Entra in azione una task force contro gli attacchi informatici alla pubblica amministrazione: Carlo Sarzana di S. Ippolito, membro del Comitato tecnico nazionale della sicurezza informatica e delle telecomunicazioni nella P.A., nel corso di un convegno sulla sicurezza in Internet organizzato dal Link Campus University of Malta, ha annunciato che nel 2004 potrebbe entrare in azione.
Difatti il Comitato “ha gia’ messo a punto una bozza di decreto del Presidente del Consiglio dei Ministri per l’istituzione di un Cert (Computer emergency response team) centralizzato e per l’attuazione di un piano di formazione dei dipendenti della P.A. ai fini della sicurezza informatica”. Per dare vita al Cert, che sara’ composto da esperti, tecnici e giuristi, e ai corsi per il personale, ha aggiunto Sarzana, sono stati gia’ stanziati fondi per 5 milioni di euro.

L’annuncio di Carlo Sarzana di S. Ippolito dimostra che, nonostante qualche rallentamento, il piano del Ministero per l’Innovazione e le Tecnologie sulla sicurezza della P.A. sta andando avanti.
Come e’ noto tutto e’ iniziato con la Direttiva del Ministro Stanca del 16 gennaio 2002 che rivolta a tutti gli Enti Pubblici ha cercato di tracciare un quadro generale sul problema “sicurezza” ICT e di suggerire degli interventi necessari per ottenere “una base minima di sicurezza” in attesa della predisposizione di un vero e proprio programma di azione governativo per la sicurezza ICT.
 La Direttiva del Dipartimento dell’Innovazione Tecnologica ha fornito essenzialmente gli strumenti necessari affinche’ gli Enti pubblici possano giungere ad un esauriente livello di consapevolezza delle proprie esigenze di sicurezza adeguate alla effettiva dimensione organizzativa e quindi di conseguenza possano mettere in atto le necessarie iniziative per ottenere una base minima di sicurezza che puo’ costituire un buon inizio rispetto a quello che dovra’ essere in seguito un modello standard.
 Secondo la Direttiva era, quindi, necessario tener conto prioritariamente:
• dell’organizzazione della sicurezza con la creazione di un Comitato per la sicurezza ICT e di un Consigliere Tecnico da affiancare al Ministro; ogni Ente poi dovra’ avere il proprio responsabile della sicurezza ICT;
• della gestione della sicurezza e quindi la c.d. Carta della sicurezza che definisce gli obiettivi e le finalita’ delle politiche di sicurezza;
• dell’analisi del rischio, fondamentale ai fini di una corretta pianificazione, realizzazione e gestione di qualsiasi sistema di sicurezza ICT;
• del controllo fisico e logico degli accessi;
• della protezione antivirus;
• delle misure di prevenzione;
• della gestione dei supporti;
• della gestione degli incidenti e delle emergenze.

In effetti il 16 ottobre 2002, nel rispetto di quanto previsto dalla Direttiva, e’ stato presentato presso la Sala Conferenze del Ministero per l’Innovazione e le Tecnologie dal Ministro per l’Innovazione e le Tecnologie Lucio Stanca e dal Ministro delle Comunicazioni, Maurizio Gasparri, il Comitato Tecnico Nazionale sulla Sicurezza Informatica nella Pubblica Amministrazione, istituito il 24 luglio 2002 con Decreto Interministeriale presso il Dipartimento per l’Innovazione e le Tecnologie.
Il comitato e’ composto da cinque esperti col compito di indirizzare e coordinare tutte le attivita’ e gli sforzi relativi, al fine di definire il Modello Nazionale di Sicurezza e quindi di predisporre gli interventi di natura organizzativa e tecnica. La composizione e l’attivita’ del comitato si basa sulla piena collaborazione tra il Ministero delle Comunicazioni ed il Dipartimento per l’Innovazione e le Tecnologie.
Ma la strategia globale per la sicurezza ICT si fonda su cinque azioni principali:
1. la gia’ avvenuta (come si e’ visto) introduzione della direttiva sulla sicurezza ICT;
2. la creazione di un Comitato Tecnico Nazionale sulla Sicurezza ICT;
3. la creazione di un modello organizzativo sulla sicurezza ICT che dovra’ consistere nella realizzazione di un’architettura nazionale in termini di strutture e responsabilita’ sulla sicurezza ICT, capace di sviluppare linee guida, raccomandazioni, standards e tutte le procedure di certificazione;
4. l’introduzione di uno Piano Nazionale sulla Sicurezza ICT in grado di definire attivita’, responsabilita’, tempi per l’introduzione degli standard e delle metodologie necessarie per pervenire alla certificazione di sicurezza nella Pubblica Amministrazione;
5. la certificazione finale della sicurezza ICT entro 5 anni per la Pubblica Amministrazione.

Nell’ambito di tale strategia e precisamente tra la fase 2 e la fase 3 si inserisce quindi la creazione del Cert e cioe’ di un organismo di pronto intervento per la sicurezza della P.A. In effetti tale organismo inizialmente non era previsto, ma i tempi lunghi necessari per la realizzazione di un Piano Nazionale sulla sicurezza ICT ed i recenti e continui attacchi di pirati informatici contro i sistemi informativi degli uffici pubblici hanno reso necessario un simile passo anche al fine di responsabilizzare i pubblici dipendenti sul fronte della sicurezza informatica.

Scritto da