ISO 27001:2022: piano di recupero dopo un audit con esito negativo
L’e-mail che nessuno voleva ricevere
L’e-mail arriva tardi, un venerdì, con un oggetto apparentemente innocuo: “Esito dell’audit di transizione.”
Il contenuto non è innocuo. L’organismo di certificazione ha rilevato una non conformità maggiore. Il certificato ISO/IEC 27001 è sospeso oppure la decisione sulla transizione non può essere chiusa. La nota dell’auditor è netta: la Dichiarazione di Applicabilità non giustifica i controlli esclusi, la valutazione del rischio non riflette il contesto attuale e non vi sono evidenze sufficienti che i nuovi obblighi normativi siano stati considerati.
Nel giro di un’ora, il problema non è più soltanto una questione di conformità. L’area commerciale chiede se una gara del settore pubblico sia ora a rischio. La funzione legale sta riesaminando le clausole dei contratti con i clienti. Il CISO sta spiegando perché la SoA non si riconcilia con il Piano di trattamento del rischio. L’amministratore delegato pone l’unica domanda che conta: “In quanto tempo possiamo risolvere?”
Per molte organizzazioni, il mancato rispetto della scadenza di transizione a ISO 27001:2022 non ha creato una lacuna teorica. Ha creato un problema concreto di continuità operativa. Una transizione ISO 27001:2022 non completata nei termini o un audit di transizione con esito negativo può incidere sull’idoneità alle gare, sull’onboarding dei fornitori, sull’assicurazione cyber, sull’assurance richiesta dai clienti, sulla preparazione a NIS2, sulle aspettative DORA, sull’accountability prevista dal GDPR e sulla fiducia del Consiglio di amministrazione.
La buona notizia è che il recupero è possibile. La cattiva notizia è che gli interventi cosmetici sui documenti non funzionano. Il recupero deve essere trattato come un programma disciplinato di azioni correttive del SGSI, non come una riscrittura affrettata delle politiche.
In Clarysec organizziamo questo recupero intorno a tre risorse collegate:
- Zenith Blueprint: roadmap in 30 passaggi per auditor, in particolare la fase di audit, riesame e miglioramento.
- La libreria di politiche enterprise e PMI di Clarysec, che trasforma le risultanze dell’audit in obblighi governati.
- Zenith Controls: la guida alla conformità trasversale, che aiuta a collegare le aspettative dei controlli ISO/IEC 27002:2022 con NIS2, DORA, GDPR, approcci di assurance in stile NIST e prospettive di governance COBIT 2019.
Questo è il piano operativo di recupero per CISO, responsabili della conformità, auditor, fondatori e responsabili aziendali che hanno mancato la scadenza di transizione a ISO 27001:2022 o hanno ottenuto un esito negativo nell’audit di transizione.
Prima di tutto, diagnosticare la modalità di fallimento
Prima di modificare una singola politica, occorre classificare la situazione. Non tutte le transizioni mancate o con esito negativo hanno lo stesso impatto aziendale o lo stesso percorso di recupero. Le prime 24 ore devono concentrarsi sull’ottenimento del rapporto di audit, della decisione dell’organismo di certificazione, della formulazione della non conformità, delle richieste di evidenze, delle scadenze e dello stato attuale del certificato.
| Situazione | Impatto aziendale | Azione immediata |
|---|---|---|
| Audit di transizione con esito negativo e non conformità maggiore | La decisione di certificazione può essere bloccata oppure il certificato può essere sospeso finché il problema non viene corretto | Aprire una CAPA, eseguire l’analisi della causa radice, confermare le aspettative sulle evidenze con l’organismo di certificazione |
| Audit di transizione superato con non conformità minori | La certificazione può proseguire se le azioni correttive sono accettate | Chiudere rapidamente le CAPA minori e aggiornare il pacchetto di evidenze del SGSI |
| Transizione non completata entro la scadenza | Il certificato potrebbe non essere più valido o riconosciuto | Confermare lo stato con l’organismo di certificazione e pianificare il percorso di transizione o ricertificazione |
| Audit di sorveglianza con evidenze di transizione deboli | La certificazione può essere a rischio al successivo punto decisionale | Eseguire un audit simulato e aggiornare SoA, trattamento del rischio, riesame della direzione e registrazioni dell’audit interno |
| Cliente che respinge il certificato o le evidenze di transizione | Rischio commerciale, rischio di gara e impatto sulla fiducia | Preparare un pacchetto di assurance per il cliente con stato dell’audit, piano CAPA, date obiettivo e approvazione della governance |
Il piano di recupero dipende dalla modalità di fallimento. Una decisione di certificazione bloccata richiede azioni di rimedio mirate. Un certificato sospeso richiede un ripristino urgente della governance e delle evidenze. Un certificato revocato o scaduto può richiedere un percorso di ricertificazione più ampio.
