I dati dell’Osservatorio sulla cybersecurity mostrano come le imprese certificate siano meno esposte ai rischi
La certificazione…certifica la protezione dai rischi. Non è una tautologia come sembra, ma il risultato di una ricerca condotta dall’Osservatorio Accredia, che mostra come la certificazione accreditata non sia una mera procedura “nominale” ma un processo che produce un effettivo risultato in termini di sicurezza.
Oggi in Italia sono 3.474 le aziende dotate di certificazione ISO/ IEC 27001 (cresciute del 21% in un anno), ovvero quella relativa alla sicurezza informatica, rilasciate dai 20 Organismi di certificazione accreditati. Ci sono inoltre 5 laboratori di prova, accreditati per eseguire Vulnerability assessments e 687 i professionisti certificati come Responsabili della protezione dei dati personali (DPO). La cybersecurity è materia quotidiana anche per aziende e istituzioni che a vario livello si trovano a doversi misurare con l’affidabilità dei propri sistemi, con la gestione di dati e big data, in un panorama in continuo mutamento.
LO STUDIO
In questo contesto, le imprese dotate di certificazione accreditata sono più sicure e meno esposte ad attacchi informatici rispetto a quelle non certificate. Lo studio, realizzato insieme al Cybersecurity National Lab del CINI, è stato presentato lo scorso novembre all’Università Sapienza di Rom e dimostra come i sistemi di certificazione accreditata per le PMI, ma anche i laboratori di prova per i vulnerability assessment e i professionisti certificati per la sicurezza delle informazioni, possano offrire garanzie di sicurezza a istituzioni, imprese, consumatori.
Per valutare contributo e benefici della certificazione, sono state condotte due analisi: una di tipo qualitativo e una quantitativa. Dalla prima, che ha coinvolto alcune grandi aziende italiane, tra cui Poste italiane e Gruppo BCC ICCREA, certificate per la sicurezza delle informazioni UNI ISO/IEC 27001, è emerso come lo sforzo di adeguare l’organizzazione alla certificazione abbia pro- dotto, nel medio e lungo periodo, un miglioramento profondo dei processi aziendali (omogeneizzazione, monitoraggio, valutazione delle prestazioni, auditing, etc.) e una crescita della cultura della sicurezza, con benefici duraturi e non limitati alla migliore gestione del rischio informatico.
La seconda analisi ha esaminato due campioni di organizzazioni pubbliche e private italiane, uno dotato di certificazione per la sicurezza delle informazioni ISO/IEC 27001 e l’altro di sola certificazione per la qualità UNI ISO 9001. Da queste analisi è emerso che le aziende certificate ISO/IEC 27001 sono meno esposte al rischio di attacchi rispetto a quelle con sola certificazione ISO 9001: delle 1.207 vulnerabilità sui servizi web riscontrate, 524 erano nel primo campione (43%) e 683 nel secondo (57%).
Un certificato europeo di cybersicurezza che si riferisce al livello di affidabilità “sostanziale” assicura che i prodotti, i servizi e i processi TIC (Tecnologie dell’Informazione e della Comunicazione), per i quali è rilasciato tale certificato, rispettino i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza. Il certificato garantisce inoltre che tali prodotti, servizi e processi sono stati valutati a un livello inteso a ridurre al minimo i rischi noti connessi alla cybersicurezza, i rischi di incidenti e di attacchi informatici causati da soggetti dotati di abilità e risorse limitate.
LA CONVENZIONE CON L’AGENZIA PER LA CYBERSICUREZZA NAZIONALE
Il Decreto Legislativo n.123 del 3 agosto 2022 ha previsto che alcune tipologie di certificazioni in ambito cybersicurezza potranno essere rilasciate da organismi di valutazione della conformità accreditati da Accredia, che lavorerà insieme all’Agenzia per la Cybersicurezza Nazionale (ACN) nel monitoraggio e nella vigilanza delle attività di tali organismi.
È stata quindi firmata, a metà novembre, la convenzione per gestire gli accreditamenti degli organismi di valutazione della conformità (organismi di certificazione, di ispezione e laboratori di prova) che operano per garantire la cybersicurezza verso soggetti pubblici e privati.
“Le certificazioni di cybersicurezza sono il mezzo per aumentare il livello di sicurezza dei prodotti e dei servizi informatici a disposizione dei cittadini e delle imprese, all’interno del mercato italiano ed europeo. L’Europa sta predisponendo i primi schemi di certificazione di servizi cloud e delle tecnologie 5G e l’Italia si deve far trovare pronta a questo appuntamento” ha commentato il direttore di ACN Roberto Baldoni. “La convenzione dà attuazione alle disposizioni del Cybesecurity ACT europeo in materia di accreditamento della rete di laboratori nazionale di certificazione”, ovvero la rete di laboratori dedicata ai prodotti del mercato europeo che si aggiunge a quella dei “laboratori di prova” previsti all’interno del perimetro di sicurezza nazionale cibernetica. “Queste due reti saranno l’ossatura del sistema di certificazione e valutazione nazionale”.
“L’accordo sottoscritto – è stato infine il commento di Massimo De Felice, presidente di Accredia – la collaborazione col CINI, i legami con l’Università aprono rilevanti probabili linee di sviluppo sulle nuove fisionomie di incidente informatico indotte dalla cosiddetta intelligenza artificiale, e in generale dall’utilizzazione delle Corporate Technologies, che si vanno diffondendo nelle imprese e nelle istituzioni”.
