Cyber security: perché certificare alti standard di tutela dei dati è diventato fondamentale

IMQ -

Solo il 46% delle aziende italiane ha in organico la figura del Chief Information Security Officer

Il progressivo e costante diffondersi dell’Internet of Things ha cambiato il concetto di sicurezza informatica aumentando esponenzialmente la superficie virtuale esposta agli attacchi e generando nuove sfide per la cyber security. IMQ, principale ente italiano nel settore della valutazione di conformità, è l’unico organismo italiano in grado di garantire una visione d’insieme delle problematiche di qualità e sicurezza ICT assicurando una logica ed una coerenza di intervento unica nel suo genere.

Lo stato dell’arte: cyber security in Italia
La cyber security è un valore economico quantificabile: secondo il report delll’Osservatorio Polimi, questo valore ha raggiunto un miliardo di euro, con una crescita di investimenti del 5% l’anno. A spendere sono però per il 74% le grandi imprese, mentre le Pmi rimangono minoritarie. Inoltre solo il 39% delle grandi imprese ha un piano di investimento con orizzonte pluriennale e solo il 46% ha in organico in modo formalizzato la figura del Chief Information Security Officer, il profilo direzionale a capo della sicurezza, a testimonianza di un ritardo delle imprese nella gestione di sicurezza e privacy.

D’altra parte, all’interno delle aziende il turnover di professionisti e dipendenti che hanno accesso a tutte le risorse del sistema informatico è spesso elevato. I documenti vengono frequentemente salvati sui device mobili personali e rimangono in possesso dei dipendenti anche dopo che hanno lasciato l’ufficio: antivirus e firewall non costituiscono più armi sufficienti per combattere questo tipo di fuga di informazioni poiché non possono bloccare l’utilizzo e la diffusione di documenti sensibili da parte degli utenti. I dispositivi mobile e il cloud computing giocano un ruolo importantissimo: vista la loro portabilità sono oggetto di furti e dimenticanze che mettono in crisi la riservatezza dell’azienda e dei suoi documenti.

Cosa si può fare per migliorare la cyber security
Uno strumento utile per migliorare la cyber security è rappresentato dalle numerose certificazioni disponibili per il settore IT con i conseguenti vantaggi derivanti.
“L’elemento più importante è un’azione strategica coerente e globale, in grado di coinvolgere l’azienda a tutti i livelli e in tutti i reparti” afferma Flavio Ornago, direttore Business Unit Sistemi di Gestione di IMQ. “La certificazione di standard elevati di sicurezza informatica, per un’azienda, non rappresenta soltanto una tutela per i propri dati riservati, sensibili o critici per il proprio business, ma una garanzia offerta ai propri utenti/clienti di preservare al meglio la riservatezza di ogni dato raccolto”.

Le principali certificazioni disponibili
Business continuity: proteggere la propria organizzazione e garantire la capacità di reagire agli incidenti, rispondere alle emergenze e alle calamità, aver valutato in modo adeguato tutte le minacce e sviluppato un piano d’emergenza.
EIDAS. Per migliorare la fiducia delle Pmi e dei consumatori, la pubblicazione del Regolamento UE 910/2014 “eIDAS” (Electronic IDentification Authentication and Signature) rappresenta la base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni
Conservazione digitale a norma: Le esigenze della PA di conservazione a norma dei documenti informatici si estenderanno a nuovi ambiti di applicazione, in quanto la normativa vigente prevede che entro tempi brevissimi la PA formi i propri documenti solo in digitale.
SPID: SPID è il “Sistema Pubblico per la gestione dell’Identità Digitale”, strumento predisposto in conformità al Regolamento eIDAS. Si tratta di un sistema aperto attraverso il quale soggetti pubblici e privati – previo accreditamento da parte di AGID – possono offrire servizi di identificazione elettronica a cittadini e imprese.
VA-PT: Attività eseguite al fine di valutare la sicurezza di un’infrastruttura IT fornendo un’indicazione dell’impatto sul business e opportuni suggerimenti relativi al piano di rientro, secondo i principali standard e best practice.