In ogni caso, mappare ciascun problema alla clausola SGSI pertinente, al controllo dell’Allegato A, alla registrazione del rischio, al responsabile della politica, all’obbligo legale o contrattuale e alla fonte delle evidenze.
È qui che ISO/IEC 27001:2022 rileva come sistema di gestione, non soltanto come catalogo di controlli. Le clausole da 4 a 10 richiedono che il SGSI comprenda contesto, parti interessate, campo di applicazione, leadership, pianificazione del rischio, supporto, operatività, valutazione delle prestazioni e miglioramento continuo. Se la transizione non ha avuto esito positivo, di norma uno di questi collegamenti del sistema di gestione è interrotto.
Perché gli audit di transizione ISO 27001:2022 hanno esito negativo
Gli audit di transizione con esito negativo tendono a concentrarsi su schemi ricorrenti. Molti non sono profondamente tecnici. Sono carenze di governance, tracciabilità, responsabilità ed evidenze.
| Schema della risultanza | Che cosa vede l’auditor | Che cosa significa di solito |
|---|---|---|
| Dichiarazione di Applicabilità non aggiornata o non giustificata | I controlli sono indicati come applicabili senza motivazione, oppure esclusi senza evidenze | La selezione dei controlli non è tracciabile rispetto a rischio, normativa o esigenza aziendale |
| La valutazione del rischio non rifletteva gli obblighi attuali | Mancano NIS2, DORA, GDPR, contratti con i clienti, dipendenze cloud o rischio dei fornitori | Il contesto e i criteri di rischio non sono stati aggiornati |
| Riesame della direzione superficiale | Esistono verbali, ma non vengono discussi decisioni, risorse, obiettivi, risultati degli audit o variazioni del rischio | La responsabilità della leadership non è operativa |
| L’audit interno non ha testato l’ambito della transizione | La checklist di audit è generica e non copre controlli aggiornati, fornitori, cloud, resilienza o obblighi legali | La valutazione delle prestazioni non è sufficiente |
| Controlli su fornitori e cloud deboli | Mancano due diligence, riesame contrattuale, pianificazione dell’uscita o monitoraggio continuativo | Il controllo operativo sui servizi erogati da terze parti è incompleto |
| Risposta agli incidenti non allineata alla segnalazione normativa | Mancano logiche di escalation a 24 o 72 ore, alberi decisionali DORA o GDPR, evidenze di esercitazioni | La gestione degli incidenti non è collegata alla segnalazione legale |
| Processo CAPA debole | Le risultanze vengono chiuse solo con modifiche documentali | La causa radice non è stata eliminata |
L’audit con esito negativo segnala che il SGSI non si è adattato abbastanza rapidamente all’ambiente operativo reale dell’organizzazione.
ISO/IEC 27005:2022 è utile nel recupero perché rafforza l’importanza di stabilire il contesto utilizzando requisiti legali, normativi, settoriali, contrattuali, interni e relativi ai controlli esistenti. Supporta inoltre criteri di rischio che tengono conto di obblighi legali, fornitori, privacy, fattori umani, obiettivi aziendali e propensione al rischio approvata dalla direzione.
In termini pratici, il recupero della transizione inizia da un aggiornamento del contesto e dei criteri di rischio, non da un nuovo numero di versione su un vecchio documento.
Passaggio 1: congelare le registrazioni dell’audit e creare una cabina di regia del recupero
Il primo errore operativo dopo un audit con esito negativo è il caos delle evidenze. I team iniziano a cercare in caselle e-mail, unità condivise, sistemi di ticketing, chat, cartelle personali e vecchi pacchetti di audit. Gli auditor interpretano questo come un segnale che il SGSI non è sotto controllo.
La Politica di audit e monitoraggio della conformità - PMI di Clarysec è esplicita sul controllo delle evidenze:
“Tutte le evidenze devono essere archiviate in una cartella di audit centralizzata.”
Dalla sezione “Requisiti di applicazione della politica”, clausola della politica 6.2.1.
Quella cartella di audit centralizzata diventa la cabina di controllo del recupero. Deve includere:
- Rapporto e corrispondenza dell’organismo di certificazione.
- Conferma dello stato del certificato.
- Registro delle non conformità.
- Registro CAPA.
- Valutazione del rischio aggiornata.
- Piano di trattamento del rischio aggiornato.
- Dichiarazione di Applicabilità aggiornata.
- Rapporto di audit interno.
- Verbali del riesame della direzione.
- Registrazioni di approvazione delle politiche.
- Evidenze per ciascun controllo applicabile dell’Allegato A.
- Pacchetto di assurance per il cliente, se gli impegni commerciali sono interessati.
Per gli ambienti enterprise, la Politica di audit e monitoraggio della conformità di Clarysec stabilisce la stessa aspettativa di governance:
“Tutte le risultanze devono generare una CAPA documentata che includa:”
Dalla sezione “Requisiti di applicazione della politica”, clausola della politica 6.2.1.
