Il requisito 7.4 della ISO/IEC 27001:2022 riveste un’importanza strategica nella protezione delle informazioni e nella conformità normativa.

In un precedente articolo ci siamo focalizzati sulle caratteristiche di base: cosa, quando, come e a chi comunicare.

Ora, spostiamo l’attenzione sulle sfide e le opportunità pratiche, mostrando come la comunicazione interagisca con i controlli operativi, l’audit, la conformità normativa e la formazione del personale.

La comunicazione verbale: un filo delicato

Tra tutte le forme di comunicazione, quella verbale è al contempo la più comune e la più insidiosa. Il controllo 5.14 “Trasferimento delle informazioni” della ISO/IEC 27002:2022 include un sotto controllo dedicato al “Trasferimento orale”, evidenziando la necessità di misure specifiche per mitigare i rischi connessi a:

1. fraintendimenti: l’assenza di documentazione scritta riduce la chiarezza dei contenuti;
2. accessi non autorizzati: le conversazioni possono essere udite da persone estranee;
3. tracciabilità ridotta: la mancanza di una registrazione formale rende più complesso verificare le informazioni comunicate.

Mettere in atto contromisure efficaci, come, ad esempio, procedure di conferma scritta o protocolli di protezione fisica degli ambienti di riunione, diventa fondamentale per tutelare la riservatezza e l’integrità dei dati.

Un esempio: la comunicazione delle politiche di sicurezza

Un caso tipico riguarda la comunicazione delle politiche di sicurezza delle informazioni. Queste devono essere trasmesse ai dipendenti, ai collaboratori esterni e ai fornitori prima che abbiano accesso al patrimonio informativo dell’organizzazione.

1. I dipendenti: ricevono la policy durante l’onboarding, attraverso sessioni di formazione dedicate e documentazione specifica; un processo simile avviene anche per i volontari e gli stagisti.
2. I fornitori: vengono informati durante la fase di negoziazione e firma dei contratti, con l’inclusione di clausole specifiche per la sicurezza delle informazioni; alcune di queste potrebbero essere comunicate solo a valle della sottoscrizione degli accordi.
3. I collaboratori esterni: stagisti, volontari o consulenti ricevono istruzioni prima di iniziare le attività operative, spesso attraverso briefing o manuali sintetici.

Formalizzare questi processi significa anche individuare chi è responsabile della comunicazione (es. ufficio risorse umane, procurement o responsabili di progetto) e con quali strumenti deve avvenire (email, piattaforme gestionali, documenti cartacei o digitali, modalità verbali).

Per ogni tipologia di trasferimento delle informazioni, è indispensabile adottare misure di sicurezza adeguate, in conformità a quanto stabilito dalla sezione “Controlli Tecnologici” (punto 8) della ISO/IEC 27001:2022.

Queste misure sono finalizzate a:

1. proteggere la confidenzialità, integrità e disponibilità delle informazioni durante il trasferimento;
2. prevenire accessi non autorizzati, alterazioni o perdite di dati;
3. garantire che i metodi e gli strumenti utilizzati per il trasferimento siano adeguati al contesto e al livello di rischio associato.

L’applicazione di tali controlli deve essere calibrata sulla base delle specifiche modalità di trasferimento (ad esempio, verbale, elettronico o fisico) e delle caratteristiche delle informazioni coinvolte, assicurando così una gestione sicura e conforme alle migliori pratiche internazionali.

Audit e verifica del requisito

L’audit rappresenta un momento essenziale per valutare la coerenza e l’efficacia delle comunicazioni previste dal sistema di gestione della sicurezza delle informazioni come prevede il requisito 9.2 della ISO/IEC 27001:2022. Questa attività non si limita a una verifica formale, ma si configura come uno strumento dinamico per:

• identificare criticità;
• ottimizzare i processi;
• garantire la conformità alla norma ISO/IEC 27001:2022.

