Applicazione del ciclo di Deming: Plan, Do, Check, Act

La nuova norma ISO/IEC 27001:2013 è stata progettata in modo da rendere agevole l’iterazione con altri standard relativi a sistemi di gestione, quali ad esempio la ISO 9001 (il cui ultimo aggiornamento è stato fatto nel settembre del

42 2015) riguardante la definizione dei requisiti per l’implementazione di un efficace sistema di gestione della qualità, oppure la ISO 14001:2015, ossia lo standard internazionale per la gestione ambientale. Infatti, la standardizzazione delle norme ISO in materia di sistemi di gestione, così come vale anche per quanto definito nella ISO/IEC 27001:2013 per l’ISMS, ha permesso l’utilizzo del cosiddetto modello di Deming, anche meglio conosciuto come il ciclo Plan-Do-Check-Act28_{, definendo il}

processo di controllo e miglioramento continuo dell’ISMS.

Il modello di Deming si struttura, quindi, all’interno di un processo iterativo composto da quattro fasi29_:

1. Plan (programmare)

 Determinare obiettivi e destinatari

 Determinare metodi per raggiungere gli obiettivi  Impegnarsi nell’istruzione e nella formazione 2. Do (attuare)

 Svolgere il lavoro 3. Check (monitorare)

 Controllare gli effetti 4. Act (miglioramento)

 Intraprendere azioni appropriate

28 _{Il modello Plan-Do-Check-Act è un metodo di gestione iterativo composto da quattro fasi,}

utilizzato in attività per il controllo e il miglioramento continuo dei processi e dei prodotti. Un’altra versione di questo ciclo viene chiamata OPDCA, dove la “O” ha il significato sia di “osservazione”, che di “afferrare la condizione attuale”.

29_{http://www.aicqer.it/download/11_La%20filosofia%20di%20Deming%20e%20il%20ciclo%20P}

43 Con riferimento alla ISO/IEC 27001:2013, le continue evoluzioni aziendali, tecnologiche ed ambientali richiedono un processo di valutazione continua dell’efficacia e dell’efficienza di tutti i controlli di sicurezza, insieme all’adattamento dell’ISMS a requisiti in cambiamento. Questo, dunque, si traduce nell’implementazione del modello Plan-Do-Check-Act, il quale:

 Pianifica ed implementa i controlli di sicurezza  Mantiene in esercizio i controlli di sicurezza

 Monitora il sistema di sicurezza ed il mondo circostante  Imposta le necessarie modifiche al sistema di sicurezza

La figura sottostante mostra il processo del ciclo di Deming in ottica di miglioramento continuo dell’ISMS.

Figura 11: ciclo di Deming in ottica di miglioramento continuo dell'ISMS

Fonte: http://kemal.bhsearch.com/wp-content/uploads/2012/10/02_Overwiev-of-Information-Security- standards-ISO-27000-series-of-standards-27001-27002-27003-27004-27005.pdf

44 Nella prima fase del modello PDCA, l’organizzazione deve stabilire e gestire l’ISMS, mediante:

 La definizione del campo di applicazione dello stesso ed i perimetri entro quale esercitare le sue funzioni

 La definizione della policy e gli obiettivi  La metodologia di risk assessment30

 L’identificazione, valutazione dei rischi

 La valutazione delle opzioni per il trattamento dei rischi precedentemente identificati

 La selezione degli obiettivi di controllo ed i controlli stessi31

 L’ottenimento dell’approvazione del management dei rischi residui individuati, nonché l’autorizzazione ad introdurre ed impiegare l’ISMS  La preparazione dello “Statement of applicability”32

Nella fase del “Do” del ciclo di Deming, l’organizzazione deve introdurre ed impiegare l’ISMS, e per far ciò occorre:

30 _{Il risk assessment è una modalità di processo di controllo adottato dalle aziende per poter andare}

a monitorare nel tempo lo stato di rischiosità della stessa, e valutare se i controlli posti in essere per far fronte ai rischi sono più o meno efficaci. Il risk assessment è una metodologia utilizzata per la revisione dei principali obiettivi di business, dei rischi che ostacolano il raggiungimento degli stessi e dei controlli predisposti ed applicati per la gestione dei rischi di business.

31 _{Lo standard ISO/IEC 27001:2013 prevede, nell’Annex A, una serie di undici macrocategorie di}

controlli, suddivisi nelle seguenti categorie: A.5 security policy; A.6 organizzazione della sicurezza delle informazioni; A.7 gestione delle risorse; A.8 sicurezza delle risorse umane; A.9 sicurezza fisica e ambientale; A.10 gestione delle comunicazioni e della operatività; A.11 controllo accessi; A.12 acquisizione, sviluppo e manutenzione dei sistemi informativi; A.13 gestione degli incidenti di sicurezza delle informazioni; A.14 gestione della continuità aziendale; A.15 conformità.

32 _{Lo Statement of applicability, detto comunemente SOA, è uno dei documenti chiave previsto}

dalla ISO/IEC 27001 sul sistema di gestione della sicurezza (ISMS), perché identifica i controlli rilevanti per il business e spiega perché i controlli sono stati selezionati per trattare i rischi identificati. SOA definisce come verrà attuato parte del programma di sicurezza delle informazioni, permettendo il legame tra la valutazione del rischio ed il trattamento dello stesso, attraverso l'implementazione di processi di sicurezza delle informazioni.

45  Formulare ed introdurre il Piano di trattamento del rischio

 Definire come misurare l’efficacia dei controlli selezionati

 Introdurre i controlli selezionati per raggiungere gli obiettivi di controllo  Introdurre formazione e consapevolezza sull’importanza dell’ISMS in

azienda

 Gestire le operation e le risorse  Introdurre procedure ed altri controlli

La terza fase del ciclo è quella di monitoraggio continuo e riesamino del sistema di gestione della sicurezza. A riguardo l’organizzazione deve:

 Effettuare procedure ed altri controlli di monitoraggio  Svolgere riesami periodici dell’efficacia dell’ISMS  Misurare l’efficacia dei controlli

 Riesaminare il risk assessment ad intervalli pianificati  Riesaminare il livello di rischio residuo identificato

 Effettuare audit interni (controlli interni) dell’ISMS, oltre che ad un riesame dell’alta direzione sul sistema adottato

 Aggiornare i piani di sicurezza  Registrare azioni ed eventi

La fase di miglioramento, “Act”, è un processo importante che permette sia di mantenere che di aggiornare continuamente, in ottica di miglioramento continuo, l’ISMS. L’organizzazione a riguardo deve:

46  Adottare appropriate azioni correttive e preventive

 Comunicare azioni e miglioramenti

 Assicurarsi che i miglioramenti permettano di raggiungere gli obietti fissati

È proprio nell’ultima fase del ciclo di Deming che si viene ad evidenziare il processo iterativo del modello: ad ogni problema rivelato nella fase precedente (Check), l’organizzazione deve trovar la soluzione; quindi, deve porre in essere ed attuare le azioni correttive che permettono al sistema di gestione della sicurezza di risolvere le problematiche evidenziate, ma, inoltre, la fase dell’Act rappresenta l’input per la nuova fase di pianificazione (processo iterativo), con nuovi obiettivi da dover definire, nuovi rischi a cui dover far fronte, ecc..

L’idea di fondo del ciclo di Deming è quella di permettere alle aziende di poter operare in maniera dinamica, permettendo sempre miglioramenti al loro sistema di gestione della sicurezza, ed, non meno importante del primo punto, evitare soprattutto di commettere gli stessi errori in futuro.