La formulazione introduce un’aspettativa strutturata di azione correttiva. Il punto essenziale è semplice: ogni risultanza dell’audit deve diventare un elemento CAPA governato, non un’attività informale nel taccuino di qualcuno.
Per le PMI, il coinvolgimento della leadership è altrettanto importante:
“Il Direttore generale (GM) deve approvare un piano di azioni correttive e monitorarne l’attuazione.”
Da Politica di audit e monitoraggio della conformità - PMI, sezione “Requisiti di governance”, clausola della politica 5.4.2.
Questo è rilevante perché ISO 27001:2022 non considera la leadership un elemento simbolico. L’alta direzione deve stabilire la politica, allineare gli obiettivi alla strategia aziendale, fornire risorse, comunicare l’importanza della sicurezza delle informazioni, assegnare responsabilità e promuovere il miglioramento continuo.
Se la transizione con esito negativo viene trattata come “un problema della persona che si occupa di conformità”, il prossimo audit evidenzierà di nuovo una responsabilità della leadership debole.
Passaggio 2: ricostruire contesto, obblighi e rischio
Un audit di transizione con esito negativo spesso indica che il contesto del SGSI non riflette più la realtà dell’organizzazione. L’azienda può essersi spostata su piattaforme cloud, aver aggiunto nuovi fornitori, essere entrata in mercati regolamentati, trattare più dati personali o essere diventata rilevante per clienti soggetti a NIS2 o DORA. Se tali cambiamenti mancano dal SGSI, la valutazione del rischio e la SoA saranno incomplete.
La Politica di conformità legale e normativa di Clarysec definisce la baseline:
“Tutti gli obblighi legali e normativi devono essere mappati a politiche, controlli e responsabili specifici all’interno del Sistema di gestione della sicurezza delle informazioni (SGSI).”
Dalla sezione “Requisiti di applicazione della politica”, clausola della politica 6.2.1.
Questa clausola è critica dopo una transizione con esito negativo. Le clausole 4.1 a 4.3 di ISO 27001:2022 richiedono alle organizzazioni di considerare fattori interni ed esterni, parti interessate, requisiti, interfacce, dipendenze e campo di applicazione. Gli obblighi legali, normativi e contrattuali non sono note a margine. Modellano il SGSI.
NIS2 Article 21 richiede misure tecniche, operative e organizzative adeguate e proporzionate, tra cui analisi dei rischi, politiche, gestione degli incidenti, backup, Disaster Recovery, gestione delle crisi, sicurezza della catena di fornitura, sviluppo sicuro, gestione delle vulnerabilità, valutazioni di efficacia, igiene cyber, formazione, crittografia, sicurezza HR, controllo degli accessi, gestione degli asset e comunicazioni sicure. Article 20 colloca la responsabilità a livello di organo di gestione. Article 23 introduce la segnalazione per fasi degli incidenti significativi, inclusi preallarme, notifica dell’incidente, aggiornamenti e rapporto finale.
DORA si applica direttamente alle entità finanziarie dal 17 gennaio 2025 e copre gestione del rischio ICT, segnalazione degli incidenti rilevanti, test di resilienza, rischio ICT di terze parti, requisiti contrattuali e supervisione dei fornitori terzi critici di servizi ICT. Per le entità finanziarie rientranti nell’ambito di applicazione, DORA diventa un driver centrale di governance ICT, controllo dei fornitori, test, classificazione degli incidenti e responsabilità della direzione.
GDPR aggiunge l’accountability per i dati personali. Article 5 richiede un trattamento lecito, corretto, trasparente, limitato, accurato, consapevole della conservazione e sicuro, con conformità dimostrabile. Article 4 definisce la violazione dei dati personali in modo tale da incidere direttamente sulla classificazione degli incidenti. Article 6 richiede la mappatura della base giuridica e Article 9 aggiunge requisiti rafforzati per le categorie particolari di dati.
Questo non significa creare universi di conformità separati. Significa usare ISO 27001:2022 come sistema di gestione integrato e mappare gli obblighi in un’unica architettura di rischio e controllo.
La Politica di gestione del rischio di Clarysec collega direttamente il trattamento del rischio alla selezione dei controlli:
“Le decisioni sui controlli risultanti dal processo di trattamento del rischio devono essere riflesse nella SoA.”
Dalla sezione “Requisiti di applicazione della politica”, clausola della politica 6.5.1.
Un audit con esito negativo è anche un motivo per riesaminare il processo di gestione del rischio stesso. La Politica di gestione del rischio - PMI di Clarysec identifica questo trigger:
“Un incidente rilevante o una risultanza dell’audit rivela lacune nella gestione del rischio”
Dalla sezione “Requisiti di riesame e aggiornamento”, clausola della politica 9.2.1.1.
