Le aziende con certificazione per la sicurezza dei dati sono meno esposte agli attacchi informatici

Le organizzazioni che rispettano lo standard ISO/IEC 27001 sono un 23% meno esposte ad attacchi informatici rispetto a quelle non certificate. Scopri perché!

La certificazione per la sicurezza delle informazioni gestite in azienda funziona. Questa è la conclusione di Accredia sul contributo dell’accreditamento e delle certificazioni alla cybersecurity nazionale, per cui ha pubblicato un Osservatorio sulla gestione del rischio informatico con tutti i dettagli.

Le organizzazioni (pubbliche o private) ad avere la certificazione ISO/IEC 27001 in Italia sono circa 3500 e queste sono un 23% meno esposte ad attacchi informatici rispetto a quelle che rispettano solo lo standard ISO 9001 (uno standard meno specifico sulla qualità aziendale).

Ma cosa rappresentano questi numeri e cosa significa davvero “meno esposte”? In questo post parliamo delle certificazioni di cybersicurezza, dello studio di Accredia sulla loro efficacia e sull’importanza della loro diffusione. Continua a leggere!

Lo standard ISO/IEC 27001 per la cybersecurity comprende molte norme e linee guida, tra cui 133 controlli interni con i relativi obiettivi.

La certificazione di cybersecurity

Di certificazioni e corsi di cybersecurity ne esistono tanti, ma solo alcuni sono riconosciuti a livello ufficiale e pubblico. Di questo si occupa Accredia, l’ente nazionale designato dal governo italiano per accreditare le aziende che verificano e assegnano le certificazioni (di molti ambiti e non solo di sicurezza informatica).

Per quanto riguarda la cybersecurity, la norma internazionale di riferimento è lo standard ISO/IEC 27001, che contiene le linee guide per implementare e utilizzare un sistema di gestione della sicurezza delle informazioni (SGSI).

Questa norma risale al 2005, ma è stata ampliata e corretta più volte, fino ad arrivare alla sua ultima versione del 2017. Si tratta di uno standard ampio e complesso, che prevede molte norme per:

• Pianificazione e progettazione
• Implementazione
• Monitoraggio
• Mantenimento e miglioramento

Tra le varie cose, lo standard per la cybersecurity comprende 133 controlli di vario tipo (anche fisici) che l’organizzazione deve realizzare e superare per soddisfare i requisiti normativi.

LEGGI ANCHE: La tecnologia del futuro e le nuove minacce informatiche

Lo studio di Accredia e Cini

Accredia, insieme al Cini (Consorzio Interuniversitario Nazionale per l’Informatica), ha pubblicato l’Osservatorio “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata” (puoi scaricare vari documenti dell’Osservatorio, tra cui il quaderno e la presentazione).

L’Osservatorio, pubblicato in occasione di un convegno che si è tenuto a fine novembre, ha fatto il punto sull’efficacia delle certificazioni accreditate. In particolare, lo studio ha interessato le aziende in possesso della certificazione ISO/IEC 27001, che sono state confrontate con quelle in possesso dell’ISO 9001. I risultati principali sono 2, uno quantitativo e l’altro qualitativo:

1. Le aziende certificate ISO/IEC 27001 sono un 23% meno esposte ad attacchi informatici.
2. Le attività svolte dall’organizzazione per ottenere la certificazione migliorano la cultura aziendale di cybersecurity e i processi aziendali in generale, come il monitoraggio, la valutazione degli obiettivi e così via.

Secondo Accredia e il CINI, quindi, le certificazioni di sicurezza dei dati contribuiscono a rendere a rendere più sicure le organizzazioni e a migliorarne i processi interni, il che indirettamente incide ulteriormente sulla sicurezza della loro infrastruttura informatica.

Le aziende certificate sono ancora pochissime, circa 3500, ma sono aumentate del 21% dall’anno scorso.

Le conclusioni sulla certificazione per le aziende

Leggendo l’Osservatorio pubblicato da Accredia saltano all’occhio alcune cose, alcune positive e altre meno:

• L’applicazione dei controlli e degli standard di sicurezza riduce il numero di vulnerabilità a cui è esposta l’organizzazione e la rende più cosciente del proprio perimetro di sicurezza e dei propri punti deboli.
• Le aziende accreditate sono ancora pochissime, anche se sono aumentate del 21% su base annua.
• L’impatto della certificazione ISO/IEC 27001 è stato valutato in base ad alcuni parametri discutibili, come l’aggiornamento del CMS aziendale (l’azienda è considerata meno esposta ad attacchi informatici se utilizza la versione più recente del CMS).
• Manca una misurazione dell’impatto sulle organizzazioni, ad esempio sui costi degli attacchi informatici e sull’immagine aziendale (la parte qualitativa dello studio suggerisce che sia alto ed eterogeneo).

Nei documenti e nelle dichiarazioni di Accredia si leggono anche molte dichiarazioni e riflessioni sul futuro delle certificazioni e della cybersecurity, tutte condivisibili. In particolare, siamo d’accordo sull’opinione di Accredia riguardo alla certificazione delle competenze professionali.

Come è stato sottolineato in più occasioni, mancano professionisti di sicurezza informatica (stimati 100.000), senza i quali il settore non può crescere e le organizzazioni italiane, pubbliche o private che siano, non sono in grado di rispondere alle sfide di cybersecurity odierne.

Questa mancanza di talenti è probabilmente uno dei motivi principali per cui le aziende certificate sono ancora così poche, insieme al divario tra l’importanza della cybersecurity e il peso che le viene dato da privati e aziende.

CONTINUA A LEGGERE: Cos’è il PNRR, tra digitale e cybersecurity

Buona navigazione e buona certificazione per la sicurezza dei dati!