Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

cyber sicurezza

Difendere la PA dal cyber crime: una proposta di roadmap

I principi attuativi, le regole di fondo e le politiche basilari su cui ogni PA dovrebbe fondare la difesa dalle minacce legate al cyberspazio. Ecco i passaggi fondamentali e gli elementi di carattere strategico, organizzativo, procedurale per mettere in sicurezza il patrimonio informativo della PA

04 Dic 2018

Giuseppe Arcidiacono

Responsabile Sistema Informativo at ARCEA


Il primo passo del percorso volto a difendere una PA da minacce connesse al cyber space e cyber crime4 ha poco a che fare con tematiche di carattere tecnico-operativo e con strumentazioni o dispositivi di ultima generazione. È strettamente connesso, piuttosto, con gli ambiti strategici e decisionali di una pubblica amministrazione in cui occorre definire i principi attuativi, le regole di fondo, le politiche basilari ed imprescindibili sulle quali si dovrà fondare tutta l’architettura di sicurezza. Vediamo quali sono i passaggi che possono creare la roadmap per la difesa del patrimonio informativo delle PA.

Una proposta di roadmap

Una delle sfide più importanti che la pubblica amministrazione italiana deve necessariamente affrontare nel percorso, spesso tortuoso e decisamente in salita, che conduce verso la modernizzazione dei servizi offerti ai cittadini ed agli utenti finali è sicuramente quello della gestione della sicurezza delle informazioni e della “cyber-security”, che rappresenta ormai una minaccia concreta, pericolosa e sempre incombente sulla salvaguardia dei dati trattati, a vario titolo, dalle amministrazioni.

Facendo riferimento a considerazioni già espresse in precedenza, è opportuno sottolineare come, pur in una situazione di complessiva criticità, siano disponibili, nel variegato e complesso universo degli enti pubblici, modelli, esperienze, buone pratiche ed esempi che possono essere adottati come punti di riferimento cui tendere o più semplicemente come spunti di riflessione per i vertici amministrativi e politici delle diverse organizzazioni pubbliche italiane.

In tale contesto di riferimento, proveremo, attraverso una serie di interventi tra loro interconnessi, ad esprimere una proposta di “roadmap”, mutuata da casi concretamente attuati e dai principi di framework internazionali quali la ISO – 27001 ed il COBIT 5 di ISACA, che possa esplicitare alcune delle tappe fondamentali nel processo di adozione di politiche efficaci ed efficienti di protezione delle informazioni e dei dati analogici e digitali.

Sicurezza delle informazioni: una questione strategica

Preliminarmente, è necessario sottolineare come, a differenza di quanto si è indotti comunemente a pensare, il punto di partenza nella costruzione di un modello di difesa dal cyber-crime ed in generale dalle minacce informatiche non siano gli strumenti tecnologici o le competenze settoriali ma al contrario assumano maggiore rilevanza elementi di carattere strategico, organizzativo, procedurale e di gestione delle risorse umane.

In particolare, la sicurezza delle informazioni in una PA deve necessariamente essere allineata, oltre che strettamente interconnessa, con la “mission istituzionale”, che indica di fatto la direzione di governo, determina le priorità nell’utilizzo delle risorse, fissa gli obiettivi da raggiungere nel breve e medio periodo.

Partendo da tale presupposto imprescindibile, appare chiaro come il primo passaggio per una corretta ed efficace implementazione di un framework in grado di rispondere a pieno alle esigenze di un’amministrazione e di garantire livelli accettabili di sicurezza, debba essere la definizione di politiche di indirizzo che, attestandosi ad un livello che è possibile definire come “strategico”, siano in grado recepire i principi costituenti dell’ente di riferimento declinandoli secondo una prospettiva orientata al dato e all’informazione.

Il Comitato per la Sicurezza delle informazioni

È facile comprendere come le cosiddette “Security Policy”, dovendo riflettere la “cultura aziendale”, intesa come propensione al rischio, grado di innovatività, tipologia di attività svolta, modalità di esercizio dell’autorità pubblica, etc, siano strettamente connesse alle diverse anime che compongono un’amministrazione e richiedano l’intervento di quanti più attori possibili nelle fasi di definizione, revisione ed approvazione formale.

Da tale previsione, invero, trae origine un elemento cardine che si colloca al vertice dell’intera infrastruttura: il Comitato per la Sicurezza delle Informazioni che, per sua natura, pur essendo riferito al top-management dell’ente, deve essere quanto più inclusivo possibile ed accogliere al proprio interno i rappresentanti apicali di ogni settore della PA di riferimento.