In modalità di recupero, ciò significa che Registro dei rischi, criteri di rischio, Piano di trattamento del rischio e SoA devono essere ricostruiti insieme.
Passaggio 3: ripristinare la SoA come asse portante della tracciabilità
Nella maggior parte delle transizioni con esito negativo, la Dichiarazione di Applicabilità è il primo documento da ispezionare. È anche uno dei primi documenti che gli auditor campionano. Una SoA debole comunica all’auditor che la selezione dei controlli non è basata sul rischio.
Zenith Blueprint fornisce un’indicazione pratica nella fase di audit, riesame e miglioramento, Passaggio 24, Audit, riesame e miglioramento:
“La SoA deve essere coerente con il Registro dei rischi e il Piano di trattamento del rischio. Verifica che ogni controllo scelto come trattamento del rischio sia contrassegnato come ‘Applicabile’ nella SoA. Allo stesso modo, se un controllo è indicato come ‘Applicabile’ nella SoA, deve esserci una motivazione: di solito un rischio mappato, un requisito legale/normativo o un’esigenza aziendale.”
Da Zenith Blueprint: roadmap in 30 passaggi per auditor, fase di audit, riesame e miglioramento, Passaggio 24.
Questo è il principio di recupero. La SoA non è una formalità. È l’asse portante della tracciabilità tra rischi, obblighi, controlli, evidenze di attuazione e conclusioni dell’audit.
Un esercizio pratico di ripristino della SoA deve seguire questa sequenza:
- Esportare la SoA corrente.
- Aggiungere colonne per identificativo del rischio, obbligo normativo, requisito aziendale, riferimento alla politica, posizione delle evidenze, responsabile, stato di attuazione e data dell’ultimo test.
- Per ogni controllo applicabile, mappare almeno una motivazione sostenibile.
- Per ogni controllo escluso, scrivere una motivazione specifica di esclusione.
- Riconciliare la SoA con il Piano di trattamento del rischio.
- Riconciliare la SoA con i risultati dell’audit interno.
- Porsi la domanda difficile: se un auditor campiona questa riga, possiamo dimostrarla in cinque minuti?
Una riga SoA sostenibile deve presentarsi così:
| Campo SoA | Esempio di voce di recupero |
|---|---|
| Motivazione del controllo | Applicabile per hosting cloud, processore di pagamento, supporto esternalizzato e impegni contrattuali di sicurezza verso i clienti |
| Collegamento al rischio | R-014 interruzione del servizio di terze parti, R-021 esposizione dei dati presso il fornitore, R-027 violazione normativa dovuta a malfunzionamento del responsabile del trattamento |
| Collegamento all’obbligo | Sicurezza della catena di fornitura NIS2, rischio ICT di terze parti DORA ove applicabile, accountability del responsabile del trattamento ai sensi del GDPR |
| Collegamento alla politica | Politica di sicurezza di terze parti e fornitori, procedura di riesame contrattuale, checklist di valutazione del fornitore |
| Evidenze | Registro dei fornitori, rating di rischio, questionario di due diligence, DPA firmato, riesame del rapporto SOC, piano di uscita, registrazione del riesame annuale |
| Responsabile | Responsabile dei fornitori, CISO, funzione legale |
| Test | Campione di audit interno sui primi cinque fornitori critici completato, eccezioni registrate in CAPA |
| Stato | Attuato con due azioni correttive aperte per aggiornamenti contrattuali |
Questa riga racconta una storia di recupero. Mostra contesto aziendale, logica di rischio, rilevanza normativa, responsabilità, attuazione, test e azioni residue.
Per le esclusioni vale la stessa disciplina. Ad esempio, se l’organizzazione non svolge sviluppo software interno, un’esclusione per il controllo ISO/IEC 27002:2022 8.25 Secure development life cycle e per il controllo 8.28 Secure coding può essere sostenibile, ma solo se è vera, documentata e supportata da evidenze che il software sia commerciale off-the-shelf oppure completamente esternalizzato con controlli sui fornitori in essere.
Passaggio 4: eseguire l’analisi della causa radice, non interventi cosmetici sui documenti
Un audit di transizione con esito negativo raramente dipende da un unico file mancante. Di solito dipende da un processo interrotto.
Zenith Blueprint, fase di audit, riesame e miglioramento, Passaggio 27, risultanze dell’audit - analisi e causa radice, afferma:
“Per ogni non conformità identificata, maggiore o minore, rifletti sul perché si è verificata: questo è fondamentale per una correzione efficace.”
Da Zenith Blueprint, fase di audit, riesame e miglioramento, Passaggio 27.
Se la risultanza dice “mancano le giustificazioni della SoA”, la correzione può essere aggiornare la SoA. Ma la causa radice può essere che i responsabili degli asset non sono stati coinvolti nella valutazione del rischio, che gli obblighi legali non sono stati mappati o che il team di conformità ha mantenuto la SoA in isolamento.
