La revisione dell’ottobre 2022 della ISO/IEC 27001 ha riorganizzato completamente l’Allegato A, e la finestra per consentire alle organizzazioni certificate di migrare dalla versione 2013 si è chiusa il 31 ottobre 2025. Chi oggi si certifica o rinnova lo fa già sulla versione nuova. In quella riorganizzazione, il controllo sulla Cybersecurity awareness ha cambiato numero, raggruppamento e, soprattutto, soglia probatoria.
Questo articolo non spiega cos’è la ISO 27001 né come ottenere la certificazione. Dà per scontato che quel terreno tu lo abbia già coperto. Sviluppa un aspetto più circoscritto. Spiega cosa dice il controllo 6.3 sulla awareness del personale, cosa è cambiato rispetto al 2013 e cosa deve poter mostrare un’organizzazione quando l’auditor inizia a chiedere evidenze.
Cosa richiede il controllo 6.3 della ISO 27001:2022 sulla Cybersecurity awareness?
Il controllo 6.3 dell’Allegato A, «Information security awareness, education and training», richiede che tutto il personale dell’organizzazione (e, quando pertinente, le terze parti coinvolte) riceva una formazione adeguata e aggiornata sulle politiche di sicurezza e sul proprio ruolo in esse. Si trova all’interno del tema Persone, uno dei quattro raggruppamenti della norma nuova.
Il peso lo portano tre parole dell’enunciato. «Adeguata» significa che il contenuto deve corrispondere alla funzione di ciascuna persona e ai rischi reali della mansione, non a un programma generico. «Aggiornata» implica che la formazione segue il ritmo dei cambiamenti nelle politiche e nel panorama delle minacce. E «tutto il personale» chiude la porta ai programmi che raggiungono solo una parte dell’organico. Il controllo descrive un processo vivo, sostenuto nel tempo e rivisto ogni volta che il contesto cambia.
Il 6.3 non vive nemmeno isolato. Si appoggia al controllo 6.2, che disciplina i termini e le condizioni del rapporto di lavoro, e alle politiche di sicurezza che la direzione approva ai sensi del controllo 5.1. La formazione è il meccanismo con cui quelle politiche smettono di essere un documento e diventano comportamento. Un auditor che esamina il 6.3 quasi sempre verifica, in parallelo, che esista una politica a cui la formazione rimanda e che quella politica sia in vigore.
Chi rientra nella formazione del controllo 6.3?
Tutto il personale dell’organizzazione, a prescindere dalla funzione o dall’anzianità, e le terze parti con accesso alle informazioni o ai sistemi quando tale accesso lo giustifica. Il controllo non ammette la logica di formare solo i team tecnici o chi tratta dati sensibili. La awareness si intende come uno strato di protezione che copre l’intera organizzazione.
Ci sono tre gruppi che conviene trattare in modo differenziato, perché sono quelli che l’auditor esamina con più dettaglio. Il personale generale ha bisogno di una base comune su politiche, minacce abituali e modalità di segnalazione di un incidente. I profili più esposti, come l’amministrazione dei sistemi, la finanza o l’assistenza clienti, richiedono contenuti specifici per i rischi della loro funzione. E la direzione rientra in una categoria a sé, perché approva le politiche e ne risponde, per cui la sua formazione deve andare oltre il messaggio generale. Lasciare lo strato dirigenziale fuori dal programma è una delle lacune che un audit individua più rapidamente.
Cosa è cambiato tra la ISO 27001:2013 e la versione 2022 sulla awareness?
