Le imprese certificate per la sicurezza delle informazioni secondo la norma ISO/IEC 27001 sono più sicure rispetto alle non certificate, è quanto emerge dallo studio sul contributo dell’accreditamento alla cybersecurity nazionale presentato da Accredia insieme a Sapienza, CINI e Agenzia per la Cybersicurezza Nazionale (ACN).
L’Osservatorio Accredia “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata”, realizzato insieme al Cybersecurity National Lab del CINI, nell’ambito dell’Osservatorio congiunto “Cybersecurity e Certificazione” è stato presentato il 14 novembre scorso all’Università Sapienza di Roma.
Per valutare contributo e benefici della certificazione, sono state condotte due analisi: una di tipo qualitativo e una quantitativa. Dalla prima, che ha coinvolto alcune grandi aziende italiane, certificate per la sicurezza delle informazioni a norma UNI CEI EN ISO/IEC 27001, è emerso come lo sforzo di adeguare l’organizzazione alla certificazione abbia prodotto, nel medio e lungo periodo, un miglioramento profondo dei processi aziendali (omogeneizzazione, monitoraggio, valutazione delle prestazioni, auditing, ecc.) e una crescita della cultura della sicurezza, con benefici duraturi e non limitati alla migliore gestione del rischio informatico. La seconda analisi ha esaminato due campioni di organizzazioni pubbliche e private italiane, uno dotato di certificazione per la sicurezza delle informazioni UNI CEI EN ISO/IEC 27001 e l’altro di sola certificazione per la qualità UNI EN ISO 9001.
Da queste analisi è emerso che le aziende certificate per la sicurezza delle informazioni secondo la ISO/IEC 27001 dagli organismi accreditati sono meno esposte al rischio di attacchi cyber rispetto a quelle con la sola certificazione ISO 9001: delle 1.207 vulnerabilità sui servizi web riscontrate, 524 erano nel primo campione (43%) e 683 nel secondo (57%).
Oggi in Italia sono 3.474 le aziende dotate di certificazione ISO/IEC 27001 (cresciute del 21% in un anno) rilasciate dai 20 organismi di certificazione accreditati, oltre a 5 laboratori di prova, accreditati per eseguire vulnerability assessment e 687 i professionisti certificati come responsabili della protezione dei dati personali (DPO – Data Protection Officer).
Contesto
La Strategia UE per la Cybersecurity ha inteso garantire un Internet globale e aperto, individuando gli strumenti per tutelare la sicurezza dei diritti fondamentali. Obiettivo rafforzato dal Cybersecurity Act, attuato in Italia con il D.Lgs. 123/2022, e dalla Legge 109/2021, che ha definito l’architettura italiana di cybersicurezza e istituito l’Agenzia per la Cybersicurezza Nazionale (ACN). Un contesto in continua evoluzione, in cui l’accreditamento si afferma come strumento di garanzia per le Istituzioni e le imprese.
A questi temi Accredia ha dedicato il nuovo Osservatorio “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata”, realizzato con il Cybersecurity National Lab del Consorzio Interuniversitario Nazionale per l’Informatica (CINI).
Sito internet: Accredia
Per approfondire