Il Comitato, pertanto, rappresenta all’interno del sistema di Gestione della Sicurezza delle informazioni non solo il livello gerarchicamente più elevato ma anche e soprattutto il soggetto in grado di garantire che tutti i processi principali di un’amministrazione siano adeguatamente coperti e considerati nella definizione delle linee di indirizzo e nella loro concretizzazione attraverso interventi operativi, condensati, nelle fasi successive di costruzione dell’architettura di sicurezza, in procedure, manuali e linee guida.

Compiti del Comitato per la sicurezza delle informazioni

  • Il primo, fondamentale compito affidato al Comitato è, pertanto, quello di definire il perimetro entro il quale il framework di sicurezza dovrà operare, i vincoli che dovranno essere sempre rispettati, le necessità ed i requisiti associati ad ogni categoria di stakeholder, gli obiettivi di carattere generale e le modalità con cui i risultati debbano essere monitorati e rendicontati.
  • Un’altra, non meno importante, competenza dell’Organo collegiale è quella di proporre e stimolare attività di miglioramento continuo in base soprattutto ai dati emersi delle attività di monitoraggio continuo.
  • Un ulteriore imprescindibile ruolo affidato generalmente a quello che in termini tecnici è definito quale “Security Board” consiste nel promuovere la realizzazione e l’applicazione di un adeguato Sistema di protezione delle informazioni, definendone le linee guida e gli obiettivi, delegando la realizzazione, il controllo e l’applicazione delle misure di protezione.

Il Comitato, in particolare, si dovrebbe occupare di definire il modello e le regole generali di comportamento per la protezione delle informazioni di “core business”, definendo i criteri generali, i ruoli, le funzioni e le responsabilità all’interno dell’amministrazione; recepire e diffondere i principi basilari su cui si basano le attività di difesa delle informazioni; approvare due documenti di cruciale importanza (che saranno analizzati nei prossimi articoli) quali “Sistema di Protezione delle Informazioni” e il “Sistema per la classificazione e la gestione delle informazioni”.

Le security policy

Il processo di definizione delle politiche di sicurezza deve necessariamente comprendere tutte le esigenze di tutela dell’amministrazione e in particolare è chiamato ad abbracciare anche i requisiti di protezione dei beni materiali e immateriali, delle persone, oltre naturalmente alle informazioni.

Partendo dalla considerazione che il patrimonio informativo dell’ente debba essere considerato come un asset primario con rilevante valore strategico, è fondamentale prevedere politiche atte a garantire la sicurezza delle informazioni in tutti i contesti (digitali ed analogici) con il fine ultimo di assicurare la tutela e la continuità dell’azione amministrativa, la salvaguardia dell’immagine istituzionale, la tutela delle conoscenze e competenze acquisite, la salvaguardia dei diritti degli stakeholder (dipendenti, utenti, fornitori, istituti di credito, istituti finanziari ecc.) ed il rispetto delle leggi in materia della privacy.

Invero, le politiche devono prevedere meccanismi finalizzati ad assicurare che le protezioni previste ed attuate siano graduate in funzione dell’importanza/criticità delle informazioni protette al fine di ottimizzarne l’aspetto economico di gestione e la velocità/flessibilità di accesso e di scambio di dati e notizie.

Allo stesso modo è necessario garantire che le informazioni siano create, conservate e diffuse secondo requisiti adatti alla loro natura facendo in modo che siano sempre rispettate la riservatezza (l’informazione deve essere accessibile solo alle persone autorizzate), l’integrità (i dati devono essere protetti da alterazioni indebite), la disponibilità (il patrimonio informativo deve essere fruibile dalle persone autorizzate.)

La classificazione delle informazioni

Le informazioni da difendere e più in generale da gestire e trattare dovrebbero essere prioritariamente classificate, in funzione della loro natura e degli obiettivi di sicurezza che si intende raggiungere, in almeno due macro-classi di riferimento:

  • informazioni di natura istituzionale: sono tutti i dati di esclusiva proprietà dell’amministrazione o di suo legittimo utilizzo, riferiti direttamente e/o indirettamente alla natura ed alle attività dell’Ente (dati, notizie, trattati, elaborati, ecc.) che devono essere gestiti in funzione dell’importanza/criticità rivestita in ottica di tutela e continuità dell’azione amministrativa, di salvaguardia dell’immagine non solo della singola p.a. ma di tutto l’apparato statale nel suo complesso, delle competenze acquisite e dei diritti degli ‘stakeholder’;
  • informazioni di natura personale: rappresentano tutte le informazioni personali e/o particolari relative ai dipendenti, agli utenti, ai fornitori nonché a tutte le persone fisiche e giuridiche con cui la p.a. viene a contatto. Per tali informazioni l’obiettivo di fondo è quello di tutelare la privacy degli interessati anche attraverso l’adempimento degli obblighi previsti dalla normativa nazionale e comunitaria in materia di protezione dei dati personali.

