Dal caos del cloud alla tenuta in audit: progettare un programma di sicurezza cloud ISO 27001:2022 con il toolkit Zenith di Clarysec
Il divario di conformità: il caos reale del cloud sotto i riflettori dell’audit
È un incubo ricorrente per le imprese che operano in ambienti cloud. La notifica arriva nella casella di posta di Maria, CISO: “Osservazione pre-audit: bucket S3 accessibile pubblicamente”. Il panico cresce. Solo pochi giorni prima, l’amministratore delegato aveva richiesto evidenze complete della conformità a ISO 27001:2022 per un cliente strategico. Ogni asset, fornitore e percorso di accesso rientra nell’ambito di applicazione, mentre le pressioni normative di NIS2, GDPR, DORA e NIST rendono il contesto ancora più complesso.
Il team di Maria dispone di competenze tecniche solide. La migrazione al cloud è stata all’avanguardia. Ma l’ingegneria della sicurezza, da sola, non basta. La criticità è il divario tra il “fare” sicurezza — configurazioni MFA, etichettatura degli asset, policy dei bucket — e il dimostrare la sicurezza mediante politiche mappate, registrazioni verificabili e allineamento tra quadri di riferimento.
Script e fogli di calcolo dispersi non soddisfano le esigenze di audit. Ciò che interessa all’auditor e al cliente strategico è la conformità continuativa, con evidenze mappate da ogni controllo agli standard che regolano il settore. Questo è il divario di conformità: la differenza tra operatività cloud e una vera governance della sicurezza pronta per l’audit.
Come possono quindi le imprese colmare questo divario e passare da attività reattive di bonifica a una struttura di conformità trasversale solida? La risposta: quadri di riferimento strutturati, standard mappati e toolkit operativi, unificati nel Zenith Blueprint di Clarysec.
Fase uno: definire con precisione l’ambito del SGSI cloud, la prima linea di difesa in audit
Prima di implementare qualsiasi controllo tecnico, il Sistema di gestione della sicurezza delle informazioni (SGSI) deve essere definito con precisione. È una domanda fondamentale in audit: “Qual è l’ambito di applicazione?”. Una risposta vaga come “il nostro ambiente AWS” genera immediatamente segnali di allarme.
Il team di Maria è inciampato inizialmente proprio qui, con un ambito ridotto a una sola frase. Utilizzando però Zenith Blueprint di Clarysec Zenith Blueprint:
Fase 2: definizione dell’ambito e fondazione delle politiche. Passaggio 7: definire l’ambito del SGSI. Per gli ambienti cloud, occorre documentare quali servizi, piattaforme, set di dati e processi aziendali sono inclusi, fino a VPC, regioni e personale chiave.
In che modo la chiarezza dell’ambito trasforma la conformità:
- Definisce confini precisi per i controlli tecnici e la gestione del rischio.
- Garantisce che ogni asset cloud e ogni flusso di dati rientri nel perimetro dell’audit.
- Consente all’auditor di sapere esattamente cosa testare e al team di monitorare l’efficacia di ogni controllo.
Esempio di tabella dell’ambito del SGSI
| Elemento | Incluso nell’ambito | Dettagli |
|---|---|---|
| Regioni AWS | Sì | eu-west-1, us-east-2 |
| VPC/sottoreti | Sì | Solo VPC/sottoreti di produzione |
| Applicazioni | Sì | CRM, flussi di dati personali identificabili dei clienti |
| Integrazioni con fornitori | Sì | Provider SSO, SaaS di fatturazione |
| Personale amministrativo | Sì | CloudOps, SecOps, CISO |
Questa chiarezza sostiene ogni successivo passaggio di conformità.
Governance del cloud e dei fornitori: controllo 5.23 di ISO 27001 e modello di responsabilità condivisa
I fornitori di servizi cloud sono tra i fornitori più critici. Eppure molte organizzazioni trattano i contratti cloud come semplici utility IT, trascurando governance, rischio e assegnazione dei ruoli. ISO/IEC 27001:2022 ISO/IEC 27001:2022 risponde con il controllo 5.23: Sicurezza delle informazioni per l’uso dei servizi cloud.
Come spiega la guida Zenith Controls Zenith Controls, una governance efficace non riguarda solo le impostazioni tecniche: richiede politiche approvate dalla direzione e confini di responsabilità chiaramente definiti.
