Quando si parla di certificazione spesso si utilizzano termini impropri e questo genera grande confusione sul mercato.
La certificazione per sua definizione è quell’attività svolta da un organismo indipendente che attesta che una organizzazione, una persona o un prodotto risponde a requisiti definiti.
Gli organismi indipendenti (o anche Organismi di Certificazione) sono organizzazioni a loro volta accreditate per poter svolgere tali attività.
L’accreditamento è regolato a livello internazionale dallo IAF (International Accreditation Forum – www.iaf.nu) e gli accreditamenti sono soggetti al mutuo riconoscimento per effetto del Multilateral Recognition Arrangement. I firmatari degli accordi ottengono il mutuo riconoscimento nei paesi sottoscrittori degli accordi.
In modo del tutto equivalente anche a livello Europeo, e stavolta per effetto di un Regolamento CE [1], sono stati definiti appositi Multilateral Agreement a livello di EA (European Accreditation – http://www.european-accreditation.org ). Anche in questo caso i firmatari ottengono il mutuo riconoscimento nei paesi europei sottoscrittori degli accorsi.
Da notare che un paese può aver sottoscritto accordi a tutti i livelli o anche ad uno solo dei livelli.
A livello nazionale esiste Accredia (www.accredia.it) come unico organismo di accreditamento italiano, Accredia è sottoscrittore di accordi di mutuo riconoscimento sia a livello Europeo (EA) sia a livello mondiale (IAF).
È chiaro da questi primi elementi che l’accreditamento non sempre è obbligatorio (salvo i casi specificati da leggi o direttive). Così come del resto non lo è la certificazione, anche qui con le dovute eccezioni.
Inoltre la certificazione, essendo per definizione concessa da una terza parte indipendente, non può essere concessa da entità che hanno avuto parte attiva nei processi soggetti a certificazione. Ad esempio consulenti che hanno condotto l’organizzazione alla certificazione, training center che hanno formato la persona, organizzazioni che hanno prodotto un bene o che erogano un servizio.
Da qui la prima considerazione fondamentale di questo articolo: chi eroga un corso per la formazione di auditor/lead auditor non emette la certificazione di competenza ma solo l’attestato di superamento del corso (all’estero detto certificate e da qui il caos con le nostre definizioni!). Una persona al superamento dell’esame ottiene quindi una qualificazione[2] e non una certificazione.
La certificazione delle competenze della persona [3] avviene solo da parte degli Organismi di Certificazione del Personale in specifiche sessioni di esame e secondo criteri definiti in appositi standard e norme.
Al superamento di questi esami si ottiene il certificato di competenza specifico e si viene iscritti al relativo registro, sempre gestito dagli Organismi di Certificazione del Personale.
La certificazione delle competenze degli auditor/lead auditor dei sistemi di gestione è regolata dalla ISO/IEC 17024:2012 alla quale vanno aggiunti gli schemi di riferimento (cioè le norme per cui il candidato chiede il riconoscimento della competenza, ad es. la ISO/IEC 27001:2013 e la ISO/IEC 17021-1:2015).
Per gli auditor/lead auditor dei Sistemi di Gestione per la Sicurezza delle Informazioni l’elenco delle competenze richieste è specificato nel documento IAF MD13:2015 (al momento issue 1 version 2 con data di applicazione 26 maggio 2015 – reperibile a questo link: http://www.iaf.nu/upFiles/IAFMD13ISMSABcompetenceIssue1Version228052015.pdf ).
In definitiva la qualifica di un auditor/lead auditor che operi per lo schema ISO/IEC 27001:2013 per un organismo di certificazione (quindi in audit di parte terza) prevede necessariamente la conoscenza ed esperienza nell’applicazione delle norme [4]:
Da questa lista appaiono chiari alcuni punti che devono essere presi in considerazione da candidati ed organismi di certificazione (dei sistemi e del personale):
Fin troppo spesso in audit di affiancamento o nelle attività di formazione incontro persone con corsi “parziali” o addirittura “vecchi” rispetto al documento IAF, persone completamente ignare di queste semplici regole. Altrettanto spesso queste persone mi dicono che durante il corso nessuno ha spiegato loro questi meccanismi né che si siano cimentati in esercitazioni pratiche sulla conduzione e gestione dell’audit.