Considerato il suo carattere complesso e non facilmente riconducibile ad un singolo ambito operativo, un’informazione può naturalmente avere contemporaneamente natura istituzionale e personale, nel qual caso entrambi gli obiettivi citati devono essere perseguiti.

Il sistema di protezione delle informazioni

Le security policy, nella loro connotazione strategica, dovrebbero contenere, al fine di fornire una visione quanto più possibile olistica di tutta l’organizzazione, una descrizione, seppur sintetica, del “sistema di gestione della sicurezza delle informazioni”, rappresentato dall’’insieme dei processi, dei ruoli e degli strumenti volti a garantire la protezione del patrimonio informativo dell’amministrazione attraverso un processo organico di gestione del rischio.

In un contesto in cui l’utilizzo dei sistemi informatici e delle reti telematiche è divenuto ormai imprescindibile, tanto da costituire la vera e propria colonna portante su cui si poggia l’intera infrastruttura dei servizi pubblici e privati, la gestione della sicurezza delle informazioni richiede necessariamente un approccio strutturato (nei contenuti e nella periodicità di effettuazione) mirato ad identificare e a valutare i rischi, a selezionare le misure di sicurezza adeguate, nonché a promuovere iniziative finalizzate a favorire comportamenti responsabili da parte di tutti gli attori coinvolti a vario titolo nei processi.

Analisi dei rischi

Un punto da focalizzare ed esplicitare con attenzione nelle Politiche di Sicurezza è rappresentato dalla cosiddetta “analisi dei rischi”, che definisce il livello di esposizione del patrimonio informativo dell’ente di riferimento attraverso l’identificazione dei beni e delle risorse da proteggere (ad esempio: dati, sistemi software, sistemi hardware), l’analisi delle minacce potenziali (accessi non autorizzati, compromissione di dati, guasti tecnici, errori umani, ecc.), la valutazione dell’esposizione al rischio del singolo asset rispetto alle diverse minacce.

In questo ambito è particolarmente importante prevedere un processo di monitoraggio costante sviluppando e adottando una logica preventiva di analisi e gestione del rischio al fine di prevenire/ ridurre la probabilità di concretizzazione delle principali minacce e di limitare i danni potenziali e reali verso il patrimonio informativo.

Gestione dei rischi

Una volta definiti lo stato dell’arte e la situazione di partenza, compresa la natura e l’articolazione dei rischi connessi all’attività istituzionale di una PA è necessario determinare all’interno delle Security Policy, attraverso la definizione della “gestione dei rischi”, il livello accettabile di esposizione del patrimonio informativo, che deve essere accuratamente preservato attraverso l’individuazione delle contromisure necessarie, la valutazione dello scostamento tra i presidi di sicurezza ideali e quelli concretamente esistenti, la selezione degli interventi da attuare nelle fasi successive di attuazione del framework di sicurezza, sulla base di un’analisi costi/benefici ed in funzione di quali rischi abbattere, quali accettare e quali trasferire, e la redazione di un vero e proprio piano di intervento, che sarà naturalmente articolato in documenti dal taglio più operativo.

Previsione di attività di carattere operativo

Le attività previste per la protezione delle informazioni sono generalmente classificate in due aree tra loro strettamente interconnesse generalmente indicate come “domini della sicurezza“:

  • il Piano di Protezione, che comprende l’identificazione dei potenziali attacchi a tutte le informazioni attraverso un’attenta analisi del rischio e la realizzazione delle adeguate contromisure;
  • il Piano di Emergenza, che include tutte quelle attività aventi lo scopo di assicurare, nel caso di eventi disastrosi, il ripristino dei processi nei tempi predefiniti e dei sistemi informativi gestiti.

Gli interventi, che nelle policy devono essere semplicemente definiti ed indicati a livello generale, possono essere di natura logica, fisica ed organizzativa e riguardano principalmente:

  • la predisposizione di procedure per regolamentare il processo di trattamento delle informazioni e per disciplinare l’utilizzo dei diversi sistemi/strumenti informatici di supporto e/o delle infrastrutture;
  • la sensibilizzazione e la formazione dei dipendenti e del management, attraverso un programma di informazione e formazione volto a promuovere la cultura della protezione;
  • l’elaborazione di requisiti di sicurezza per la progettazione, realizzazione e gestione dei sistemi informatici e/o delle infrastrutture che intervengono nel trattamento delle informazioni;
  • la definizione di clausole di sicurezza per i Contratti di fornitura dei servizi inerenti il trattamento delle informazioni e la redazione di eventuali patti di riservatezza nei confronti di personale interno/esterno che tratta informazioni riservate, o che ha accesso ai locali/infrastrutture in cui sono effettuate elaborazione di carattere manuale o automatizzato.

