La sicurezza informatica è un’attività essenziale per assicurare la continuità operativa delle organizzazioni e tutelare imprese e consumatori. Le minacce informatiche, come attacchi ransomware, phishing e violazioni dei dati, possono avere conseguenze molto gravi per entrambi.
Tipicamente, la minaccia cibernetica agisce seguendo due direttrici principali.
Durante lo scorso anno i conflitti Russo-Ucraino e Israelo-Palestinese hanno motivato la crescita di attacchi con finalità di spionaggio, in particolare verso infrastrutture critiche e soggetti pubblici.
Nel 2023, si è registrata anche una seconda tipologia di attacco, finalizzata al furto di identità e/o credenziali, messe in vendita su portali e forum dedicati del deep e dark web. Si tratta di attacchi condotti per finalità economiche verso il settore privato. Le imprese sono da molti anni bersagli potenziali per l’elevato valore dei dati in loro possesso: dati sensibili relativi ai loro clienti, alle proprie dotazioni, a brevetti e altre attività immateriali.
Le azioni di contrasto al rischio cibernetico, necessarie in questo contesto, rischiano tuttavia di essere inefficaci se non inquadrate in un contesto aziendale in cui la consapevolezza dei rischi sia presente a tutti i livelli, dalla governance alle operations.
La consapevolezza dei rischi tra le imprese
In questo senso è importante rilevare che la consapevolezza dei rischi è ormai largamente diffusa tra le imprese, sebbene in misura diversa tra classi dimensionali e aree geografiche, come evidenzia la “Relazione annuale 2023 sulla politica dell’informazione per la sicurezza” della Presidenza del Consiglio dei Ministri.
Il recente studio di Banca d’Italia “La sicurezza cibernetica delle imprese italiane: percezione dei rischi e pratiche di mitigazione” approfondisce il tema della consapevolezza del settore privato rispetto ai rischi cibernetici e le misure di contrasto e mitigazione promosse.
In particolare viene evidenziato come il rischio percepito dalle imprese dipenda – come era logico attendersi – da una componente ambientale (ovvero l’operare in settori più rischiosi) e dal perimetro di esposizione dell’impresa stessa. Attraverso la quota di investimenti in tecnologie avanzate sul totale degli investimenti lo studio cerca di evidenziare la dimensione del rischio specifica della singola impresa, supponendo che una maggiore dotazione di asset tecnologici allarghi la superficie di esposizione al rischio.
Dalla percezione all’azione concreta
La consapevolezza dichiarata dalle imprese non sempre tuttavia si traduce nell’adozione di azioni concrete, segnatamente nelle aziende di minori dimensioni. E’ quindi è lecito chiedersi fino a che punto le imprese trasformano la percezione o la consapevolezza del rischio in azioni concrete, come aumentare la spesa o dotarsi di una funzione dedicata alla sicurezza cibernetica?
L’occorrenza di un attacco informatico ha certamente un effetto statisticamente significativo sugli investimenti in sicurezza. Dai dati raccolti da Banca d’Italia risulta che le imprese che hanno subito un attacco nel periodo 2016-2020 hanno sostenuto nel biennio 2021-2022 una spesa per tutelarsi dagli attacchi maggiore di quelle che non ne hanno subiti. Tuttavia la spesa per l’acquisizione di presidi contro la minaccia cyber continua a essere piuttosto contenuta.
Inoltre più di un terzo delle aziende continua a non avere una funzione aziendale dedicata, né interna né esterna. Dai dati raccolti presso le imprese, emerge infatti come, nel complesso, più di un terzo di queste non sia dotata di una funzione aziendale dedicata alla sicurezza cibernetica e alla continuità operativa. Anche in questo caso l’essere già stata oggetto o meno di un attacco influisce positivamente con la decisione di dotarsi di una funzione dedicata.
La spesa in sicurezza informatica dovrebbe essere però un investimento preventivo che le imprese sostengono per proteggere i propri asset e mantenere la fiducia dei clienti e dei partner commerciali. In un contesto in cui la fiducia è un elemento chiave per il successo aziendale, poter dimostrare un impegno concreto verso la protezione delle informazioni può rappresentare inoltre una leva competitiva.
I vantaggi delle certificazioni accreditate per la cybersecurity
Le certificazioni accreditate, come quelle a norma ISO/IEC 27001, giocano un ruolo cruciale in questo, agendo direttamente sulla consapevolezza dei rischi nelle organizzazioni e, in definitiva, rafforzandone la sicurezza informatica. La ISO/IEC 27001 è uno standard internazionale che definisce i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS). Questa norma fornisce un approccio sistemico per gestire le informazioni sensibili, garantendo che siano protette in modo adeguato.
Il processo di certificazione prevede diverse fasi, la prima e più importante delle quali è una valutazione del contesto interno ed esterno, da cui discendono l’analisi dei rischi e l’implementazione di controlli operativi per mitigare tali rischi. Questo approccio sistemico aiuta le organizzazioni a identificare e gestire le minacce in modo proattivo, migliorando la loro resilienza agli attacchi informatici, mitigando il rischio. Le verifiche periodiche da parte di organismi di certificazione accreditati presso le organizzazioni assicurano il mantenimento nel tempo degli standard richiesti.
Ottenere una certificazione accreditata come la ISO/IEC 27001 migliora la postura di sicurezza delle organizzazioni, rendendole meno suscettibili a vulnerabilità e attacchi informatici. È dimostrato, ad esempio, che le organizzazioni certificate secondo la ISO/IEC 27001 abbiano configurazioni di sicurezza relativamente ai propri siti web, una delle principali porte di accesso per gli attaccanti, più robuste rispetto a quelle in possesso di una certificazione ISO 9001.
In secondo luogo, le certificazioni accreditate facilitano la conformità alle normative vigenti e rappresentano uno strumento utilissimo ad evitare sanzioni e danni reputazionali.
Le imprese italiane certificate per la cybersecurity
I dati raccolti e sistematizzati nelle banche dati Accredia consentono di monitorare l’andamento mensile delle certificazioni accreditate dei sistemi di gestione. La crescente attenzione delle organizzazioni verso il rischio informatico ha portato a un aumento deciso del numero di certificazioni accreditate in schemi specializzati in tale ambito:
- ISO 22301 “Societal security – Business continuity management systems – Requirements”
- UNI CEI EN ISO/IEC 27001 “Sicurezza delle informazioni, cybersecurity e protezione della privacy – Sistemi di gestione per la sicurezza delle informazioni – Requisiti”
- UNI CEI ISO/IEC 20000-1 “Tecnologie informatiche – Gestione del servizio – Parte 1: Requisiti per un sistema di gestione del servizio”.
L’investimento in sicurezza cresce diffusamente in tutte le regioni italiane, rispetto a una media del 34%.
La diffusione di strumenti di consapevolezza così importanti per la mitigazione del rischio è una chiara indicazione di una diversa percezione dell’investimento in sicurezza. Non più percepito come spesa improduttiva, appannaggio solo delle grandi imprese, ma leva competitiva e segno distintivo di un atteggiamento prudente e attento alla tutela dei dati e della loro riservatezza.
Le certificazioni e le prove accreditate per la cybersecurity
Gli schemi di accreditamento e i servizi di valutazione della conformità disponibili nel mercato in ambito cybersecurity sono però diversi e vanno dalla certificazione di sistemi di gestione, prodotti e persone, alle attività dei laboratori accreditati per eseguire prove di vulnerability assessment. È un panorama di servizi ampio e variegato, basato sulla competenza e terzietà garantite dall’accreditamento.