Una tabella utile per il recupero distingue le correzioni deboli dalle vere azioni correttive:
| Risultanza dell’audit | Correzione debole | Domanda corretta sulla causa radice | Azione correttiva migliore |
|---|---|---|---|
| SoA non allineata al trattamento del rischio | Aggiornare il testo della SoA | Perché la SoA non è stata riconciliata con il trattamento del rischio? | Introdurre una riconciliazione trimestrale SoA-rischi sotto la responsabilità del Responsabile del SGSI |
| Nessuna valutazione dei fornitori | Caricare un questionario | Perché i fornitori non sono stati riesaminati? | Assegnare un responsabile del fornitore, definire la classificazione del rischio, completare i riesami e monitorare annualmente |
| Riesame della direzione incompleto | Aggiungere retroattivamente un punto all’ordine del giorno | Perché il riesame della direzione non copriva lo stato della transizione? | Aggiornare il modello di riesame della direzione e pianificare un riesame trimestrale della governance |
| Segnalazione degli incidenti non testata | Modificare la procedura sugli incidenti | Perché la segnalazione non è stata esercitata? | Eseguire un’esercitazione tabletop con punti decisionali NIS2, DORA e GDPR e conservare le evidenze |
| Audit interno troppo ristretto | Ampliare la checklist | Perché la pianificazione dell’audit ha mancato l’ambito della transizione? | Approvare un piano di audit basato sul rischio che copra normativa, fornitori, cloud e resilienza |
È qui che ritorna la credibilità. Gli auditor non si aspettano la perfezione. Si aspettano un sistema controllato che rilevi, corregga, apprenda e migliori.
Passaggio 5: costruire una CAPA di cui l’auditor possa fidarsi
Le azioni correttive e preventive sono il punto in cui molte organizzazioni riprendono il controllo. Il registro CAPA deve diventare la roadmap di recupero e la principale evidenza che l’audit con esito negativo è stato gestito sistematicamente.
Zenith Blueprint, fase di audit, riesame e miglioramento, Passaggio 29, Miglioramento continuo, spiega la struttura:
“Assicurati che ogni azione correttiva sia specifica, assegnabile e limitata nel tempo. In sostanza, stai creando un mini-progetto per ciascun problema.”
Da Zenith Blueprint, fase di audit, riesame e miglioramento, Passaggio 29.
Il registro CAPA deve includere:
- Identificativo della risultanza.
- Audit di origine.
- Riferimento a clausola o controllo.
- Gravità.
- Descrizione del problema.
- Correzione immediata.
- Causa radice.
- Azione correttiva.
- Azione preventiva, ove pertinente.
- Responsabile.
- Data di scadenza.
- Evidenze richieste.
- Stato.
- Verifica di efficacia.
- Approvazione della direzione.
La Politica di audit e monitoraggio della conformità - PMI di Clarysec identifica inoltre una non conformità maggiore come trigger di riesame:
“Un audit di certificazione o audit di sorveglianza produce una non conformità maggiore”
Dalla sezione “Requisiti di riesame e aggiornamento”, clausola della politica 9.2.2.
Se l’audit di transizione ha prodotto una non conformità maggiore, riesaminare il processo di audit e monitoraggio della conformità stesso. Perché l’audit interno non ha rilevato per primo il problema? Perché il riesame della direzione non lo ha segnalato tempestivamente? Perché la SoA non ha evidenziato la lacuna nelle evidenze?
È così che un audit con esito negativo diventa un SGSI più solido.
Passaggio 6: usare Zenith Controls per collegare le evidenze ISO alla conformità trasversale
Un nuovo audit non avviene in isolamento. Clienti, autorità di regolamentazione, assicuratori e team interni di governance possono osservare le stesse evidenze da angolazioni diverse. È qui che Zenith Controls è utile come guida alla conformità trasversale. Aiuta i team a smettere di trattare ISO 27001, NIS2, DORA, GDPR, assurance in stile NIST e governance COBIT 2019 come checklist separate.
Tre controlli ISO/IEC 27002:2022 sono particolarmente rilevanti nel recupero della transizione.
| Controllo ISO/IEC 27002:2022 | Rilevanza per il recupero | Evidenze da preparare |
|---|---|---|
| 5.31 Requisiti legali, statutari, normativi e contrattuali | Conferma che gli obblighi siano identificati, documentati e collegati al SGSI | Registro normativo, obblighi contrattuali, mappa normativa, matrice dei responsabili delle politiche, motivazione SoA |
| 5.35 Riesame indipendente della sicurezza delle informazioni | Conferma che l’attività di riesame sia obiettiva, correttamente delimitata, competente e seguita da azioni | Piano di audit interno, rapporto di riesame indipendente, competenza dell’auditor, registrazioni CAPA, reportistica alla direzione |
| 5.36 Conformità alle politiche, alle regole e agli standard per la sicurezza delle informazioni | Conferma che le politiche non siano solo pubblicate, ma monitorate e applicate | Attestazione della politica, registri delle eccezioni, report di monitoraggio, flusso disciplinare, test di conformità |
In Zenith Controls, il controllo ISO/IEC 27002:2022 5.31 è collegato direttamente alla privacy e ai dati personali identificabili:
“5.34 copre la conformità alle leggi sulla protezione dei dati, ad esempio GDPR, che costituisce una categoria di requisiti legali ai sensi del 5.31.”
