Proteggere il know-how quando si lavora per difesa, aerospazio e trasporti: la storia di un percorso concreto verso la certificazione ISO 27001
Quando si lavora per la difesa, l’aerospazio o le infrastrutture di trasporto, ogni progetto porta con sé una responsabilità particolare.
GOMA ELETTRONICA SpA si occupa di distribuzione, integrazione e produzione di sistemi embedded per difesa, aerospazio, trasporti e automazione industriale. Con quarantacinque anni di esperienza, lavora con clienti molto diversi tra loro, dalla piccola impresa al grande gruppo internazionale.
Ma negli ultimi anni è diventato chiaro che avere competenza tecnica non basta più: serve anche proteggere sistematicamente quel know-how che rappresenta il vero patrimonio aziendale.
Da qui la scelta di adottare un sistema di gestione della sicurezza delle informazioni conforme alla ISO 27001, con l’obiettivo di rendere organico e continuo il lavoro di protezione già presente in azienda.
Negli ultimi dieci mesi, come consulente incaricato dal Digital Innovation Hub Piemonte, ho accompagnato l’azienda in questo percorso. Vorrei condividere come si è svolto, perché credo possa essere utile ad altre realtà che si trovano davanti a scelte simili.
Il Cyber Security Assessment: una fotografia della Sicurezza.
La prima tappa di questo percorso è iniziata l’undici febbraio con il Cyber Security Assessment, (CSA) uno strumento che rappresenta un’eccellenza nel panorama italiano della valutazione della sicurezza informatica; questo strumentocè stato sviluppato dalla Rete dei DIH di Confindustria con il supporto di Cyber4.0, DIH Liguria, Fondazione Piemonte Innova e Start4.
Non si tratta di una semplice checklist commerciale, ma di uno strumento unico e di riconosciuta validità, configurato come Prassi di Riferimento UNI—un riconoscimento che ne certifica la solidità metodologica e l’affidabilità tecnica.
L’obiettivo è aiutare il management aziendale a comprendere l’importanza della protezione dai rischi cyber e promuovere la Data Protection, aumentando la consapevolezza delle aziende sul tema della cybersecurity e fornendo una fotografia del livello di maturità cyber basata su standard di riferimento nazionali e internazionali.
Il CSA segue i riferimenti del Framework nazionale per la Cybersecurity e Data Protection, che discende dal framework NIST del National Institute of Standards and Technology americano, e dello standard internazionale ISO/IEC 27001. Questa architettura metodologica garantisce che l’assessment non sia solo un esercizio teorico, ma una valutazione realmente confrontabile con le best practice globali.
Per GOMA, questo assessment non è stato un esercizio formale, ma una fotografia oggettiva e senza filtri della postura aziendale: dove l’organizzazione era solida, dove presentava vulnerabilità, quali processi proteggevano davvero il know-how e quali invece restavano esposti ai rischi informatici. Ogni area è stata esaminata con metodo rigoroso: dalle politiche di accesso ai sistemi critici fino alla gestione dei backup, dalla protezione fisica degli ambienti di lavoro fino alla consapevolezza del personale sui temi della sicurezza.
Il documento conclusivo, consegnato il ventisette febbraio, è diventato il punto zero del percorso, il riferimento da cui partire per costruire tutto il resto della roadmap verso la certificazione.
DIHP: non un fornitore, ma un partner nella trasformazione.
In questo viaggio, GOMA non è stata sola. Il Digital Innovation Hub Piemonte ha svolto un ruolo fondamentale, non come semplice fornitore di servizi, ma come vero partner strategico nella trasformazione.
Mi è stato affidato dal DIHP il compito di guidare l’azienda in questo percorso complesso, alternando momenti di formazione strutturata a consulenza operativa sul campo, in un modello di accompagnamento continuo che ha fatto davvero la differenza.
Niente “calate dall’alto” di procedure preconfezionate prese da manuali standard, ma un lavoro fianco a fianco con i team aziendali per comprendere le specificità del contesto.
Ogni azienda è un universo a sé, con processi consolidati, culture organizzative radicate, vincoli operativi peculiari. Tradurre i requisiti ISO 27001 (che per loro natura sono volutamente generici e applicabili a qualsiasi organizzazione) in azioni concrete e sostenibili per GOMA ha richiesto un lavoro di interpretazione continuo, dove la conoscenza dello standard si doveva intrecciare con la comprensione profonda del business dell’azienda, e dove il commitment del board era chiaro : il Sistema di Gestione della sicurezza delle Informazioni (SGSI) andava integrato negli altri sistemi di gestione aziendale (ISO 9001, ISO 9100 e IRIS Certification ISO 22163.
La formazione non è stata relegata a sessioni frontali in aula, ma è diventata parte integrante del lavoro quotidiano, abbiamo affrontato insieme la redazione delle policy, spiegando non solo cosa scrivere ma perché ogni clausola fosse necessaria, costruito le procedure operative analizzando i processi reali, non quelli ideali descritti nei libri di testo, l’azienda ha nominato il CISO e formato le persone non solo sulle norme, ma sul “perché” di ogni scelta: perché è importante classificare i dati, perché serve un processo di change management, perché la gestione degli accessi non è burocrazia ma protezione del know-how.
I progetti che hanno reso possibile il percorso
L’organizzazione non ha affrontato questo percorso da sola, ha utilizzato due progetti specifici — ConfIN Hub ed Expand — che le hanno permesso di accedere a contributi nazionali ed europei a supporto di una parte delle attività.
ConfIN Hub è un progetto approvato dal Ministero delle Imprese e del Made in Italy e finanziato dal PNRR con il coordinamento nazionale, mentre l’erogazione dei servizi passa attraverso i Digital Innovation Hub regionali come il DIHP e questo ha significato accedere al Cybersecurity Assessment iniziale e a servizi di orientamento digitale che hanno aiutato a impostare la fase di readiness verso la ISO 27001: capire lo stato attuale e definire un percorso.