Qui si aprono quindi due ipotesi possibili:
In realtà tutti i corsi “qualificati” dagli organismi di certificazione del personale dovrebbero avere le caratteristiche sopraelencate anche se distribuite in modo diverso nell’arco delle 5 giornate formative (minima formazione prevista per la prima qualificazione di un auditor, se seconda qualificazione il corso può essere ridotto a 24 ore ma questo non sempre è riconosciuto da tutti i registri per la ISO/IEC 27001).
Basta quindi una lettura attenta dei contenuti del corso per capire se quello che ho davanti è un corso “qualificato” da un Organismo di Certificazione delle Competenze (a sua volta accreditato, da Accredia per l’Italia). I dati di un corso possono essere richiesti all’Organismo di Certificazione del Personale che ha qualificato il corso oppure al provider del corso (in ogni caso è bene chiedere informazioni per iscritto per eventuali successive verifiche e ricorsi in caso di problemi).
Un ulteriore requisito per la scelta è la possibilità di iscriversi al registro corrispondente (provisional auditor, auditor, lead auditor) gestito dallo stesso Organismo di Certificazione delle Competenze o avere la garanzia che il titolo ottenuto con il superamento del corso sia valido ad iscriversi in uno dei registri equivalenti gestiti da altri Organismi di Certificazione delle Competenze (accreditati, da Accredia per l’Italia).
Se poi vogliamo essere sicuri dell’efficacia e della qualità del corso basta chiedere il nome del docente e verificare che questo operi come lead auditor per almeno uno degli Organismi di Certificazione (accreditati in Italia per la certificazione dei Sistemi di Gestione per la Sicurezza delle Informazioni) e/o se esso stesso è iscritto in almeno uno dei registri per i lead auditor dei Sistemi di Gestione per la Sicurezza delle Informazioni. Queste due informazioni ci dicono che saremo formati da un professionista la cui competenza è sotto controllo del registro e che questi opera effettivamente nelle materie oggetto del corso (si suppone quindi che sappia spiegarvi con esattezza tutto quello che leggete in questo articolo!).
Cosa succede invece se frequento un corso che non ha queste caratteristiche? La risposta a questa domanda è molto complessa, possiamo avere varie casistiche:
Normalmente i corsi qualificati per auditor/lead auditor hanno:
I tempi dedicati per le due sezioni possono differire ma la loro somma in genere è di 40 ore (in prima qualifica) o almeno 24 ore in seconda qualifica (laddove ammesso a livello nazionale).
Con queste informazioni alla mano abbiamo almeno gli elementi formali per verificare la credibilità e validità del corso o dell’attestato.
Ovviamente le considerazioni sul prezzo sono assolutamente personali ed insindacabili!
Un ultimo chiarimento per chi fosse interessato a questi corsi e comunque per tutti coloro che possano ancora nutrire qualche dubbio: per esercitare come auditor/lead auditor è sufficiente aver frequentato e superato l’esame di un corso qualificato da un Organismo di Certificazione del Personale accreditato da uno degli Organismi di Accreditamento firmatari degli accordi di mutuo riconoscimento IAF e/o EA. Quindi NON è necessario essere iscritti ad un registro (e quindi certificati in termini di competenza) per esercitare la professione di auditor/lead auditor. Ovviamente essere iscritti ad un registro sopracitati è una opportunità per un professionista e per chi utilizza le sue competenze, essendo queste garantite dal sistema internazionale di certificazione ed accreditamento.
A questo punto una nota per i colleghi che già operano in audit di parte terza e/o che sono iscritti ad uno dei vari registri accreditati: avete verificato di essere in linea con questi standard? Il vostro corso ed il vostro attestato sono allineati? Il vostro certificato è aggiornato? Solo garantendo la professionalità e la competenza possiamo condurre audit efficaci, proteggere il nostro lavoro e la nostra credibilità! Non dimentichiamo che proprio questo è uno dei principi della ISO/IEC 17021 che guida la nostra professione.
Buon lavoro a tutti.
[1] “Attestazione da parte di un organismo nazionale di accreditamento che certifica che un determinato organismo di valutazione della conformità soddisfa i criteri stabiliti da norme armonizzate e, ove appropriato, ogni altro requisito supplementare, compresi quelli definiti nei rilevanti programmi settoriali, per svolgere una specifica attività di valutazione della conformità» REG (CE) N. 765/2008.
[2] ISO/IEC 17024:2012 – req. 3.7 Qualification
[3] ISO/IEC 17024:2012 – req. 3.5 Certificate
[4] Edizioni delle norme aggiornate al 23/11/2016
A cura di: Fabrizio Cirilli
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…