Stabilire una politica specifica per l’uso del cloud, approvata dalla direzione, che definisca uso accettabile, classificazione dei dati e due diligence per ogni servizio cloud. Tutti gli accordi relativi ai servizi cloud devono delineare i ruoli di sicurezza e la responsabilità condivisa per i controlli.
La Politica di sicurezza delle terze parti e dei fornitori di Clarysec fornisce clausole modello autorevoli:
Tutti i fornitori che accedono a risorse cloud devono essere sottoposti a valutazione del rischio e approvazione, con condizioni contrattuali che definiscono gli standard di conformità e la collaborazione in audit. L’accesso dei fornitori è limitato nel tempo e la cessazione richiede evidenze documentate.
PMI e sfida degli hyperscaler:
Quando è impossibile negoziare i termini con AWS o Azure, documenta la tua responsabilità secondo le condizioni standard del provider e mappa ogni controllo nel modello condiviso. Questo costituisce un’evidenza chiave in sede di audit.
La mappatura tra controlli deve includere:
- Controllo 5.22: monitoraggio e riesame delle modifiche ai servizi dei fornitori.
- Controllo 5.30: prontezza ICT per la continuità operativa, inclusa la strategia di uscita dal cloud.
- Controllo 8.32: gestione delle modifiche, essenziale per i servizi cloud.
Tabella operativa di governance: sicurezza dei fornitori e contratti cloud
| Nome fornitore | Asset accessibile | Clausola contrattuale | Valutazione del rischio completata | Processo di cessazione documentato |
|---|---|---|---|---|
| AWS | S3, EC2 | Politica fornitori 3.1 | Sì | Sì |
| Okta | Gestione identità | Condizioni standard | Sì | Sì |
| Stripe | Dati di fatturazione | Condizioni standard | Sì | Sì |
Gestione della configurazione (controllo 8.9): dalla politica alla pratica verificabile in audit
Molti rilievi di audit derivano da carenze nella gestione della configurazione. Un bucket S3 configurato in modo errato ha esposto l’azienda di Maria non perché i team non avessero competenze, ma perché mancavano baseline sicure documentate, applicabili e integrate con la gestione delle modifiche.
Il controllo 8.9 di ISO/IEC 27002:2022, gestione della configurazione, richiede baseline sicure documentate e modifiche gestite per tutti gli asset IT. La Politica di gestione dei cambiamenti di Clarysec Politica di gestione dei cambiamenti stabilisce:
Le configurazioni di baseline sicure devono essere sviluppate, documentate e mantenute per tutti i sistemi, i dispositivi di rete e il software. Qualsiasi deviazione da tali baseline deve essere gestita formalmente attraverso il processo di gestione delle modifiche.
Passaggi operativi verificabili in audit:
- Documentare le baseline: definire lo stato sicuro per ogni servizio cloud (bucket S3, istanza EC2, VM GCP).
- Implementare tramite Infrastructure-as-Code: applicare le baseline mediante Terraform o altri moduli di deployment.
- Monitorare la deriva della configurazione: utilizzare strumenti cloud-native o di terze parti (AWS Config, GCP Asset Inventory) per controlli di conformità in tempo reale.
Esempio: tabella di baseline sicura per bucket S3
| Impostazione | Valore richiesto | Razionale |
|---|---|---|
| block_public_acls | true | Previene l’esposizione pubblica accidentale a livello di ACL |
| block_public_policy | true | Previene l’esposizione pubblica tramite policy del bucket |
| ignore_public_acls | true | Aggiunge un livello di difesa in profondità |
| restrict_public_buckets | true | Limita l’accesso pubblico a principal specifici |
| server_side_encryption | AES256 | Garantisce la cifratura dei dati a riposo |
| versioning | Enabled | Protegge da errori di cancellazione o modifica |
Con Zenith Blueprint di Clarysec:
- Fase 4, passaggio 18: implementare i controlli dell’Allegato A per la gestione della configurazione.
- Passaggi 19-22: monitorare le baseline con alert sulla deriva della configurazione e collegare i log alle registrazioni di gestione delle modifiche.
Gestione olistica degli asset: mappare ISO, NIST ed evidenze normative
La base della conformità è l’inventario degli asset. ISO/IEC 27001:2022 A.5.9 richiede un inventario aggiornato di tutti gli asset cloud e dei fornitori. Le indicazioni di audit di Zenith Controls Zenith Controls specificano aggiornamenti continui, discovery automatizzata e mappatura delle responsabilità.