Da Zenith Controls, controllo 5.31, collegamenti ad altri controlli.
Per il recupero, ciò significa che il registro normativo non deve restare fuori dal SGSI. Deve guidare SoA, Piano di trattamento del rischio, set di politiche, responsabilità dei controlli ed evidenze dell’audit.
Per il controllo ISO/IEC 27002:2022 5.35, Zenith Controls evidenzia che il riesame indipendente spesso arriva fino alle evidenze operative:
“I riesami indipendenti ai sensi del 5.35 valutano frequentemente l’adeguatezza delle attività di registrazione e monitoraggio.”
Da Zenith Controls, controllo 5.35, collegamenti ad altri controlli.
È un aspetto pratico. Un auditor può iniziare dalla governance e poi campionare log, allerte, registrazioni di monitoraggio, riesami degli accessi, ticket di incidente, test di backup, riesami dei fornitori e decisioni della direzione.
Per il controllo ISO/IEC 27002:2022 5.36, Zenith Controls spiega la relazione con la governance interna delle politiche:
“Il controllo 5.36 funge da meccanismo di applicazione delle regole definite nel 5.1.”
Da Zenith Controls, controllo 5.36, collegamenti ad altri controlli.
È qui che molti programmi di transizione falliscono. Le politiche esistono, ma la loro conformità non è monitorata. Le procedure esistono, ma le eccezioni non sono raccolte. I controlli sono dichiarati, ma non testati.
Passaggio 7: prepararsi a diverse prospettive di audit
Un pacchetto di recupero solido deve reggere più di una prospettiva di audit. Auditor di certificazione ISO, supervisori DORA, revisori NIS2, stakeholder GDPR, team di assurance dei clienti, valutatori orientati a NIST e revisori di governance COBIT 2019 possono porre domande diverse sulle stesse evidenze.
| Prospettiva dell’auditor | Domanda probabile | Evidenze utili |
|---|---|---|
| Auditor ISO 27001:2022 | Il SGSI è efficace, basato sul rischio, correttamente delimitato, riesaminato dalla leadership e soggetto a miglioramento continuo? | Ambito di applicazione, contesto, parti interessate, valutazione del rischio, SoA, piano di trattamento, audit interno, riesame della direzione, CAPA |
| Valutatore orientato a NIST | Le attività di governance, identificazione del rischio, protezione, rilevazione, risposta e ripristino operano in modo coerente? | Inventario degli asset, Registro dei rischi, controlli degli accessi, registrazione, monitoraggio, playbook degli incidenti, test di ripristino |
| Auditor COBIT 2019 o in stile ISACA | Obiettivi di governance, responsabilità, monitoraggio delle prestazioni, gestione del rischio e assurance di conformità sono incorporati? | RACI, obiettivi approvati, metriche, piano di audit, reportistica alla direzione, responsabilità dei controlli, tracciamento degli issue |
| Revisore della conformità NIS2 | La direzione ha approvato e supervisionato misure proporzionate per il rischio di cibersicurezza e flussi di segnalazione degli incidenti? | Verbali del Consiglio di amministrazione, misure di rischio, controlli dei fornitori, escalation degli incidenti, formazione, evidenze di continuità e crisi |
| Revisore DORA | La gestione del rischio ICT è documentata, testata, consapevole dei fornitori e integrata nella governance? | Quadro di riferimento del rischio ICT, test di resilienza, classificazione degli incidenti, registro dei contratti ICT, piani di uscita, diritto di audit |
| Revisore GDPR | L’organizzazione può dimostrare accountability per la protezione dei dati personali e la risposta alle violazioni? | RoPA, mappatura della base giuridica, DPIA ove necessarie, contratti con i responsabili del trattamento, log delle violazioni, misure tecniche e organizzative |
L’obiettivo non è duplicare le evidenze. Una singola riga SoA per registrazione e monitoraggio può supportare evidenze ISO, aspettative di rilevazione in stile NIST, gestione degli incidenti DORA, valutazione dell’efficacia NIS2 e rilevazione delle violazioni GDPR. Un singolo fascicolo di rischio del fornitore può supportare i controlli sui fornitori ISO, il rischio ICT di terze parti DORA, la sicurezza della catena di fornitura NIS2 e la responsabilità del responsabile del trattamento GDPR.
