Quando un'azienda decide di affrontare seriamente la sicurezza informatica, prima o poi arriva al nome ISO/IEC 27001. È lo standard internazionale più diffuso al mondo per la gestione della sicurezza delle informazioni, riconosciuto in oltre 150 Paesi e adottato da organizzazioni di qualsiasi dimensione e settore. Ma cosa significa concretamente implementare un ISMS conforme alla 27001? In questa guida ti accompagno attraverso i requisiti della norma, il processo di certificazione, i costi reali e il rapporto con la Direttiva NIS2 — con la stessa concretezza che uso quando lavoro fianco a fianco con le aziende nei progetti di implementazione.
Cos'è ISO 27001 e perché è diventata imprescindibile
La ISO/IEC 27001 definisce i requisiti per stabilire, implementare, mantenere e migliorare continuamente un Information Security Management System (ISMS). L'edizione in vigore è la ISO/IEC 27001:2022, che ha introdotto modifiche significative rispetto alla versione del 2013, soprattutto nella struttura dell'Annex A. La norma adotta la Harmonized Structure comune a ISO 9001, ISO 14001 e ISO 45001, facilitando l'integrazione tra sistemi di gestione.
Perché è diventata imprescindibile? Tre ragioni concrete:
- Requisito di mercato: grandi aziende e pubbliche amministrazioni la richiedono ai fornitori. Non averla può significare essere esclusi da gare e contratti rilevanti.
- Quadro normativo europeo: NIS2, DORA, AI Act richiedono misure di sicurezza strutturate, e la ISO 27001 è il modo più efficiente per dimostrarle.
- Gestione concreta del rischio: un ISMS certificato riduce drasticamente la probabilità di incidenti evitabili e migliora la risposta quando qualcosa va storto.
Struttura della norma: contesto, leadership, pianificazione, supporto
La norma è strutturata in due parti principali:
- Clausole da 4 a 10: requisiti del sistema di gestione — contesto, leadership, pianificazione, supporto, operatività, valutazione delle prestazioni e miglioramento.
- Annex A: lista dei 93 controlli di sicurezza in 4 categorie (organizzativi, persone, fisici, tecnologici). Non tutti i controlli devono essere implementati: l'organizzazione decide quali applicare in base ai propri rischi, documentando le esclusioni nello Statement of Applicability.
La clausola 4 richiede di comprendere il contesto e definire l'ambito dell'ISMS — un ambito mal definito è una delle cause più comuni di difficoltà in sede di audit. La clausola 5 richiede impegno visibile del top management: senza commitment reale della direzione, l'ISMS resta un esercizio documentale. La clausola 6 include il risk assessment — il cuore del sistema. La clausola 7 riguarda risorse, competenze, awareness del personale e gestione documentale.
Risk assessment e risk treatment: il cuore del sistema
Il processo di valutazione e trattamento del rischio è il motore di tutto l'ISMS. Le fasi tipiche:
- Definizione dell'ambito: identificare quali informazioni, sistemi e processi rientrano nell'ISMS, con delimitazione chiara e documentata.
- Identificazione degli asset: inventariare le informazioni e gli asset associati (hardware, software, servizi, persone) nell'ambito.
- Identificazione dei rischi: per ciascun asset, identificare minacce plausibili (attacchi informatici, errori umani, guasti) e vulnerabilità sfruttabili.
- Analisi e valutazione dei rischi: stimare probabilità e impatto potenziale, ottenendo un livello di rischio (matrice probabilità×impatto). Classificare i rischi rispetto alla soglia di accettabilità definita.
- Trattamento dei rischi: per ciascun rischio che supera la soglia: ridurre (implementando controlli), accettare, evitare o trasferire (ad esempio con assicurazioni cyber).
- Piano di trattamento: documentare le decisioni, i controlli da implementare, i responsabili, le scadenze e le risorse necessarie.
Il risk assessment va ripetuto periodicamente (almeno annualmente) e ogni volta che si verificano cambiamenti significativi nell'organizzazione, nelle tecnologie o nel panorama delle minacce.
Annex A: i controlli di sicurezza (ISO 27002)
I 93 controlli sono organizzati in 4 temi nell'edizione 2022, con 11 nuovi controlli rispetto alla versione 2013.
Organizzativi (37 controlli): politiche, gestione degli asset, controllo degli accessi, sicurezza nella supply chain, business continuity. Nuovi: threat intelligence (A.5.7), sicurezza cloud (A.5.23), preparazione alle interruzioni TIC (A.5.30).
Sulle persone (8 controlli): screening pre-assunzione, formazione, consapevolezza, lavoro da remoto, segnalazione eventi di sicurezza. Il fattore umano rimane la principale causa di incidenti: un dipendente che clicca su un link di phishing può vanificare i migliori controlli tecnici.
Fisici (14 controlli): perimetri di sicurezza, accesso fisico, protezione delle attrezzature, sicurezza dei supporti. Facile sottovalutarli nell'era del cloud, ma il furto di un laptop può causare danni enormi.
Tecnologici (34 controlli): autenticazione sicura, gestione dei privilegi, protezione contro il malware, backup, logging, gestione delle vulnerabilità, crittografia. Nuovi: data masking (A.8.11), prevenzione perdita dati (A.8.12), codice sicuro (A.8.28).
La ISO/IEC 27002:2022 è la norma sorella che fornisce linee guida pratiche su come implementare ciascun controllo. Non è certificabile autonomamente, ma è lo strumento di lavoro indispensabile per tradurre l'Annex A in misure concrete.