L’importanza dell’audit per la comunicazione

L’audit consente di analizzare in modo approfondito se le comunicazioni interne ed esterne rispettano i requisiti definiti. Questo include verificare che:

• le informazioni siano trasmesse ai destinatari corretti;
• i tempi di comunicazione siano rispettati, in particolare per notifiche critiche come incidenti di sicurezza;
• gli strumenti e i processi utilizzati siano adeguati ed efficienti.

La verifica di questi elementi garantisce che la comunicazione non rappresenti un punto debole del sistema di gestione, ma piuttosto un punto di forza capace di sostenere la sicurezza delle informazioni e la conformità normativa.

Campionamento delle comunicazioni

Durante un audit, è necessario applicare un metodo di campionamento. Questo significa selezionare un numero rappresentativo di comunicazioni per analizzarne il flusso, il contenuto e i risultati. Ad esempio:

1. notifiche interne: si possono campionare comunicazioni relative a cambiamenti nelle policy aziendali per verificare che tutti i destinatari siano stati informati nei tempi previsti;
2. notifiche esterne: possono essere esaminate notifiche inviate ai fornitori o alle autorità per valutare la tempestività e la precisione del messaggio;
3. processi critici: si possono analizzare le comunicazioni legate a incidenti di sicurezza per accertarsi che abbiano seguito il protocollo stabilito.

Questo approccio permette di identificare eventuali incongruenze o aree di miglioramento senza dover analizzare l’intero insieme delle comunicazioni aziendali, garantendo un’analisi efficiente e mirata.

Identificazione di criticità e opportunità di miglioramento

Attraverso l’audit, è possibile rilevare problemi come:

1. ritardi nelle comunicazioni: situazioni in cui messaggi critici non vengono inviati nei tempi previsti, con potenziali rischi per la sicurezza delle informazioni;
2. errori di destinatario: invio di informazioni a soggetti non autorizzati o non pertinenti, con conseguenti violazioni di sicurezza o inefficienze operative;
3. incoerenze nei contenuti: comunicazioni non allineate alle policy o ai requisiti normativi, che possono generare confusione o incomprensioni.

L’audit non si limita a evidenziare le criticità, ma rappresenta anche un’opportunità per individuare soluzioni pratiche. Ad esempio, l’adozione di sistemi di automazione per notifiche critiche può ridurre il rischio di errori umani, mentre la formazione mirata dei collaboratori può migliorare la qualità delle comunicazioni.

Un approccio al miglioramento continuo

L’attività di audit deve essere integrata in un ciclo di miglioramento continuo, in linea con i principi della norma ISO/IEC 27001:2022. Questo significa che ogni audit non è un punto di arrivo, ma una tappa per perfezionare ulteriormente il sistema di gestione.

Le raccomandazioni emerse dall’audit devono essere trasformate in azioni concrete, come:

• revisione delle policy di comunicazione;
• implementazione di nuovi strumenti o processi;
• organizzazione di sessioni formative per sensibilizzare i collaboratori sull’importanza della comunicazione.

Implicazioni per la conformità normativa

La comunicazione gioca un ruolo centrale nel garantire la conformità normativa, specialmente nei contesti in cui le organizzazioni sono chiamate a gestire informazioni sensibili, dati personali e incidenti di sicurezza.

Un approccio efficace alla comunicazione può fare la differenza tra una risposta tempestiva e adeguata a livello normativo e una gestione inefficace, con conseguenze potenzialmente disastrose dal punto di vista operativo e legale.

Notifiche di incidenti alle autorità competenti

Uno degli ambiti più delicati riguarda la gestione di notifiche verso le autorità di vigilanza, come il Garante per la protezione dei dati personali, l’ACN o altre autorità competenti, in caso di incidenti di sicurezza.

Queste notifiche devono rispettare requisiti stringenti in termini di:

1. tempestività: alcune normative di settore, come il GDPR o il NIS 2, impongono tempi precisi per segnalare incidenti (ad esempio, 72 ore per il GDPR). Un ritardo nella comunicazione può comportare sanzioni severe e danni reputazionali;
2. completezza: ogni notifica deve includere informazioni dettagliate sull’incidente, le sue cause, le conseguenze e le misure correttive adottate. La mancanza di dati chiari può portare a richieste di chiarimenti o ispezioni più invasive da parte delle autorità;
3. tracciabilità: è essenziale documentare ogni passaggio del processo di notifica per dimostrare la conformità alle normative in caso di audit o indagini.

