La pirateria informatica ormai ha superato le sue origini goliardiche e vandaliche e si tratta di un vero e proprio sistema criminale altamente organizzato in grado di carpire i dati di aziende dall’altra parte del globo e mobilitare miliardi di Euro derivanti da frodi e riscatti. Il compito del titolare di un’azienda è quindi quello di premunirsi al meglio contro attacchi informatici e altre simili insidie, sviluppando una culture di sicurezza informatica, detta anche cybersecurity.
In quest’ambito, ENISA (l’Agenzia dell’Unione europea per la cibersicurezza lavora continuando a sviluppare sistemi di certificazione della cybersecurity per sostenere l’economia e creare fiducia e sicurezza nei prodotti e nei servizi.
Una delle ultime norme su questo delicato tema è la EN 17640 “Fixed-time cybersecurity evaluation methodology for ICT products (FiT CEM)” (Metodologia di valutazione della sicurezza informatica ‘a tempo fisso’ per i prodotti ICT), pubblicata lo scorso 21 ottobre.
Il nuovo standard europeo descrive il metodo per analizzare la sicurezza informatica dei prodotti ICT in un tempo predefinito, ovvero entro un arco di tempo stabilito all’inizio dell’esame.
Questa valutazione fa solitamente parte delle procedure di certificazione dei prodotti ICT.
Si tratta della prima norma che implementa già in fase di progettazione i requisiti dell’European Cybersecurity Act (CSA), che stabilisce le regole per i futuri schemi di certificazione della cibersicurezza in Europa, fornendo gli elementi costitutivi necessari per condurre valutazioni ai tre livelli di garanzia – “basic“, “substantial” e “high” – insieme a ulteriori requisiti legali.
Allo stesso tempo, lo standard può essere adattato alle esigenze di mercati specifici che richiedono la certificazione della sicurezza informatica o in generale la valutazione della sicurezza.
La EN 17640 è infatti compatibile con diversi schemi di certificazione già esistenti (tra questi il francese CSPN, lo spagnolo Lince, il tedesco BSZ e l’olandese BSPA), pertanto nell’individuare una adeguata metodologia di valutazione gli esperti del CEN-CLC/JTC 13/WG 3 “Security evaluation and assessment” si sono avvalsi di un’esperienza sul campo più che decennale.
Grazie a questo nuovo standard, gli sviluppatori di prodotti e gli utenti di prodotti certificati potranno informarsi su come eseguire le valutazioni dei prodotti di cybersecurity. Allo stesso tempo, le parti coinvolte nello sviluppo di schemi di certificazione della sicurezza informatica in Europa secondo il CSA potranno beneficiare di uno strumento flessibile e collaudato per sviluppare i propri schemi.
In ambito nazionale, i lavori di normazione per il settore ICT (Information and Communication Technologies) sono seguiti da UNINFO – Tecnologie Informatiche e loro applicazioni, Ente federato ad UNI.
Mi.Zar. S.R.L. fornisce consulenze in ambito di Sicurezza Informatica e adeguamento alle normative europee: contattaci senza impegno per un colloquio: