Sistema di Gestione dell’AI e l’integrazione con le norme ISO

A cura di:Stefano Gorla e Attilio Rampazzo Ore

I sistemi di gestione sono uno strumento fondamentale per la crescita di un’azienda. Un insieme di regole e procedure che aiutano l’azienda a migliorare la propria organizzazione ed a raggiungere gli obiettivi. Per le aziende di oggi, l’esigenza di dotarsi di un sistema di gestione per rimanere al passo con i tempi, è sempre maggiore. Nelle aziende che vogliono essere competitive sul mercato odierno vi è ormai, necessità non solo del singolo Sistema di Gestione Salute e Sicurezza ma la maggioranza delle realtà lavorative, si sta sempre di più orientando nella direzione dei Sistemi di Gestione Integrati (SGI) che uniscono tutti i sistemi di gestione delle norme tra questi anche la gestione dell’Intelligenza Artificiale che sta sempre più introducendo nella maggioranza delle aziende. Questo per ovvi motivi dato il risparmio importante di risorse per l’azienda, come tempo e denaro, che deve far fronte ad unico Sistema di Gestione il quale ha però il vantaggio di soddisfare tutte le norme e quindi le certificazioni ISO precedenti. Considerando il fatto che la struttura dei sistemi di gestione in questione è similare, l’adozione di un sistema di gestione integrato permette di disporre di un efficace strumento per migliorare la competitività e l’immagine dell’azienda attraverso:

  • la razionalizzazione dei processi;
  • la riduzione degli sprechi;
  • la riduzione degli incidenti che hanno impatto anche sulla collettività e sul singolo collaboratore;
  • Il miglioramento dell’immagine aziendale;
  • una significativa riduzione di giornate di audit rispetto alla possibilità di effettuare le verifiche separatamente per ogni singolo schema;
  • Una riduzione di costi diretti imputabili all’ottenimento ed al mantenimento delle certificazioni.

Nell’approcciare attività di consulenza o attività di audit di conformità e certificazione rispetto alle norme ISO ma anche durante i corsi ci si è accorti che sia i discenti che le persone interessate ai Sistemi di Gestione non sempre riescono a comprendere in pieno la struttura normativa e la sua implicazione.

Negli ultimi anni gli standard ISO relativi ai Sistemi di Gestione hanno una medesima struttura caratterizzata da terminologia, testo, definizioni, titoli e sequenze.

HLS (acronimo di High Level Structure) è una struttura comune a tutti i nuovi/revisionati standard ISO al fine di raggiungere la migliore interazione tra più sistemi di gestione integrati tra loro. La decisione di mantenere una struttura di alto livello identica per le diverse norme sui Sistemi di Gestione va incontro alla proliferazione delle stesse al punto tale da definire contraddizioni anche dal punto di vista terminologico.

In forza di ciò, tutti gli standard certificabili proposti da ISO prevedono una struttura in 10 punti con paragrafi e contenuti comuni dove i requisiti sono raggruppati dal paragrafo 4 al paragrafo 10.

Inoltre, ogni standard può essere corredato da alcuni allegati. Ad esempio, lo standard ISO/IEC 27001:2022 “Sicurezza delle informazioni, cybersicurezza e protezione della privacy — Sistemi di gestione della sicurezza delle informazioni — Requisiti” è corredato da un allegato A contenente 93 controlli distinti in 4 aree ma anche la futura “ISO/IEC 42001 Tecnologia dell’informazione — Intelligenza artificiale — Sistema di gestione” è corredata da un allegato A con i controlli sull’IA e un allegato B con i possibili obiettivi organizzativi legati all’IA nella gestione dei rischi.

Inoltre la struttura di alto livello denominata HLS ha il pregio, oltre di uniformare tutte le norme, anche di garantire un sistema di gestione completo per l’intera organizzazione, garantendo il soddisfacimento dei requisiti e degli obiettivi definiti da ciascuna norma ma anche da altri regolamenti (es. D.Lgs. 231, GDPR, futuro regolamento europeo sull’IA …)

Per semplicità riportiamo alcune considerazioni sui 7 capitoli individuati sopra:

Contesto: riguarda la conoscenza organizzativa e si suddivide in contesto esterno ed interno. In particolare per il contesto esterno: l’organizzazione deve individuare i fattori che influenzano il sistema di gestione, i requisiti (cosa vogliono) le parti interessate, i clienti, i fornitori, il contesto fisico e ambientale, quello sociale, quello normativo e quello tecnologico. Per il contesto interno abbiamo: l’organizzazione, le risorse, i processi, la governance, il contesto fisico e quello logico (infrastrutture).

