Cybersecurity, la certificazione accreditata per gestire i rischi informatici

Le imprese certificate secondo la norma UNI CEI EN ISO/IEC 27001 sono meno suscettibili a gravi vulnerabilità di sicurezza. Nel CyberSecMonth non poteva mancare l’intervista all’ispettore di Accredia, Riccardo Bianconi, che spiega perché.

 

Partiamo dal quadro normativo. Il provvedimento più importante è senza dubbio il D.Lgs. 123/2022 chiama in causa l’accreditamento. Insieme al recente documento della Commissione europea, il Cyber Resilience Act.

Da dieci anni, l’Unione europea lavora, giustamente e in maniera previdente, sia nell’ambito della sicurezza delle informazioni sia in quello della cybersecurity. Dapprima si è iniziato a lavorare al Regolamento UE 910/2014, eIDAS, che riguarda i servizi rivolti al cittadino, come le firme elettroniche, i sigilli elettronici e tutte quelle infrastrutture che permettono di poter dar vita al mercato digitale per poter firmare un contratto in forma elettronica. Successivamente, nel 2016, è arrivato il cosiddetto GDPR (Regolamento UE 2016/679) che disciplina le modalità con cui deve essere gestita ogni informazione che riguarda una persona fisica. Sempre nel 2016 viene pubblicata la Direttiva NIS (Network e Infrastructure Security) che diventa un punto di riferimento nel panorama normativo europeo perché disegna alcuni punti di riferimento per la gestione di organizzazioni che svolgono servizi critici nell’ambito governativo. E poi nel 2019 arriva il Cybersecurity Act che ufficializza il ruolo di ENISA come Agenzia per la sicurezza europea e crea, per riflesso, in ogni Paese membro, una struttura simile e parallela.

Dal CyberSecurity Act nascono diversi decreti nazionali di attuazione che portano nel 2019, alla definizione del Perimetro Nazionale di Sicurezza Cibernetica, che ricomprende tutte le aziende che hanno una rilevanza per la vita del Governo e per la sopravvivenza del Paese. Pensiamo alla possibilità del Presidente del Consiglio di disattivare determinate funzionalità di Internet in caso di emergenza. Insomma, si comincia a creare effettivamente nella realtà un’infrastruttura del Paese deputata alla sicurezza delle informazioni e alla cybersecurity, come negli altri Paesi europei. Da lì vengono fatti ulteriori passi con la designazione dell’ACN (Agenzia per la Cybersicurezza Nazionale) e la realizzazione del CVCN (Centro di Valutazione e Certificazione Nazionale) che fa parte dell’Agenzia e che ricomprende quello che originariamente veniva fatto dall’Istituto Superiore per le Comunicazioni come organismo di certificazione nazionale.

 

E questo come si riflette sulle attività di Accredia?

Accredia opera da ormai quasi venti anni nel mercato della sicurezza informatica e delle informazioni per quanto riguarda l’ambito volontario. Infatti, proprio nel settore della sicurezza delle informazioni abbiamo oggi un numero importante di organismi accreditati, che certificano circa 4.200 aziende secondo lo standard UNI CEI EN ISO/IEC 27001. A essere certificata è la capacità delle organizzazioni di essere resilienti nei confronti delle possibili situazioni di attacco o di incidenti interni alle stesse. Il nostro lavoro è importante perché noi andiamo a creare nel tempo una consapevolezza di quello che è giusto e importante fare per evitare di creare o di subire danni a causa delle possibili minacce informatiche che arrivano dall’esterno ma che sono il frutto di errori commessi internamente.

Ciò detto, alcune attività di certificazione di prodotto verranno delegate dall’Unione europea all’ACN. Altre, invece, verranno svolte sulla base di un accreditamento e di una collaborazione fra l’Agenzia e Accredia. Compiti diversi, ma che concorrono alla creazione di competenze da parte di coloro che devono certificare, valutare software o dispositivi, in maniera tale che siano sempre più conformi e idonei alle esigenze di adeguatezza e di resilienza dei prodotti.

E’ importante che Accredia e l’ACN, lavorino a stretto contatto perché l’obiettivo comune è quello di creare un’infrastruttura nazionale di servizi digitali che sia utile al cittadino sì, ma che sia anche tale da dare delle garanzie al cittadino sul fronte della cybersecurity. Noi lavoriamo nell’interesse della pubblica utilità affinché il mercato digitale possa funzionare correttamente senza arrecare danni ai cittadini.

