15 Nov La certificazione accreditata per la cybersicurezza: il nuovo Osservatorio Lab-Accredia
È stato presentato all’Università Sapienza di Roma l’Osservatorio Accredia “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata”, realizzato insieme al Cybersecurity National Lab del CINI, nell’ambito dell’Osservatorio congiunto “Cybersecurity e Certificazione”.
Il Convegno “Come gestire il rischio informatico? Il contributo dell’accreditamento e della certificazione alla cybersecurity nazionale” è stato aperto dai saluti istituzionali della Rettrice Prof.ssa Antonella Polimeni e ha visto la relazione del Presidente di Accredia, Prof. Massimo De Felice, e le conclusioni del Prof. Roberto Baldoni, Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN). Lo studio è stato illustrato dal Prof. Paolo Prinetto e Prof. Alessandro Armando, Direttore e Vicedirettore del Cybersecurity National Lab.
“L’Osservatorio sulla cybersicurezza presentato oggi è un’ottima base per individuare linee di azione da intraprendere, utili per le imprese, il mercato e le Istituzioni. La rete di collaborazione tra Sapienza Università di Roma, Agenzia per la Cybersicurezza Nazionale, CINI e Accredia garantirà proficue sinergie e grandi opportunità” ha dichiarato la Rettrice della Sapienza Polimeni.
Per valutare contributo e benefici della certificazione, sono state condotte due analisi: una di tipo qualitativo e una quantitativa. Dalla prima, che ha coinvolto alcune grandi aziende italiane, Poste italiane, Gruppo BCC ICCREA, ATAC e Notartel, certificate per la sicurezza delle informazioni a norma UNI CEI EN ISO/IEC 27001, è emerso come lo sforzo di adeguare l’organizzazione alla certificazione abbia prodotto, nel medio e lungo periodo, un miglioramento profondo dei processi aziendali (omogeneizzazione, monitoraggio, valutazione delle prestazioni, auditing, ecc.) e una crescita della cultura della sicurezza, con benefici duraturi e non limitati alla migliore gestione del rischio informatico. La seconda analisi ha esaminato due campioni di organizzazioni pubbliche e private italiane, uno dotato di certificazione per la sicurezza delle informazioni UNI CEI EN ISO/IEC 27001 e l’altro di sola certificazione per la qualità UNI EN ISO 9001.
Da queste analisi è emerso che le aziende certificate per la sicurezza delle informazioni secondo la ISO/IEC 27001 dagli organismi accreditati sono meno esposte al rischio di attacchi cyber rispetto a quelle con la sola certificazione ISO 9001: delle 1.207 vulnerabilità sui servizi web riscontrate, 524 erano nel primo campione (43%) e 683 nel secondo (57%).
“Come documentato nell’Osservatorio Accredia, la cibersicurezza è problema complesso. L’accelerata innovazione tecnologica in atto ne amplia il perimetro problematico: nei dettagli tecnici, nella normativa, per le risposte che si si dovranno dare a livello istituzionale” ha commentato De Felice, Presidente di Accredia, che ha aggiunto “l’Ente di accreditamento mette a disposizione competenze e standard per la verifica efficace della qualità di apparati e processi; e per diffondere la cultura del controllo del cyber risk”.
“Siamo fermamente convinti che una più stretta sinergia tra accademia, istituzioni e comparto privato sia indispensabile per rafforzare la sicurezza del ‘sistema Italia’, inteso come la complessità delle sue infrastrutture informatiche che costituiscono un vero e proprio asset strategico per il paese”, ha commentato Paolo Prinetto, Direttore del Cybersecurity National Lab. “In tal senso va la collaborazione del Laboratorio con Accredia: un altro passo avanti concreto verso la prevenzione degli incidenti informatici e la creazione di un Paese sempre più resiliente agli attacchi nel cyberspace”.
Oggi in Italia sono 3.474 le aziende dotate di certificazione ISO/IEC 27001 (cresciute del 21% in un anno) rilasciate dai 20 organismi di certificazione accreditati, oltre a 5 laboratori di prova, accreditati per eseguire vulnerability assesment e 687 i professionisti certificati come responsabili della protezione dei dati personali (DPO – Data Protection Officer).
“Le certificazioni di cybersicurezza sono il mezzo per aumentare il livello di sicurezza dei prodotti e dei servizi informatici a disposizione dei cittadini e delle imprese, all’interno del mercato italiano ed europeo” ha commentato in conclusione Roberto Baldoni, Direttore Generale dell’ACN. “L’Europa sta predisponendo i primi schemi di certificazione di servizi cloud e delle tecnologie 5G e l’Italia si deve far trovare pronta a questo appuntamento.”