Tabella di audit dell’inventario degli asset
| Tipo di asset | Ubicazione | Proprietario | Criticità aziendale | Collegato a fornitore | Ultima scansione | Evidenza della configurazione |
|---|---|---|---|---|---|---|
| Bucket S3 X | AWS EU | John Doe | Alta | Sì | 2025-09-16 | MFA, cifratura, blocco pubblico |
| GCP VM123 | GCP DE | IT Ops | Moderata | No | 2025-09-15 | Immagine con configurazione sicura |
| Connettore SaaS | Azure FR | Approvvigionamento | Critica | Sì | 2025-09-18 | Contratto fornitore, registro degli accessi |
Mappatura per gli auditor:
- ISO richiede assegnazione del proprietario, criticità aziendale e collegamenti alle evidenze.
- NIST richiede discovery automatizzata e log di risposta.
- COBIT richiede mappatura della governance e punteggio dell’impatto del rischio.
Zenith Blueprint di Clarysec guida nella definizione di queste baseline, nella verifica degli strumenti di discovery e nel collegamento di ogni asset alla relativa registrazione di audit.
Controllo degli accessi: l’applicazione tecnica incontra la governance delle politiche (controlli A.5.15–A.5.17)
La gestione degli accessi è al centro del rischio cloud e dell’attenzione regolatoria. Autenticazione a più fattori (MFA), principio del privilegio minimo e riesame periodico degli accessi sono richiesti da più quadri di riferimento.
Indicazioni di Zenith Controls (A.5.15, A.5.16, A.5.17):
La MFA negli ambienti cloud deve essere dimostrata con evidenze di configurazione e mappata a politiche approvate a livello aziendale. I diritti di accesso devono essere collegati ai ruoli aziendali e riesaminati regolarmente, con eccezioni registrate nei log.
La Politica di gestione delle identità e degli accessi di Clarysec Politica di gestione delle identità e degli accessi stabilisce:
I diritti di accesso ai servizi cloud devono essere assegnati, monitorati e revocati in base ai requisiti aziendali e ai ruoli documentati. I log sono riesaminati regolarmente, con esclusioni giustificate.
Passaggi del Blueprint di Clarysec:
- Identificare e mappare gli account privilegiati.
- Convalidare la MFA con log esportabili ai fini di audit.
- Eseguire riesami periodici degli accessi e mappare le risultanze agli attributi di Zenith Controls.
Registrazione, monitoraggio e risposta agli incidenti: assurance di audit trasversale ai quadri di riferimento
Una registrazione e un monitoraggio efficaci non sono solo tecnici: devono essere guidati da politiche e verificati per ogni sistema aziendale chiave. ISO/IEC 27001:2022 A.8.16 e i controlli correlati richiedono aggregazione centralizzata, rilevamento delle anomalie e conservazione collegata alle politiche.
Zenith Controls (A.8.16) stabilisce:
I log cloud devono essere aggregati centralmente, il rilevamento delle anomalie deve essere abilitato e le politiche di conservazione devono essere applicate. La registrazione dei log costituisce la base evidenziale per la risposta agli incidenti attraverso ISO 27035, GDPR Article 33, NIS2 e NIST SP 800-92.
Il team di Maria, guidato dal playbook di registrazione e monitoraggio di Clarysec, ha reso ogni log SIEM utilizzabile e lo ha mappato ai controlli di audit:
Tabella delle evidenze di registrazione
| Sistema | Aggregazione dei log | Politica di conservazione | Rilevamento delle anomalie | Ultimo audit | Mappatura degli incidenti |
|---|---|---|---|---|---|
| Azure SIEM | Centralizzata | 1 anno | Abilitato | 2025-09-20 | Inclusa |
| AWS CloudTrail | Centralizzata | 1 anno | Abilitato | 2025-09-20 | Inclusa |
Blueprint di Clarysec, Fase 4 (passaggi 19–22):
- Aggregare i log da tutti i fornitori cloud.
- Mappare i log a incidenti, notifiche di violazione e clausole delle politiche.
- Automatizzare i pacchetti di esportazione delle evidenze per l’audit.
