Ruoli e responsabilità: un problema o un’opportunità? I punti chiave - Cyber Security 360

INFORMATION SECURITY

Ruoli e responsabilità: un problema o un’opportunità? I punti chiave

Nel corso degli audit una debolezza comune è l’assenza di chiarezza dei ruoli minimi e delle implicazioni dovute alla norma su ruolo, responsabilità, autorità, competenze e obiettivi assegnati. Elementi collegati da un sottile filo rosso e che contribuiscono alla corretta gestione della sicurezza delle informazioni

04 Gen 2022
C

Un problema comune, nel corso degli audit, è la corretta identificazione dei ruoli in un sistema di gestione per la sicurezza delle informazioni (SGSI).

Vedo sempre più spesso molti ruoli che poco c’entrano con la norma e con la gestione della sicurezza delle informazioni. Mentre mancano proprio quelli richiesti dalla norma.

Proviamo a fare chiarezza.

Una questione di terminologia

Innanzitutto, partiamo da un concetto di base: tutte le norme ISO (almeno quelle certificabili, basate sull’Annex SL) hanno due “soggetti” richiamati dai requisiti: l’Alta Direzione e l’Organizzazione.

WHITEPAPER
Gli step per diventare impresa intelligente grazie a SAP: una guida a pratiche e soluzioni
CIO
Cloud

Per Alta Direzione le norme ISO intendono: “Persona o gruppo di persone che, al livello più elevato, guidano e tengono sotto controllo un’organizzazione[1], dove:

  • Organizzazione[2] è intesa come: “Persona o gruppo di persone avente funzioni proprie con responsabilità, autorità e relazioni per conseguire i propri obiettivi”.
  • Obiettivi[3] sono intesi come: “Risultato da conseguire”.

Quindi la definizione di Alta Direzione diventa:

Persona o gruppo di persone che, al livello più elevato, guidano e tengono sotto controllo un gruppo di persone avente funzioni proprie con responsabilità, autorità e relazioni per conseguire i propri (n.d.r. dell’organizzazione) risultati”.

Ora la domanda è: a chi corrisponde questo profilo nella mia azienda? Le risposte sono tante quante i modelli organizzativi adottati dalle aziende: amministratori delegati, amministratori unici, manager di aree eccetera.

Ogni azienda deve trovare la propria risposta sfruttando la definizione che abbiamo composto.

Altre cose importanti emergono dalla definizione di Alta Direzione, in particolare la necessità di avere:

  • funzioni;
  • responsabilità;
  • autorità;
  • risultati da conseguire (gli obiettivi).

Un’intera sezione delle norme (di tutte le norme) è riservata alla “Leadership” e, guarda caso, vede come soggetto l’Alta Direzione.

Tre cose sono richiamate in questa sezione di tutte le norme:

  • leadership e impegno, cioè quello che deve dimostrare l’Alta Direzione;
  • la politica del Sistema di Gestione (qualunque esso sia);
  • i ruoli, le responsabilità e le autorità.

La politica del sistema di gestione

La politica meriterebbe una trattazione a sé, solo per le volte che l’ho vista trasformare in una specie di trattato “tuttologico” che niente aveva a che fare con quello che le norme chiedono.

Partiamo, come al solito, dalla definizione ISO di politica: “orientamenti e indirizzi di un’organizzazione espressi in modo formale dalla sua Alta Direzione[4].

Quindi, non espressi per terza persona o da un delegato ma dall’Alta Direzione. E nemmeno un insieme di procedure e di regole sul “come” fare.

La politica fornisce orientamenti e indirizzi, cioè torno alla politica quando ho dubbi, quando voglio capire la direzione da prendere eccetera. Non a caso la politica rientra tra gli elementi tipici della consapevolezza delle persone.

Spesso vedo politiche di decine di pagine, di fatto una raccolta di best practice e procedure. Non è questa la sua funzione. La politica deve essere essenziale, chiara, un faro nella notte.