Expand è l’European Digital Innovation Hub per Piemonte e Valle d’Aosta, un progetto che porta sul territorio competenze e servizi legati alle tecnologie abilitanti, ha permesso di lavorare sulla cybersecurity..
In entrambi i casi il DIHP ha gestito l’accesso ai servizi, garantito continuità lungo tutto il percorso collegando l’azienda ai progetti, coordinando le attività.
L’audit di certificazione Dimitto: la prova del fuoco
Dopo mesi di preparazione, è arrivato il momento decisivo: l’audit di certificazione condotto da Dimitto S.r.l., organismo di valutazione terza parte, è stato un test autentico, senza filtri, in cui tutto il lavoro svolto nei mesi precedenti è stato messo alla prova da auditor esterni che non conoscevano l’azienda e che hanno esaminato ogni aspetto del sistema di gestione della sicurezza.
Fase 1 – Revisione documentale
La Fase 1, svolta il 21 e 22 ottobre, è stata dedicata alla verifica della documentazione. Policy, procedure e registri sono stati analizzati con rigore: coerenza, completezza, applicabilità ai processi reali.
Non basta avere documenti ben scritti; devono riflettere la realtà operativa, evitare ruoli fittizi, tecnologie inesistenti o procedure non attuate.
Il confronto tra auditor e gruppo di lavoro è stato intenso ma costruttivo, la preparazione dei mesi precedenti ha ridotto stress e sorprese: quando la documentazione è solida, la Fase 1 diventa una discussione tecnica, non un interrogatorio.
Fase 2 – Verifica operativa sul campo
La vera prova è arrivata dal 4 al 6 novembre: tre giornate con due squadre di auditor impegnate a verificare l’organizzazione in modo trasversale: processi IT, amministrativi, produttivi e aspetti fisici della sicurezza.
Sono stati controllati anche elementi spesso trascurati:
- barriere fisiche e aree perimetrali,
- estintori e sistemi antintrusione,
- condizioni e sicurezza degli spazi di lavoro,
- protezione delle aree dove si sviluppano le soluzioni embedded più sensibili.
Gli auditor hanno intervistato il personale, osservato come vengono gestiti accessi, backup, incidenti, e verificato sul campo l’efficacia dei controlli.
Questo approccio ha confermato un concetto fondamentale: la ISO 27001 non riguarda solo l’informatica, ma la protezione delle informazioni in tutte le sue forme.
E’ il SISTEMA di GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI, non la norma della cyber sicurezza.
Un documento può essere sottratto fisicamente tanto quanto un file può essere rubato tramite un attacco informatico, un incendio può distruggere un server quanto un ransomware può renderlo inutilizzabile: la sicurezza delle informazioni richiede una visione sistemica e integrata dei rischi.
Esito dell’audit
Il risultato è stato positivo: certificazione ottenuta e solo alcune raccomandazioni mirate, gestibili con interventi rapidi e senza impatti rilevanti.
Più di tutto, l’audit ha confermato un punto chiave: il sistema costruito non è una struttura fittizia pensata per superare la certificazione, ma un impianto solido destinato a durare e a evolvere.
GOMA è uscita dalla verifica con una consapevolezza più forte: il sistema funziona, regge alla prova del campo ed è pronto per crescere insieme all’organizzazione.
Quello che mi porto a casa da questa esperienza
Dopo dieci mesi di lavoro intenso, alcune lezioni sono emerse con chiarezza e sono valide per una grande azienda come GOMA, ma anche per realtà più piccole che affrontano percorsi simili.
1. Il team è fondamentale
La “solitudine del CISO” non funziona, né nelle grandi aziende né nelle PMI.
La sicurezza richiede collaborazione continua tra IT, qualità, ERP, direzione e tutte le funzioni operative.
La ISO 27001 non è un progetto affidabile a una sola persona: è un sistema che coinvolge l’organizzazione nel suo insieme richiede un forte impegno della direzione.
Quando le funzioni lavorano in modo coordinato e la direzione coordina, il sistema si consolida e l’audit scorre in modo più lineare.
2. Rigore e sostenibilità devono coesistere
Ogni azienda deve trovare un equilibrio tra requisiti, processi e risorse.
Le grandi realtà devono gestire complessità e interdipendenze; le PMI devono fare i conti con strutture più leggere, in entrambi i casi vale la stessa regola: adattare la norma alla propria realtà senza abbassare il livello di sicurezza. la flessibilità della ISO 27001 è un aiuto, non un alibi.
3. Non è solo una questione di tempo, ma di impegno continuo
Il percorso non si risolve ritagliando qualche ora qua e là, richiede costanza, disponibilità del personale, aggiornamento dei processi, raccolta di evidenze e verifiche frequenti.
Gli audit occupano pochi giorni, ma la vera difficoltà è mantenere ritmo e coerenza per mesi, sottovalutare questo aspetto porta inevitabilmente tensione e ritardi.
4. Il centro del sistema: gestione del rischio, BIA e SoA
La parte più rilevante del percorso è l’analisi e la a gestione del rischio.
Il Risk Assessment e la Business Impact Analysis chiariscono cosa è critico, cosa può interrompere i processi e quali impatti avrebbe un incidente.
La Statement of Applicability (SoA) traduce queste analisi in scelte concrete: quali controlli adottare e perché.
Durante gli audit è esattamente ciò che viene verificato:la coerenza tra rischi, controlli e operatività reale.
Che si tratti di una grande azienda o di una PMI, questo non cambia:
se la gestione del rischio è solida, il sistema funziona; se è debole, tutto il resto diventa formale.
