Il Ministro delle Comunicazioni Maurizio Gasparri ed il Ministro per l’Innovazione e le Tecnologie Lucio Stanca hanno nominato Presidente del Comitato Tecnico Nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni l’ing. Claudio Manganelli, componente dell’Aipa e gia’ componente del primo Collegio del Garante per la protezione dei dati personali. L’ing. Manganelli interviene in sostituzione del dimissionario Vittorio Stelo.

Il Comitato Tecnico Nazionale sulla sicurezza informatica e delle telecomunicazioni e’ stato istituito il 24 luglio 2002 scorso con Decreto Interministeriale presso il Dipartimento per l’Innovazione e le Tecnologie. Con la nascita di questo Comitato, l’Italia e’ stato uno dei primi Paesi dell’Unione Europea ad attuare la Raccomandazione dell’UE indirizzata alle Pubbliche Amministrazioni dei singoli Paesi membri per avviare misure di sicurezza efficaci per il conseguimento di una base minima di sicurezza informatica nell’erogazione dei servizi. Detta Raccomandazione era stata recepita, il 16 gennaio 2002, dalla direttiva sulla sicurezza ICT per le Pubbliche Amministrazioni emanata dal Ministro Stanca di concerto con il Dicastero delle Comunicazioni.
Il Comitato e’ composto da cinque esperti col compito di indirizzare e coordinare tutte le attivita’ e gli sforzi relativi, al fine di definire il Modello Nazionale di Sicurezza e quindi di predisporre gli interventi di natura organizzativa e tecnica. Il Comitato formula inoltre proposte per la regolamentazione e valutazione della sicurezza, anche ai fini della predisposizione di criteri di certificazione. Elabora, infine, le linee guida in ordine alla formazione dei dipendenti pubblici in tema di sicurezza ICT. La composizione e l’attivita’ del Comitato si basa sulla piena collaborazione tra il Ministero delle Comunicazioni ed il Dipartimento per l’Innovazione e le Tecnologie.
 La creazione del Comitato Tecnico Nazionale sulla sicurezza informatica nella P.A. ha rappresentato, comunque, solo una fase degli interventi suggeriti dalla direttiva sulla sicurezza ICT per le Pubbliche Amministrazioni rivolta a tutti gli Enti Pubblici con il preciso obiettivo di tracciare un quadro generale sul problema “sicurezza” ICT e di suggerire degli interventi necessari per ottenere “una base minima di sicurezza” in attesa della predisposizione di un vero e proprio programma di azione governativo per la sicurezza ICT.
 La Direttiva del Ministro Stanca non poteva logicamente mancare in un quadro di informatizzazione della P.A., che ormai ha principalmente riferimento a quelle tecnologie di rete, che stanno interessando progressivamente (anche se lentamente) tutti gli Uffici Pubblici.

 Il problema della sicurezza dei sistemi interconnessi e’ un problema avvertito sin dai primordi della RUPA e la stessa AIPA all’epoca si era trovata di fronte all’esigenza di dettare delle linee guida a cui ogni amministrazione doveva adeguarsi,  allo scopo di garantire la piena interoperabilita’ e cooperazione applicativa.
 La Direttiva del Dipartimento dell’Innovazione Tecnologica mira essenzialmente a fornire gli strumenti necessari affinche’ gli Enti pubblici possano giungere ad un esauriente livello di consapevolezza delle proprie esigenze di sicurezza adeguate alla effettiva dimensione organizzativa e quindi di conseguenza possano mettere in atto le necessarie iniziative per ottenere una base minima di sicurezza che puo’ costituire un buon inizio rispetto a quello che dovra’ essere in seguito un modello standard.
 In altri termini secondo la Direttiva ed i relativi allegati e’ necessario tener conto prioritariamente:
• dell’organizzazione della sicurezza con la creazione di un Comitato per la sicurezza ICT e di un Consigliere Tecnico che deve affiancare il Ministro; ogni Ente poi dovra’ avere il proprio responsabile della sicurezza ICT;
• della gestione della sicurezza e quindi la c.d. Carta della sicurezza che definisce gli obiettivi e le finalita’ delle politiche di sicurezza;
• dell’analisi del rischio, fondamentale ai fini di una corretta pianificazione, realizzazione e gestione di qualsiasi sistema di sicurezza ICT;
• del controllo fisico e logico degli accessi;
• della protezione antivirus;
• delle misure di prevenzione;
• della gestione dei supporti;
• della gestione degli incidenti e delle emergenze.
Come detto in precedenza questi rappresentano solo i passi iniziali di un cammino che dovra’ attraversare diverse fasi quali:
1. la costituzione di un Comitato nazionale della sicurezza ICT per indirizzare, guidare e coordinare le varie iniziative connesse con il raggiungimento degli standard di sicurezza che verranno definiti (cosa gia’ avvenuta);
2. la creazione e la successiva attivazione di un modello organizzativo nazionale di sicurezza ICT che comprenda tutti gli organi istituzionali, scientifici ed accademici deputati, ciascuno per il proprio ruolo, ad assicurare organicita’ e completezza al tema sicurezza;
3. la definizione di uno schema nazionale di riferimento della sicurezza sviluppando linee guida, direttive, standard, nonche’ i processi di accreditamento e di certificazione;
4. la formulazione di un Piano nazionale della sicurezza ICT della pubblica amministrazione;
5. la realizzazione della certificazione di sicurezza ICT nella pubblica amministrazione.

Scritto da