Aggiornamenti contrattuali con clienti e fornitori

La comunicazione rivolta a clienti e fornitori assume particolare rilevanza nei rapporti contrattuali, dove l’aggiornamento tempestivo su modifiche alle condizioni o agli obblighi di sicurezza può prevenire malintesi e potenziali violazioni contrattuali.

Così, ad esempio:

• i clienti devono essere informati prontamente di qualsiasi cambiamento che possa influire sul trattamento dei loro dati, come ad esempio, nuove misure di sicurezza adottate o aggiornamenti ai termini di servizio.
• ai fornitori bisogna comunicare tempestivamente eventuali modifiche ai requisiti di sicurezza, specialmente se legati a normative nuove o riviste. Ad esempio, un fornitore deve sapere se viene richiesto di implementare ulteriori controlli di sicurezza per conformarsi a standard come la ISO/IEC 27001.

Questi aggiornamenti devono essere chiari, formalizzati e documentati per garantire trasparenza e conformità alle aspettative normative e contrattuali.

Comunicazioni tempestive durante eventi critici

Eventi critici, come violazioni di dati o interruzioni operative significative, richiedono una comunicazione rapida e strutturata. In questi casi, la tempestività è essenziale non solo per contenere i danni, ma anche per soddisfare i requisiti normativi.

In particolare:

• internamente: tutte le parti coinvolte (es. team di sicurezza, legale, comunicazione) devono essere informate in tempo reale per coordinare una risposta efficace;
• esternamente: i clienti, le autorità e le altre parti interessate devono essere informati entro i tempi richiesti dalla normativa, utilizzando un linguaggio chiaro e professionale.

Tracciabilità e coerenza: una necessità imprescindibile

Ogni comunicazione rilevante dal punto di vista normativo deve essere tracciabile, coerente e verificabile.

La tracciabilità implica che sia possibile risalire a ogni messaggio inviato, identificandone contenuto, destinatari, tempistiche e strumenti utilizzati.

La coerenza, invece, assicura che tutte le comunicazioni siano allineate alle politiche aziendali e ai requisiti normativi.

In pratica:

• la tracciabilità si può ottenere utilizzando sistemi che registrino automaticamente ogni comunicazione inviata, con dettagli sul mittente, il destinatario e il contenuto;
• la coerenza garantisce che ogni messaggio rifletta le stesse informazioni, evitando discrepanze che potrebbero generare confusione o compromettere la credibilità dell’organizzazione.

Formazione e consapevolezza

Un requisito trasversale come quello della comunicazione richiede un costante supporto formativo. I collaboratori devono comprendere l’importanza di ogni messaggio inviato o ricevuto, soprattutto in contesti in cui un errore comunicativo, come la diffusione non autorizzata o la conservazione inadeguata di un supporto, può compromettere la sicurezza delle informazioni.

La comunicazione, elemento essenziale per garantire la sicurezza delle informazioni, necessita non solo di processi chiari e ben definiti, ma anche di una solida consapevolezza da parte di tutti i soggetti coinvolti. Nessun sistema di gestione può essere realmente efficace senza un adeguato investimento nella formazione continua, che consenta di sensibilizzare il personale e aggiornarlo costantemente.

Ciò è particolarmente vero per un requisito trasversale come la comunicazione, che coinvolge persone, strumenti e processi in modo capillare. Inoltre, questo ambito è soggetto a modifiche costanti dovute al progresso tecnologico, rendendo ancora più imprescindibile un approccio dinamico e proattivo alla formazione.

L’importanza della formazione continua

Lo diciamo sempre: la formazione non è un’attività una tantum, ma un processo continuo che deve essere integrato nella cultura aziendale.

