L’importanza della norma ISO27001 come strumento di prevenzione e difesa dai rischi informatici

Maurizio Genna, ICT Sector Manager Bureau Veritas Italia, riassume numeri e trend dell’ICT e della sicurezza informatica in Italia. L’importanza della norma ISO27001:2013 come strumento di prevenzione e difesa dai rischi informatici.

Pubblicato il 05 Giu 2019

cyber-warfare

L’Italia è il quarto mercato per le attrezzature e i servizi ICT e telecomunicazioni nell’Unione europea. L’Italia è anche uno dei mercati di comunicazioni mobile più grandi e avanzati in Europa. L’Italia ha una base di utenti internet di 43,3 milioni di persone pari al 73% della sua popolazione. Gli utenti di mobile device sono aumentati a 49,2 milioni e 34 milioni sono utenti di social media attivi.

La spesa per la sicurezza informatica nel 2017 è cresciuta del 10,8% a 900 milioni di euro: cinque volte più della media del mercato digitale italiano. In breve, stiamo entrando nell’era della sicurezza informatica trasversale e pervasiva tra organizzazioni.

Nel 2017 il mercato digitale italiano è cresciuto del 2,3% e mostra ancora segnali di crescita per i prossimi anni: 2,6% per il 2018, 2,8% per il 2019, 3,1% per il 2020. Non solo contenuti e pubblicità digitale (+7,7%) ma anche servizi ICT (+4%), software e soluzioni (+5,9%), mentre i dispositivi e i sistemi e le infrastrutture immateriali mostrano nonostante il costante calo dei prezzi unitari.

Pericolo cyber in crescita

A novembre 2018, tuttavia, l’Italia è stata vittima di uno dei più grandi attacchi di massa nella storia del nostro paese. Più di tremila soggetti pubblici e privati ​​sono stati vittime di un attacco che ha violato circa 500 mila caselle di posta elettronica certificate, causando l’interruzione di vari servizi IT e il blocco degli uffici giudiziari.Anche negli ultimi mesi 2019 (aprile – maggio) sono stati violati diversi siti e DB di Associazioni di Professionsti e pubblicate utenze e password.

Secondo il Rapporto Clusit sulla sicurezza informatica del 2018, i danni causati dalla criminalità informatica in Italia nel 2016 valevano circa 11 miliardi di dollari. Nel 2017 alcuni attacchi di alto profilo contro il governo italiano, le banche italiane e le compagnie telefoniche hanno aumentato la consapevolezza dei danni causati dagli attacchi informatici.

Le Organizzazioni oggi hanno a disposizione strumenti software ed hardware all’avanguardia, ma spesso quello che manca sono le regole di utilizzo all’interno delle aziende, controlli ed adeguate contromisure in caso di perdite di dati a seguito di attacchi hacker o a danni causati in modo doloso o inconsapevole da parte del personale interno.

Le mosse dell’Europa

La preoccupazione sulle tematiche della cyber security è diventata europea, pertanto il Legislatore Europeo ha definito e sta definendo regole comunitarie che possano unire gli sforzi dei Paesi verso risposte tecnologiche, regole e best practice comuni nel combattere gli aspetti negativi ed incontrollati della cyber security.

Ci sono tre aree comunitarie che sono strutturalmente influenzate da varie regole e che sono entrate in vigore o comunque completate durante il 2018:

  • protezione dei dati personali e dei diritti digitali dei cittadini, grazie ai Regolamenti Generali noti come GDPR;
  • protezione dei servizi e delle infrastrutture tecnologiche cruciali per il buon funzionamento della società, grazie alla cosiddetta Direttiva NIS;
  • la protezione dei dispositivi e dispositivi informatici e di telecomunicazione per uso civile e domestico, grazie al nuovo quadro europeo per la certificazione della sicurezza informatica dei prodotti ICT e dei servizi digitali istituito dal cosiddetto Cybersecurity Act.

Per coronare tutta questa serie di regole e iniziative, vale la pena ricordare che nel 2018 l’Europa, sempre attraverso il Cybersecurity Act, alla fine ha deciso di adottare una vera agenzia per la sicurezza informatica, rafforzando il suo mandato e ampliando il suo ruolo e i compiti dell’ENISA, l’ex agenzia per la sicurezza delle reti e dell’informazione.

Il panorama certificativo

Nel panorama certificativo esiste da anni uno schema la ISO 27001:2013 “Gestione della Sicurezza delle Informazioni” (precedentemente BS 7799:1999 –ISO 27001:2005). Questo schema di gestione, da fine anni ’90 e per circa 10 anni, è stato oggetto di interesse solo da parte di grandi Organizzazioni che gestivano grandi quantità di dati con grandi CED; negli ultimi anni, soprattutto a causa della ampia diffusione della tecnologia (non più prerogativa di pochi), l’avvento del GDPR, il “terrore” dei data breach , gli attacchi informatici hanno fatto sì che questo schema si trasformasse in un interessante strumento di prevenzione e difesa dai rischi informatici non solo nel settore ICT, ma in tutti i settori merceologici.

I clienti finali (società o consumatori) vogliono dalle Organizzazioni produttrici o erogatrici di servizi garanzie sulla protezione dei loro dati, delle loro informazioni, dei loro brevetti, ricette… queste garanzie possono essere date in parte dall’ottenimento della certificazione ISO 27001 integrata da una politica di investimento e protezione continua degli asset aziendali: non esiste una certificazione statica che prescinda dai cambiamenti tecnologici ed organizzativi.

Il caso Barilla

A dimostrazione di questa trasversalità dei temi cyber security e degli strumenti certificativi, presentiamo un progetto di un Large Client che è terminato con la certificazione del suo ISMS in accordo alla ISO 27001:2013: Barilla G. e R. Fratelli S.p.A.

Barilla, coerentemente con il processo di continuo miglioramento, ha dimostrato durante il ciclo di certificazione di aver lavorato con grande impegno e serietà per raggiungere due obiettivi fondamentali: la compliance dei propri processi ai requisiti normativi, contrattuali e procedurali della ISO 27001:2013 ed aver implementato un Sistema di Gestione che aiuterà l’Organizzazione nella prevenzione dei Data Breach.

Un Top Management che ha creduto nell’importanza del progetto, un team di persone competenti, ottimi partner tecnologici, importanti infrastrutture tecnologiche, sistemi di monitoraggio e di controllo all’avanguardia ed un Sistema di Gestione per la sicurezza con policies e procedure tarate sulla realtà aziendale, questo è stato il giusto mix che ha permesso alla Barilla di ottenere la certificazione ISO 27001, un primo tassello di un progetto ben più ambizioso. “

Maurizio Genna, ICT Sector Manager Bureau Veritas Italia

Valuta la qualità di questo articolo

Franco Canna
Franco Canna

Fondatore e direttore responsabile di Innovation Post. Grande appassionato di tecnologia, laureato in Economia, collabora dal 2001 con diverse testate B2B nel settore industriale scrivendo di automazione, elettronica, strumentazione, meccanica, ma anche economia e food & beverage, oltre che con organizzatori di eventi, fiere e aziende.

email Seguimi su

Articoli correlati

Articolo 1 di 4