IMQ GroupIMQ Group
Testing • Inspection • Certification
Cerca

Cyber security: perché certificare alti standard di tutela dei dati è diventato fondamentale

IMQ, unico organismo italiano che offre una visione d’insieme sulla sicurezza ICT, sottolinea l’importanza di un’azione aziendale coerente e globale


 

IMMAGINE_sito_cyber

Il progressivo e costante diffondersi dell’Internet of Things ha cambiato il concetto di sicurezza informatica aumentando esponenzialmente la superficie virtuale esposta agli attacchi e generando nuove sfide per la cyber security.

IMQ, principale ente italiano nel settore della valutazione di conformità, è l’unico organismo italiano in grado di garantire una visione d’insieme delle problematiche di qualità e sicurezza ICT assicurando una logica ed una coerenza di intervento unica nel suo genere.

Lo stato dell’arte: cyber security in Italia

La cyber security è un valore economico quantificabile: secondo il report delll'Osservatorio Polimi, questo valore ha raggiunto un miliardo di euro, con una crescita di investimenti del 5% l'anno. A spendere sono però per il 74% le grandi imprese, mentre le Pmi rimangono minoritarie. Inoltre solo il 39% delle grandi imprese ha un piano di investimento con orizzonte pluriennale e solo il 46% ha in organico in modo formalizzato la figura del Chief Information Security Officer, il profilo direzionale a capo della sicurezza, a testimonianza di un ritardo delle imprese nella gestione di sicurezza e privacy.

D’altra parte, all’interno delle aziende il turnover di professionisti e dipendenti che hanno accesso a tutte le risorse del sistema informatico è spesso elevato. I documenti vengono frequentemente salvati sui device mobili personali e rimangono in possesso dei dipendenti anche dopo che hanno lasciato l’ufficio: antivirus e firewall non costituiscono più armi sufficienti per combattere questo tipo di fuga di informazioni poiché non possono bloccare l’utilizzo e la diffusione di documenti sensibili da parte degli utenti. I dispositivi mobile e il cloud computing giocano un ruolo importantissimo: vista la loro portabilità sono oggetto di furti e dimenticanze che mettono in crisi la riservatezza dell’azienda e dei suoi documenti.

Cosa si può fare per migliorare la cyber security

Uno strumento utile per migliorare la cyber security è rappresentato dalle numerose certificazioni disponibili per il settore IT con i conseguenti vantaggi derivanti. “L’elemento più importante è un’azione strategica coerente e globale, in grado di coinvolgere l’azienda a tutti i livelli e in tutti i reparti” afferma Flavio Ornago, direttore Business Unit Sistemi di Gestione di IMQ. “La certificazione di standard elevati di sicurezza informatica, per un’azienda, non rappresenta soltanto una tutela per i propri dati riservati, sensibili o critici per il proprio business, ma una garanzia offerta ai propri utenti/clienti di preservare al meglio la riservatezza di ogni dato raccolto”.

 

LE PRINCIPALI CERTIFICAZIONI DISPONIBILI

Business continuity. Si tratta di un processo aziendale che coinvolge procedure, persone, server, storage, software, connettività. Con l’avvento sempre più pervasivo della tecnologia e la crescita esponenziale dell’automazione dei processi, per un’azienda che voglia essere realmente resiliente è diventato ormai indispensabile progettare e implementare tutte le misure finalizzate a garantire la sostenibilità e il recupero di tutti i processi, centri di elaborazione, connettività, risorse umane e organizzazione: prevenire è meglio che curare. Proteggere la propria organizzazione e garantire la capacità di reagire agli incidenti, rispondere alle emergenze e alle calamità, aver valutato in modo adeguato tutte le minacce e sviluppato un piano d’emergenza. Riconsiderare la propria infrastruttura tecnologica, i processi, la formazione del personale, gli accordi con partner/fornitori, consente di individuare opportunità di miglioramento anche nella normale operatività.

EIDAS. Per migliorare la fiducia delle Pmi e dei consumatori, la pubblicazione del Regolamento UE 910/2014 “eIDAS" (Electronic IDentification Authentication and Signature) rappresenta la base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni e ha l’obiettivo di agevolare l’uso transfrontaliero dei mezzi di identificazione elettronica dei singoli Stati membri dell’Unione Europea e lo sviluppo delle transazioni digitali. Le stesse aziende hanno riconosciuto che l’aspetto normativo è una delle spinte principali per l’investimento in cyber security.. Il Regolamento UE 910/2014, noto come Regolamento eIDAS [electronic IDentification Authentication and Signature], prevede espressamente il coinvolgimento di CAB accreditati secondo il Regolamento UE 765/2008, per la qualifica degli operatori di servizi fiduciari (TSP o Trust Service Providers) e dei servizi fiduciari da essi prestati. Tale attività di qualifica è demandata alle autorità governative di ogni singolo Paese UE, ove queste siano esistenti e interessate, nonché notificate alla Commissione Europea dal proprio Paese. Tali autorità governative (in Italia AGID), sono chiamate anche allo svolgimento di attività di vigilanza periodiche o a seguito di segnalazioni di gravi problemi, proprio sui Prestatori di servizi fiduciari. Tale sorveglianza, in condizioni normali, si basa su specifiche verifiche biennali, da eseguire in campo, da parte degli Organismi di Certificazione - OdC (o anche Conformity Assessment Body – CAB) accreditati per questo schema. Certificazioni rilasciate a Trust Service Provider:

