venerdì 19 marzo 2021

Come sminuire il valore delle certificazioni

In questi giorni mi sono arrivate due segnalazioni sulle certificazioni. Allora provo a scrivere due righe in merito (temo di aver inserito qualche inesattezza, ma la sostanza è questa).

La prima me l'ha girata Fabio Guasconi di BlackSwan riguarda la certificazione ISO/IEC 27037:
- https://www.csqa.it/Sicurezza-ICT/News/Digital-Evidence-ISO-IEC-27037,-CSQA-rilascia-il-p.

In realtà ci sono anche molti altri casi e il problema non è CSQA, che, conoscendoli, hanno sicuramente fatto il loro lavoro con scrupolo e correttezza, ma di Accredia, che deciso di inventarsi delle "certificazioni estese" rispetto alla ISO/IEC 27001. Alcune di queste estensioni sono previste da standard come le ISO/IEC 27017 e ISO/IEC 27018, che hanno una parte di controlli scritti apposta per integrare una Dichiarazione di applicabilità già prevista dalla ISO/IEC 27001. Purtroppo hanno deciso di estendere questo meccanismo per tutti gli standard della famiglia ISO/IEC 27000, anche se non scritti con quell'intenzione e quindi usati e interpretati male.

Accredia ha fatto questo perché alcuni fantasisti avevano chiesto, in bandi di gara, certificazioni inesistenti come sulla ISO/IEC 27035. Però, così facendo, Accredia non ha fatto un buon lavoro di regolamentazione del mercato, visto che avalla un uso scorretto delle linee guida che, appunto, sono state scritte con uno spirito diverso da quello previsto per uno standard di requisiti.

Se si ritiene necessario uno standard di requisiti per i laboratori di analisi forense, allora sarebbe opportuno fare in modo che venga preparato ed elaborato (magari inizialmente con il supporto di UNI e UNINFO per poi essere presentato a livello internazionale), non inventarsi ciofeche che sembrano confermare il mito degli italiani fantasiosi (anche a sproposito).

Ma Accredia non è nuova a certi colpi di fantasia, come abbiamo visto con il regolamento sulla ISO/IEC 27701 (che verrà cambiato presto, con l'uscita della ISO/IEC 27006-2) e altri requisiti bizzarri quando richiede competenze ITIL a auditor di sicurezza (che è sempre bene avere, ma non obbligatoriamente).

La seconda me l'ha girata Paolo Sferlazza di Gerico e riguarda le certificazioni personali:
- https://www.skillfront.com/ISO-IEC-27001-Information-Security-Lead-Auditor.

Questi almeno sono svizzeri. Si sono inventati i certificati auditor e lead auditor ISO/IEC 27001 "veloci": con 70 Euro ti danno un libretto di 63 pagine (non l'ho visto, sarà anche fatto benissimo) e un audio libro di 58 minuti e poi ti puoi fare comodamente a casa l'esame con 40 domande a scelta multipla.

Io sono convinto che sia un fastidio per alcuni farsi un corso di 5 giornate su una materia che, magari, già conoscono. Io mi sono trovato in condizioni simili con la ISO 22301 (in questo caso ho fatto l'esame del The BCI). Però ridursi a un questionario di 40 domande (con rimborso se non si passa!) squalifica prima di tutto il professionista che accetta questa offerta.

Chi chiede i "certificati LA ISO/IEC 27001" dovrebbe innanzi tutto chiedersi se sono utili quando si cerca un consulente. Poi dovrebbe richiederli emessi da organismi accreditati dagli enti previsti dal Regolamento europeo 765 del 2008 (a questo proposito, il sito di SkillFront dice che sono accreditati, ma non si capisce da chi e, anzi, confonde un po' le cose mettendo la parola "accreditamento" vicino a un "accreditamento" svizzero che però è equivalente alla nostra registrazione di un'azienda alla  Camera di commercio).

Io continuo a pensare che dobbiamo chiedere il rispetto delle regole e ad Accredia di svolgere gli opportuni controlli (visto che anche io pago Accredia, essendo iscritto a due registri di persone certificate e accreditati proprio da Accredia), però dobbiamo anche pensare che non vale la pena competere con questi soggetti. Fatte le dovute proporzioni, è come se la Ferrari volesse competere con la Tata. Io non posso equipararmi alla Ferrari e non voglio offendere la Tata, però spero di aver reso l'idea.

1 commento:

  1. Premesso che CSQA svolge sicuramente il suo lavoro con scrupolo e correttezza, e che sarebbe meglio prima di citare chiedere ai diretti interessati, credo corretto e opportuno ricordare che si tratta di integrazione alla ISO 27001 e non di certificazioni come sopra affermato, come risulta chiaro dalla circolare Accredia (circolare che Accredia ha condiviso a livello internazionale, tant’è non è l’Unico Ente di accreditamento che sta accreditando a fronte di questi documenti normativi): “Le linee guida a livello internazionale sono state sviluppate per contribuire a garantire il rispetto dei principi e della sicurezza delle informazioni, da parte dei fornitori di servizi che se ne dotano. Definiscono delle linee guida basate sulla ISO/IEC 27002, prendendo in considerazione i requisiti normativi per la protezione delle informazioni che possono essere applicabili nel contesto del panorama dei rischi di sicurezza informatica di un fornitore di servizi. Trattandosi di Linee guida, le norme ISO/IEC 270XX NON sono quindi certificabili. Ciò nonostante, è possibile ottenere una integrazione di un certificato ISO/IEC 27001 esistente e rilasciato da un Ente Certificatore riconosciuto, a dimostrazione della capacità del Provider di assicurare la protezione dei dati, basato sulla integrazione delle Linea Guida citata con la Norma ISO/IEC 27001. Le linee guida si basano e rinforzano i precedenti standard ISO/IEC 27001 e ISO/IEC 27002 in materia di Gestione della Sicurezza delle Informazioni, e stabiliscono obiettivi di controllo, regole e procedure per implementare misure di protezione dei fornitori di servizi.”. Vedi Circolare Tecnica N° 02/2018 – [https://www.accredia.it/documento/circolare-tecnica-dc-n-02-2018-accreditamento-per-lo-schema-di-certificazione-iso-iec-270012013-con-integrazione-delle-linee-guida-iso-iec-270xx20yy/]. Quanto alle competenze richieste agli auditor ISO 27001 non mi risulta che vi sia l’obbligo di competenze ITIL, sicuramente più significative in ambito ISO 20000. Infine, sulla segnalazione di Paolo, purtroppo di casi simili ne esistono e non solo nel settore della certificazione delle competenze. E non è un fenomeno solo del settore delle certificazioni. Come sappiamo spesso non basta il certificato per garantire la qualità.

    RispondiElimina