L’attenzione al tema della cyber security non è ancora sufficientemente alta: se è vero, come certifica il report dell’Osservatorio Polimi, che la spesa ha raggiunto il miliardo di euro, con una crescita di investimenti del 5% l’anno, è anche vero che a spendere sono per il 74% le grandi imprese, mentre le Pmi restano minoritarie. E anche limitandosi alle grandi imprese, solo il 39% ha un piano di investimento con orizzonte pluriennale e solo il 46% ha in organico in modo formalizzato la figura del Chief Information Security Officer, il profilo direzionale a capo della sicurezza.
Indice degli argomenti
Perché è utile la certificazione
Uno strumento utile per migliorare la cyber security è rappresentato dalle numerose certificazioni disponibili per il settore IT con i conseguenti vantaggi derivanti. “L’elemento più importante è un’azione strategica coerente e globale, in grado di coinvolgere l’azienda a tutti i livelli e in tutti i reparti”, spiega Flavio Ornago, direttore Business Unit Sistemi di Gestione di IMQ. “La certificazione di standard elevati di sicurezza informatica, per un’azienda, non rappresenta soltanto una tutela per i propri dati riservati, sensibili o critici per il proprio business, ma una garanzia offerta ai propri utenti/clienti di preservare al meglio la riservatezza di ogni dato raccolto”.
Le principali certificazioni disponibili
Le principali certificazioni disponibili in area security sono le seguenti:
- Business continuity: proteggere la propria organizzazione e garantire la capacità di reagire agli incidenti, rispondere alle emergenze e alle calamità, aver valutato in modo adeguato tutte le minacce e sviluppato un piano d’emergenza.
- eIDAS: Per migliorare la fiducia delle Pmi e dei consumatori, la pubblicazione del Regolamento UE 910/2014 eIDAS (Electronic IDentification Authentication and Signature) rappresenta la base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni
- Conservazione digitale a norma: le esigenze della PA di conservazione a norma dei documenti informatici si estenderanno a nuovi ambiti di applicazione, in quanto la normativa vigente prevede che entro tempi brevissimi la PA formi i propri documenti solo in digitale.
- SPID: SPID è il “Sistema Pubblico per la gestione dell’Identità Digitale”, strumento predisposto in conformità al Regolamento eIDAS. Si tratta di un sistema aperto attraverso il quale soggetti pubblici e privati – previo accreditamento da parte di AGID – possono offrire servizi di identificazione elettronica a cittadini e imprese.
- VA-PT, Vulnerability Assessment e Penetration Test: attività eseguite al fine di valutare la sicurezza di un’infrastruttura IT fornendo un’indicazione dell’impatto sul business e opportuni suggerimenti relativi al piano di rientro, secondo i principali standard e best practice.
I servizi IMQ
IMQ dispone di un proprio Laboratorio di Valutazione della Sicurezza ICT (LVS) accreditato secondo la ISO 17025 dall’OCSI (Organismo di Certificazione della Sicurezza Informatica) ed è Centro di Valutazione (CEVA) accreditato da DIS/UCSe ad operare valutazioni formali di sicurezza secondo i Common Criteria (ISO/IEC 15408), riconosciute a livello internazionale.
Sia all’interno di processi di valutazione formale che come attività separata, il personale del LVS/CEVA conduce attività di Vulnerability Assessment e Penetration Test (VA-PT).
IMQ è accreditata da Accredia come organismo di certificazione di sistemi di gestione secondo gli standard ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1 (ambiti per i quali ha rilasciato più di 10.000 certificati), può rilasciare certificazioni secondo lo standard ISO/IEC 22301 ed è accreditata da ACCREDIA come Conformity Assessment Body (CAB) per il rilascio di certificazioni dei servizi erogati in ambito eIDAS.
