Sappiamo bene che il primo passo nell’implementazione della norma ISO 27001 è definire il perimetro. Questo passaggio può causare non pochi grattacapi. Molte aziende, infatti, cercano di abbassare i costi di implementazione restringendo il perimetro, ma spesso si ritrovano con un perimetro che finisce per complicare le cose. Anche perchè, è bene ricordarlo, quando si parla di sicurezza il risparmio non è mai un buon argomento.

Dove nasce il problema:

Il problema nasce quando il perimetro della ISO 27001 non copre l’intera organizzazione: il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) deve infatti interfacciarsi con il “mondo esterno”. E in questo contesto, il mondo esterno non è solo rappresentato da clienti, partner, fornitori ecc., ma anche dai reparti dell’organizzazione che non rientrano nel perimetro. Può sembrare strano, ma un reparto non incluso nel perimetro dovrebbe essere trattato alla stregua di un fornitore esterno.

Per esempio, se decidi che solo il reparto IT rientra nel tuo perimetro e questo utilizza i servizi del reparto acquisti, il reparto IT dovrà effettuare una valutazione dei rischi relativa al reparto acquisti per identificare eventuali rischi per le informazioni di cui il reparto IT è responsabile; inoltre, tra i due reparti dovrebbero essere sottoscritti termini e condizioni per i servizi erogati.

Perché è necessario tutto questo?

Bisogna mettersi nei panni dell’ente di certificazione: deve poter certificare che, all’interno del perimetro, sei in grado di gestire le informazioni in modo sicuro, ma non può verificare ciò che avviene nei reparti esclusi dal perimetro. L’unico modo per gestire questa situazione è trattare tali reparti come se fossero aziende esterne. (Nota bene: gli auditor di certificazione non vedono mai di buon occhio un perimetro troppo ristretto.)

A volte, un perimetro ristretto semplicemente non è possibile, perché non ci sono interfacce chiare con l’esterno. Ad esempio:

• se dipendenti inclusi e non inclusi nel perimetro lavorano nella stessa stanza, tale perimetro è difficilmente realizzabile;
• se sia il personale interno che quello esterno al perimetro utilizza la stessa rete locale (senza segregazione) e accede a vari servizi di rete, un tale perimetro non è decisamente attuabile – sarebbe impossibile controllare il flusso delle informazioni solo all’interno del perimetro.

Il punto chiave

Il punto è che restringere il perimetro del SGSI a volte è impossibile e, nella maggior parte dei casi, comporta oneri inutili. Quindi, ciò che inizialmente non sembrava una buona soluzione, potrebbe invece rivelarsi la scelta ottimale: cerca di estendere il perimetro all’intera organizzazione. La regola pratica è: se la tua organizzazione conta non più di qualche centinaio di dipendenti e ha una o poche sedi, la cosa migliore è che l’SGSI copra l’intera organizzazione.

D’altro canto, se davvero non puoi estendere il perimetro del SGSI a tutta l’organizzazione, cerca almeno di delimitarlo a un’unità organizzativa sufficientemente indipendente; prova a regolare i rapporti con le altre unità fuori perimetro tramite documenti interni (policy, procedure, ecc.) che funzionino come “accordi” – in questo modo potrai documentare gli obblighi di tali unità in una forma utilizzabile nella gestione quotidiana.