Protezione dei dati e privacy: cifratura, diritti ed evidenze di violazione
La sicurezza cloud è inseparabile dagli obblighi di tutela della privacy, soprattutto nelle giurisdizioni regolamentate (GDPR, NIS2, regolamenti settoriali). ISO/IEC 27001:2022 A.8.24 e i controlli incentrati sulla privacy richiedono cifratura, pseudonimizzazione e registrazione delle richieste degli interessati, dimostrate e supportate da politiche.
Sintesi di Zenith Controls (A.8.24):
I controlli di protezione dei dati devono applicarsi a tutti gli asset archiviati nel cloud, facendo riferimento a ISO/IEC 27701, 27018 e GDPR per la notifica della violazione e la valutazione del responsabile del trattamento.
La Politica di protezione dei dati e privacy di Clarysec Politica di protezione dei dati e privacy:
Tutti i dati personali e sensibili negli ambienti cloud sono cifrati mediante algoritmi approvati. I diritti degli interessati sono rispettati, con log degli accessi a supporto della tracciabilità delle richieste.
Passaggi del Blueprint:
- Riesaminare e registrare nei log tutte le attività di gestione delle chiavi di cifratura.
- Esportare i log degli accessi a supporto del tracciamento delle richieste GDPR.
- Simulare workflow di notifica della violazione per ottenere evidenze di audit.
Tabella di correlazione per la protezione dei dati
| Controllo | Attributo | Standard ISO/IEC | Requisiti normativi sovrapposti | Evidenze di audit |
|---|---|---|---|---|
| A.8.24 | Cifratura, privacy | 27018, 27701 | GDPR Art.32, NIS2 | Configurazione della cifratura, registrazione degli accessi, log delle violazioni |
Mappatura trasversale della conformità: massimizzare l’efficienza tra quadri di riferimento
L’azienda di Maria affrontava obblighi sovrapposti (ISO 27001, DORA, NIS2, NIST CSF, COBIT 2019). Con Zenith Controls Zenith Controls, i controlli sono mappati per consentire il riuso trasversale tra quadri di riferimento.
Tabella di mappatura dei quadri di riferimento
| Quadro di riferimento | Clausola/articolo | Controllo ISO 27001 indirizzato | Evidenze di audit fornite |
|---|---|---|---|
| DORA | Article 9 (rischio ICT) | 5.23 (fornitore cloud) | Politica fornitori, log contrattuali |
| NIS2 | Article 21 (catena di fornitura) | 5.23 (gestione dei fornitori), 8.9 (configurazioni) | Traccia di audit di asset e fornitori |
| NIST CSF | PR.IP-1 (baseline) | 8.9 (gestione della configurazione) | Baseline sicura, registro delle modifiche |
| COBIT 2019 | BAI10 (gestione della configurazione) | 8.9 (gestione della configurazione) | CMDB, metriche di processo |
Ogni controllo implementato con evidenze pronte per l’audit serve più quadri di riferimento. Questo moltiplica l’efficienza della conformità e assicura resilienza in un panorama normativo in evoluzione.
Di fronte all’auditor: preparazione interna attraverso più metodologie
Un audit non si svolge mai secondo un’unica prospettiva. Che si tratti di ISO 27001, NIST, DORA o COBIT, ogni auditor approfondirà con un proprio focus. Con il toolkit di Clarysec, le evidenze sono mappate e confezionate per tutte le prospettive:
Esempi di domande dell’auditor e risposta con evidenze
| Tipo di auditor | Aree di attenzione | Richieste di esempio | Evidenze Clarysec mappate |
|---|---|---|---|
| ISO 27001 | Politiche, asset, controllo registrato nei log | Documenti di ambito, log degli accessi | Zenith Blueprint, politiche mappate |
| Valutatore NIST | Operatività, ciclo di vita delle modifiche | Aggiornamenti delle baseline, log degli incidenti | Registro di gestione delle modifiche, playbook degli incidenti |
| COBIT/ISACA | Governance, metriche, titolarità del processo | CMDB, dashboard KPI | Mappature di governance, log di titolarità |
Anticipando ogni prospettiva, il team dimostra non solo conformità, ma anche eccellenza operativa.
Rischi ricorrenti e protezione: come Clarysec previene i comuni rilievi di audit
Errori tipici senza Clarysec:
- Inventari degli asset non aggiornati.
- Controlli degli accessi non allineati.
- Clausole contrattuali di conformità mancanti.
- Controlli non mappati a DORA, NIS2, GDPR.
