Sistema di Gestione dell’AI e l’integrazione con le norme ISO

  ICT, Rassegna Stampa, Security
image_pdfimage_print

I sistemi di gestione sono uno strumento fondamentale per la crescita di un’azienda. Un insieme di regole e procedure che aiutano l’azienda a migliorare la propria organizzazione ed a raggiungere gli obiettivi. Per le aziende di oggi, l’esigenza di dotarsi di un sistema di gestione per rimanere al passo con i tempi, è sempre maggiore. Nelle aziende che vogliono essere competitive sul mercato odierno vi è ormai, necessità non solo del singolo Sistema di Gestione Salute e Sicurezza ma la maggioranza delle realtà lavorative, si sta sempre di più orientando nella direzione dei Sistemi di Gestione Integrati (SGI) che uniscono tutti i sistemi di gestione delle norme tra questi anche la gestione dell’Intelligenza Artificiale che sta sempre più introducendo nella maggioranza delle aziende. Questo per ovvi motivi dato il risparmio importante di risorse per l’azienda, come tempo e denaro, che deve far fronte ad unico Sistema di Gestione il quale ha però il vantaggio di soddisfare tutte le norme e quindi le certificazioni ISO precedenti. Considerando il fatto che la struttura dei sistemi di gestione in questione è similare, l’adozione di un sistema di gestione integrato permette di disporre di un efficace strumento per migliorare la competitività e l’immagine dell’azienda attraverso:

  • la razionalizzazione dei processi;
  • la riduzione degli sprechi;
  • la riduzione degli incidenti che hanno impatto anche sulla collettività e sul singolo collaboratore;
  • Il miglioramento dell’immagine aziendale;
  • una significativa riduzione di giornate di audit rispetto alla possibilità di effettuare le verifiche separatamente per ogni singolo schema;
  • Una riduzione di costi diretti imputabili all’ottenimento ed al mantenimento delle certificazioni.

Nell’approcciare attività di consulenza o attività di audit di conformità e certificazione rispetto alle norme ISO ma anche durante i corsi ci si è accorti che sia i discenti che le persone interessate ai Sistemi di Gestione non sempre riescono a comprendere in pieno la struttura normativa e la sua implicazione.

Negli ultimi anni gli standard ISO relativi ai Sistemi di Gestione hanno una medesima struttura caratterizzata da terminologia, testo, definizioni, titoli e sequenze.

HLS (acronimo di High Level Structure) è una struttura comune a tutti i nuovi/revisionati standard ISO al fine di raggiungere la migliore interazione tra più sistemi di gestione integrati tra loro. La decisione di mantenere una struttura di alto livello identica per le diverse norme sui Sistemi di Gestione va incontro alla proliferazione delle stesse al punto tale da definire contraddizioni anche dal punto di vista terminologico.

In forza di ciò, tutti gli standard certificabili proposti da ISO prevedono una struttura in 10 punti con paragrafi e contenuti comuni dove i requisiti sono raggruppati dal paragrafo 4 al paragrafo 10.

Inoltre, ogni standard può essere corredato da alcuni allegati. Ad esempio, lo standard ISO/IEC 27001:2022 “Sicurezza delle informazioni, cybersicurezza e protezione della privacy — Sistemi di gestione della sicurezza delle informazioni — Requisiti” è corredato da un allegato A contenente 93 controlli distinti in 4 aree ma anche la futura “ISO/IEC 42001 Tecnologia dell’informazione — Intelligenza artificiale — Sistema di gestione” è corredata da un allegato A con i controlli sull’IA e un allegato B con i possibili obiettivi organizzativi legati all’IA nella gestione dei rischi.

