Ormai diffusa anche tra imprese e Istituzioni, è crescente la consapevolezza dell’impatto che il rischio cibernetico può avere per le attività produttive e per i cittadini. Solo nel 2021 gli attacchi informatici nel mondo sono aumentati del 10% rispetto all’anno precedente (Rapporto Clusit) e le nuove modalità di attacco si sono dimostrate più sofisticate rispetto al passato. Non sorprende quindi che la cybersecurity abbia assunto un ruolo di primo piano nell’agenda di governi, istituzioni e aziende, rientrando tra le principali priorità dei paesi dell’Unione europea.
In questo quadro è importante impostare un’azione di preparazione agli attacchi, ma anche di capacità di rilevamento, contenimento e risposta, la cui efficacia dipende dal tipo di approccio al tema della cybersecurity. Una strategia “di sistema”, che coinvolga i diversi comparti della società e del mondo produttivo è certamente più in grado di mitigare il rischio cibernetico e di migliorare la postura di sicurezza di imprese e Pubbliche Amministrazioni.
In questo, la conformità rispetto a standard tecnici e normative, contribuisce significativamente alla definizione e pianificazione di strategie efficaci di cybersecurity. Ma la conformità a standard significa anche capacità di poter dimostrare, attraverso riferimenti obiettivi, la bontà delle proprie strategie di fronte a terzi. Quest’ultimo aspetto poggia sull’imparzialità, competenza e indipendenza dei soggetti accreditati che emettono le valutazioni di conformità. Il contributo dei servizi accreditati forniti dagli organismi di certificazione e ispezione e dai laboratori di prova nella mitigazione del rischio è, in questo senso, significativo.
Lo studio dell’Osservatorio Accredia “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata” si sofferma in particolare sul beneficio legato al possesso di un sistema di gestione per la sicurezza delle informazioni certificato sotto accreditamento per la norma UNI CEI EN ISO/IEC 27001. Lo studio si basa su due metodologie di analisi complementari:
Analisi qualitativa
L’analisi dei casi di studio ha consentito di tracciare alcuni elementi generali legati al processo di certificazione dei sistemi di gestione. In particolare è emerso come i benefici legati all’ottenimento di una certificazione accreditata secondo la norma UNI CEI EN ISO/IEC 17021 non siano immediati ma perdurino nel tempo.
Analisi quantitativa
Le attività di analisi quantitativa – pur non rappresentando una valutazione esaustiva dello stato di sicurezza di un’organizzazione – hanno confermato una migliore postura di sicurezza delle organizzazioni con una certificazione accreditata per la UNI CEI EN ISO/IEC 27001. In generale, le organizzazioni certificate sono meno suscettibili a gravi vulnerabilità di sicurezza: l’attività di analisi dei siti web pubblici di un campione selezionato di imprese certificate ha permesso di individuare 1.207 vulnerabilità sui 100 siti web oggetto di analisi, di cui 524 (43%) nel campione certificato UNI CEI EN ISO/IEC 27001.
Le vulnerabilità sono concentrate in aziende residenti nel Sud e Isole, mentre le regioni del Nord concentrano in totale il 17% delle vulnerabilità rilevate.
Le ulteriori analisi condotte (relative all’utilizzo del protocollo HTTPS e al Content Management System – CMS) hanno confermato una minore esposizione al rischio informatico delle aziende certificate UNI CEI EN ISO/IEC 27001.