Mentre in molte organizzazioni i Security Manager soffrono per una scarsa consapevolezza del personale sulla gravità delle possibili minacce e, spesso, anche per le indesiderate riduzioni di budget (vedi i miei precedenti articoli sulla “solitudine del security manager”), la Pubblica Amministrazione, locale e centrale, ha a disposizione – tra l’altro in modo totalmente gratuito – team specialistici per accompagnarle nella realizzazione di appositi progetti di sicurezza delle informazioni, finalizzati alla riduzione del rischio.
In questo modo il Dirigente Responsabile della Trasformazione Digitale può avvalersi di consulenti esperti in risk management, ICT Security, business continuity e crisis management senza intaccare il (spesso già ridotto) budget.
Infatti, sia il Piano Triennale per l’Informatica nella Pubblica Amministrazione 2016-2019 che quello da poco tempo approvato, per il 2019-2021, stanno dando un impulso notevole alla trasformazione digitale in atto e in modo particolare alla sicurezza.
AgID agisce coerentemente con il Piano e le norme vigenti, che «le conferiscono un mandato importante nell’attuazione di iniziative tecniche ed organizzative volte sia a migliorare la consapevolezza della Pubblica Amministrazione nei riguardi della minaccia, sia ad aumentarne le capacità di prevenzione, protezione e risposta agli incidenti». In particolare, le è stato attribuito il compito di «dettare indirizzi, regole tecniche e linee guida in materia di sicurezza informatica e di omogeneità degli standard, di assicurare la qualità tecnica e la sicurezza dei sistemi informativi pubblici e della loro rete di interconnessione e di monitorare i piani ICT delle amministrazioni pubbliche».
AgID persegue questo mandato sia direttamente, sia mediante il CERT-PA.
Per completezza informativa, cito che il Rapporto “Italian Cyber Security Report 2014” aveva rilevato la mancanza nelle pubbliche amministrazioni della consapevolezza sulla minaccia, e l’assenza di strutture organizzative locali in grado di operare efficacemente un’attività di preparazione e risposta agli incidenti. Sulla base di tali rilevazioni, AGID ha avviato un’azione di awareness, condotta dal CERT-PA, e la pubblicazione di documenti di indirizzo ed operativi (linee guida, regole tecniche), finalizzati ad accrescere la consapevolezza e la capacità di difesa delle Amministrazioni interessate.
Mi si consenta di suggerire – anche a chi non appartiene o non collabora con la PA – di consultare i documenti messi a disposizione sul sito istituzionale ( www.agid.gov.it ), in quanto utili, ben fatti, sia dal punto di vista tecnico, sia di coerenza con la normativa vigente e le esigenze di realtà che trattano dati riservati e sensibili (ad esempio: le linee guida per lo sviluppo sicuro, il cloud, il procurement, le misure minime – standard – avanzate di sicurezza da adottare, design e sviluppo sicuro, ecc.).
In chiusura, segnalo che il primo passo, del programma attuale di “accompagnamento alla Sicurezza” di AGID, consiste nella assistenza nella autovalutazione dei rischi, eseguita mediante un apposito “tool”, che consente chiaramente di individuare le priorità di intervento per la riduzione del rischio: ciò non toglie che una PA possa chiedere una assistenza immediata nella riduzione di un rischio giudicato prioritario, salvo poi completare il risk assessment.
Non costituisce tutto ciò un esempio da imitare?
