Passi in avanti per la sicurezza informatica della P.A.
Il Comitato Tecnico Nazionale sulla sicurezza informatica e delle telecomunicazioni nella P.A. ha presentato ai Responsabili dei sistemi informativi ed ai Consiglieri tecnici per la sicurezza ICT i contenuti ed i piani di sviluppo delle due iniziative finora avviate: l’unita’ di gestione degli attacchi informatici (il CERT per la PA) ed il Centro di formazione e sensibilizzazione sulla sicurezza ICT nella P.A.
L’unita’ di gestione degli attacchi informatici, la cui direzione e’ stata affidata a Gianluigi Moxedano nell’ambito della struttura del CNIPA, ha preso il nome di GOVCERT.IT in analogia con i CERT governativi di altri paesi europei (vedi il GOVCERT.NL in Olanda).
GOVCERT.IT e’ inoltre il nome del dominio Internet dell’infrastruttura tecnologica dell’unita’.
L’obiettivo prioritario del GOVCERT.IT e’ di dare supporto informativo alle P.A., ad esso seguiranno il supporto operativo e le attivita’ di monitoraggio e di intelligence.
Il Centro di formazione e sensibilizzazione sulla sicurezza ICT nella P.A. avra’ sede presso l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCTI) che si avvarra’ anche per il suo funzionamento della collaborazione della Fondazione Ugo Bordoni.
Il GOVCERT.IT ed il Centro di formazione collaboreranno su una serie di temi di reciproco interesse.
Ormai il problema della sicurezza informatica della P.A. ha assunto una rilevanza di primo piano e d’altronde la distribuzione delle prime carte di identita’ elettroniche ha reso necessario affrontare i problemi di sicurezza connessi all’erogazione in rete dei servizi al cittadino; mentre all’interno del circuito della R.U.P.A. la garanzia del rispetto di adeguati livelli di sicurezza e’ delegata al fornitore del contratto dell’interoperabilita’, il circuito cittadino – pubblica amministrazione necessita della definizione di linee guida, ovvero di regolamentazione, per i processi di identificazione e di autenticazione in rete.
Peraltro, Internet sta divenendo sempre piu’ il sistema di scambio di informazioni, di accesso alle grandi banche dati, di esecuzione di transazioni e disposizioni finanziarie, di sviluppo di attivita’ professionali e, parallelamente si sta evidenziando la sua attuale fragilita’.
In questo scenario la sicurezza informatica deve essere un elemento fondamentale nel processo di avvicinamento, tramite la tecnologia, del cittadino e delle istituzioni private (i “clienti” dell’e-government) alla P.A.
Come e’ noto il primo passo verso la sicurezza della P.A. e’ stata la Direttiva sulla sicurezza ICT emanata dalla Presidenza del Consiglio – Dipartimento per l’Innovazione e le Tecnologie sulla Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali il 16 gennaio 2002 e pubblicata sulla Gazzetta Ufficiale n. 69 del 22 marzo 2002.
Il provvedimento ha interessato tutti gli Enti Pubblici ed ha cercato di tracciare un quadro generale sul problema “sicurezza†ICT e di suggerire degli interventi necessari per ottenere “una base minima di sicurezza†in attesa della predisposizione di un vero e proprio programma di azione governativo per la sicurezza ICT.
La Direttiva del Dipartimento dell’Innovazione Tecnologica ha voluto principalmente fornire gli strumenti necessari affinche’ gli Enti pubblici potessero giungere ad un esauriente livello di consapevolezza delle proprie esigenze di sicurezza adeguate alla effettiva dimensione organizzativa e quindi di conseguenza fossero in grado di mettere in atto le necessarie iniziative per ottenere una base minima di sicurezza che puo’ costituire un buon inizio rispetto a quello che dovra’ essere in seguito un modello standard.
In altri termini secondo la Direttiva ed i relativi allegati era necessario tener conto prioritariamente: dell’organizzazione della sicurezza con la creazione di un Comitato per la sicurezza ICT e di un Consigliere Tecnico che deve affiancare il Ministro; ogni Ente poi deve avere il proprio responsabile della sicurezza ICT; della gestione della sicurezza e quindi la c.d. Carta della sicurezza che definisce gli obiettivi e le finalita’ delle politiche di sicurezza; dell’analisi del rischio, fondamentale ai fini di una corretta pianificazione, realizzazione e gestione di qualsiasi sistema di sicurezza ICT; del controllo fisico e logico degli accessi; della protezione antivirus; delle misure di prevenzione; della gestione dei supporti; della gestione degli incidenti e delle emergenze.
Naturalmente il primo atto conseguente alla Direttiva in argomento e’ stata l’istituzione del Comitato Tecnico Nazionale sulla Sicurezza Informatica nella Pubblica Amministrazione, avvenuta il 24 luglio 2002 con Decreto Interministeriale presso il Dipartimento per l’Innovazione e le Tecnologie.
Il Comitato svolge funzioni di indirizzo e coordinamento delle iniziative in materia di sicurezza sulle tecnologie dell’informazione e della comunicazione nelle pubbliche amministrazioni, formulando proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione (pubblicate nel marzo 2004), proposte in materia di regolamentazione della certificazione e valutazione della sicurezza, nonche’ ai fini della predisposizione di criteri di certificazione e delle linee guida per la certificazione di sicurezza ICT per la pubblica amministrazione ed infine elaborando linee guida per la predisposizione delle intese con il Dipartimento della funzione pubblica in ordine alla formazione dei dipendenti pubblici in tema di sicurezza ICT.
Ma la strategia globale per la sicurezza ICT si fonda su cinque azioni principali e cioe’ la gia’ avvenuta (come si e’ visto) introduzione della direttiva sulla sicurezza ICT; la creazione di un Comitato Tecnico Nazionale sulla Sicurezza ICT (anch’essa avvenuta); la creazione di un modello organizzativo sulla sicurezza ICT che dovra’ consistere nella realizzazione di un’architettura nazionale in termini di strutture e responsabilita’ sulla sicurezza ICT, capace di sviluppare linee guida, raccomandazioni, standards e tutte le procedure di certificazione; l’introduzione di uno Piano Nazionale sulla Sicurezza ICT in grado di definire attivita’, responsabilita’, tempi per l’introduzione degli standard e delle metodologie necessarie per pervenire alla certificazione di sicurezza nella Pubblica Amministrazione; la certificazione finale della sicurezza ICT entro 5 anni per la Pubblica Amministrazione.
Ormai siamo vicini anche alla redazione di un Piano nazionale della sicurezza poiche’ le stesse proposte proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione pubblicate di recente dal Comitato Tecnico Nazionale contengono indicazioni atte a permettere alla P.A. la redazione del Piano nazionale della sicurezza e la predisposizione del modello organizzativo nazionale di sicurezza ICT.
Resta da vedere se tali indicazioni saranno poi rispettate dagli enti pubblici o rimarranno quei classici documenti privi di qualsiasi forza vincolante.
Scritto da
Commenta!