Commenti sulla revisione della ISO/IEC 27001

Fabrizio Monteleone del DNV Italia, oltre ad essere mio amico, ha una grande esperienza di audit ISO/IEC 27001. A fronte delle mie segnalazioni sulla futura ISO/IEC 27001 ha fatto qualche commento che riporto di seguito.

1- Riguardo la 27001 suggerirei, anche se ciò non è possibile, di promuovere la revisione dell'Annex A con i controlli a livello annuale o biennale al massimo: stiamo parlando di IT cioè di un mondo che evolve talmente in fretta, che i controlli da mettere in campo dovrebbero essere riesaminati per capire se in grado di accogliere quanto succede. Inoltre, anche la lista minacce e vulnerabilità dovrebbe essere sempre aggiornata dalle imprese; ma quanti la aggiornano? Se non spinti da uno standard, non lo farebbero mai.

2- Sull'analisi dei rischi, nel tempo ho visto si sono fatti strada alcuni metodi più o meno accettabilmente applicati (per lo meno, per il primo audit...). Dopo 7 anni siamo arrivati a che ci sia un livello di competenze accettabile. Ora, con il cambiamento delle carte, abbiamo dei rischi di confusione e di nuovi "esperti" che esperti non sono.

3- Per quanto riguarda l'impegno della direzione, purtroppo è vero che la Direzione è spesso latitante e non partecipa all'analisi e valutazione dei rischi.

4- Sul fatto che le linee guida siano linee e basta mi trovi in accordo. Dovrebbero essere in numero inferiore (quindi meno soldi) e solo tecniche (gli esempi sulle misure sono indecenti).

5- Per il resto, giustamente, se l'auditor fa l'auditor, i problemi sono dell'azienda o vogliamo che tra il valore aggiunto chiesto all'auditor ci sia quello di fare il consulente? La realtà è che le aziende se lo aspettano, visto che pagano...