Statement of Applicability (SoA): come redigerla
Lo Statement of Applicability è uno dei documenti chiave dell'ISMS — tra i primi che un auditor richiede. Elenca tutti i 93 controlli dell'Annex A indicando per ciascuno: se è applicabile o escluso (con giustificazione), lo stato di implementazione e il riferimento alla documentazione corrispondente.
Non esiste un SoA valido per tutti: ogni organizzazione ha un proprio profilo di rischio che determina quali controlli sono rilevanti. Un errore frequente è escludere controlli per motivi di costo senza giustificazione basata sul rischio. Gli auditor esperti riconoscono queste esclusioni opportunistiche. La giustificazione deve essere sempre riconducibile al risk assessment: se il rischio non esiste o è stato accettato, l'esclusione è difendibile; se il rischio è significativo, occorrono argomentazioni solide.
Audit di certificazione: cosa aspettarsi
Il percorso di certificazione si articola in fasi definite.
Gap analysis preliminare: valuta lo scarto tra lo stato attuale e i requisiti della norma. Può essere svolta internamente o con un consulente. Il risultato è una fotografia delle aree da sviluppare e una stima realistica dell'effort.
Implementazione: risk assessment, implementazione dei controlli, redazione della documentazione (politica di sicurezza, SoA, piano di trattamento del rischio). Il sistema deve essere operativo da almeno tre mesi prima dell'audit per dimostrare il ciclo PDCA.
Audit Stage 1 (document review): revisione documentale dall'ente di certificazione. Identifica le carenze da risolvere prima dello stage 2.
Audit Stage 2 (certification audit): audit sul campo. L'auditor verifica che il sistema sia effettivamente implementato — interviste al personale, verifica dei controlli tecnici, esame dei registri. Senza non conformità maggiori irrisolte, l'ente rilascia il certificato.
Sorveglianza e rinnovo: certificato valido 3 anni, con audit di sorveglianza annuali. Al termine del triennio, audit di rinnovo completo per la ricertificazione.
ISO 27001:2022 - le novità dell'ultima versione
Le principali novità rispetto alla versione 2013:
- Riorganizzazione dell'Annex A da 114 controlli in 14 domini a 93 controlli in 4 temi
- 11 nuovi controlli: threat intelligence, sicurezza cloud, ICT readiness, web filtering, data masking, prevenzione perdita dati, monitoraggio attività, codice sicuro, gestione identità privilegiate
- Attributi per i controlli in ISO 27002:2022, che facilitano il mapping con NIST CSF e CIS Controls
- Nuova clausola 6.3 sulla pianificazione dei cambiamenti
Le organizzazioni già certificate alla versione 2013 devono completare la transizione alla versione 2022 entro ottobre 2025. Il percorso richiede: gap analysis sui nuovi controlli, aggiornamento dello SoA, formazione interna, audit di transizione.
Costi, tempi e competenze necessarie
| Voce di costo | PMI (20-50 dip.) | Media impresa (50-250 dip.) |
|---|---|---|
| Consulenza implementazione | 8.000 - 20.000 € | 20.000 - 60.000 € |
| Audit di certificazione (stage 1+2) | 4.000 - 8.000 € | 8.000 - 20.000 € |
| Strumenti e tecnologie aggiuntive | 2.000 - 15.000 € | 10.000 - 50.000 € |
| Audit di sorveglianza (annuale) | 2.500 - 4.000 € | 4.000 - 10.000 € |
I costi interni — il tempo che il personale dedica al progetto — sono spesso sottostimati ma significativi. Un ISMS ben implementato richiede il coinvolgimento attivo di IT, legal/compliance, HR, operations e top management. Non è possibile delegare tutto a un consulente esterno e aspettarsi un sistema che funzioni davvero. Le competenze necessarie internamente includono un Information Security Manager con conoscenza della norma, capacità tecniche per valutare i controlli IT e competenze di audit interno.
FAQ
La ISO 27001 riguarda solo la sicurezza informatica?
No, si occupa della sicurezza delle informazioni in senso ampio — sicurezza fisica, sicurezza del personale e processi organizzativi inclusi. Un'organizzazione può avere sistemi IT ottimamente protetti e essere vulnerabile a minacce fisiche o di ingegneria sociale.
Posso certificare solo una parte dell'azienda?
Sì, l'ambito può riguardare una divisione specifica, un sito o un servizio IT. Ma deve essere chiaramente delimitato e coerente: non è possibile escludere aree che hanno accesso alle informazioni protette senza giustificazioni solide.
Quanto dura il percorso di implementazione?
Per una PMI che parte da zero, tra gli 8 e i 18 mesi, a seconda delle risorse dedicate e del gap iniziale. Le fasi più lunghe sono il risk assessment e l'implementazione dei controlli.
Serve necessariamente un consulente esterno?
Non è obbligatorio, ma è fortemente consigliato per le prime certificazioni. Un consulente esperto riduce il rischio di errori, accelera il percorso e prepara efficacemente l'organizzazione all'audit. L'importante è scegliere qualcuno con esperienza pratica nel settore specifico.
La certificazione protegge dall'essere violati?
No. La certificazione dimostra che l'organizzazione ha implementato un sistema strutturato per ridurre i rischi e rispondere agli incidenti. Riduce significativamente la probabilità di incidenti evitabili e migliora la capacità di risposta. Ma il rischio zero non esiste: anche le organizzazioni meglio protette al mondo subiscono incidenti.