Leadership: l’organizzazione deve impegnarsi a dimostrare la sua leadership attraverso la governance, la redazione di policy, la sensibilizzazione delle persone, la definizione organizzativa (ruoli e responsabilità), l’attribuzione delle risorse e promuovendo il miglioramento continuo.

Pianificazione: il capitolo relativo alla pianificazione si suddivide in due parti. La prima è dedicata all’analisi dei rischi, quindi alla metodologia dei rischi, all’individuazione e al trattamento. La seconda invece richiede la definizione precisa degli obiettivi organizzativi e specifici.

Supporto: per poter seguire le policy declinate prima, raggiungere gli obiettivi è necessario che l’organizzazione definisca e attribuisca le corrette risorse. Questo implica non solo le risorse economiche, finanziarie, strutturali ma anche le risorse umane attraverso la competenza (formazione), la consapevolezza dei rischi e delle attività. Essendo un sistema di gestione ecco che la parte relativa alla gestione documentale è fondamentale anche in ottica di accountability, inoltre è opportuno definire un processo di comunicazione relativo a tutti gli items di sistema: obiettivi, documenti, politiche, indicatori, dati, etc.

Attività operative: questo è il capitolo più “libero” della norma, in quanto si riferisce proprio alle attività/processi tipici dell’organizzazione. Le attività devono essere quindi pianificate e controllate, riprende l’analisi dei rischi ripotandola ai singoli processi, introduce gli indicatori e le attività di dettaglio (progettazione, erogazione del servizio e realizzazione prodotto, i controlli, il post vendita).

Valutazione delle prestazioni: qui vengono definiti i sistemi di misura (chi, come, quando, con cosa, valutazione) sui processi e sui prodotti/servizi e sul sistema di gestione attraverso gli audit interni ed il riesame della direzione.

Miglioramento: nell’ultimo capito si affrontano le tematiche relative alle non conformità del sistema, all’implementazione delle eventuali azioni correttive ed al processo del miglioramento continuo che deve essere integrato in ogni attività aziendale.

 

L’aspetto che risulta meno presidiato è quello relativo ai collegamenti tra i vari requisiti della norma (capitoli o clausole) che molte volte non vengono considerati. Ad esempio, sia durante l’analisi delle verifiche interne o durante i corsi viene individuata la Non Conformità ed il relativo requisito ma manca proprio il collegamento e l’individuazione degli altri requisiti.

Riportandoci ad una figura piana geometrica con venti vertici e venti lati (icosagono) ci sono ben 170 diagonali, dalla formula (l(l-3))/2, ovvero ci sono 170 collegamenti tra i requisiti. E se consideriamo anche i dettagli del capitolo 8.0, a seconda della norma, arriveremo a 945 diagonali, come un, per non parlare dei controlli aggiunti della ISO 27001 per cui arriviamo a circa 11.025 collegamenti.

Per meglio comprendere riportiamo un’immagine, non esaustiva dei collegamenti possibili.

Come si può notare dalla figura, però, sono molteplici i collegamenti tra i vari requisiti (decisamente inferiori a 170), e anzi potremmo affermare che molti sono variabili dipendenti di alcuni.

Un corretto controllo su tutti i punti della norma, porta allora ad una completa ed esaustiva verifica del Sistema di Gestione coprendo i vari aspetti organizzativi.

Tutto ciò connota una particolare attenzione di chi implementa il Sistema di Gestione ma anche di chi, come auditor deve garantire oltre ai requisiti normativi e di compliance anche i controlli di tutti gli elementi di Intelligenza Artificiale immessi in azienda siano essi hardware che software o tanto più siano degli elementi IOT integrati per soluzione di tipo domotico.

