Ormai diffusa anche tra imprese e Istituzioni, è crescente la consapevolezza dell’impatto che il rischio cibernetico può avere per le attività produttive e per i cittadini. Solo nel 2021 gli attacchi informatici nel mondo sono aumentati del 10% rispetto all’anno precedente (Rapporto Clusit) e le nuove modalità di attacco si sono dimostrate più sofisticate rispetto al passato. Non sorprende quindi che la cybersecurity abbia assunto un ruolo di primo piano nell’agenda di governi, istituzioni e aziende, rientrando tra le principali priorità dei paesi dell’Unione europea.
In questo quadro è importante impostare un’azione di preparazione agli attacchi, ma anche di capacità di rilevamento, contenimento e risposta, la cui efficacia dipende dal tipo di approccio al tema della cybersecurity. Una strategia “di sistema”, che coinvolga i diversi comparti della società e del mondo produttivo è certamente più in grado di mitigare il rischio cibernetico e di migliorare la postura di sicurezza di imprese e Pubbliche Amministrazioni.
In questo, la conformità rispetto a standard tecnici e normative, contribuisce significativamente alla definizione e pianificazione di strategie efficaci di cybersecurity. Ma la conformità a standard significa anche capacità di poter dimostrare, attraverso riferimenti obiettivi, la bontà delle proprie strategie di fronte a terzi. Quest’ultimo aspetto poggia sull’imparzialità, competenza e indipendenza dei soggetti accreditati che emettono le valutazioni di conformità. Il contributo dei servizi accreditati forniti dagli organismi di certificazione e ispezione e dai laboratori di prova nella mitigazione del rischio è, in questo senso, significativo.
Lo studio dell’Osservatorio Accredia “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata” si sofferma in particolare sul beneficio legato al possesso di un sistema di gestione per la sicurezza delle informazioni certificato sotto accreditamento per la norma UNI CEI EN ISO/IEC 27001. Lo studio si basa su due metodologie di analisi complementari:
- La prima basata sull’analisi di casi di studio selezionati che ha condotto alla definizione di una serie di indicazioni qualitative legate al beneficio derivante dall’ottenimento e mantenimento di una certificazione accreditata per la UNI CEI EN ISO/IEC 27001
- La seconda basata su attività di analisi delle vulnerabilità dei servizi web esposti da un vasto campione di organizzazioni, con la messa in relazione degli esiti di tale analisi rispetto al possesso (e meno) di una certificazione accreditata per la norma UNI CEI EN ISO/IEC 27001.
Analisi qualitativa
L’analisi dei casi di studio ha consentito di tracciare alcuni elementi generali legati al processo di certificazione dei sistemi di gestione. In particolare è emerso come i benefici legati all’ottenimento di una certificazione accreditata secondo la norma UNI CEI EN ISO/IEC 17021 non siano immediati ma perdurino nel tempo.
- La certificazione accreditata alimenta un miglioramento generalizzato della postura di sicurezza delle organizzazioni che ha a che fare con un maggiore livello di consapevolezza sulla necessità di ridurre quanto più possibile le occasioni di attacco da parte dei cybercriminali.
- le imprese intervistate hanno confermato un beneficio, già rilevato in altre analisi condotte su ambiti diversi, legato al fatto che la certificazione di un sistema di gestione è un elemento facilitatore per la conformità rispetto alla normativa di riferimento.
- Un sistema di gestione può contribuire positivamente alla vita dell’organizzazione attraverso una omogeneizzazione dei processi di monitoraggio e miglioramento degli stessi, di valutazione delle prestazioni e di auditing indipendenti che permettono all’organizzazione di gestire in modo ragionato e coerente criticità, incidenti e futuri adeguamenti.
Analisi quantitativa
Le attività di analisi quantitativa – pur non rappresentando una valutazione esaustiva dello stato di sicurezza di un’organizzazione – hanno confermato una migliore postura di sicurezza delle organizzazioni con una certificazione accreditata per la UNI CEI EN ISO/IEC 27001. In generale, le organizzazioni certificate sono meno suscettibili a gravi vulnerabilità di sicurezza: l’attività di analisi dei siti web pubblici di un campione selezionato di imprese certificate ha permesso di individuare 1.207 vulnerabilità sui 100 siti web oggetto di analisi, di cui 524 (43%) nel campione certificato UNI CEI EN ISO/IEC 27001.
Le vulnerabilità sono concentrate in aziende residenti nel Sud e Isole, mentre le regioni del Nord concentrano in totale il 17% delle vulnerabilità rilevate.
Le ulteriori analisi condotte (relative all’utilizzo del protocollo HTTPS e al Content Management System – CMS) hanno confermato una minore esposizione al rischio informatico delle aziende certificate UNI CEI EN ISO/IEC 27001.