In questi giorni mi sono arrivate due segnalazioni sulle
certificazioni. Allora provo a scrivere due righe in merito (temo di aver
inserito qualche inesattezza, ma la sostanza è questa).
La prima me l'ha girata Fabio Guasconi di BlackSwan riguarda la
certificazione ISO/IEC 27037:
-
https://www.csqa.it/Sicurezza-ICT/News/Digital-Evidence-ISO-IEC-27037,-CSQA-rilascia-il-p.
In realtà ci sono anche molti altri casi e il problema non è CSQA, che,
conoscendoli, hanno sicuramente fatto il loro lavoro con scrupolo e
correttezza, ma di Accredia, che deciso di inventarsi delle "certificazioni
estese" rispetto alla ISO/IEC 27001. Alcune di queste estensioni sono previste da standard come le ISO/IEC 27017 e ISO/IEC 27018, che hanno una
parte di controlli scritti apposta per integrare una Dichiarazione di
applicabilità già prevista dalla ISO/IEC 27001. Purtroppo hanno deciso di
estendere questo meccanismo per tutti gli standard della famiglia ISO/IEC
27000, anche se non scritti con quell'intenzione e quindi usati e
interpretati male.
Accredia ha fatto questo perché alcuni fantasisti avevano chiesto, in bandi
di gara, certificazioni inesistenti come sulla ISO/IEC 27035. Però, così
facendo, Accredia non ha fatto un buon lavoro di regolamentazione del
mercato, visto che avalla un uso scorretto delle linee guida che, appunto, sono state scritte con uno spirito diverso da quello previsto per uno
standard di requisiti.
Se si ritiene necessario uno standard di requisiti per i laboratori di
analisi forense, allora sarebbe opportuno fare in modo che venga preparato
ed elaborato (magari inizialmente con il supporto di UNI e UNINFO per poi
essere presentato a livello internazionale), non inventarsi ciofeche che
sembrano confermare il mito degli italiani fantasiosi (anche a sproposito).
Ma Accredia non è nuova a certi colpi di fantasia, come abbiamo visto con il
regolamento sulla ISO/IEC 27701 (che verrà cambiato presto, con l'uscita
della ISO/IEC 27006-2) e altri requisiti bizzarri quando richiede competenze
ITIL a auditor di sicurezza (che è sempre bene avere, ma non obbligatoriamente).
La seconda me l'ha girata Paolo Sferlazza di Gerico e riguarda le
certificazioni personali:
-
https://www.skillfront.com/ISO-IEC-27001-Information-Security-Lead-Auditor.
Questi almeno sono svizzeri. Si sono inventati i certificati auditor e lead
auditor ISO/IEC 27001 "veloci": con 70 Euro ti danno un libretto di 63
pagine (non l'ho visto, sarà anche fatto benissimo) e un audio libro di 58
minuti e poi ti puoi fare comodamente a casa l'esame con 40 domande a scelta multipla.
Io sono convinto che sia un fastidio per alcuni farsi un corso di 5 giornate
su una materia che, magari, già conoscono. Io mi sono trovato in condizioni
simili con la ISO 22301 (in questo caso ho fatto l'esame del The BCI). Però
ridursi a un questionario di 40 domande (con rimborso se non si passa!) squalifica prima di tutto il professionista che accetta questa offerta.
Chi chiede i "certificati LA ISO/IEC 27001" dovrebbe innanzi tutto
chiedersi se sono utili quando si cerca un consulente. Poi dovrebbe
richiederli emessi da organismi accreditati dagli enti previsti dal Regolamento europeo 765 del 2008 (a questo proposito, il sito di SkillFront
dice che sono accreditati, ma non si capisce da chi e, anzi, confonde un po'
le cose mettendo la parola "accreditamento" vicino a un "accreditamento"
svizzero che però è equivalente alla nostra registrazione di un'azienda alla Camera di commercio).
Io continuo a pensare che dobbiamo chiedere il rispetto delle regole e ad
Accredia di svolgere gli opportuni controlli (visto che anche io pago
Accredia, essendo iscritto a due registri di persone certificate e
accreditati proprio da Accredia), però dobbiamo anche pensare che non vale
la pena competere con questi soggetti. Fatte le dovute proporzioni, è come
se la Ferrari volesse competere con la Tata. Io non posso equipararmi alla
Ferrari e non voglio offendere la Tata, però spero di aver reso l'idea.
Premesso che CSQA svolge sicuramente il suo lavoro con scrupolo e correttezza, e che sarebbe meglio prima di citare chiedere ai diretti interessati, credo corretto e opportuno ricordare che si tratta di integrazione alla ISO 27001 e non di certificazioni come sopra affermato, come risulta chiaro dalla circolare Accredia (circolare che Accredia ha condiviso a livello internazionale, tant’è non è l’Unico Ente di accreditamento che sta accreditando a fronte di questi documenti normativi): “Le linee guida a livello internazionale sono state sviluppate per contribuire a garantire il rispetto dei principi e della sicurezza delle informazioni, da parte dei fornitori di servizi che se ne dotano. Definiscono delle linee guida basate sulla ISO/IEC 27002, prendendo in considerazione i requisiti normativi per la protezione delle informazioni che possono essere applicabili nel contesto del panorama dei rischi di sicurezza informatica di un fornitore di servizi. Trattandosi di Linee guida, le norme ISO/IEC 270XX NON sono quindi certificabili. Ciò nonostante, è possibile ottenere una integrazione di un certificato ISO/IEC 27001 esistente e rilasciato da un Ente Certificatore riconosciuto, a dimostrazione della capacità del Provider di assicurare la protezione dei dati, basato sulla integrazione delle Linea Guida citata con la Norma ISO/IEC 27001. Le linee guida si basano e rinforzano i precedenti standard ISO/IEC 27001 e ISO/IEC 27002 in materia di Gestione della Sicurezza delle Informazioni, e stabiliscono obiettivi di controllo, regole e procedure per implementare misure di protezione dei fornitori di servizi.”. Vedi Circolare Tecnica N° 02/2018 – [https://www.accredia.it/documento/circolare-tecnica-dc-n-02-2018-accreditamento-per-lo-schema-di-certificazione-iso-iec-270012013-con-integrazione-delle-linee-guida-iso-iec-270xx20yy/]. Quanto alle competenze richieste agli auditor ISO 27001 non mi risulta che vi sia l’obbligo di competenze ITIL, sicuramente più significative in ambito ISO 20000. Infine, sulla segnalazione di Paolo, purtroppo di casi simili ne esistono e non solo nel settore della certificazione delle competenze. E non è un fenomeno solo del settore delle certificazioni. Come sappiamo spesso non basta il certificato per garantire la qualità.
RispondiElimina