di Alberto Buzzoli, Socio ANSSAIF 

 
Cresce sempre più, tra link ad articoli di approfondimento e discussioni nei gruppi professionali sui social, il fermento per la nuova versione della norma ISO 9001:2015, nella quale si stabiliscono i requisiti per un sistema di gestione per la qualità. Dal 5 del mese di maggio 2015 la norma si trova nello stadio 50.00, ovvero in fase di approvazione finale (FDIS). Per i non addetti ai lavori potrebbe essere interessante consultare la mappa dei codici di sviluppo delle normative dell’Organizzazione Internazionale per la Standardizzazione e la scheda di sviluppo della nuova 9001.

Le variazioni questa volta sono significative – non come successe con la revisione del 2008 che riguardò pochi chiarimenti – ed avranno un impatto indiscutibilmente elevato sulle organizzazioni. Le principali modifiche, che in questa sede prenderemo in considerazione per riflettere su alcuni argomenti, riguardano l’introduzione delle attività di analisi del contesto e di analisi dei rischi.

Proprio a proposito dei rischi è opportuno rammentare che l’ISO li definisce come l’effetto dell’incertezza sugli obiettivi. E’ quindi doveroso prendere in considerazione le possibili deviazioni rispetto ai risultati attesi, siano esse di natura negativa oppure di natura positiva, ovvero le opportunità. Nel testo è però presente (per il momento) la nota n. 5 che afferma: il termine rischio qualche volta viene utilizzato solamente per indicare conseguenze negative. Ed è proprio questo uno dei punti che mi spaventa. Per le altre norme, all’interno delle quali è già stato introdotto il concetto di analisi e valutazione dei rischi, mi sembra chiaro l’interesse degli auditor nel verificare la coerenza delle attività di valutazione delle catastrofi, senza però soffermarsi in modo altrettanto scrupoloso sul processo di valutazione delle opportunità.
L’applicazione della nuova norma potrebbe essere l’occasione buona per una virata secca, strutturando in modo articolato anche la metodologia che riguarda l’analisi e la valutazione di queste ultime, soprattutto in ottica di soddisfazione del cliente.
(segue su: http://www.key4biz.it/assetprotection-il-volo-del-cigno-nero-spunti-di-riflessione-per-la-nuova-iso-90012015/124614/ ).

di Anthony Cecil Wright, Presidente ANSSAIF

L’impressione che si ha seguendo i dibattiti in tanti convegni e congressi che trattano il crimine digitale, è che le soluzioni ci siano, ma servano a poco; infatti, le organizzazioni colpite sono sempre di più, e crescono anche i danni.

Sappiamo che sono messe in atto difese attraverso strati di antivirus ed anti malware; si mettono in piedi sempre più sofisticati e professionali CERT; ma l’hacker riesce comunque ad entrare e provocare seri danni, che qui – per brevità – non stiamo a ricordare.

Onde cercare di capire le ragioni, facciamo una breve ipotesi.

Immaginiamo che una azienda sia colpita. A questo punto molto probabilmente il vertice aziendale, dopo aver ricevuto informazioni circa le conseguenze, si pone interrogativi relativamente all’avvenuto rispetto di semplici regole relative all’analisi dei rischi ed alla dovuta informazione del lavoratore (ma l’”untore” potrebbe essere stato il datore di lavoro…).

E’ naturale, ma il problema è un altro. Il dipendente coinvolto in un processo critico è stato addestrato a sospettare di tutto e di tutti? La crescente sofisticazione degli attacchi fa sì che il mittente può risultare un collega, o un fornitore, o un cliente, o comunque uno stakeholder, e l’oggetto ed il modo in cui era stata scritta la email non poteva non indurre il dipendente ad aprire l’allegato.
Anche se l’azienda si è coperta le spalle con adeguate istruzioni, ed ammesso e non concesso che conduca una sensibilizzazione continua ed efficace dei dipendenti e del personale anche esterno che opera nella organizzazione, il danno oramai è stato compiuto. Più tardi l’azienda se ne accorge e peggio è.

Ma ammettiamo per un attimo che al dipendente, nell’esempio dell’allegato alla email, sorga il sospetto che si tratti di una trappola:
(segue su: http://www.key4biz.it/assetprotection-contrasto-al-cybercrime-siamo-sicuri-che-le-pmi-abbiano-compreso-i-rischi/124310/ )

Come per ogni organizzazione che attua il ciclo di Deming in riferimento ad uno o più aree di compliance, dopo il momento della pianificazione e della messa in opera di quanto definito, arriva la fase del controllo. Una delle attività principali che riguardano questo terzo stadio è la conduzione degli audit interni ed esterni.
Nel corso di tutto questo semestre abbiamo ripetutamente cercato di mettere in evidenza e di trattare da un lato le buone pratiche che riguardano la valutazione e la gestione dei rischi, dall’altro di condividere le resistenze comuni e le argomentazioni più logiche per disfarle.
Anche per gli audit non mancano alcune obiezioni ricorrenti, sollevate istintivamente dalle persone coinvolte che manifestano un livello di consapevolezza ancora in fase di evoluzione.
Il commento solitamente bisbigliato, che si ripete come una cantilena sia per gli audit interni che per quelli esterni è riferito all’auditor: “Speriamo che non se ne accorga, che non lo veda”.
In questo caso le considerazioni sono due. Se si tratta di un problema già noto all’organizzazione, perché non condividere con l’auditor le modalità di gestione identificate e le operazioni già compiute? Non potrà fare altro che acquisire un’evidenza positiva circa la capacità dell’organizzazione di identificare e trattare situazioni non conformi, fornendo eventualmente ulteriori spunti di miglioramento. Di contro, qualora l’organizzazione non avesse già provveduto a trattare la situazione non conforme, il fatto che la rilevi l’autor e che metta nero su bianco l’evidenza, inducendo l’azienda a trattarla, rappresenta in ogni caso l’opportunità di gestire una situazione potenzialmente dannosa.

Esistono poi delle obiezioni più specifiche che riguardano gli audit interni. Per lo più vengono identificati (...)
(segue su: http://www.key4biz.it/assetprotection-internal-ed-external-auditing-obiezioni-ed-evoluzione-collettiva/125418/ )