Di fronte al progressivo e costante diffondersi dell’Internet of Things il concetto di sicurezza informatica è profondamente cambiato. La superficie virtuale esposta agli attacchi è, infatti, aumentata esponenzialmente generando nuove sfide per la cyber security.
A ribadirlo, qualora ce ne fosse bisogno, è IMQ, ente italiano attivo nel settore della valutazione di conformità, attento a riportare i dati del Politecnico di Milano, secondo cui, in Italia, il valore della cyber security ha raggiunto un miliardo di euro, con una crescita degli investimenti che hanno raggiunto il 5% all’anno a opera soprattutto delle grandi imprese che, però, solo nel 39% dei casi hanno un piano di investimento con orizzonte pluriennale, mentre solo il 46% ha in organico in modo formalizzato la figura del Chief Information Security Officer.
La marcata assenza del profilo direzionale a capo della sicurezza, unita all’elevato turnover di professionisti e dipendenti che hanno accesso a tutte le risorse del sistema informatico e alla diffusa pratica di salvare frequentemente documenti aziendali sui device mobili personali che rimangono in possesso dei dipendenti anche dopo che hanno lasciato l’ufficio, testimonia un ritardo delle imprese nella gestione di sicurezza e privacy.
Antivirus e firewall non costituiscono più armi sufficienti per bloccare l’utilizzo e la diffusione di documenti sensibili da parte degli utenti. I dispositivi mobile e il cloud computing giocano un ruolo importantissimo: vista la loro portabilità sono oggetto di furti e dimenticanze che mettono in crisi la riservatezza dell’azienda e dei suoi documenti.
Certificarsi per mettersi al riparo
Ecco che allora, il suggerimento di IMQ, che risulta l’unico organismo italiano a disporre di un proprio Laboratorio di Valutazione della Sicurezza ICT (LVS) accreditato e riconosciuto a livello internazionale, è di certificarsi per migliorare il proprio approccio alla cyber security.
Come sottolineato da Flavio Ornago, direttore Business Unit Sistemi di Gestione di IMQ, in una nota ufficiale: «L’elemento più importante è un’azione strategica coerente e globale, in grado di coinvolgere l’azienda a tutti i livelli e in tutti i reparti. La certificazione di standard elevati di sicurezza informatica, per un’azienda, non rappresenta soltanto una tutela per i propri dati riservati, sensibili o critici per il proprio business, ma una garanzia offerta ai propri utenti/clienti di preservare al meglio la riservatezza di ogni dato raccolto».
Le principali certificazioni disponibili
• Business continuity. Proteggere la propria organizzazione e garantire la capacità di reagire agli incidenti, rispondere alle emergenze e alle calamità, aver valutato in modo adeguato tutte le minacce e sviluppato un piano d’emergenza.
• EIDAS. Per migliorare la fiducia delle Pmi e dei consumatori, la pubblicazione del Regolamento UE 910/2014 “eIDAS" (Electronic IDentification Authentication and Signature) rappresenta la base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni
• Conservazione digitale a norma. Le esigenze della Pa di conservazione a norma dei documenti informatici si estenderanno a nuovi ambiti di applicazione, in quanto la normativa vigente prevede che entro tempi brevissimi la Pa formi i propri documenti solo in digitale.
• SPID. Il “Sistema Pubblico per la gestione dell’Identità Digitale” è uno strumento predisposto in conformità al Regolamento eIDAS. Si tratta di un sistema aperto attraverso il quale soggetti pubblici e privati – previo accreditamento da parte di AGID – possono offrire servizi di identificazione elettronica a cittadini e imprese.
• VA-PT. Attività eseguite al fine di valutare la sicurezza di un’infrastruttura IT fornendo un’indicazione dell’impatto sul business e opportuni suggerimenti relativi al piano di rientro, secondo i principali standard e best practice.