Le imprese dotate di certificazione accreditata per la sicurezza delle informazioni sono più sicure e meno esposte ad attacchi informatici rispetto a quelle non certificate: è quanto emerge dall’Osservatorio Accredia “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata”, realizzato insieme al Cybersecurity National Lab del Cini (Consorzio interuniversitario nazionale per l’informatica), nell’ambito dell’Osservatorio congiunto “Cybersecurity e certificazione”.
Per valutare contributo e benefici della certificazione, sono state condotte due analisi: una di tipo qualitativo e una quantitativa.
Dalla prima, che ha coinvolto alcune grandi aziende italiane – tra cui Poste italiane e Gruppo BCC Iccrea–, certificate per la sicurezza delle informazioni UNI ISO/IEC 27001, è emerso come lo sforzo di adeguare l’organizzazione alla certificazione abbia prodotto, nel medio e lungo periodo, un miglioramento profondo dei processi aziendali (omogeneizzazione, monitoraggio, valutazione delle prestazioni, auditing, etc.) e una crescita della cultura della sicurezza, con benefici duraturi e non limitati alla migliore gestione del rischio informatico.
L’analisi quantitativa ha esaminato due campioni di organizzazioni pubbliche e private italiane, uno dotato di certificazione per la sicurezza delle informazioni ISO/IEC 27001 e l’altro di sola certificazione per la qualità UNI ISO 9001.
Indice degli argomenti
I dati dell’Osservatorio Accredia sul contributo della certificazione accreditata alla cybersicurezza nazionale
Da queste analisi è emerso che le aziende certificate ISO/IEC 27001 sono meno esposte al rischio di attacchi rispetto a quelle con sola certificazione ISO 9001: delle 1.207 vulnerabilità sui servizi web riscontrate, 524 erano nel primo campione (43%) e 683 nel secondo (57%).
L’Osservatorio ha evidenziato come uno degli strumenti a disposizione di imprese e istituzioni, per garantire un’adeguata sicurezza informatica, è la certificazione accreditata, rilasciata cioè da Organismi e Laboratori valutati competenti e imparziali da Accredia.
Oggi in Italia sono 3.474 le aziende dotate di certificazione ISO/IEC 27001 (cresciute del 21% in un anno), rilasciate dai 20 Organismi di certificazione accreditati (dati Accredia).
Inoltre, nel nostro Paese sono presenti cinque laboratori di prova, accreditati per eseguire Vulnerability assesments, e 687 professionisti certificati come Responsabili della protezione dei dati personali (DPO).
“L’Osservatorio sulla cybersicurezza presentato oggi è un’ottima base per individuare linee di azione da intraprendere, utili per le imprese, il mercato e le istituzioni. La rete di collaborazione tra Sapienza Università di Roma, Agenzia per la Cybersicurezza Nazionale, CINI e Accredia garantirà proficue sinergie e grandi opportunità”, commenta la Rettrice della Sapienza Università di Roma, Antonella Polimeni.
Firmata la Convenzione tra Accredia e l’Agenzia per la Cybersicurezza Nazionale
Il Decreto Legislativo n.123 del 3 agosto 2022, che recepisce il Titolo III del Regolamento UE n. 881/2019, ha previsto che alcune tipologie di certificazioni in ambito cybersicurezza potranno essere rilasciate da Organismi di valutazione della conformità accreditati da Accredia, che lavorerà insieme all’Agenzia per la Cybersicurezza Nazionale nel monitoraggio e nella vigilanza delle attività di tali Organismi.
Il Direttore dell’Agenzia per la Cybersicurezza Nazionale e il Presidente di Accredia hanno quindi firmato la Convenzione per gestire gli accreditamenti degli organismi di valutazione della conformità (organismi di certificazione, di ispezione e laboratori di prova) che operano per garantire la cybersicurezza verso soggetti pubblici e privati.
La convezione dà attuazione alle disposizioni del Cybersecurity Act europeo in materia di accreditamento della rete di laboratori nazionale di certificazione.
“Le certificazioni di cybersicurezza sono il mezzo per aumentare il livello di sicurezza dei prodotti e dei servizi informatici a disposizione dei cittadini e delle imprese, all’interno del mercato italiano ed europeo. L’Europa sta predisponendo i primi schemi di certificazione di servizi cloud e delle tecnologie 5G e l’Italia si deve far trovare pronta a questo appuntamento”, commenta il Direttore di ACN Roberto Baldoni.
“L’accordo sottoscritto, la collaborazione col Cini e i legami con l’Università, aprono rilevanti probabili linee di sviluppo: sulle nuove fisionomie di ‘incidente informatico’ indotte dalla cosiddetta Intelligenza Artificiale e, in generale, dall’utilizzazione delle Corporate Technologies, che si vanno diffondendo nelle imprese e nelle istituzioni. Sono temi che ci dovranno vedere impegnati, che potranno interessare anche l’Agenzia per la Cybersicurezza Nazionale; su cui potremmo chiedere ausili di competenze alla Sapienza, sino a coinvolgere, con nuovi profili, le problematiche della responsabilità nelle decisioni, e della privacy”, aggiunge Massimo De Felice, Presidente di Accredia.
