Gruppo IMQ: le principali certificazioni disponibili per la Cyber Security

Business continuity. Si tratta di un processo aziendale che coinvolge procedure, persone, server, storage, software, connettività. Con l’avvento sempre più pervasivo della tecnologia e la crescita esponenziale dell’automazione dei processi, per un’azienda che voglia essere realmente resiliente è diventato ormai indispensabile progettare e implementare tutte le misure finalizzate a garantire la sostenibilità e il recupero di tutti i processi, centri di elaborazione, connettività, risorse umane e organizzazione: prevenire è meglio che curare. Proteggere la propria organizzazione e garantire la capacità di reagire agli incidenti, rispondere alle emergenze e alle calamità, aver valutato in modo adeguato tutte le minacce e sviluppato un piano d’emergenza. Riconsiderare la propria infrastruttura tecnologica, i processi, la formazione del personale, gli accordi con partner/fornitori, consente di individuare opportunità di miglioramento anche nella normale operatività.

EIDAS. Per migliorare la fiducia delle Pmi e dei consumatori, la pubblicazione del Regolamento UE 910/2014 “eIDAS" (Electronic IDentification Authentication and Signature) rappresenta la base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni e ha l’obiettivo di agevolare l’uso transfrontaliero dei mezzi di identificazione elettronica dei singoli Stati membri dell’Unione Europea e lo sviluppo delle transazioni digitali. Le stesse aziende hanno riconosciuto che l’aspetto normativo è una delle spinte principali per l’investimento in cyber security.

Il Regolamento UE 910/2014, noto come Regolamento eIDAS [electronic IDentification Authentication and Signature], prevede espressamente il coinvolgimento di CAB accreditati secondo il Regolamento UE 765/2008, per la qualifica degli operatori di servizi fiduciari (TSP o Trust Service Providers) e dei servizi fiduciari da essi prestati. Tale attività di qualifica è demandata alle autorità governative di ogni singolo Paese UE, ove queste siano esistenti e interessate, nonché notificate alla Commissione Europea dal proprio

Paese. Tali autorità governative (in Italia AGID), sono chiamate anche allo svolgimento di attività di vigilanza periodiche o a seguito di segnalazioni di gravi problemi, proprio sui Prestatori di servizi fiduciari. Tale sorveglianza, in condizioni normali, si basa su specifiche verifiche biennali, da eseguire in campo, da parte degli Organismi di Certificazione - OdC (o anche Conformity Assessment Body – CAB) accreditati per questo schema. Certificazioni rilasciate a Trust Service Provider: 3

Conservazione digitale a norma: Le esigenze da parte delle PP.AA. di conservazione a norma dei documenti informatici (ad es. fatturazione elettronica e protocollazione digitale) si estenderanno a nuovi ambiti di applicazione, in quanto la normativa vigente prevede che entro tempi brevissimi la P.A. formi i propri documenti solo in digitale.  Per la conservazione dei documenti cartacei successivamente digitalizzati, nonché per quelli nativi digitali, sarà necessario un adeguato dimensionamento dei relativi servizi di conservazione. Tali servizi di tipo informatico, che le PA possono attivare anche internamente, già da oggi sono offerti anche da soggetti privati e pubblici, i cosiddetti Conservatori accreditati da AgID.

I soggetti che intendono accreditarsi presso AgID nel ruolo di Conservatori devono dimostrare il possesso dei requisiti stabiliti dalle norme specifiche attraverso la presentazione di documenti e certificazioni tra i quali, dopo l’entrata in vigore del Codice dell’Amministrazione Digitale (CAD-d.lgs n. 179 del 2016), è compreso anche un certificato di conformità ai requisiti tecnici organizzativi stabiliti dall’AgID, rilasciato da un ente di certificazione accreditato da ACCREDIA.

SPID: SPID è il "Sistema Pubblico per la gestione dell’Identità Digitale", strumento predisposto in conformità al Regolamento eIDAS. Si tratta di un sistema aperto attraverso il quale soggetti pubblici e privati - previo accreditamento da parte di AGID - possono offrire servizi di identificazione elettronica a cittadini e imprese.

Con l'istituzione di SPID le PP.AA. potranno consentire l'accesso in rete ai propri servizi, oltre che con lo stesso SPID, solo mediante la carta d'identità elettronica e la carta nazionale dei servizi.

VA-PT: Attività eseguite al fine di valutare la sicurezza di un’infrastruttura IT, o di parte di essa, fornendo un’indicazione dell’impatto sul business e opportuni suggerimenti relativi al piano di rientro, secondo i principali standard e best practice (elenco esemplificativo e non esaustivo):

- OWASP v3 per le analisi su applicativi web

- ISECOM OSSTMM 3.0 per alcune verifiche di sicurezza

- NIST CSRC indicante best practice attività sicurezza IT

Il Vulnerability Assessment è un processo volto a fotografare il livello di sicurezza dei sistemi e dei servizi, mediante l’individuazione di errate configurazioni, vulnerabilità note, errata gestione delle credenziali, inefficacia del processo di patch management.

Il Penetration Test è un processo di test e verifica dei sistemi e dei servizi informativi che simula il comportamento di un vero attaccante sia esso una persona fisica (hacker) o un worm che cerca di entrare in un sistema per manometterlo, sottrarre informazioni, causare malfunzionamenti.