Con Zenith Blueprint e il toolkit di Clarysec:
- Checklist mappate e allineate ai passaggi operativi.
- Raccolta automatizzata delle evidenze (MFA, discovery degli asset, riesame dei fornitori).
- Pacchetti di audit di esempio generati per ogni principale quadro di riferimento.
- Ogni “cosa” è ancorato al “perché”, con correlazione tra politiche e standard.
Tabella delle evidenze Clarysec
| Passaggio di audit | Tipo di evidenza | Mappatura Zenith Controls | Quadri di riferimento | Riferimento alla politica |
|---|---|---|---|---|
| Inventario degli asset | Esportazione CMDB | A.5.9 | ISO, NIS2, COBIT | Politica di gestione degli asset |
| Convalida MFA | File di log, screenshot | A.5.15.7 | ISO, NIST, GDPR | Politica di gestione degli accessi |
| Riesame dei fornitori | Scansioni dei contratti, log degli accessi | A.5.19, A.5.20 | ISO, DORA, GDPR | Politica di sicurezza dei fornitori |
| Audit della registrazione | Output SIEM, prova della conservazione | A.8.16 | ISO, NIST, GDPR | Politica di monitoraggio |
| Protezione dei dati | Chiavi di cifratura, registrazioni delle violazioni | A.8.24 | ISO, GDPR, NIS2 | Politica di protezione dei dati |
Simulazione di audit end-to-end: dall’architettura alle evidenze
Il toolkit di Clarysec guida ogni fase:
- Avvio: esportare l’elenco degli asset e mapparlo a politiche e controlli.
- Accesso: convalidare la MFA con evidenze e collegarla alle procedure di gestione degli accessi.
- Fornitori: incrociare i contratti con la checklist della politica fornitori.
- Registrazione: produrre esportazioni sulla conservazione dei log per il riesame.
- Protezione dei dati: mostrare il registro degli asset cifrati e il pacchetto di risposta alle violazioni.
Ogni elemento di evidenza è tracciato agli attributi di Zenith Controls, collegato alla clausola della politica e a supporto di ogni quadro di riferimento richiesto.
Risultato: l’audit si conclude con fiducia, dimostrando resilienza nella conformità trasversale e maturità operativa.
Conclusione e azione successiva: passare dal caos alla conformità continuativa
Il percorso di Maria, che ha portato l’azienda da correzioni reattive a una governance proattiva, è una roadmap per ogni organizzazione cloud-driven. Configurazione, sicurezza dei fornitori, gestione degli asset e protezione dei dati non possono restare isolate. Devono essere mappate a standard rigorosi, applicate tramite politiche documentate e dimostrate con evidenze per ogni scenario di audit.
Tre pilastri guidano il successo:
- Ambito chiaro: definire confini di audit chiari utilizzando Zenith Blueprint.
- Politiche solide: adottare i modelli di politica di Clarysec per ogni controllo critico.
- Controlli verificabili: trasformare le impostazioni tecniche in registrazioni verificabili e mappate agli standard.
La tua organizzazione non deve attendere la prossima notifica di audit che genera panico. Costruisci ora la resilienza, sfruttando i toolkit unificati di Clarysec, Zenith Blueprint e la mappatura normativa trasversale per una conformità continuativa e dimostrabile in audit.
Pronto a colmare il divario di conformità e guidare operazioni cloud sicure?
Esplora Zenith Blueprint di Clarysec e scarica i nostri toolkit e modelli di politica per progettare il tuo programma cloud pronto per l’audit. Richiedi una valutazione o una demo e passa dal caos del cloud a una struttura di conformità duratura.
Riferimenti:
- Zenith Blueprint: roadmap in 30 passaggi per l’auditor Zenith Blueprint
- Zenith Controls: guida alla conformità trasversale Zenith Controls
- Politica di gestione dei cambiamenti Politica di gestione dei cambiamenti
- Politica di gestione delle identità e degli accessi Politica di gestione delle identità e degli accessi
- Politica di sicurezza delle terze parti e dei fornitori Politica di sicurezza delle terze parti e dei fornitori
- Politica di protezione dei dati e privacy Politica di protezione dei dati e privacy
- ISO/IEC 27001:2022
- ISO/IEC 27002:2022
- ISO/IEC 27036-2:2023
- ISO/IEC 27701:2019
- NIS2, GDPR, DORA, NIST, COBIT 2019
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