Inoltre la struttura di alto livello denominata HLS ha il pregio, oltre di uniformare tutte le norme, anche di garantire un sistema di gestione completo per l’intera organizzazione, garantendo il soddisfacimento dei requisiti e degli obiettivi definiti da ciascuna norma ma anche da altri regolamenti (es. D.Lgs. 231, GDPR, futuro regolamento europeo sull’IA …)

Per semplicità riportiamo alcune considerazioni sui 7 capitoli individuati sopra:

Contesto: riguarda la conoscenza organizzativa e si suddivide in contesto esterno ed interno. In particolare per il contesto esterno: l’organizzazione deve individuare i fattori che influenzano il sistema di gestione, i requisiti (cosa vogliono) le parti interessate, i clienti, i fornitori, il contesto fisico e ambientale, quello sociale, quello normativo e quello tecnologico. Per il contesto interno abbiamo: l’organizzazione, le risorse, i processi, la governance, il contesto fisico e quello logico (infrastrutture).

Leadership: l’organizzazione deve impegnarsi a dimostrare la sua leadership attraverso la governance, la redazione di policy, la sensibilizzazione delle persone, la definizione organizzativa (ruoli e responsabilità), l’attribuzione delle risorse e promuovendo il miglioramento continuo.

Pianificazione: il capitolo relativo alla pianificazione si suddivide in due parti. La prima è dedicata all’analisi dei rischi, quindi alla metodologia dei rischi, all’individuazione e al trattamento. La seconda invece richiede la definizione precisa degli obiettivi organizzativi e specifici.

Supporto: per poter seguire le policy declinate prima, raggiungere gli obiettivi è necessario che l’organizzazione definisca e attribuisca le corrette risorse. Questo implica non solo le risorse economiche, finanziarie, strutturali ma anche le risorse umane attraverso la competenza (formazione), la consapevolezza dei rischi e delle attività. Essendo un sistema di gestione ecco che la parte relativa alla gestione documentale è fondamentale anche in ottica di accountability, inoltre è opportuno definire un processo di comunicazione relativo a tutti gli items di sistema: obiettivi, documenti, politiche, indicatori, dati, etc.

Attività operative: questo è il capitolo più “libero” della norma, in quanto si riferisce proprio alle attività/processi tipici dell’organizzazione. Le attività devono essere quindi pianificate e controllate, riprende l’analisi dei rischi ripotandola ai singoli processi, introduce gli indicatori e le attività di dettaglio (progettazione, erogazione del servizio e realizzazione prodotto, i controlli, il post vendita).

Valutazione delle prestazioni: qui vengono definiti i sistemi di misura (chi, come, quando, con cosa, valutazione) sui processi e sui prodotti/servizi e sul sistema di gestione attraverso gli audit interni ed il riesame della direzione.

Miglioramento: nell’ultimo capito si affrontano le tematiche relative alle non conformità del sistema, all’implementazione delle eventuali azioni correttive ed al processo del miglioramento continuo che deve essere integrato in ogni attività aziendale.

L’aspetto che risulta meno presidiato è quello relativo ai collegamenti tra i vari requisiti della norma (capitoli o clausole) che molte volte non vengono considerati. Ad esempio, sia durante l’analisi delle verifiche interne o durante i corsi viene individuata la Non Conformità ed il relativo requisito ma manca proprio il collegamento e l’individuazione degli altri requisiti.

Riportandoci ad una figura piana geometrica con venti vertici e venti lati (icosagono) ci sono ben 170 diagonali, dalla formula (l(l-3))/2, ovvero ci sono 170 collegamenti tra i requisiti. E se consideriamo anche i dettagli del capitolo 8.0, a seconda della norma, arriveremo a 945 diagonali, come un, per non parlare dei controlli aggiunti della ISO 27001 per cui arriviamo a circa 11.025 collegamenti.

Per meglio comprendere riportiamo un’immagine, non esaustiva dei collegamenti possibili.

Come si può notare dalla figura, però, sono molteplici i collegamenti tra i vari requisiti (decisamente inferiori a 170), e anzi potremmo affermare che molti sono variabili dipendenti di alcuni.

Un corretto controllo su tutti i punti della norma, porta allora ad una completa ed esaustiva verifica del Sistema di Gestione coprendo i vari aspetti organizzativi.

Tutto ciò connota una particolare attenzione di chi implementa il Sistema di Gestione ma anche di chi, come auditor deve garantire oltre ai requisiti normativi e di compliance anche i controlli di tutti gli elementi di Intelligenza Artificiale immessi in azienda siano essi hardware che software o tanto più siano degli elementi IOT integrati per soluzione di tipo domotico.