La norma chiede veramente poco, forse va in una pagina o poco più:

  • sia appropriata alle finalità e al contesto dell’organizzazione e supporti i suoi indirizzi strategici;
  • costituisca un quadro di riferimento o richiami gli obiettivi;
  • comprenda un impegno a soddisfare i requisiti applicabili;
  • comprenda un impegno per il miglioramento continuo”.

Non mi sembra vi sia scritto di spiegare il “come” fare ma solo individuare il “cosa” fare.

Parole come: finalità, contesto, requisiti applicabili hanno un’importanza fondamentale nei sistemi di gestione e hanno bisogno di una trattazione separata, che faremo in un prossimo articolo.

Perché la politica deve essere stabilita proprio dall’Alta Direzione e non da altri “delegati”? Semplicemente perché:

  • tra gli impegni dell’Alta Direzione spicca questa frase: “assicurando che siano stabiliti la politica e gli obiettivi… relativi al sistema di gestione… e che essi siano compatibili con il contesto e con gli indirizzi strategici dell’organizzazione”; e
  • nella stessa politica è richiesto che supporti gli “indirizzi strategici”.

Dunque, la chiave sono gli indirizzi strategici.

Permettetemi a questo punto una riflessione: chi, all’interno di un’azienda, è in grado di assicurare tutto questo, considerando gli indirizzi strategici?

L’Alta Direzione sembra una specie di monolite in alcune aziende. Lì, ferma, immobile, intoccabile sembra quasi non essere un umano ma una entità astratta. Alla fine, nel corso degli audit, si scopre che “bastava dirglielo e spiegarglielo…”. Forse sono altri i motivi per cui non viene coinvolta

Forse è il caso di smettere gli approcci bottom up e riportare i sistemi di gestione a essere quello che dovrebbero essere: sistemi di governance. La struttura è cambiata nel 2012 ma ci si ostina ancora a mantenere vecchi retaggi che apportano pochi vantaggi effettivi alle aziende.

La resistenza al cambiamento è l’antitesi del miglioramento continuo. Ergo, chi pensa nel “vecchio” modello non ha un sistema di gestione basato sui nuovi approcci[5]. Abbiamo bisogno di un approccio top down per avviare un sistema di gestione. Se non c’è un commitment si rischia inevitabilmente di arrivare al “certificatificio” che porta solo costi e oneri difficilmente compensabili. Specie per la sicurezza delle informazioni questo punto è determinate per il successo o il fallimento del SGSI.

Ruoli, responsabilità e autorità

Tre parole che incutono terrore ed evocano paure ancestrali. Eppure, tutti abbiamo un ruolo, più o meno definito, così come tutti abbiamo responsabilità e autorità. Capisco che sono termini complessi per noi italiani ma occorre pur fare un passo avanti ed iniziare ad assumersi una qualche responsabilità (tanto per rimanere in tema).

Dare un ruolo alle persone sembra aprire le porte del caos: il CCNL, la retribuzione minima, le rivendicazioni possibili ecc. In realtà, essere chiari nei ruoli, nelle responsabilità e autorità va proprio in direzione opposta. Comporta infatti la conoscenza dei temi inerenti anche ai CCNL e quindi mette “in regola” tante situazioni dubbie che possono portare a varie rivendicazioni, su più fronti.

Per i “fortunati” dell’ICT Europeo abbiamo l’e-CF[6] e il DigiComp[7] che forniscono i profili e le competenze per i ruoli dell’ICT, riportati anche nello standard Europeo CWA 16458-1:

Immagine che contiene testo, calcolatrice, screenshotDescrizione generata automaticamente

Questo dovrebbe far fare salti di gioia a HR e Alta Direzione e non intimorire. Eppure, poche aziende, tra quelle che ho avuto il piacere di incontrare, adottano una cosa anche solo simile.

Tra l’altro, le competenze di questi ruoli sono certificabili sotto accreditamento, basta fare un salto nelle certificazioni del personale nel sito Accredia[8] per capirne il significato.