Questo è il valore pratico della conformità trasversale.
Passaggio 8: eseguire un riesame documentale finale e un audit simulato
Prima di tornare dall’organismo di certificazione, eseguire una verifica interna rigorosa. Zenith Blueprint, fase di audit, riesame e miglioramento, Passaggio 30, preparazione alla certificazione - riesame finale e audit simulato, raccomanda di verificare una per una le clausole ISO 27001:2022 da 4 a 10 e di validare le evidenze per ogni controllo applicabile dell’Allegato A.
Consiglia:
“Controlla i controlli Annex A: assicurati che, per ogni controllo indicato come ‘Applicabile’ nella SoA, tu abbia qualcosa da mostrare.”
Da Zenith Blueprint, fase di audit, riesame e miglioramento, Passaggio 30.
Il riesame finale deve essere diretto:
- Ogni controllo applicabile può essere spiegato?
- Ogni controllo escluso può essere giustificato?
- L’accettazione del rischio residuo può essere dimostrata?
- La direzione ha riesaminato il fallimento della transizione, le risorse, gli obiettivi, i risultati degli audit e le azioni correttive?
- L’audit interno ha testato la SoA aggiornata e il Piano di trattamento del rischio?
- I controlli su fornitori, cloud, continuità, incidenti, privacy, accessi, vulnerabilità, registrazione e monitoraggio sono evidenziati?
- Le politiche sono approvate, aggiornate, comunicate e sottoposte a controllo delle versioni?
- Le CAPA sono collegate a cause radice e verifiche di efficacia?
- Le evidenze possono essere reperite rapidamente nella cartella di audit centralizzata?
La Politica per la sicurezza delle informazioni di Clarysec fornisce la baseline di governance:
“L’organizzazione deve implementare e mantenere un Sistema di gestione della sicurezza delle informazioni (SGSI) in conformità alle clausole da 4 a 10 di ISO/IEC 27001:2022.”
Dalla sezione “Requisiti di applicazione della politica”, clausola della politica 6.1.1.
Per le PMI, il riesame deve anche tenere conto dei requisiti di certificazione e delle modifiche normative. La Politica per la sicurezza delle informazioni - PMI di Clarysec afferma:
“Questa politica deve essere riesaminata dal Direttore generale (GM) almeno annualmente per garantire la continua conformità ai requisiti di certificazione ISO/IEC 27001, alle modifiche normative, come GDPR, NIS2 e DORA, e all’evoluzione delle esigenze aziendali.”
Dalla sezione “Requisiti di riesame e aggiornamento”, clausola della politica 9.1.1.
Questo è esattamente ciò che molti programmi di transizione hanno mancato: ISO, normativa e cambiamento aziendale procedono insieme.
Che cosa comunicare ai clienti durante il recupero
Se una transizione con esito negativo o non completata nei termini incide sui contratti con i clienti, il silenzio è rischioso. Non è necessario divulgare ogni dettaglio dell’audit interno, ma occorre fornire assurance controllata.
Un pacchetto di comunicazione per i clienti deve includere:
- Stato attuale della certificazione confermato dall’organismo di certificazione.
- Stato dell’audit di transizione e piano di rimedio di alto livello.
- Conferma che un processo CAPA è attivo e approvato dalla direzione.
- Date obiettivo per le azioni correttive e la chiusura dell’audit.
- Dichiarazione che il SGSI resta operativo.
- Punto di contatto per l’assurance di sicurezza.
- Dichiarazione aggiornata della politica di sicurezza, se appropriato.
- Evidenze dei controlli compensativi per eventuali aree ad alto rischio.
Evitare affermazioni vaghe come “siamo pienamente conformi” mentre l’audit è irrisolto. Dire ciò che è vero: il SGSI è operativo, l’azione correttiva è approvata, le evidenze sono in fase di consolidamento e un riesame di chiusura o un nuovo audit è pianificato.
Questo è particolarmente importante se i clienti si affidano all’organizzazione come fornitore in settori rilevanti ai fini NIS2, come infrastrutture digitali, cloud, data center, reti di distribuzione dei contenuti, DNS, servizi fiduciari, comunicazioni elettroniche pubbliche, servizi gestiti o Managed Security Services. Se lo stato dell’audit incide sul loro rischio della catena di fornitura, hanno bisogno di assurance credibile.