Conservazione digitale a norma. Le esigenze da parte delle PP.AA. di conservazione a norma dei documenti informatici (ad es. fatturazione elettronica e protocollazione digitale) si estenderanno a nuovi ambiti di applicazione, in quanto la normativa vigente prevede che entro tempi brevissimi la P.A. formi i propri documenti solo in digitale. Per la conservazione dei documenti cartacei successivamente digitalizzati, nonché per quelli nativi digitali, sarà necessario un adeguato dimensionamento dei relativi servizi di conservazione. Tali servizi di tipo informatico, che le PA possono attivare anche internamente, già da oggi sono offerti anche da soggetti privati e pubblici, i cosiddetti Conservatori accreditati da AgID. I soggetti che intendono accreditarsi presso AgID nel ruolo di Conservatori devono dimostrare il possesso dei requisiti stabiliti dalle norme specifiche attraverso la presentazione di documenti e certificazioni tra i quali, dopo l’entrata in vigore del Codice dell’Amministrazione Digitale (CAD-d.lgs n. 179 del 2016), è compreso anche un certificato di conformità ai requisiti tecnici organizzativi stabiliti dall’AgID, rilasciato da un ente di certificazione accreditato da ACCREDIA.

SPID. SPID è il "Sistema Pubblico per la gestione dell’Identità Digitale", strumento predisposto in conformità al Regolamento eIDAS. Si tratta di un sistema aperto attraverso il quale soggetti pubblici e privati - previo accreditamento da parte di AGID - possono offrire servizi di identificazione elettronica a cittadini e imprese. Con l'istituzione di SPID le PP.AA. potranno consentire l'accesso in rete ai propri servizi, oltre che con lo stesso SPID, solo mediante la carta d'identità elettronica e la carta nazionale dei servizi.

VA-PT. Attività eseguite al fine di valutare la sicurezza di un’infrastruttura IT, o di parte di essa, fornendo un’indicazione dell’impatto sul business e opportuni suggerimenti relativi al piano di rientro, secondo i principali standard e best practice (elenco esemplificativo e non esaustivo): - OWASP v3 per le analisi su applicativi web - ISECOM OSSTMM 3.0 per alcune verifiche di sicurezza - NIST CSRC indicante best practice attività sicurezza IT Il Vulnerability Assessment è un processo volto a fotografare il livello di sicurezza dei sistemi e dei servizi, mediante l’individuazione di errate configurazioni, vulnerabilità note, errata gestione delle credenziali, inefficacia del processo di patch management. Il Penetration Test è un processo di test e verifica dei sistemi e dei servizi informativi che simula il comportamento di un vero attaccante sia esso una persona fisica (hacker) o un worm che cerca di entrare in un sistema per manometterlo, sottrarre informazioni, causare malfunzionamenti.

 

CREDENZIALI IMQ

IMQ è l’unico organismo italiano a:

  • disporre di un proprio Laboratorio di Valutazione della Sicurezza ICT (LVS) accreditato secondo la ISO 17025 dall’OCSI (Organismo di Certificazione della Sicurezza Informatica) e Centro di Valutazione (CEVA) accreditato da DIS/UCSe ad operare valutazioni formali di sicurezza secondo i Common Criteria (ISO/IEC 15408), riconosciute a livello internazionale. Sia all’interno di processi di valutazione formale che come attività separata, il personale del LVS/CEVA conduce attività di Vulnerability Assessment e Penetration Test (VA-PT);
  • essere accreditato da ACCREDIA come organismo di certificazione di sistemi di gestione secondo gli standard ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1 (ambiti per i quali ha rilasciato più di 10.000 certificati) e a rilasciare certificazioni secondo lo standard ISO/IEC 22301;
  • essere accreditato da ACCREDIA come Conformity Assessment Body (CAB) per il rilascio di certificazioni dei servizi erogati in ambito EIDAS;
  • a operare in ambito di certificazione della conservazione digitale e SPID - Sistema Pubblico di Identità Digitale (accreditamento per il rilascio dei certificati in corso).
  •