Quindi, perché avere paura di definire i ruoli (quando di fatto sono già definiti normalmente) e riportarli ad uno schema?

Adottando schemi come quelli citati si eliminano sperequazioni, dislivelli, gap ecc. permettendo anche una chiara definizione di argomenti come: istruzione, addestramento, formazione, esperienza ecc. Aiutando le funzioni HR a riordinare il caos tipico dell’ICT, generato da certificati, attestati, qualifiche eccetera.

Ruoli e obiettivi

Le responsabilità derivano spesso dal ruolo così come l’autorità conferita. Ogni organizzazione deve “mettere in fase” questi tre elementi. Anche per questo si assegnano gli obiettivi “per le funzioni e per i livelli pertinenti”, come dicono le norme ISO, proprio per dare chiarezza a questi ruoli, alle responsabilità e alle autorità assegnate.

Un altro punto fondamentale: “l’Alta Direzione deve assicurare che le responsabilità e le autorità per i ruoli pertinenti… siano assegnati e comunicati”, se non sono assegnati e comunicati servono a poco.

Assegnati e comunicati: la scelta del “come” fare è, al solito, libera. Le norme dicono il “cosa” il come lo decidono le aziende. Organigrammi, funzionigrammi, job description, skill matrix e chi più ne ha più ne metta. Nessun limite alla fantasia ma i ruoli servono, anzi sono indispensabili.

Anche gli obiettivi sono tra le parole tremebonde, spesso mi chiedo perché: lo smart working ha iniziato a farci riconsiderare l’organizzazione del lavoro per obiettivi ma molte aziende nel mondo lavorano già per obiettivi, tipico il MBO adottato da molte aziende internazionali. Perché la definizione di obiettivi dovrebbe intimorire un’azienda? Forse per evitare potenziali rivalse? Oppure non abbiamo chiarezza del significato di obiettivi?

Ma come devono essere questi obiettivi da assegnare? Ancora la norma ci fornisce il necessario:

  • essere coerenti con la politica;
  • essere misurabili (se possibile);
  • tenere in considerazione i requisiti applicabili…;
  • essere comunicati; e
  • essere aggiornati per quanto appropriato”.

Le norme fanno di più (dal 2012), ci forniscono anche una struttura per impostare questi obiettivi:

  • cosa sarà fatto;
  • quali risorse saranno necessarie;
  • chi ne sarà responsabile;
  • quando sarà completato; e
  • come saranno valutati i risultati”.

Più facile di così. Il legame con la politica e con le responsabilità è evidente.

Interessante notare che, in questo caso, le norme non chiedono all’Alta Direzione di definire gli obiettivi ma all’altro soggetto del sistema di gestione: l’Organizzazione.

Sembra strano ma in realtà c’è un passo fondamentale, che abbiamo già visto, che ingaggia l’Alta Direzione in questo senso: “assicurando che la politica e gli obiettivi (n.d.r. del sistema di gestione) siano stabiliti e siano compatibili con gli indirizzi strategici dell’organizzazione”.

Non c’è uno “scaricabarile” o una deresponsabilizzazione alla base di questa scelta, il tema è chiaro: assicurare che venga fatto è il compito dell’Alta Direzione, come a dire che la definizione dell’obiettivo la possono fare i ruoli pertinenti, purché in linea con la politica e gli indirizzi strategici.

Vedo un coinvolgimento, una compartecipazione, un commitment, una vera leadership insomma e non il contrario, come molti pensano.

I ruoli per la sicurezza delle informazioni

Torniamo ora al tema principale. Una volta chiariti i punti precedenti non ci rimane che individuare i ruoli specifici per la sicurezza delle informazioni (secondo la ISO/IEC 27001).

Ne troviamo almeno altri tre:

  • risk owner;
  • referente del SGSI;
  • auditor interni.

Vediamo quali responsabilità/autorità gli assegna il mondo ISO.

Risk owner

La stessa norma ce ne dà una descrizione chiara: “persona o entità con l’accountability e l’autorità di gestire un rischio[9].

