento del rischio critico per minacce interne e negligenza. Opera insieme ad altri controlli: le attività di monitoraggio (8.16) possono identificare una violazione della policy, mentre il processo disciplinare (6.4) definisce la risposta formale.
“I provvedimenti disciplinari sono più difendibili quando i dipendenti sono stati adeguatamente formati e resi consapevoli delle proprie responsabilità. Il controllo 6.4 si basa sul controllo 6.3 (Consapevolezza, istruzione e formazione sulla sicurezza delle informazioni) per assicurare che il personale non possa sostenere di ignorare le policy che ha violato.”
Un auditor verificherà che questo processo sia applicato in modo coerente a tutti i livelli, assicurando che un dirigente senior che viola la politica della scrivania pulita sia soggetto allo stesso processo previsto per un tirocinante. È l’ultimo anello della catena, quello che trasforma la governance da orientamento in standard applicabile.
La mappa unificata della conformità: una visione unica della governance
La pressione della governance moderna deriva dal fatto che non risiede mai in un solo quadro di riferimento. Normative come NIS2 e DORA hanno elevato la responsabilità della direzione da migliore pratica a obbligo giuridico con responsabilità personale. Un CISO resiliente deve saper dimostrare la governance in modo tale da soddisfare più auditor contemporaneamente.
Questa tabella unificata, derivata dalle mappature presenti in Zenith Controls, mostra come il principio della responsabilità della direzione sia un requisito universale nei principali quadri di riferimento.
| Quadro di riferimento/standard | Clausola/controllo rilevante | Collegamento alla responsabilità dell’alta direzione (ISO 5.4) |
|---|---|---|
| ISO/IEC 27001:2022 | Clausole 5.1, 5.2, 9.3 | Richiede leadership attiva, integrazione del SGSI nei processi aziendali e Riesami della direzione periodici. |
| NIS2 (UE) | Articolo 21(1) | Gli organi di gestione devono approvare e supervisionare le pratiche di gestione dei rischi di cybersecurity, con responsabilità personale in caso di fallimenti. |
| DORA (UE) | Articolo 5(2) | L’organo di gestione detiene la responsabilità ultima del quadro di gestione dei rischi ICT dell’entità e della resilienza operativa. |
| GDPR (UE) | Articoli 5(2), 24(1) | Il principio di responsabilizzazione richiede ai titolari del trattamento, e quindi all’alta direzione, di dimostrare la conformità e applicare misure adeguate. |
| NIST SP 800-53 | PM-1, PM-9 | La leadership deve istituire il piano del programma di sicurezza e creare una funzione esecutiva di rischio per una supervisione unificata. |
| COBIT 2019 | EDM03 | Il consiglio di amministrazione e la direzione esecutiva devono valutare, indirizzare e monitorare le iniziative di sicurezza per assicurare l’allineamento agli obiettivi aziendali. |
Il messaggio è chiaro: tutti gli auditor, a prescindere dal quadro di riferimento, convergono sulla stessa richiesta: “Mostratemi la governance in azione.”
Conclusione: trasformare la governance da casella da spuntare a bussola
La verità scomoda è che ogni giorno vengono violate organizzazioni “conformi”. Le organizzazioni “resilienti”, invece, sopravvivono e si adattano. La resilienza richiede una profonda integrazione di policy, tecnologia e reale titolarità da parte dell’alta direzione. Non è una sequenza di moduli, ma una cultura in cui sicurezza e strategia aziendale procedono insieme.
Iniziate ponendovi le domande difficili:
- La nostra leadership in materia di sicurezza è visibile? I responsabili al di fuori della funzione sicurezza partecipano attivamente alle decisioni sul rischio?
- Le responsabilità sono chiare? Ogni responsabile sa spiegare i propri doveri specifici per proteggere le informazioni nel proprio ambito?
- La governance è integrata? Le considerazioni di sicurezza sono incluse fin dall’inizio nei processi di gestione dei progetti, approvvigionamento e Risorse Umane?
- Impariamo dai nostri errori? Quando si verifica un incidente, viene avviato un riesame del nostro quadro di governance, e non soltanto dei controlli tecnici?
La differenza tra sopravvivere a un incidente e fallire sotto il controllo dell’autorità di regolamentazione dipende da quanto profondamente la governance è integrata nelle attività operative. È la bussola che guida l’organizzazione nell’incertezza. Nel momento della crisi, solo una governance reale separa la conformità dalla catastrofe.
Prossimi passi: rendere misurabile la resilienza
- Utilizzate Zenith Blueprint per effettuare un controllo di realtà sulla responsabilità della direzione e assicurarvi che la sicurezza abbia visibilità in tutta l’azienda.
- Applicate le policy Clarysec, come la Politica sui ruoli e sulle responsabilità di governance, come documenti vivi che guidano formazione, escalation e correzione.
- Sfruttate Zenith Controls per garantire la preparazione agli audit in ambito ISO/IEC 27001:2022, NIS2, DORA e altri riferimenti, con mappature concrete e pacchetti di evidenze.
Pronti a far evolvere la governance da casella da spuntare a bussola? Prenotate un riesame della governance del SGSI con Clarysec e mettete davvero il vostro team esecutivo al posto di guida.
Riferimenti:
- Zenith Blueprint: roadmap dell’auditor in 30 passaggi
- Zenith Controls: guida alla conformità trasversale
- Politica sui ruoli e sulle responsabilità di governance
- Politica sui ruoli e sulle responsabilità di governance - PMI
- ISO/IEC 27001:2022, ISO/IEC 27014:2020, ISO/IEC 27005:2022, DORA, NIS2, GDPR, NIST SP 800-53 Rev.5, COBIT 2019.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
