L’Internet of Things ha cambiato il concetto di sicurezza informatica, aumentando esponenzialmente la superficie virtuale esposta ad attacchi e generando nuove sfide per la cyber security.
Oggi la cyber security gioca un ruolo così fondamentale da essere quantificabile dal punto di vista economico. L’Osservatorio Polimi infatti ha valutato la cyber security un miliardo di euro, con una crescita di investimenti del 5% l’anno. A spendere sono però principalmente le grandi imprese, mentre le Pmi rimangono indietro e anche all’interno delle aziende big solo il 46% ha in organico una figura ufficialmente riconosciuta come Chief Information Security Officer. Questa tipo di gestione mostra un forte ritardo in tema di sicurezza e privacy: i documenti vengono spesso salvati su device privati del personale e rimangono in possesso dei dipendenti anche quando hanno lasciato l’ufficio, mentre dispositivi mobile e cloud computing sono oggetto di furti e dimenticanze che possono mettere in crisi la riservatezza dell’azienda.
Come migliorare la cyber security aziendale
Uno strumento utile per migliorare la cyber security è rappresentato dalle certificazioni disponibili per il settore IT. IMQ è l’unico organismo italiano che offre una visione di insieme sulla sicurezza ICT. Flavio Ornago, direttore Business Unit Sistemi di Gestione di IMQ afferma:
L’elemento più importante è un’azione strategica coerente e globale, in grado di coinvolgere l’azienda a tutti i livelli e in tutti i reparti. La certificazione di standard elevati di sicurezza informatica, per un’azienda, non rappresenta soltanto una tutela per i propri dati riservati, sensibili o critici per il proprio business, ma una garanzia offerta ai propri utenti/clienti di preservare al meglio la riservatezza di ogni dato raccolto”.
Le principali certificazioni per la Cyber security
- Valutazioni formali di sicurezza secondo i Common Criteria (ISO/IEC 15408) e i criteri ITSEC, riconosciute a livello internazionale
- Penetration test per software, hardware e sistemi
- Analisi delle vulnerabilità dei sistemi di comunicazione
- Sicurezza dati e privacy
- Security compliance
Le principali certificazioni per il settore IT security
- Business continuity. Si tratta di un processo aziendale che coinvolge procedure, persone, server, storage, software e connettività. Riconsiderare l’infrastruttura tecnologica, i processi, la formazione del personale, gli accordi con partner/fornitori, consente di individuare opportunità di miglioramento anche nella normale operatività.
- EIDAS. Electronic Identification Authentication and Signature è la normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni e ha l’obiettivo di agevolare l’uso transfrontaliero dei mezzi di identificazione elettronica dei singoli Stati membri dell’Unione Europea e lo sviluppo delle transazioni digitali.
- Conservazione digitale a norma. Tale servizio informatico permette di conservare a norma i documenti informatici (come fatturazione elettronica o protocollazione digitale) e i documenti cartacei che verranno successivamente digitalizzati della PA.
- SPID o Sistema Pubblico per la gestione dell’Identità Digitale. Si tratta di un sistema aperto attraverso il quale i soggetti pubblici e privati possono offrire servizi di identificazione elettronica a cittadini e imprese.
- VA-PT. Il Vunerability Assessment è un processo volto a controllare i livelli di sicurezza di sistemi e servizi, individuando errori di configurazione, vulnerabilità, errata gestione delle credenziali. Il Penetration Test è un processo di test e verifica dei sistemi informativi che simula un attacco hacker o un worm che cerca di manomettere, sottrarre informazioni o causare malfunzionamenti.
Per approfondire l’argomento sulle certificazioni di cyber security leggi anche qui.