L’accreditamento dei laboratori che effettuano Vulnerability Assessment
A cavallo tra la fine del 2016 e l’inizio del 2017, le circolari Accredia indirizzate agli Organismi di Certificazione (OdC) che intendevano accreditarsi per poter effettuare attività di valutazione sui soggetti che offrivano SPID, Conservazione a Norma e Servizi Fiduciari (eIDAS) (circolari N° 35/2016 – 15/12/2016, N° 5/2017 27/02/2017 e N° 8/2017 27/03/2017) richiedevano, agli OdC che avrebbero svolto la verifica di conformità rispetto ai tre citati servizi, che le verifiche tecnologiche in modalità Vulnerability Assessment e Penetration Test sui sistemi oggetto dell’audit fossero svolte da strutture la cui qualificazione doveva essere basata, a partire dal 01/06/2017, sulla Norma ISO/IEC 17025.
Sono passati ormai tre anni e ancora tanta confusione sull’argomento persiste, sia da parte degli erogatori dei servizi sia da parte delle società specializzate che effettuano verifiche di sicurezza. La scadenza relativa al 01/06/2017 è stata per due volte rinviata, fino ad arrivare al 30/05/2019 quando, a seguito della messa a disposizione dello schema di Accreditamento per i Lavoratori di Prova per lo schema VA-PT, seppur limitatamente alle attività di VA è stato definito un periodo transitorio (per permettere l’accreditamento dei laboratori) dal 1 giugno 2019 al 31 maggio 2020 (cfr Circolare tecnica n° 02/2019) che ha creato non poca agitazione tra gli interessati.
Dopo questa prima doverosa panoramica storica è bene fermarsi e fare chiarezza sulla terminologia. Nei mesi passati ho più volte sentito parlare in maniera indistinta di accreditamento, certificazione e qualifica.
Sintetizzando quanto riportato sul sito di Accredia (ente nazionale unico di accreditamento) l’accreditamento è quel processo che “assicura che gli organismi di certificazione, ispezione e verifica, e i laboratori di prova, abbiano i requisiti richiesti dalle norme per svolgere attività di valutazione della conformità. Gli organismi e i laboratori verificano prodotti, servizi, sistemi di gestione, e ne attestano la conformità alle norme, mediante le attività di certificazione e di ispezione, di prova”. Leggendo la definizione si coglie l’importante differenza tra certificazione e accreditamento e le relative correlazioni: un ente di certificazione di Sistemi di Gestione (es ISO9001) è stato accreditato secondo una specifica norma (ISO/IEC 17021). Ne consegue quindi che qualsiasi ente che effettua audit su Sistemi di Gestione è stato “accreditato” da un’entità indipendente (che ha autorità per farlo) per poter emettere certificazioni. Similmente un laboratorio VA per poter emettere “misurazioni” relative alle vulnerabilità in maniera riconosciuta ufficialmente deve richiedere l’accreditamento alla norma di riferimento (ISO/IEC 17025).
Chiarita la parte terminologica, cerchiamo di analizzare l’ambito di applicabilità e i passi necessari a ottenere l’accreditamento.
Laboratorio e sistema di Gestione del Laboratorio
L’organizzazione che vuole richiedere l’accreditamento deve tenere presente che il laboratorio VA, per quanto inserito all’interno della realtà aziendale, deve agire in maniera indipendente quasi come fosse un’entità esterna all’organizzazione stessa. Una delle maggiori difficoltà riscontrate è che in molti casi le società che fanno questo tipo di attività contano poche unità in organigramma (spesso meno di 10 risorse) e, quindi, faticano a distinguere le attività “ordinarie” da quelle effettuate come “laboratorio”. Spesso le aziende pensano che avere un Sistema Qualità o di Sicurezza delle Informazioni sia sufficiente. La norma richiede la presenza di un Sistema di Gestione del Laboratorio: in alcuni casi molti dei requisiti possono essere assolti avendo un efficiente sistema ISO 9001, ma è necessario porre attenzione al fatto che il Sistema Qualità sia effettivamente sovrapponibile alle attività del laboratorio e tenere in considerazione alcuni aspetti specifici dello standard (es. gli input al riesame della Direzione sono più ampi rispetto a quelli richiesti dalla ISO 9001).
Ambito di applicazione
Negli ultimi mesi mi è capito di essere chiamato da società che effettuavano verifiche tecnologiche che non avessero mai effettuato attività di VA su ambienti SPID, eIDAS o di conservazione, credendo che l’accreditamento fosse “generico” per l’azienda. Stando a quanto definito all’interno della Circolare Informativa DL n°1/2019 del 28/2/2019 al momento attuale è possibile richiedere l’accreditamento per le prove inerenti a:
- Sistemi per l’esercizio dei servizi di tipo fiduciario nazionale afferenti alla normativa in materia di Conservazione digitale a norma;
- Sistemi per l’esercizio dei servizi di tipo fiduciario nazionale afferenti alla normativa in materia di SPID;
- Sistemi di gestione dei servizi di tipo fiduciario afferenti al Regolamento UE e IDAS 910/2014.
È quindi fondamentale che il laboratorio che richiede l’accreditamento abbia clienti che rientrino almeno in uno dei tre ambiti sopra citati, in quanto l’attività di audit di Accreditamento, in presenza degliispettori Accredia, dovrà essere svolta su un caso “reale” effettuando un’attività completa di VA su uno degli ambienti per cui si richiede l’accreditamento.
