Cybersecurity e protezione dei dati: qual è il ruolo della certificazione accreditata

È stato presentato oggi presso l’Università La Sapienza di Roma l’Osservatorio Accredia sul contributo della certificazione accreditata alla cybersicurezza nazionale. Lo studio è incentrato sulla sicurezza e protezione dei dati ed è stato realizzato in collaborazione con il Cybersecurity National Lab del CINI (Consorzio Interuniversitario Nazionale per l’Informatica).

È emerso che le imprese certificate per la sicurezza delle informazioni sono più sicure rispetto a quelle non certificate. La buona notizia, secondo Accredia, è che oggi in Italia ci sono quasi 3.500 aziende con certificazione UNI ISO/IEC 27001 (+21% in 12 mesi.

Per valutare contributo e benefici della certificazione, sono state condotte due analisi: una di tipo qualitativo e una quantitativa.
Dalla prima, che ha coinvolto alcune grandi aziende italiane, tra cui Poste italiane e Gruppo BCC ICCREA, certificate per la sicurezza delle informazioni ISO/IEC 27001, è emerso come lo sforzo di adeguare l’organizzazione alla certificazione abbia prodotto, nel medio e lungo periodo, un miglioramento profondo dei processi aziendali (omogeneizzazione, monitoraggio, valutazione delle prestazioni, auditing,…) e una crescita della cultura della sicurezza, con benefici duraturi e non limitati alla migliore gestione del rischio informatico.

La seconda analisi ha esaminato due campioni di organizzazioni pubbliche e private italiane, uno dotato di certificazione per la sicurezza delle informazioni ISO/IEC 27001 e l’altro di sola certificazione per la qualità UNI ISO 9001.

Da queste analisi è emerso che le aziende certificate ISO/IEC 27001 sono meno esposte al rischio di attacchi rispetto a quelle con sola certificazione ISO 9001: delle 1.207 vulnerabilità sui servizi Web riscontrate, 524 sono state ricondotte al primo campione (43%), 683 al secondo (57%).

L’Osservatorio, presentato dai professori Paolo Prinetto e Alessandro Armando, direttore e vicedirettore del Cybersecurity National Lab, ha evidenziato come uno degli strumenti a disposizione di imprese e istituzioni per garantire la sicurezza dei processi e dei dati è la certificazione accreditata, rilasciata cioè da organismi e laboratori valutati competenti e imparziali da Accredia.

Il direttore dell’Agenzia per la Cybersicurezza Nazionale Roberto Baldoni e il presidente di Accredia, Massimo De Felice, hanno quindi firmato una convenzione per gestire gli accreditamenti degli organismi di valutazione della conformità (organismi di certificazione, di ispezione e laboratori di prova) che operano per garantire la cybersicurezza verso soggetti pubblici e privati.

Nell’ambito della cybersecurity, spiega Baldoni, le certificazioni “sono il mezzo per aumentare il livello di sicurezza dei prodotti e dei servizi informatici a disposizione dei cittadini e delle imprese, all’interno del mercato italiano ed europeo. L’Europa sta predisponendo i primi schemi di certificazione di servizi cloud e delle tecnologie 5G e l’Italia si deve far trovare pronta a questo appuntamento. La convenzione di oggi dà attuazione alle disposizioni del Cybersecurity Act europeo in materia di accreditamento della rete di laboratori nazionale di certificazione“.
Le reti di laboratori dedicate ai prodotti del mercato europeo e quella operante nel perimetro di sicurezza nazionale costituiranno l’ossatura del sistema di certificazione e valutazione del nostro Paese.

De Felice ha aggiunto che quello della sicurezza informatica è un problema complesso: Accredia mette a disposizione competenze e standard per la verifica efficace della qualità di apparati e processi in modo da diffondere, con piani di formazione, la cultura del controllo del cyber risk.

“L’accordo sottoscritto col professor Baldoni, la collaborazione col CINI, i legami con l’Università aprono rilevanti probabili linee di sviluppo: sulle nuove fisionomie di “incidente informatico” indotte dalla cosiddetta “intelligenza artificiale” e in generale dall’utilizzazione delle Corporate Technologies che si vanno diffondendo nelle imprese e nelle istituzioni“, prosegue il presidente di Accredia. “Sono temi che ci dovranno vedere impegnati, che potranno interessare anche l’Agenzia per la Cybersicurezza Nazionale; su cui potremmo chiedere ausili di competenze alla Sapienza, sino a coinvolgere, con nuovi profili, le problematiche della responsabilità nelle decisioni e quelle legate alla privacy“.