Sul termine accountability purtroppo non abbiamo una definizione consolidata a livello norma, dobbiamo ricorrere al vocabolario e, per farla semplice, direi: la responsabilità ultima, che assume in sé tutte le conseguenze e che non è trasferibile ad altri.

Messa così sembra proprio confluire verso il Top Management. Riflettendo sulla definizione di rischio, cioè “effetto dell’incertezza sugli obiettivi” pare proprio quadrare con quanto visto finora. Anche qui non vi sono obblighi o imposizioni, questo è il “cosa” la norma richiede, il “come” fare è sempre una scelta dell’azienda.

Referente del SGSI o responsabile del SGSI

Ogni azienda assegna un nome a questo ruolo ma di fatto la norma chiede l’assegnazione di responsabilità e autorità per:

  • assicurare che il sistema di gestione per la sicurezza delle informazioni sia conforme ai requisiti della presente norma internazionale; e
  • riferire all’alta direzione sulle prestazioni del sistema di gestione per la sicurezza delle informazioni”.

Magari il primo punto può essere ricondotto all’Alta Direzione ma il secondo deve in qualche modo essere assegnato. Tra l’altro le prestazioni di un sistema di gestione sono regolate dal requisito nove delle norme, dove troviamo (guarda caso):

  • monitoraggio, misurazione, analisi e valutazione;
  • audit interni.

Auditori interni

Questo ci porta al terzo ed ultimo ruolo: gli auditor interni.

Qui si potrebbe scrivere per dozzine di pagine ma voglio sintetizzarla al massimo: qual è quel ruolo aziendale che, utilizzando norme strumenti di varia natura, è in grado di verificare che il sistema soddisfi quanto voluto dall’Alta Direzione?

Possibile che per questo ruolo non si investa un centesimo in formazione? Eppure, le norme ISO parlano chiaro in termini di competenze per il personale coinvolto nel sistema di gestione:

  • determinare le necessarie competenze per la/le persona/e che svolgono attività sotto il suo controllo (n.d.r. dell’organizzazione e/o del sistema di gestione) e che influenzano le sue prestazioni relative alla sicurezza delle informazioni;
  • assicurare che queste persone siano competenti sulla base di istruzione, formazione e addestramento o esperienza appropriate;
  • ove applicabile, intraprendere azioni per acquisire la necessaria competenza e valutare l’efficacia delle azioni intraprese; e
  • conservare appropriate informazioni documentate quale evidenza delle competenze”.

C’è un intero requisito dedicato, non è un caso. E questo vale per tutti i ruoli del sistema e dico tutti.

E pensare che nella famiglia esistono ben due linee guida specifiche per supportare gli auditor interni dei SGSI:

  • ISO/IEC 27007
  • ISO/IEC TS 27008

che si vanno a sommare alla più generica ISO 19011, pensata per tutti gli altri auditor dei sistemi di gestione.

Ben tre linee guida per il ruolo di auditor dei SGSI. Forse ha un significato? È un ruolo specifico, non lo si può inventare dall’oggi al domani. Per la cronaca, non vi sono altri ruoli nel mondo dei sistemi di gestione con tante linee guida a supporto. Forse è il caso di rifletterci su.

Gli auditor interni hanno un ruolo fondamentale nel sistema di gestione, sono lo strumento per scattare istantanee del Sistema e confrontarle con le aspettative.

Non sono cacciatori di streghe o generatori di non conformità. Il loro ruolo è di verificare il SGSI per dimostrare che esso:

  • è conforme ai
  1. requisiti propri dell’organizzazione per il suo sistema di gestione per la sicurezza delle informazioni; e
  2. requisiti della presente norma internazionale;
  • è efficacemente attuato e mantenuto.

Gli auditor lavorano sulla base di un programma che stabilisce frequenze, metodi, responsabilità, requisiti di pianificazione e reporting e che deve considerare l’importanza dei processi coinvolti e i risultati di audit precedenti.