Domanda di Accreditamento
Arrivare a presentare la domanda di accreditamento è un passo non banale, in quanto è necessario dimostrare che il laboratorio sia pienamente operativo e strutturato secondo quanto previsto dalla ISO/IEC 17025.
Per presentare la domanda è necessario inviare ad Accredia la seguente documentazione: visura camerale, l’elenco delle prove da accreditare, il Manuale Qualità o il Self Assessment, CV di specifiche figure coinvolte e l’organigramma nominativo degli addetti del laboratorio. Fin qui sembra tutto semplice, ma ci sono altri due documenti da produrre: la procedura di prova per l’esecuzione dei VA e il verbale dell’ultimo riesame della Direzione. Come detto in precedenza il laboratorio deve avere un Sistema di Gestione e quindi, similmente a quanto accade per altri Sistemi di Gestione, dev’essere effettuato un riesame della direzione che valuti tutti a tutto tondo il processo (inclusi i risultati di un ciclo completo di audit interno, che deve quindi valutare che le attività del laboratorio vengano effettuate secondo quanto prescritto dalla ISO/IEC 17025). Infine – come detto – dev’essere presentata la procedura di esecuzione delle attività di VA che descrive le modalità con cui vengono progettate, pianificate, eseguite, controllate, reportizzate e presentate le attività di vulnerability assessment. Tale procedura deve essere in linea con quanto previsto dallo standard NIST SP 800-115. Pensare che “l’attività di VA sia qualcosa di standard, fatta solo con tool automatici che producono report standard con le vulnerabilità rilevate”, è assolutamente errato ed è ciò che, in alcuni casi, dà un falso senso di sicurezza.
È quindi evidente che il processo di accreditamento per le attività di VA non è assolutamente banale e non può essere sottovaluto e, come detto, non tutti i soggetti che effettuano attività di VA possono fare richiesta di accreditamento. Tale complessità si riversa anche sull’ente di accreditamento, con tempistiche che possono essere più lunghe rispetto a quelle a cui siamo abituati ad esempio per la ISO 9001. Ad oggi, stando alla banca dati Accredia, solo un limitatissimo numero di soggetti ha completato l’iter di Accreditamento. I soggetti che offrono SPID, Conservazione e eIDAS, non sempre a conoscenza di questi elementi, devono quindi tener presente che il processo di accreditamento ha una sua complessità e delle tempistiche proprie.
Audit di Accreditamento
Una volta accetta la domanda di accreditamento ed espletate le pratiche amministrative previste, viene nominato il team di audit. Il laboratorio viene informato circa la composizione del team di audit e può eventualmente richiedere la sostituzione qualora ci siano comprovate motivazioni. Una volta accettato il team di audit, allo stesso viene inviata la documentazione presentata in fase di domanda per l’analisi documentale.
A differenza di quanto succede per i Sistemi di Gestione, l’attività di verifica documentale avviene offsite. Per esperienza su alcuni laboratori l’elapsed temporale per l’analisi della documentazione potrebbe essere piuttosto lunga (qualche mese). Una volta completata l’analisi documentale e gestito eventuali rilievi, può essere pianificato l’audit in campo. Secondo le informazioni raccolte nei vari documenti e presentazioni, l’attività di audit in campo dovrebbe essere sviluppata in due giorni con due verificatori: un auditor che verifica le parti afferenti a tutti il Sistema di Gestione del Laboratorio (indipendenza, competenze, ecc..) e un esperto tecnico che nel primo giorno valuta un’attività di VA completa fatta real time (dalla parte di information gathering fino alla stesura della reportistica) su uno degli ambienti afferenti all’accreditamento (o su un sotto perimetro).
La seconda giornata viene dedicata all’ analisi del processo di VA effettuato su un Cliente in modalità “offline”. Tutte le risultanze dell’audit vengono poi inoltrate al Comitato Settoriale, che decide in merito alla delibera sull’Accreditamento.
Articolo a cura di Paolo Sferlazza
Socio fondatore di Gerico Security Srl lavora come advisor, auditor e trainer nel campo della sicurezza delle informazioni, continuità operativa, gestione dei servizi IT e sicurezza delle carte di pagamento.
Ha accompagnato primarie aziende e infrastrutture critiche italiane nell’ottenimento della certificazione ISO/IEC 27001, ISO 22301 e ISO/IEC 20000.
È un Qualified Security Assessor riconosciuto dal PCI Council per la certificazione dei sistemi di pagamento PCI DSS. Ha conseguito la certificazione CISA, CISM, CRISC di ISACA, ed è auditor qualificato e tiene docenze sugli schemi ISO/IEC 27001, ISO 22301, ISO/IEC 27001 e ISO 9001 ed è iscritto ai registri AICQ SICEV quale auditor sulla sicurezza delle informazioni e continuità operativa. Ha inoltre ottenuto altre certificazioni nel campo della sicurezza delle informazioni e dell’IT governance tra cui OPST, COBIT e ITIL. Ha progettato ed erogato docenze, anche in ambito militare, su tematiche di Information Risk Management, ITIL. Ha effettuato audit interno, assessment e consulenza in merito all’accreditamento dei laboratori VA rispetto alla 17025. Si occupa si sicurezza delle informazioni nel mondo specifico dell’automotive in conformità con lo standard di settore TISAX.
Collabora con primari enti di certificazione come auditor di terza parte.