Si ribadisce che l’integrazione è ottenibile non nella definizione di modelli organizzativi autonomi, ma nell’integrazione dei diversi modelli organizzativi nel contesto dei Sistemi di Gestione esistenti, per quanto applicabile.

Solo per i processi non coinvolti da uno o più Sistemi di Gestione sarà necessario definire procedure e modelli organizzativi ad hoc per rispondere a specifiche esigenze di compliance.

Il sistema di gestione integrato permette di non perdere di vista l’impatto che ogni elemento del sistema può avere sui requisiti delle singole norme.

I motivi e il momento in cui avviene l’integrazione dei Sistemi di Gestione sono diversi per ogni organizzazione. A volte sono il frutto della maturità raggiunta nell’adozione dei singoli sistemi, altre volte possono essere l’esito di una riflessione conseguente ad un cambiamento, già avvenuto o imposto.

In altre parole, definire il “perché” si vuole implementare un sistema integrato – anziché mantenere due o più sistemi indipendenti e autonomi – aiuta a determinare il “come” lo si vuole implementare e a valutare di conseguenza se il livello di integrazione raggiunto soddisfi effettivamente l’esigenza che ha spinto all’integrazione. In sintesi i vantaggi in termini di efficacia ed efficienza di un sistema integrato sono evidenziati nella tabella che segue:

Sistema di Gestione Integrato Efficienza Efficacia
Eliminare le ridondanze (es. formazione, audit, riesamedella direzione, azioni di miglioramento) Maggior comprensione da parte di tutti gli stakeholder (dipendenti, clienti, fornitori, ecc.)
Utilizzo di minori risorse fisiche ed economiche Chiarezza e comprensione degli obiettivi dell’impresa
Riduzione della burocrazia Chiarezza nella definizione delle priorità
Riduzione dei costi di implementazione e mantenimento Miglioramento del processo decisionale
Controllo sui collegamenti dei vari requisiti delle norme Corretta integrazione di tutti i punti della norma

A questo punto adottando un approccio olistico, l’audit di un Sistema di Gestione Integrato può essere considerato uno strumento di gestione aziendale che, attraverso un processo di investigazione, di analisi e di confronto con criteri predeterminati, consente di individuare gli aspetti critici per il successo dell’organizzazione.

Come già precisato in altro articolo l’Intelligenza Artificiale è una realtà che promette di trasformare non solo il modo in cui le imprese fanno affari che sicuramente toccherà ogni angolo della nostra società. L’intelligenza artificiale avrà un impatto di vasta portata anche sulla professione dell’auditor, data la necessità degli auditor di fornire garanzie sull’IA.

A questo proposito un “sistema di certificazione” integrato basato su norme ISO, “nativo” o reso integrato attraverso meccanismi organizzativi, può diventare lo strumento per introdurre in azienda la cultura dell’analizzare e cercare di comprendere quali sono le implicazioni delle scelte manageriali sul “contesto interno” all’azienda e sul “contesto esterno” del mercato.

Articolo a cura di Stefano Gorla e Attilio Rampazzo

Profilo Autore

Privacy & Cybersecurity Manager presso Profice Auditor 27001, 22301, 9001, 20000-1, 50001, 37001, NIST Specialist, DPO, ITILv4, COBIT5, membro commissione UNINFO AI, Membro comitato scientifico ANDIP

Profilo Autore

Attilio Rampazzo, CISA CRISC, CDPSE
Consulente di Sistemi Informativi e di Sistemi di Gestione in ambito ICT. Ha maturato un’esperienza pluriennale nello sviluppo e conduzione di progetti informativi in ambito bancario e finanziario, nei quali la qualità̀ e la sicurezza della Sicurezza delle Informazioni hanno ricoperto un ruolo determinante.
Già trainer accreditato APMG per ITIL, ISO 20000-1 e Cobit 5.
Docente ai corsi LA ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 riconosciuti AICQ SICEV.
Svolge attività̀ come Lead Auditor presso primari OdC italiani accreditati da Accredia

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/sistema-di-gestione-dellai-e-lintegrazione-con-le-norme-iso/