La cybersecurity è diventata ormai una priorità nell’agenda politica europea così come in quella italiana, per gestire gli attacchi informatici e proteggere i dati delle organizzazioni pubbliche e private e la privacy dei cittadini.
In questo contesto, le imprese dotate di certificazione accreditata per la sicurezza delle informazioni secondo la norma UNI CEI EN ISO/IEC 27001 sono più sicure e meno esposte ad attacchi informatici rispetto a quelle non certificate. È quanto emerge dall’Osservatorio Accredia “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata” , presentato il 14 novembre scorso all’Università Sapienza di Roma. Lo studio dimostra come i sistemi di certificazione accreditata per le PMI, ma anche i laboratori di prova per i vulnerability assesment e i professionisti certificati per la sicurezza delle informazioni, possano offrire garanzie di sicurezza ad Istituzioni, imprese, consumatori.
“La Sapienza metterà a disposizione le proprie competenze disciplinari e trasversali, negli spazi di confine tra discipline giuridiche, ingegneristiche, economiche, finanziarie e attuariali, in ambito medico e sanitario”, ha dichiarato la Prof.ssa Antonella Polimeni, Rettrice dell’Università La Sapienza, aprendo il Convegno.
“Accredia mette a disposizione competenze e standard per la verifica efficace della qualità di apparati e processi e per diffondere, con piani di formazione, la cultura del controllo del cyber risk”, ha osservato il Presidente di Accredia, Prof. Massimo De Felice.
Questo perché un certificato europeo di cybersicurezza che si riferisca al livello di affidabilità “sostanziale” assicura che i prodotti TIC (Tecnologie dell’Informazione e della Comunicazione), servizi TIC e processi TIC per i quali è rilasciato tale certificato, rispettano i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e sono stati valutati a un livello inteso a ridurre al minimo i rischi noti connessi alla cybersicurezza e i rischi di incidenti e di attacchi informatici causati da soggetti dotati di abilità e risorse limitate.
“Siamo fermamente convinti che una più stretta sinergia tra accademia, istituzioni e comparto privato sia indispensabile per rafforzare la sicurezza del sistema Italia, inteso come la complessità delle sue infrastrutture informatiche che costituiscono un vero e proprio asset strategico per il paese”, ha evidenziato il Prof. Paolo Prinetto, Direttore del Cybersecurity National Lab del CINI. Anche per questo, come ha aggiunto il Vice Direttore Prof. Alessandro Armando “la strada della collaborazione del Laboratorio con Accredia è un altro passo avanti concreto verso la prevenzione degli incidenti informatici e la creazione di un Paese sempre più resiliente agli attacchi nel cyberspace”.
Del resto i risultati ottenuti dalle due analisi della studio, parlano chiaro. Dalla prima, che ha coinvolto alcune grandi aziende italiane certificate per la sicurezza delle informazioni secondo la norma UNI CEI EN ISO/IEC 27001, tra cui Poste italiane e Gruppo BCC ICCREA, ATAC e Notartel, è emerso che la certificazione produce, nel medio e lungo periodo, un miglioramento profondo dei processi aziendali e una crescita della cultura della sicurezza, con benefici duraturi e non limitati alla migliore gestione del rischio informatico. La seconda analisi ha dimostrato invece che le aziende certificate ISO/IEC 27001 sono meno esposte al rischio di attacchi rispetto a quelle con sola certificazione ISO 9001.
A margine del Convegno è stato inoltre firmata la Convezione tra l’Agenzia per la Cybersicurezza Nazionale e Accredia per gestire gli accreditamenti degli organismi di valutazione della conformità (organismi di certificazione e di ispezione e laboratori di prova) che operano per garantire la cybersicurezza verso soggetti pubblici e privati.
“La convenzione dà attuazione alle disposizioni del Cybesecurity ACT europeo in materia di accreditamento della rete di laboratori nazionale di certificazione” – ha aggiunto il Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale, Prof. Roberto Baldoni riferendosi alla rete di laboratori dedicata ai prodotti del mercato europeo che si aggiunge a quella dei “laboratori di prova” previsti all’interno del perimetro di sicurezza nazionale cibernetica –. “Queste due reti – ha concluso – saranno l’ossatura del sistema di certificazione e valutazione nazionale.”