Un metro di giudizio per la certificazione Print
La fiducia è un elemento critico per prendere decisioni, nella vita di tutti i giorni e a maggior ragione nel business. Chi ha la responsabilità di scegliere ha la necessità di percepire in breve di cosa si può fidare e di cosa no.
Le certificazioni, specie dove un forte e dinamico aspetto tecnologico rende difficile l’orientamento, mirano ad offrire un metro di valutazione uniforme, anche a livello internazionale. Per ottenere ciò entrano in gioco degli attori fidati: i cosiddetti enti o laboratori di certificazione, che prendono in carico la valutazione di un’entità, e un sistema di accreditamento che effettua attività di controllo.
In questo contesto chi promuove la certificazione è il produttore o il proprietario dell’entità in esame, per dimostrare ai suoi partner e clienti le qualità della stessa.
Nell’ambito della sicurezza delle informazioni (non solo informatica dunque), questa “entità” si scinde in due categorie ben distinte: prodotti e sistemi.
Una certificazione di prodotto, normalmente condotta secondo lo standard ISO 15408 tratto dai noti “Common Criteria”, viene effettuata presso un laboratorio adeguatamente attrezzato. In base alla tipologia del prodotto e al livello di sicurezza che si vuole certificare (crescente da EAL1 a EAL7), sono definite le caratteristiche di sicurezza nonché le modalità della loro verifica. In caso di superamento di tutte le verifiche stabilite viene emesso il certificato. A titolo di esempio IBM DB2 è stato certificato EAL4+.
Una certificazione di sistema segue invece la più estesa impostazione tracciata dalla ISO/IEC 27001 (nato dalla BS 7799), che consiste nell’instaurare un processo di gestione della sicurezza di tipo trasversale, orientato sia agli aspetti tecnologici sia a quelli organizzativi della sicurezza nell’azienda. Gli enti di certificazione eseguono delle visite periodiche presso l’azienda per valutare la conformità del sistema alla norma e, in caso positivo, rilasciano il certificato.
Sempre per citare un esempio, Intesa SanPaolo ha certificato alcuni suoi servizi.
In Italia il mercato in questo settore sta ancora muovendo i primi passi, mentre in altri paesi quali l’Inghilterra è ben più maturo.
Tale situazione concede però alle aziende che decidono di intraprendere ora questo percorso l’opportunità di ottenere un rimarcabile vantaggio d’immagine e di valore aggiunto sui competitors, oltre ai benefici derivanti da una migliore gestione degli investimenti e da un ridotto impatto degli incidenti legati alla sicurezza.

Scritto da: Dott. Fabio Guasconi