È quanto emerge da Accredia, l’Ente unico nazionale di accreditamento designato dal Governo italiano (attivo dal 2002 con il compito di attestare la competenza dei laboratori e degli organismi che verificano la conformità di prodotti, servizi e professionisti agli standard di riferimento), che ha reso pubblico un Osservatorio realizzato insieme al Cybersecurity National Lab del Cini, il Consorzio interuniversitario per l’informatica, per verificare il contributo e i benefici che può avere la certificazione rispetto alla qualità dei sistemi di difesa contro l’azione dei cybercriminali.
Dalle analisi emerge che le aziende certificate ISO/IEC 27001 sono meno esposte al rischio di attacchi rispetto a quelle con sola certificazione ISO 9001: delle 1.207 vulnerabilità sui servizi web riscontrate, 524 erano nel primo campione (43%) e 683 nel secondo (57%).
La certificazione ha inoltre il vantaggio di produrre benefici duraturi in azienda e non limitati alla migliore gestione del rischio informatico. Dall’analisi di topo qualitativo che ha coinvolto alcune grandi aziende italiane, tra cui Poste e Gruppo Iccrea, è infatti emerso come lo sforzo di adeguare l’organizzazione alla certificazione abbia prodotto, nel medio e lungo periodo, un miglioramento profondo dei processi aziendali e stimolato al contempo una crescita della cultura della sicurezza.
“Le certificazioni di cybersicurezza sono il mezzo per aumentare il livello di sicurezza dei prodotti e dei servizi informatici a disposizione dei cittadini e delle imprese, all’interno del mercato italiano ed europeo. L’Europa sta predisponendo i primi schemi di certificazione di servizi cloud e delle tecnologie 5G e l’Italia si deve far trovare pronta a questo appuntamento – ha commentato il Direttore di ACN Roberto Baldoni. – La convenzione di oggi dà attuazione alle disposizioni del Cybersecurity Act europeo in materia di accreditamento della rete di laboratori nazionali di certificazione”.
Baldoni si è riferito alla rete di laboratori dedicata ai prodotti del mercato europeo che si aggiunge a quella dei “laboratori di prova” previsti all’interno del perimetro di sicurezza nazionale cibernetica. Queste due reti saranno l’ossatura del sistema di certificazione e valutazione nazionale.
Oggi in Italia sono 3.474 le aziende dotate di certificazione ISO/IEC 27001 (cresciute del 21% in un anno), rilasciate dai 20 Organismi di certificazione accreditati (dati Accredia), 5 i Laboratori di prova, accreditati per eseguire Vulnerability assesments e 687 i professionisti certificati come Responsabili della protezione dei dati personali (DPO).