Auditing e Certificazioni Informatiche
Le motivazioni che spingono un’impresa ad intraprendere un percorso di certificazione informatica possono essere molteplici.
Spesso certificarsi è requisito conseguente al tipo di dato che si tratta, in altre situazioni è invece imprescindibile per erogare servizi ad un certo tipo di clientela. A volte però la ragione si slega da specifici obblighi e va ricercata nella volontà dell’azienda di darsi un metodo, standardizzare le procedure, curare la propria immagine e migliorare la sicurezza informatica.
Nonostante esistano un discreto numero di certificazioni informatiche gestite ed emesse dai più svariati enti, i requisiti ed i percorsi da intraprendere sono spesso simili. Comunemente le certificazioni puntano infatti a garantire il metodo, la cura nella gestione del dato, la mitigazione del rischio e la tutela del fruitore finale.
Nel corso della mia esperienza professionale ho ricoperto il ruolo chiave di supporto al conseguimento di alcune certificazioni informatiche tra cui:
- PCI-DSS Payment Card Industry Data Security Standard – che regolamenta le transazioni con carta di credito e l’affidamento di dati delle carte di pagamento.
- CAIQ Consensus Assessments Initiative Questionnaire – focalizzato sulla sicurezza nei servizi di tipo IaaS, PaaS e SaaS.
- EU GDPR (General Data Protection Regulation – per la protezione e il trattamento dei dati personali.
Auditing e percorso di certificazione informatica
Il mio intervento di consulenza si articola in diverse fasi che comprendono la raccolta delle informazioni, la pianificazione, l’esecuzione, la revisione dello stato di fatto, il reporting e la preparazione di policy e procedure.
La finalità principale della consulenza è preparare la struttura per l’auditing esterno.
Raccolta delle informazioni
Fase iniziale di acquisizione delle informazioni mediante questionari ed interviste al personale interno di riferimento. La finalità è la definizione degli attori involucrati, il perimetro di azione (scope), le policy e procedure adottate, oltre alla comprensione del grado di consapelovezza del personale.
Pianificazione, Revisione e Simulazione
In questo step si svolgono le attività necessarie alla costituzione del campione dell’audit, si sviluppa il piano di lavoro e di verifica.
Si riesaminano i processi che l’azienda conduce durante le proprie attività quotidiane in relazione alla certificazione informatica specifica che si vuole ottenere.
Viene analizzata la gestione degli assets informatici, i data flow, le relazioni con i fornitori di servizi IT terzi, la documentazione, le policy in atto, l’incident response plan e la gestione del data breach.
Questa fase, particolarmente importante per la certificazione PCI-DSS, si basa sull’analisi della documentazione precedentemente raccolta e su test eseguiti a campionamento. L’obiettivo è quello di coprire l’intero “scope” al fine di prevenire eventuali non conformità che potrebbero essere riscontrate dagli auditor esterni in fase di verifica. Si procede all’esecuzione di testi di sicurezza (penentration test).
Report e Remediation Plan
Basandosi sulle evidenze riscontrate, si stila un rapporto che delinea la condizione dell’infrastruttura e dei processi. Viene redatto il “Remediation Plan”, ossia il documento che racchiude tutte le anomalie riscontrate e le modalità di soluzione al fine di ridurre le non conformità.
Supporto durante audit esterno
La fase conclusiva del percorso prevede il supporto e l’affiancamento durante l’intero percorso di auditing che verrà effettuato dall’ente certificatore esterno, come ad esempio nel caso della certificazione PCI-DSS.
Qualora non sia previsto un auditing esterno, come nel caso del CAIQ, si procede alla preparazione dei documenti e questionari necessari al conseguimento delle certificazione informatica specifica.