Lo spadone medievale che “nomina” l’auditor, inginocchiato davanti all’Alta Direzione, non è proprio di questo mondo.

Identificare le competenze possedute e quelle necessarie, per determinare e colmare i gap, supportare il ruolo affinché svolga ciò per cui è stato definito sono passi fondamentali per ciascun ruolo del SGSI e in particolare per gli auditor. Troppo spesso mi trovo a verificare audit interni che non hanno niente a che fare con quanto chiedono le norme, specie per la sicurezza delle informazioni.

Ruoli e Alta Direzione

Tra le responsabilità dell’Alta Direzione troviamo due punti indispensabili per la comprensione dei meccanismi legati ai ruoli del SGSI (non solo per gli auditor interni) e al senso che le norme danno a tutto ciò:

  • fornendo guida e sostegno alle persone per contribuire all’efficacia del sistema di gestione per la sicurezza delle informazioni;
  • fornendo sostegno ad altri pertinenti ruoli gestionali nel dimostrare la propria leadership come opportuno nelle rispettive aree di responsabilità”.

È evidente l’importanza dei ruoli e la correlazione con le responsabilità dell’Alta Direzione.

L’Alta Direzione fornisce guida e sostegno alle persone e agli altri pertinenti ruoli gestionali, per contribuire all’efficacia del SGSI e per sostenere la leadership nelle rispettive aree di responsabilità.

Penso sia un concetto chiaro, un messaggio potente, uno schema di relazioni che parte dall’Alta Direzione e raggiunge tutte le persone e tutti i ruoli gestionali del SGSI. Non si può certo dire che non sia esplicito.

La consapevolezza

Un ultimo elemento completa il quadro: la consapevolezza. Ma consapevolezza di cosa? Per i SGSI è richiesto (e necessario) che le persone siano consapevoli:

  • della politica per la sicurezza delle informazioni;
  • del proprio contributo all’efficacia del sistema di gestione per la sicurezza delle informazioni, inclusi i benefici derivanti dal miglioramento delle prestazioni relative alla sicurezza delle informazioni; e
  • delle implicazioni del non essere conformi ai requisiti del sistema di gestione per la sicurezza delle informazioni”.

Essere stati formati non necessariamente significa essere consapevoli del proprio ruolo nel SGSI, del resto non abbiamo un “consapevolezzometro” per misurarla. Ogni azienda deve lavorare per capire se le persone hanno maturato la consapevolezza del proprio ruolo, almeno per queste tre dimensioni.

Interviste, questionari, scenari ipotetici ecc. possono essere delle soluzioni applicabili ma non esiste la ricetta perfetta. La consapevolezza è qualcosa che va oltre la formazione ricevuta.

Gli scenari ipotetici “e se…” possono aiutarci ma la materia è vasta e merita approfondimenti con specialisti idonei.

Conclusione

In definitiva: politica, obiettivi, ruoli, responsabilità, autorità, competenze, consapevolezza sono tutti elementi collegati da un sottile filo rosso e non fatti isolati e indipendenti. Tutti contribuiscono alla corretta gestione dei ruoli in un SGSI.

Iniziamo da qui per ridefinire meglio il nostro SGSI e renderlo davvero efficace.

 

NOTE

  1. UNI EN ISO 9000:2015 – 3.1.1

  2. UNI EN ISO 9000:2015 – 3.2.1

  3. UNI EN ISO 9000:2015 -3.7

  4. UNI EN ISO 9000:2015 – 3.5.8

  5. Letture consigliate per approfondimenti: ISO 9001 Auditing Practices Group

  6. The e-Competence Framework – ITPE (itprofessionalism.org)

  7. The Digital Competence Framework 2.0 | EU Science Hub (europa.eu)

  8. Banche Dati ~ Accredia – Figure professionali certificate

  9. ISO/IEC 27000 – 3.71

WHITEPAPER
Fashion tech: lo scenario del post-covid
Cloud
Datacenter
@RIPRODUZIONE RISERVATA

Articolo 1 di 5