 

Il 14 novembre ci sarà per noi un importante evento. Presenteremo il nostro Osservatorio “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata”. Ma quale garanzia è per i consumatori avere prodotti, servizi e processi dell’Information technology che circolano sul mercato con un certificato europeo di cybersicurezza?

La risposta è già nella domanda perché un certificato, al di là del termine in sé, è un documento che serve ad attestare che un’organizzazione ha sviluppato e realizzato dei prodotti o dei servizi seguendo delle regole. Quando si parla di certificazione, si fa riferimento a un’attestazione che garantisce come persone competenti siano andate a verificare che un’organizzazione operi effettivamente per realizzare dei servizi e dei prodotti, che siano conformi a regole contrattuali oppure a disposizioni previste e normative di legge. Il che, detto così, sembra facile.

In realtà, significa andare a sviscerare come effettivamente questi prodotti e questi servizi possano dare delle garanzie nell’ambito della sicurezza e delle informazioni di corretto funzionamento di tutta l’infrastruttura. Pensiamo soltanto a Internet, quando mandiamo e-mail. Pensiamo a tutte le comunicazioni di dati e informazioni che avvengono. Pensiamo allo sviluppo della domotica con la quantità infinita di informazioni, anche personali, che, se correlate tra di loro, possono dire chi siamo, quali sono le nostre abitudini e quali sono anche le nostre credenze da diversi punti di vista.

Quindi, la certificazione a cosa serve? Serve a garantire che questi prodotti utilizzati, come dispositivi o software, tutelino al massimo, per quanto sia possibile e anche economicamente accettabile. Cosa vuol dire questo? Ci devono essere regole ben precise che diano delle garanzie. La certificazione è uno strumento di trasparenza perché permette a persone che hanno la competenza di valutare che un prodotto sia o non sia idoneo. Un riferimento importantissimo, come un faro nella notte per il navigante, perché ti permette di capire dove sei, cosa stai facendo e con quali strumenti.

 

La formazione è uno degli obiettivi della Strategia Nazionale di Cybersicurezza. In questa prospettiva, i sistemi di accreditamento e di certificazione di professionisti, laboratori e organismi di valutazione potranno facilitare il compito dell’Autorità nazionale e della Pubblica Amministrazione nella scelta di partner qualificati e conformi alle normative di riferimento. Puoi spiegarci come?

Le competenze sono indispensabili per capire quali partner scegliere. Ma la conoscenza è un qualcosa che si acquisisce seguendo dei percorsi, non  improvvisandosi. Allora, come possono intervenire l’accreditamento e la certificazione? La risposta è semplice e chi certifica non si inventa nulla di nuovo. Esiste infatti una struttura, un’infrastruttura nazionale, che è quella della normazione pronta a raccogliere tutte le indicazioni necessarie e a definire quali sono le competenze e le conoscenze necessarie alle figure professionali di riferimento.

Nel nostro Paese abbiamo delle competenze e delle capacità bellissime, apprezzate moltissimo nel mercato europeo. Ebbene, abbiamo creato degli standard che delineano esattamente quelle che sono le figure oggi necessarie. Ecco questa è la normazione. Poi c’è la certificazione, con organismi adeguatamente accreditati che vanno a valutare le competenze, rilasciando un certificato che attesta che a fronte di quello che il mercato richiede, c’è stato qualcuno che ha valutato il professionista interessato, riscontrando in lui le competenze richieste.

Questo semplifica la ricerca dei professionisti e permette anche all’organizzazione di poter definire internamente dei percorsi di crescita e di sviluppo delle professionalità non inventati. Questo perché non abbiamo soltanto i prodotti, o i servizi, non abbiamo solo le infrastrutture ma abbiamo anche le persone con competenze chiare e certificate. E tutto questo lo facciamo in un’ottica nuova, di utilità per il mercato. Ascoltando quello che ci viene richiesto dalle Autorità.

E, alla luce di queste norme, andare a valutare le persone che richiedono un’attestazione di professionalità, per dare una garanzia al mercato che questa professionalità esiste e che quindi ci si può fidare. Alla fine è sempre una questione di utilità e di ritorno di utilità, perché queste cose si potrebbero fare anche senza certificazione, senza norme e facendo per conto proprio. Ma con il rischio grossissimo di prendere degli abbagli e di fare dei danni.