La certificazione delle aziende riduce l’esposizione ai cyberattacchi
La certificazione per la sikcurezza delle informazioni riduce quasi di un quarto il rischio di intrusione, secondo un report di Accredia e Cini
di Gianni Rusconi
3' di lettura
Oggi in Italia sono poco meno di 3.500 le aziende che possono esibire la certificazione Iso/Iec 27001 per la sicurezza delle informazioni, un numero in assoluto molto contenuto ma pur sempre in crescita del 21% nel raffronto sui dodici messi. A rilasciare questi “green pass” relativi ai dati sono 20 organismi accreditati, mentre sono cinque i laboratori di prova deputati ad eseguire attività di “vulnerability assesments” e circa 700 professionisti ad oggi certificati come Responsabili della protezione dei dati personali.
A fare luce su quella che è una materia spesso poco dibattuta nell'ambito del tema della cybersecurity ci ha pensato Accredia, l'Ente unico nazionale di accreditamento designato dal Governo italiano (attivo dal 2002 con il compito di attestare la competenza dei laboratori e degli organismi che verificano la conformità di prodotti, servizi e professionisti agli standard di riferimento), che ha reso pubblico un Osservatorio realizzato insieme al Cybersecurity National Lab del Cini, il Consorzio interuniversitario per l'informatica, per verificare il contributo e i benefici che può avere la certificazione rispetto alla qualità dei sistemi di difesa contro l'azione dei cybercriminali.
Per farlo sono stati esaminati due campioni di imprese pubbliche e private e analizzati i rispettivi siti web, verificando numero di vulnerabilità note, il corretto utilizzo del protocollo Https e il livello di aggiornamento e sicurezza della piattaforma di content management.
Il dato che balza immediatamente all'occhio è che le organizzazioni (imprese ed istituzioni) dotate di certificazione dei sistemi di gestione per la sicurezza delle informazioni sono esposte ad attacchi informatici in una misura del 23% inferiore rispetto a quelle in possesso della sola certificazione per la qualità Iso 9001: delle 1.207 vulnerabilità sui servizi Web riscontrate, in particolare, 524 appartenevano al primo cluster e 683 al secondo.
La certificazione ha inoltre il vantaggio di produrre benefici duraturi in azienda e non limitati alla migliore gestione del rischio informatico. Dall'analisi di tipo qualitativo che ha coinvolto alcune grandi aziende italiane, tra cui Poste e Gruppo Iccrea, è infatti emerso come lo sforzo di adeguare l'organizzazione alla certificazione abbia prodotto, nel medio e lungo periodo, un miglioramento profondo dei processi aziendali (omogeneizzazione, monitoraggio, valutazione delle prestazioni, auditing e altro ancora) e stimolato al contempo una crescita della cultura della sicurezza.
In sede di presentazione Accredia e l'Agenzia per la Cybersicurezza Nazionale hanno firmato una nuova convenzione per gestire gli accreditamenti degli organismi di valutazione della conformità (organismi di certificazione, di ispezione e laboratori di prova) che operano per garantire la cybersicurezza verso soggetti pubblici e privati.
«L'Europa - ha commentato il direttore dell'Agenzia, Roberto Baldoni - sta predisponendo i primi schemi di certificazione di servizi cloud e delle tecnologie 5G e l'Italia si deve far trovare pronta a questo appuntamento e l'accordo siglato oggi dà attuazione alle disposizioni del Cybesecurity Act europeo in materia di accreditamento della rete di laboratori nazionale di certificazione».
L'iniziativa in questione è comunque solo l'ultimo tassello di un mosaico che punta a costruire un vero e proprio ecosistema istituzionale italiano della cybersecurity a cui concorrono, oltre ad Accredia e all'Agenzia per la Cybersicurezza, anche il già citato Cini con il suo Cybersecurity National Lab e la Sapienza Università di Roma. Sul piatto convergono risorse, competenze, piani di formazione per aumentare la conoscenza sui rischi connessi all'utilizzo di strumenti digitali e fare un altro passo in avanti concreto verso la prevenzione degli incidenti informatici.
loading...