Si ribadisce che l’integrazione è ottenibile non nella definizione di modelli organizzativi autonomi, ma nell’integrazione dei diversi modelli organizzativi nel contesto dei Sistemi di Gestione esistenti, per quanto applicabile.

Solo per i processi non coinvolti da uno o più Sistemi di Gestione sarà necessario definire procedure e modelli organizzativi ad hoc per rispondere a specifiche esigenze di compliance.

Il sistema di gestione integrato permette di non perdere di vista l’impatto che ogni elemento del sistema può avere sui requisiti delle singole norme.

I motivi e il momento in cui avviene l’integrazione dei Sistemi di Gestione sono diversi per ogni organizzazione. A volte sono il frutto della maturità raggiunta nell’adozione dei singoli sistemi, altre volte possono essere l’esito di una riflessione conseguente ad un cambiamento, già avvenuto o imposto.

In altre parole, definire il “perché” si vuole implementare un sistema integrato – anziché mantenere due o più sistemi indipendenti e autonomi – aiuta a determinare il “come” lo si vuole implementare e a valutare di conseguenza se il livello di integrazione raggiunto soddisfi effettivamente l’esigenza che ha spinto all’integrazione. In sintesi i vantaggi in termini di efficacia ed efficienza di un sistema integrato sono evidenziati nella tabella che segue:

Sistema di Gestione Integrato Efficienza Efficacia
Eliminare le ridondanze (es. formazione, audit, riesamedella direzione, azioni di miglioramento) Maggior comprensione da parte di tutti gli stakeholder (dipendenti, clienti, fornitori, ecc.)
Utilizzo di minori risorse fisiche ed economiche Chiarezza e comprensione degli obiettivi dell’impresa
Riduzione della burocrazia Chiarezza nella definizione delle priorità
Riduzione dei costi di implementazione e mantenimento Miglioramento del processo decisionale
Controllo sui collegamenti dei vari requisiti delle norme Corretta integrazione di tutti i punti della norma

A questo punto adottando un approccio olistico, l’audit di un Sistema di Gestione Integrato può essere considerato uno strumento di gestione aziendale che, attraverso un processo di investigazione, di analisi e di confronto con criteri predeterminati, consente di individuare gli aspetti critici per il successo dell’organizzazione.

Come già precisato in altro articolo l’Intelligenza Artificiale è una realtà che promette di trasformare non solo il modo in cui le imprese fanno affari che sicuramente toccherà ogni angolo della nostra società. L’intelligenza artificiale avrà un impatto di vasta portata anche sulla professione dell’auditor, data la necessità degli auditor di fornire garanzie sull’IA.

A questo proposito un “sistema di certificazione” integrato basato su norme ISO, “nativo” o reso integrato attraverso meccanismi organizzativi, può diventare lo strumento per introdurre in azienda la cultura dell’analizzare e cercare di comprendere quali sono le implicazioni delle scelte manageriali sul “contesto interno” all’azienda e sul “contesto esterno” del mercato.

Articolo a cura di Stefano Gorla e Attilio Rampazzo

Profilo Autore
Stefano Gorla

Consulente e formatore in ambito governance AI, sicurezza e tutela dei dati e delle informazioni;
Membro commissione 533 UNINFO su AI; Comitato di Presidenza E.N.I.A.
Membro del Gruppo di Lavoro interassociativo sull’Intelligenza Artificiale di Assintel
Auditor certificato Aicq/Sicev ISO 42001, 27001, 9001, 22301, 20000-1, certificato ITILv4 e COBIT 5 ISACA, DPO Certificato Aicq/Sicev e FAC certifica, Certificato NIST Specialist FAC certifica,
Referente di schema Auditor ISO 42001 AicqSICEV.
Master EQFM. È autore di varie pubblicazioni sui temi di cui si occupa.
Relatore in numerosi convegni.

