Dalla ISO 27001 alla TISAX: le certificazioni per valutare la sicurezza delle informazioni nelle industry - Cyber Security 360

SICUREZZA INFORMATICA

Dalla ISO 27001 alla TISAX: le certificazioni per valutare la sicurezza delle informazioni nelle industry

Le certificazioni di cyber security nel settore industriale stanno diventando un fattore abilitante per il business. Ecco perché e come orientarsi nelle scelte

28 Ott 2021
S
Marco Schiaffino

Giornalista

L’acquisita centralità della cyber security nel mondo produttivo è testimoniata anche dalla corsa delle imprese a ottenere le certificazioni che garantiscono la sicurezza delle informazioni a livello aziendale. Si tratta di un processo virtuoso che aumenta il livello complessivo a livello di cyber security e sta innescando un meccanismo “naturale” anche nel mondo industriale. Percorsi come quelli legati all’ottenimento di ISO 27001 e TISAX rappresentano un passaggio fondamentale per chi vuole ritagliarsi un ruolo di primo piano nel settore.

L’importanza delle certificazioni di cyber security

Nel nuovo quadro economico, in cui gli strumenti digitali rappresentano un background fondamentale in qualsiasi attività produttiva, la capacità di gestire in sicurezza le informazioni rappresenta un elemento di primo piano.

All’interno della filiera produttiva, infatti, tutte le aziende si trovano necessariamente nella condizione di dover condividere informazioni più o meno sensibili con partner, clienti e fornitori. In questa rete di relazioni economiche, la certificazione rappresenta una garanzia che può essere offerta alle altre e, in prospettiva, rappresenta un vero e proprio fattore abilitante per il business.

La logica, in pratica, è quella per cui il livello di security di ogni soggetto è pari a quello dell’anello più debole nella catena produttiva. La richiesta di standard di sicurezza diventa, di conseguenza, una sorta di assicurazione per l’azienda che sceglie di condividere le informazioni relative al suo business con qualcun altro.

Un’esigenza che emerge anche nel settore degli appalti, in cui l’ottenimento di una certificazione di cyber security è considerata sempre più spesso un requisito indispensabile per poter accedere alla loro assegnazione.

La logica delle certificazioni di sicurezza informatica

A differenza di quanto accade con altri adempimenti normativi, le certificazioni in ambito security tendono ad avere caratteristiche relativamente “fluide” rispetto agli strumenti da adottare. Prendiamo, ad esempio, la gestione del rischio secondo la ISO 27001. In estrema sintesi: l’organizzazione è tenuta a definire il processo di valutazione e trattamento del rischio. Non viene, però, imposto nessun metodo di calcolo da utilizzare, non è stabilito che l’organizzazione debba accettare il rischio solo se questo è “basso” o “medio” oppure che il piano di trattamento debba essere formalizzato su quel determinato supporto, et similia.

In altre parole, è il perimetro ad essere stabilito. Il come l’organizzazione scelga di muoversi, è demandato alla stessa in ottica di costante miglioramento.

Si tratta di un vero e proprio salto evolutivo a livello concettuale, che consente sia di mantenere il necessario livello di flessibilità, sia di garantire che gli enti certificatori possano fare le loro valutazioni in base a una logica di massima efficacia e non soltanto un “check” a livello di adempimenti formali. Sotto il profilo della continuità, inoltre, questo approccio permette di declinare le certificazioni come un percorso continuo, soggetto ad aggiornamenti e verifiche che ne garantiscono la validità anche nel medio e lungo periodo.

Quale certificazione scegliere?

I soggetti che operano nel settore industriale si trovano di fronte a una varietà di certificazioni tra cui scegliere da TISAX a NIST, passando per la diffusissima ISO 27001. La scelta della certificazione più adeguata è in definitiva il frutto di una valutazione che deve tenere conto sia delle caratteristiche dell’attività produttiva, sia del tessuto economico e del mercato in cui si colloca.

In altre parole, non esiste una certificazione “migliore”, ma è necessario avviare il percorso che conduce alla certificazione partendo da una attenta e puntuale individuazione di quella più adeguata alle caratteristiche e agli obiettivi dell’azienda.

ISO 27001, da questo punto di vista, rappresenta la più cristallina interpretazione di questa filosofia. Se esistono certificazioni specifiche per determinati settori, come nel caso dell’automotive, una delle tendenze in ambito industriale è quello di combinare le diverse certificazioni per coprire diversi aspetti specifici dell’attività produttiva.

Le certificazioni come percorso

Quali che siano le certificazioni scelte, la loro declinazione pratica non è quella di un semplice adempimento, ma dell’apertura di un percorso che richiede un costante aggiornamento delle misure implementate per la compliance.

Se in linea generale questo vale per ogni tipo di certificazione, nell’ambito della sicurezza l’aspetto è ancora più evidente e rilevante. Prima di tutto a causa della dinamicità del settore digitale e della velocità con cui l’azienda può dotarsi di nuovi strumenti e infrastrutture, da cui derivano nuove criticità ed esigenze.

Un fenomeno ancora più incisivo in ambito industriale, dove il processo di digitalizzazione sta attraversando un periodo di particolare effervescenza, con nuove tecnologie (tra le quali il 5G è in prima linea) che promettono di portare profondi cambiamenti nella struttura stessa dell’ecosistema IT. Qualsiasi certificazione, in definitiva, deve essere considerata come un framework all’interno del quale è necessario muoversi in maniera dinamica e costante.

CLICCA QUI per scaricare il White Paper: "Security As A Service"

Il ruolo dei processi di audit

Il ruolo dei processi di audit nella sicurezza informatica è fondamentale. E se le attività di audit di terze parti rappresentano un normale processo per eseguire la periodica verifica dell’aderenza agli standard fissati dalle certificazioni, soprattutto nel settore della cyber security sta aumentando allo stesso tempo il peso dei processi di audit di seconde parti.

La logica che sottende questo fenomeno è estremamente lineare: dal momento che qualsiasi collaborazione su piattaforma digitale rappresenta una potenziale estensione della superficie di attacco a disposizione di eventuali cyber criminali, molte aziende subordinano la scelta di partner e fornitori a una effettiva verifica degli standard di sicurezza.

Si tratta di un processo virtuoso, che irrobustisce il ruolo stesso delle certificazioni contribuisce, in definitiva, a un’elevazione complessiva del livello di attenzione sul tema. In altre parole: grazie all’attività di audit interna ai rapporti aziendali, cala il rischio che il sistema delle certificazioni sia ridotto a quello di mero adempimento, per diventare un fattore di abilitazione al business e, di conseguenza, una effettiva garanzia di compliance agli standard più avanzati.

Contributo editoriale sviluppato in collaborazione con Cyberoo

@RIPRODUZIONE RISERVATA

Articolo 1 di 4