I guardiani della difesa cibernetica: il nuovo ruolo di ISACA nel vigilare sugli standard di sicurezza del Pentagono
Sottotitolo: L’acquisizione da parte di ISACA della certificazione per valutatori e istruttori CMMC segnala un cambiamento sismico nella supervisione globale della cybersecurity della difesa.
Quando il più grande programma di certificazione in cybersecurity al mondo ha avuto bisogno di un nuovo custode, il Dipartimento della Guerra degli Stati Uniti non si è rivolto a un appaltatore della difesa né a una misteriosa agenzia governativa: si è rivolto a ISACA, un’associazione professionale di 55 anni più nota per formare auditor e manager IT che per guidare le prime linee della guerra cibernetica. Questa mossa inattesa potrebbe ridisegnare non solo la mappa della cybersecurity per il complesso militare-industriale americano, ma anche per le catene di fornitura globali e per ogni azienda straniera in competizione per i contratti del Pentagono.
Il Cybersecurity Maturity Model Certification-o CMMC-è diventato lo standard di riferimento per gli appaltatori della difesa che sperano di fare affari con l’esercito statunitense. Fino a poco tempo fa, la supervisione del vitale ecosistema di valutatori e istruttori del CMMC era gestita dal Cyber AB, un organismo di accreditamento specializzato. Ma a partire da aprile 2026, ISACA prenderà le redini, gestendo la formazione, gli esami e le credenziali dei professionisti che verificano la conformità lungo una vasta catena di fornitura globale.
La posta in gioco è enorme. Il CMMC non è solo un ostacolo burocratico; è uno “standard unificato di cybersecurity” che governa centinaia di migliaia di aziende in tutto il mondo, dai piccoli subappaltatori statunitensi ai giganti multinazionali. Qualsiasi organizzazione-indipendentemente dalla nazionalità-che entri in contatto con dati del Pentagono deve rispettare le regole del CMMC. L’amministratore delegato di ISACA, Erik Prusch, ha definito la nomina un “momento di orgoglio” che consolida l’influenza del gruppo sulla sicurezza internazionale e sull’economia globale.
La nuova autorità di ISACA si estende alla certificazione di ruoli come CMMC Certified Professional (CCP), Certified Assessor (CCA) e Certified Instructor (CCI), con una nuova designazione “Lead CCA” per esperti di lunga esperienza. In particolare, le certificazioni di ISACA-come il Certified Information Security Manager (CISM) e il Certified Information Systems Auditor (CISA)-valgono ora ai fini dei requisiti di base per i valutatori CMMC nell’ambito del rigoroso framework 8140.03 del DoW. In parole semplici: i membri di ISACA vengono improvvisamente instradati più rapidamente verso alcuni dei lavori di cybersecurity più sensibili nel mondo della difesa.
La transizione è tutt’altro che cosmetica. Todd Gagnon, ex ufficiale della Marina degli Stati Uniti con solidi legami sia con la base industriale della difesa sia con le operazioni cyber governative, guiderà il programma CMMC di ISACA. La mossa arriva mentre il CMMC entra in una fase critica: i requisiti obbligatori iniziano ad aumentare a fine 2025, raggiungendo la piena applicazione entro novembre 2028. Per le organizzazioni che già utilizzano il framework CMMI di ISACA, il cambiamento offre un vantaggio iniziale; per le altre, è un campanello d’allarme: mettersi in regola o rischiare di essere escluse da redditizi contratti della difesa.
Eppure, mentre ISACA stringe le maglie sulla sicurezza della catena di fornitura della difesa, all’orizzonte si profilano nuove minacce. Le ricerche della stessa organizzazione evidenziano come il quantum computing potrebbe presto mandare in frantumi gli attuali metodi di crittografia-eppure solo una minuscola frazione delle imprese si sta preparando alle conseguenze. Mentre ISACA entra nel suo nuovo ruolo di guardiano della cybersecurity del Pentagono, incombe la domanda: le catene di fornitura del mondo riusciranno a tenere il passo con le minacce in evoluzione-e con l’asticella sempre più alta fissata dal CMMC?
Man mano che il programma CMMC matura sotto la supervisione di ISACA, la trasformazione si propagherà ben oltre i confini degli Stati Uniti. Per i professionisti della cybersecurity, il messaggio è chiaro: il futuro della difesa-e forse della fiducia digitale globale-potrebbe essere certificato nelle aule d’esame di ISACA.
WIKICROOK
- CMMC (Cybersecurity Maturity Model Certification): Il CMMC è uno standard di cybersecurity che misura e certifica quanto bene le organizzazioni, soprattutto gli appaltatori governativi, proteggono i dati sensibili.
- ISACA: ISACA è un’associazione globale che fornisce certificazioni, framework e risorse su governance IT, rischio e cybersecurity per professionisti e imprese.
- CISM (Certified Information Security Manager): CISM è una certificazione di riferimento per i professionisti che supervisionano la sicurezza delle informazioni aziendale, con focus su governance, gestione del rischio e sviluppo dei programmi di sicurezza.
- CISA (Certified Information Systems Auditor): CISA certifica i professionisti nell’audit, nel controllo e nell’assurance dei sistemi informativi, convalidando competenze in governance IT, rischio e conformità.
- Quantum Computing: Il quantum computing utilizza la fisica quantistica per risolvere problemi complessi molto più velocemente dei computer tradizionali, grazie a unità speciali chiamate qubit.




