di Roberto Obialero, Ads Automated Data Systems (*)- Rubrica a cura di AssoSoftware
Il 4 aprile scorso è stata pubblicata sulla Gazzetta Ufficiale la circolare AgID relativa alle «Misure minime di sicurezza per la Pubblica Amministrazione». Nel contesto attuale in cui anche i media generalisti si occupano di cybersecurity e delle imminenti esigenze di compliance normativa dettate a livello continentale dal General Data Protection Regulation (GDPR), anche la pubblica amministrazione viene chiamata a fare la sua parte.
Il quadro normativo
A livello normativo, a parte le omonime e ormai datate misure minime contenute nel «Codice sulla protezione dei dati personali» del 2003, bisogna citare l’articolo 51 relativo alle misure di sicurezza del Codice dell’amministrazione digitale (Cad); purtroppo tale articolo rinvia a regole tecniche di dettaglio che non sono ancora state emanate da parte del ministero dello Sviluppo economico; data la situazione contingente e di rischio elevato è stata decisa un’anticipazione urgente delle misure in oggetto.
Occorre precisare che AgID dipende gerarchicamente dalla Presidenza del Consiglio dei ministri e che nello stesso periodo è stata pubblicata sulla Gazzetta Ufficiale una “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali” che ne formalizza l’incarico di “dettare indirizzi, regole tecniche e linee guida in materia di sicurezza informatica”.
I controlli di sicurezza
Il provvedimento sulle «Misure minime di sicurezza» prevede l’esecuzione di una autovalutazione da parte della pubblica amministrazione sul grado di adozione di alcuni controlli di sicurezza derivati da standard di riferimento internazionali, ovvero i Critical Security Controls del Center for Internet Security americano; un apposito modulo, da compilare e firmare digitalmente a cura del direttore dei Sistemi informativi oppure del dirigente delegato dell’Ente, dovrà contenere la descrizione dell’implementazione delle misure, oltre al processo adottato per la gestione e il controllo nel tempo dell’efficacia.
Questa attività dovrà essere portata a termine entro il 31 dicembre 2017 e avrà impatto su circa 20mila pubbliche amministrazioni (Enti centrali, Regioni, Città Metropolitane, Comuni, Università, Aziende Ospedaliere, Aziende sanitarie locali, ecc.).
I controlli di sicurezza, denominati ABSC, ovvero AgID Basic Security Controls, derivano dal progetto ormai maturo dei 20 Critical Security Controls avviato nel 2008 da parte del SANS Institute e dal Center for Internet Security in collaborazione con le principali agenzie americane dedicate alla sicurezza e i principali fornitori di tecnologie del settore: a partire da una analisi legata all’esperienza professionale dei contributori e in seguito condivisa è stato stilato un elenco articolato su 20 categorie di circa 150 controlli caratterizzati da un approccio molto operativo che, se adottati, garantiscono un adeguato livello di sicurezza.
Le misure previste nei controlli ABSC sono state selezionati dalle seguenti 8 categorie di controlli:
• Inventario dei dispositivi autorizzati e non autorizzati
• Inventario del software autorizzato e non autorizzato
• Configurazione sicura di hardware e software
• Adozione di un processo di gestione delle vulnerabilità
• Utilizzo controllato dei privilegi amministrativi
• Adozione di difese contro i programmi malware
• Capacità di recuperare l’operatività in caso di incidente, ovvero Business Continuity
• Protezione dei dati
Da rilevare che nella versione AgID i controlli da verificare sono stati mappati con le specifiche del Framework Nazionale sulla Sicurezza Cibernetica e il livello della loro adozione è graduato rispetto ai seguenti livelli:
• minimo, ovvero il livello al di sotto del quale il rischio è ritenuto inaccettabile
• standard, ovvero il livello ottimale verso cui tutte le Pa dovrebbero tendere
• alto, livello di pertinenza degli Enti coinvolti nel processo di gestione della sicurezza nazionale.
Alcune riflessioni
Si può quindi concludere con alcune riflessioni: si tratta indubbiamente di un’iniziativa ambiziosa che potrebbe rappresentare un deciso cambio di rotta rispetto a un passato pressoché inesistente; l’adozione di riferimenti consolidati derivati dalle best practice di settore costituisce un fatto molto positivo, ma nel panorama generale italiano è molto probabile che pochissime amministrazioni siano in grado di essere pienamente conformi rispetto ai requisiti stringenti rappresentati dalle “Misure Minime”. Dato il contesto attuale di tagli alle risorse economiche e al personale di supporto in cui versa la Pa dove si potrà reperire il budget per l’attività di analisi e soprattutto per l’implementazione dei progetti di adeguamento? Qualche indicazione potrà essere desunta dal numero di amministrazioni che risponderanno entro la scadenza e che riusciranno a dedicare risorse all’innovazione.
(*) Comitato tecnico AssoSoftware
Le precedenti uscite di Enti locali Software
Anagrafe nazionale: è ora di fare squadra di Roberto Bellini, Direttore generale Assosoftware
Arconet, una sinergia tra pubblico e privato che funziona di Laura Petroccia, Consigliere di Assosoftware con delega per il settore Pubblica Amministrazione e Enti Locali
Rottamazione cartelle Equitalia: anche il software dà una mano di Roberto Bellini, Direttore generale Assosoftware
PagoPa: attenzione ai progetti a metà che limitano il dialogo tra tutti i sistemi di Roberto Bellini, Direttore generale Assosoftware
Anagrafe nazionale della popolazione residente: Sogei e Assosoftware ripartono insieme di Roberto Bellini, Direttore generale Assosoftware
PagoPa un tassello fondamentale dell’ecosistema digitale di Monica Rollandi, Comitato tecnico AssoSoftware area enti locali
Trasmissione dei bilanci armonizzati alla Bdap: imboccata la strada giusta ma si può migliorare di Roberto Bellini, Direttore generale Assosoftware
Le Province della Sardegna spariscono, anzi si trasformano di Roberto Bellini, Direttore generale Assosoftware
Anpr e grandi progetti strategici dell’agenda digitale: un’occasione di collaborazione tra pubblico e privato di Roberto Bellini, Direttore generale Assosoftware
Contabilità armonizzata: una corsa contro il tempo per Comuni e aziende di Laura Petroccia, Consigliere di Assosoftware con delega per il settore Pubblica amministrazione e Enti locali
Gli enti alle prese con gli acquisti Ict in attesa del piano triennale di Roberto Bellini, Direttore generale Assosoftware
Pubblico impiego, flussi previdenziali e contributivi alla ricerca di una stabilità di Roberto Bellini, Direttore generale Assosoftware
Anusca e Assosoftware insieme per l’avviamento di Anpr di Roberto Bellini, Direttore generale Assosoftware
Siope+ e i pagamenti elettronici: un altro passo verso la digitalizzazione della Pa di Roberto Bellini, Direttore generale Assosoftware
Il principio «once only» filosofia o realtà? di Monica Rollandi Pa Digitale Spa, Comitato tecnico AssoSoftware
Collaborazione applicativa: così il driver per semplificare l’attività degli operatori del Fisco di Roberto Bellini, Direttore generale Assosoftware
Il cittadino al centro del rapporto con la pubblica amministrazione: il contributo della digitalizzazionedi Monica Rollandi Pa Digitale Spa, Comitato tecnico AssoSoftware