Uno sprint pratico di recupero in 10 giorni
Le tempistiche variano in base a organismo di certificazione, gravità, ambito e maturità delle evidenze. Ma la sequenza di recupero è affidabile.
| Giorno | Attività | Output |
|---|---|---|
| 1 | Raccogliere il rapporto di audit, confermare lo stato del certificato, aprire la cartella di audit centralizzata | Cabina di regia del recupero |
| 2 | Classificare le risultanze, assegnare i responsabili, informare la direzione | Governance del recupero approvata |
| 3 | Aggiornare contesto, obblighi, parti interessate e assunzioni sull’ambito di applicazione | Contesto aggiornato e mappa di conformità |
| 4 | Riconciliare valutazione del rischio e Piano di trattamento del rischio | Registro dei rischi e Piano di trattamento del rischio aggiornati |
| 5 | Ripristinare la SoA con motivazione, esclusioni, evidenze e responsabili | SoA pronta per l’audit |
| 6 | Eseguire l’analisi della causa radice per tutte le risultanze | Registro delle cause radice |
| 7 | Costruire il piano CAPA con date obiettivo e requisiti di evidenza | Registro CAPA |
| 8 | Raccogliere e testare le evidenze per i controlli prioritari | Pacchetto di evidenze |
| 9 | Condurre il riesame della direzione e approvare i rischi residui | Verbali del riesame della direzione |
| 10 | Eseguire un audit simulato e preparare la risposta all’organismo di certificazione | Pacchetto di preparazione al nuovo audit |
Non inviare la risposta finché non racconta una storia coerente. L’auditor deve poter seguire la catena dalla risultanza alla causa radice, dalla causa radice all’azione correttiva, dall’azione correttiva alle evidenze e dalle evidenze al riesame della direzione.
Il flusso di recupero Clarysec
Quando Clarysec supporta una transizione ISO 27001:2022 mancata o con esito negativo, organizziamo il lavoro in un flusso di recupero focalizzato.
| Fase di recupero | Risorsa Clarysec | Output |
|---|---|---|
| Triage dell’audit | Zenith Blueprint Passaggi 24, 27, 29, 30 | Classificazione delle risultanze, mappa delle evidenze, piano di chiusura dell’audit |
| Ripristino della governance | Politica per la sicurezza delle informazioni, Politica di audit e monitoraggio della conformità | Responsabilità approvate, coinvolgimento della direzione, cartella di evidenze centralizzata |
| Aggiornamento del rischio | Politica di gestione del rischio, metodo ISO/IEC 27005:2022 | Contesto, criteri, Registro dei rischi e Piano di trattamento aggiornati |
| Ripristino della SoA | Zenith Blueprint Passaggio 24, Politica di gestione del rischio | SoA tracciabile con rischio, obbligo, responsabile, evidenza e stato |
| Mappatura della conformità trasversale | Zenith Controls | Allineamento dell’assurance NIS2, DORA, GDPR, in stile NIST e COBIT 2019 |
| Esecuzione CAPA | Zenith Blueprint Passaggio 29, politiche di audit | Causa radice, azione correttiva, responsabile, scadenza, verifica di efficacia |
| Audit simulato | Zenith Blueprint Passaggio 30 | Pacchetto di preparazione al nuovo audit e pacchetto di assurance per il cliente |
Non si tratta di produrre documentazione artificiale. Si tratta di ripristinare la fiducia nel fatto che il SGSI sia governato, basato sul rischio, supportato da evidenze e orientato al miglioramento.
Consiglio finale: trattare la transizione con esito negativo come uno stress test
Una scadenza di transizione ISO 27001:2022 mancata o un audit di transizione con esito negativo sembrano una crisi, ma sono anche un’opportunità diagnostica. Mostrano se il SGSI è in grado di assorbire il cambiamento, integrare gli obblighi legali, gestire i fornitori, dimostrare l’operatività dei controlli e apprendere dagli errori.
Le organizzazioni che recuperano più rapidamente fanno bene tre cose:
- Centralizzano le evidenze e fermano il caos.
- Ricostruiscono la tracciabilità tra rischio, SoA, controlli, politiche e obblighi.
- Gestiscono le risultanze dell’audit tramite CAPA disciplinate e riesame della direzione.
Le organizzazioni che faticano cercano di risolvere il problema modificando i documenti senza correggere responsabilità, monitoraggio, evidenze o causa radice.
Se hai mancato la scadenza o l’audit di transizione ha avuto esito negativo, il passo successivo non è il panico. È il recupero strutturato.
Clarysec può aiutarti a eseguire il triage dell’audit di transizione, ricostruire la SoA, mappare le aspettative NIS2, DORA, GDPR, in stile NIST e COBIT 2019 tramite Zenith Controls, eseguire azioni correttive con Zenith Blueprint e allineare le evidenze delle politiche utilizzando Politica per la sicurezza delle informazioni, Politica di audit e monitoraggio della conformità, Politica di gestione del rischio e Politica di conformità legale e normativa.
Il problema del certificato può essere risolto. Il SGSI può diventare più forte di quanto fosse prima dell’audit. Se l’audit di transizione è irrisolto, avvia ora la valutazione di recupero, consolida le evidenze e prepara un pacchetto per il nuovo audit che dimostri che il SGSI non è solo documentato, ma funziona.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
