Le organizzazioni che rispettano lo standard ISO/IEC 27001 sono un 23% meno esposte ad attacchi informatici rispetto a quelle non certificate. Scopri perché!
La certificazione per la sicurezza delle informazioni gestite in azienda funziona. Questa è la conclusione di Accredia sul contributo dell’accreditamento e delle certificazioni alla cybersecurity nazionale, per cui ha pubblicato un Osservatorio sulla gestione del rischio informatico con tutti i dettagli.
Le organizzazioni (pubbliche o private) ad avere la certificazione ISO/IEC 27001 in Italia sono circa 3500 e queste sono un 23% meno esposte ad attacchi informatici rispetto a quelle che rispettano solo lo standard ISO 9001 (uno standard meno specifico sulla qualità aziendale).
Ma cosa rappresentano questi numeri e cosa significa davvero “meno esposte”? In questo post parliamo delle certificazioni di cybersicurezza, dello studio di Accredia sulla loro efficacia e sull’importanza della loro diffusione. Continua a leggere!
Lo standard ISO/IEC 27001 per la cybersecurity comprende molte norme e linee guida, tra cui 133 controlli interni con i relativi obiettivi.
La certificazione di cybersecurity
Di certificazioni e corsi di cybersecurity ne esistono tanti, ma solo alcuni sono riconosciuti a livello ufficiale e pubblico. Di questo si occupa Accredia, l’ente nazionale designato dal governo italiano per accreditare le aziende che verificano e assegnano le certificazioni (di molti ambiti e non solo di sicurezza informatica).
Per quanto riguarda la cybersecurity, la norma internazionale di riferimento è lo standard ISO/IEC 27001, che contiene le linee guide per implementare e utilizzare un sistema di gestione della sicurezza delle informazioni (SGSI).
Questa norma risale al 2005, ma è stata ampliata e corretta più volte, fino ad arrivare alla sua ultima versione del 2017. Si tratta di uno standard ampio e complesso, che prevede molte norme per:
- Pianificazione e progettazione
- Implementazione
- Monitoraggio
- Mantenimento e miglioramento
Tra le varie cose, lo standard per la cybersecurity comprende 133 controlli di vario tipo (anche fisici) che l’organizzazione deve realizzare e superare per soddisfare i requisiti normativi.
LEGGI ANCHE: La tecnologia del futuro e le nuove minacce informatiche
Lo studio di Accredia e Cini
Accredia, insieme al Cini (Consorzio Interuniversitario Nazionale per l’Informatica), ha pubblicato l’Osservatorio “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata” (puoi scaricare vari documenti dell’Osservatorio, tra cui il quaderno e la presentazione).
L’Osservatorio, pubblicato in occasione di un convegno che si è tenuto a fine novembre, ha fatto il punto sull’efficacia delle certificazioni accreditate. In particolare, lo studio ha interessato le aziende in possesso della certificazione ISO/IEC 27001, che sono state confrontate con quelle in possesso dell’ISO 9001. I risultati principali sono 2, uno quantitativo e l’altro qualitativo:
- Le aziende certificate ISO/IEC 27001 sono un 23% meno esposte ad attacchi informatici.
- Le attività svolte dall’organizzazione per ottenere la certificazione migliorano la cultura aziendale di cybersecurity e i processi aziendali in generale, come il monitoraggio, la valutazione degli obiettivi e così via.
Secondo Accredia e il CINI, quindi, le certificazioni di sicurezza dei dati contribuiscono a rendere a rendere più sicure le organizzazioni e a migliorarne i processi interni, il che indirettamente incide ulteriormente sulla sicurezza della loro infrastruttura informatica.
Le aziende certificate sono ancora pochissime, circa 3500, ma sono aumentate del 21% dall’anno scorso.
Le conclusioni sulla certificazione per le aziende
Leggendo l’Osservatorio pubblicato da Accredia saltano all’occhio alcune cose, alcune positive e altre meno:
- L’applicazione dei controlli e degli standard di sicurezza riduce il numero di vulnerabilità a cui è esposta l’organizzazione e la rende più cosciente del proprio perimetro di sicurezza e dei propri punti deboli.
- Le aziende accreditate sono ancora pochissime, anche se sono aumentate del 21% su base annua.
- L’impatto della certificazione ISO/IEC 27001 è stato valutato in base ad alcuni parametri discutibili, come l’aggiornamento del CMS aziendale (l’azienda è considerata meno esposta ad attacchi informatici se utilizza la versione più recente del CMS).
- Manca una misurazione dell’impatto sulle organizzazioni, ad esempio sui costi degli attacchi informatici e sull’immagine aziendale (la parte qualitativa dello studio suggerisce che sia alto ed eterogeneo).
Nei documenti e nelle dichiarazioni di Accredia si leggono anche molte dichiarazioni e riflessioni sul futuro delle certificazioni e della cybersecurity, tutte condivisibili. In particolare, siamo d’accordo sull’opinione di Accredia riguardo alla certificazione delle competenze professionali.
Come è stato sottolineato in più occasioni, mancano professionisti di sicurezza informatica (stimati 100.000), senza i quali il settore non può crescere e le organizzazioni italiane, pubbliche o private che siano, non sono in grado di rispondere alle sfide di cybersecurity odierne.
Questa mancanza di talenti è probabilmente uno dei motivi principali per cui le aziende certificate sono ancora così poche, insieme al divario tra l’importanza della cybersecurity e il peso che le viene dato da privati e aziende.
CONTINUA A LEGGERE: Cos’è il PNRR, tra digitale e cybersecurity
Buona navigazione e buona certificazione per la sicurezza dei dati!