Il requisito di fondo non si è trasformato, ma la sua collocazione e la sua lettura sì. Nel 2013 la awareness viveva nel controllo A.7.2.2, all’interno di un dominio dedicato alle risorse umane. Nel 2022 è diventata il controllo 6.3 del tema Persone, una riorganizzazione che la avvicina ad altri controlli sul comportamento e sulla responsabilità individuale.
| Aspetto | ISO 27001:2013 | ISO 27001:2022 |
|---|---|---|
| Controllo sulla awareness | A.7.2.2 | 6.3 |
| Raggruppamento | Dominio 7, sicurezza legata alle risorse umane | Tema Persone |
| Totale controlli dell’Allegato A | 114 | 93 (di cui 11 nuovi) |
| Struttura dell’Allegato A | 14 domini | 4 temi |
Il cambiamento che conta di più per un programma di awareness non è nel testo del 6.3, ma nel contesto. La versione 2022 ha introdotto controlli nuovi orientati alla condotta e all’uso della tecnologia, e questo alza l’aspettativa dell’auditor su cosa significhi «sensibilizzare». Dimostrare che le persone sanno non basta più quando la norma, nel suo insieme, vira verso il poter dimostrare che le persone agiscono in modo diverso.
Come si dimostra la conformità al controllo 6.3 in un audit?
Un auditor non si accontenta di vedere che esiste un corso. Chiede una traccia. Le evidenze che sostengono il controllo 6.3 di solito poggiano su questi elementi:
- Un registro di chi ha ricevuto la formazione, quando e su cosa, con copertura dell’intero organico e non di un campione.
- Contenuti legati in modo esplicito alle politiche dell’organizzazione e ai rischi di ciascuna funzione.
- Una cadenza definita e sostenuta nel tempo, non un unico corso al momento dell’inserimento.
- Prove di comprensione, come valutazioni o risultati di simulazioni, che vadano oltre la semplice presenza.
- La prova che la direzione e i profili a maggiore esposizione abbiano ricevuto una formazione adeguata alla loro responsabilità.
Il punto più fragile è quasi sempre lo stesso: l’organizzazione ha l’attività, ma non ha la tracciabilità. Per questo conviene progettare il programma fin dall’inizio pensando a quale dato resterà registrato, un’idea che sviluppiamo in se il tuo programma di awareness misura ciò che conta. Lo stesso principio di evidenza ritorna in altre normative europee, come negli obblighi di formazione previsti dalla Direttiva NIS2.
Come soddisfa il controllo 6.3 un programma di awareness moderno?
Rispettare il controllo 6.3 con un incontro annuale e un registro delle firme è possibile sulla carta, ma espone l’organizzazione nel momento in cui l’auditor approfondisce la verifica della tracciabilità. Un programma che è conforme senza scossoni condivide alcuni tratti: è continuo anziché una tantum, segmenta il contenuto per ruolo e per rischio, combina i formati per sostenere l’attenzione e registra in automatico ogni interazione per trasformarla in evidenza.
Le simulazioni di phishing svolgono qui un doppio ruolo. Da un lato allenano il riflesso dell’organico di fronte a un attacco realistico; dall’altro generano il dato di comportamento che l’auditor apprezza più di qualsiasi foglio firme, perché mostra come reagiscono le persone e non solo cosa è stato loro raccontato. Quell’evoluzione misurata nel tempo è la risposta più solida alla domanda se il programma cambi qualcosa.
Quell’automazione è ciò che separa l’essere conformi dal poterlo dimostrare. SMARTFENSE, come piattaforma di Cybersecurity awareness presente in Italia, America Latina e Spagna, è costruita attorno a questa idea: ogni simulazione, ogni contenuto erogato e ogni valutazione resta registrato e disponibile come prova verificabile, senza che il team di sicurezza debba ricostruire la traccia a mano prima di ogni audit. Il controllo 6.3 smette di essere una corsa contro il tempo e diventa un report che già esiste. Puoi vedere come si articola nella piattaforma di Cybersecurity awareness di SMARTFENSE.
La awareness ha smesso di essere comunicazione interna il giorno in cui la norma l’ha trasformata in un controllo verificabile. La revisione del 2022 ha rafforzato questa premessa circondando il 6.3 di controlli sulla condotta. Davanti a un audit, ciò che conta è l’evidenza che il programma riesce a portare sul tavolo, e lì la tracciabilità pesa più del numero di ore erogate.
Lascia un commento