Profilo Autore
Attilio Rampazzo

CISA CDPSE ITIL COBIT - Information Systems Consultant, Trainer & Auditor. Consulente di Direzione di Sistemi Informativi e di Sistemi di Gestione. Ha maturato un’esperienza pluriennale nello sviluppo e nella conduzione di progetti informatici in ambito bancario e finanziario, nei quali la qualità e la sicurezza hanno ricoperto un ruolo determinante e nello sviluppo e assistenza al mantenimento di Sistemi di Gestione per la Qualità, per la Sicurezza delle Informazioni, per l’IT Service Management e Continuità Operativa anche in modalità integrata.
Certificato AICQ SICEV Resp. Gr. Verifica ISO 9001-ISO/IEC 27001- ISO/IEC 20000-ISO 22301-ISO/IEC 42001.
Certificato AICQ SICEV RPT/DPO e Auditor Privacy (UNI 11697)
Referente schema Auditor ISO/IEC 27001 e ISO/IEC 20000
Referente schema Professionisti ICT (UNI 11621) e Professionisti Privacy (UNI 11697)
Socio ISACA Venice Chapter,

Altri Articoli
Condividi sui Social Network:

Articoli simili

Proteggi il tuo PC da virus e malware – Guida alla sicurezza informatica

Proteggi il tuo PC da virus e malware – Guida alla sicurezza informatica

A cura di:Redazione Ore Pubblicato il

Introduzione La sicurezza informatica è un tema di cruciale importanza per gli esperti del settore. Proteggere il proprio PC da virus, malware e altre minacce è fondamentale per garantire la privacy e la sicurezza dei dati. Prima di esplorare le strategie di sicurezza informatica, è essenziale comprendere le minacce che affliggono il mondo digitale. Virus,…

Autenticazione e user experience nei servizi sanitari online

Autenticazione e user experience nei servizi sanitari online

A cura di:Redazione Ore Pubblicato il

Introduzione Creare un modello organizzativo di supporto alla sanità digitale è un’operazione particolarmente complessa, dove il dominio di rischio da gestire è fortemente caratterizzato da problematiche di natura legislativa, organizzativa e culturale. Un governo del sistema, oltre alla parte tecnologica, deve considerare l’intero contesto socio-economico, includendo ricerca e territorio. Allo stesso modo, lo sviluppo del…

A case history: CTF Necromancer – Parte 2

A case history: CTF Necromancer – Parte 2

A cura di:Vincenzo Digilio Ore Pubblicato il

Incipit L’articolo tratta la seconda parte della CTF Necromancer, tenuta come lezione all’Università di Perugia in occasione dell’evento CyberChallenge: https://cyberchallenge.it/ La prima parte è stata pubblicata qui. Seguendo i corvi in formazione all’orizzonte, al temine della prima parte eravamo giunti sull’orlo dell’abisso, circondati da nient’altro che il silenzio e le tenebre di un nuovo enigma….

La dematerializzazione della Pubblica Amministrazione: la trasposizione dell’analogico nel digitale

La dematerializzazione della Pubblica Amministrazione: la trasposizione dell’analogico nel digitale

A cura di:Salvatore Lombardo Ore Pubblicato il

Nel lontano 2006 con l’entrata in vigore del decreto legislativo n.82 del 7 marzo 2005 n.82 il cosiddetto C.A.D. (acronimo di Codice dell’Amministrazione Digitale) il termine dematerializzazione viene usato per i documenti e gli atti cartacei delle Pubbliche Amministrazioni per identificare la progressiva perdita di consistenza fisica degli archivi cartacei con la loro sostituzione in…

Come approcciare Business Continuity e Cyber Security sinergicamente

Come approcciare Business Continuity e Cyber Security sinergicamente

A cura di:Matteo Salvaggio Ore Pubblicato il

INTRODUZIONE In un mondo sempre più digitale, il pericolo principale a cui tutte le aziende devono far fronte è rappresentato senza dubbio dagli attacchi verso i propri sistemi informativi. È indispensabile dotarsi di strumenti atti a prevenire il verificarsi di tali attacchi, che se condotti con successo possono comportare la compromissione dell’integrità, disponibilità e riservatezza…

Cognitive Security (COGSEC)

Cognitive Security (COGSEC)

A cura di:Francesco Arruzzoli Ore Pubblicato il

La disinformazione è una delle questioni più critiche del nostro tempo: riguarda l’influenza online e offline su scala globale, colpendo sia i singoli individui sia le masse. Le operazioni nell’ambiente dell’informazione sono condotte nell’ambito della sicurezza cognitiva (COGSEC). Attraverso Internet e i social media la manipolazione della nostra percezione del mondo avviene su scale di…