Le normative, le minacce e le tecnologie evolvono rapidamente, e i collaboratori devono essere costantemente aggiornati per mantenere un livello di competenza adeguato. Un programma di formazione efficace deve affrontare:

1. i principi fondamentali della comunicazione aziendale, inclusa la chiarezza, la tempestività e la precisione;
2. i rischi associati a una comunicazione errata, come la possibilità di violazioni dei dati, incomprensioni operative o danni reputazionali;
3. l’uso degli strumenti e delle piattaforme di comunicazione, per garantire che i collaboratori conoscano e sappiano utilizzare le tecnologie aziendali in modo sicuro ed efficace.

Consapevolezza dei rischi legati alla comunicazione

Ogni messaggio inviato, indipendentemente dalla sua apparente importanza, ha il potenziale di influenzare la sicurezza delle informazioni. Pertanto, i collaboratori devono essere consapevoli che:

1. una comunicazione incompleta o errata può causare gravi problemi. Ad esempio, una notifica tardiva di un incidente di sicurezza potrebbe aggravare i danni o comportare sanzioni normative;
2. informazioni inviate ai destinatari sbagliati rappresentano un rischio per la riservatezza e possono violare i principi fondamentali del trattamento dei dati personali;
3. un linguaggio ambiguo o poco chiaro può generare incomprensioni operative, ritardi o addirittura errori nell’esecuzione delle attività aziendali.

La consapevolezza dei rischi legati alla comunicazione deve diventare parte integrante del mindset dei collaboratori, spingendoli a considerare ogni messaggio come un elemento critico per il funzionamento e la sicurezza dell’organizzazione.

Ancora una volta le indicazioni contenute nel controllo 5.14 “Trasferimento delle informazioni” costituiscono un set di misure che devono essere costantemente rivalutate ed aggiornate.

Innovazione tecnologica

Anche l’innovazione tecnologica pone costantemente nuove sfide riguardo alle modalità di comunicazione. Basti pensare ai progressi introdotti da strumenti come le piattaforme per incontri a distanza, i sistemi di messaggistica elettronica e, più recentemente, i sistemi di Intelligenza Artificiale (AI).

Ad esempio, quando interagiamo con un sistema di AI ponendo un quesito o fornendogli un report, con l’obiettivo di ottenere in pochi istanti una presentazione o un’analisi più efficiente di quanto potremmo fare manualmente, sorge una domanda critica: stiamo comunicando informazioni al sistema di AI?

Questa riflessione apre a considerazioni fondamentali sulle implicazioni legate alla sicurezza delle informazioni, alla protezione dei dati e alla riservatezza.

Siamo davvero pronti a gestire queste implicazioni con gli strumenti e i processi attualmente disponibili? La sfida non riguarda solo l’efficacia tecnologica, ma anche la capacità delle organizzazioni di adottare misure adeguate ad affrontare i rischi associati, garantendo al contempo il rispetto dei principi normativi e la tutela delle informazioni sensibili.

Conclusioni

Il requisito 7.4 della ISO/IEC 27001:2022 emerge, anche in questa seconda parte della nostra analisi, come un pilastro irrinunciabile per qualunque sistema di gestione della sicurezza delle informazioni.

Dalla comunicazione verbale — spesso sottovalutata — alle sfide poste dall’innovazione tecnologica, ogni aspetto può diventare un punto di debolezza o una leva di forza, a seconda di come venga gestito.

La comunicazione non si limita a trasmettere informazioni: è il “ponte” tra intenzioni strategiche e azioni operative, tra organizzazione e stakeholder, tra tecnologia e persone.

Chi investe in processi chiari, audit efficaci e formazione continua costruisce un’organizzazione efficace ed efficiente, capace di adattarsi alle evoluzioni normative e tecnologiche, e di rispondere prontamente agli eventi critici.

In definitiva, puntare su una comunicazione sicura, coerente e tracciabile significa garantire fiducia e competitività a lungo termine, aprendo la strada a un miglioramento continuo che presidia l’intera struttura aziendale.