Le responsabilità del top management della PA

Le responsabilità del management (Dirigenti degli Uffici e Responsabili delle Unità Organizzative) riguardanti le attività di Protezione delle Informazioni, che devono essere normate in dettaglio nelle apposite procedure e allocate in funzione delle proprie aree di competenza, possono essere, in linea di massima, così sintetizzate:

  • classificare le informazioni o delegare l’attività ai propri collaboratori secondo criteri formalizzati di rilevanza delle informazioni;
  • controllare che i dipendenti attuino e rispettino le misure di protezione previste dal Sistema di Protezione delle Informazioni;
  • pianificare e attuare un’attività di formazione e di sensibilizzazione sulle tematiche della cyber-security;
  • attuare le misure organizzative necessarie per garantire, sul piano operativo, l’efficacia delle misure di protezione tecnologiche realizzate;
  • verificare l’inserimento delle opportune clausole contrattuali nelle pattuizioni con gli outsourcer;
  • attuare sistemi di autocontrollo.

Di seguito si riporta una mappatura finalizzata a “tradurre” le principali responsabilità legate alla sicurezza delle informazioni, così come descritte nei principali framework internazionali, ed i ruoli e le qualifiche comunemente rintracciabili nelle pubbliche amministrazioni italiane:

keyboard_arrow_right
keyboard_arrow_left
AREA/RUOLORESPONSABILITÀ LEGATE ALLA SICUREZZA DELL’INFORMAZIONEDESCRIZIONE DELLE PRINCIPALI ATTIVITÀ
Direttore/Dirigente GeneraleSupervisione della strategia inerente la Sicurezza della Informazioni e suo allineamento con gli obbiettivi istituzionali dell’AmministrazioneIl vertice dell’amministrazione ha la responsabilità di garantire che tutti gli aspetti relativi alla Sicurezza delle Informazioni siano assegnati a personale idoneo in grado di renderne efficace ed efficiente l’attuazione e che la strategia di sicurezza delle informazioni sia sempre in linea con gli obiettivi istituzionali dell’Ente.
Settore Controllo InternoIT risk assessmentGli Uffici preposti al Controllo Interno devono garantire che sia stilata e mantenuta aggiornata una lista dei rischi inerenti il settore IT che devono essere adeguatamente affrontati
Dirigenti/Responsabili di ogni settoreVerifica della corretta esecuzione delle procedure relative alla sicurezza delle informazioni ai vari livelli dell’AmministrazioneI Dirigenti devono creare un ambiente di lavoro tale da rendere le procedure inerenti la Sicurezza delle Informazioni parte integrante del quotidiano lavoro di ogni Servizio.
Rilascio/Revoca autorizzazioni a servizi, funzioni, abilitazioniOgni Dirigente/Responsabile deve classificare preventivamente i servizi e le funzioni da attribuire di default ai propri collaboratori (basandosi sui famosi principi del “least priviledge” e del “need to Knwow”, richiamati anche dal Regolamento Generale per la Protezione dei Dati Personali con le locuzioni “privacy by default” e “privacy by design”).
Ufficio LegaleConsulenza amministrativa e legale sugli aspetti legislative della Sicurezza dell’Informazione.L’Ufficio Legale deve supportare l’amministrazione al fine di fornire ragionevole certezza che le policy sulla Sicurezza dell’Informazione tengano conto e siano allineate con la normativa in vigore
Ufficio IT/Sistemi Informativi/Ufficio TecnicoMonitoraggio della SicurezzaGli incidenti legati alla Sicurezza devono essere prontamente individuati prima che assumano maggiore rilevanza
Business Continuity/Incident responseDeve essere garantita la continuità delle attività vitali dell’amministrazione anche in condizioni di estrema emergenza.

E’ fondamentale gestire gli incidenti nella loro fase embrionale.

Crisis managementLe Procedure di recovery devono essere periodicamente testate
Asset ManagementE’ necessario inventoriare tutti i dispositivi di natura informatica, associandoli ad uno scopo o ad un utente
Security review participation

Security requirements capture

E’ di prioritaria importanza verificare che i sistemi e le procedure effettivamente in uso rispettino le policy

I Requisiti di confidenzialità, integrità e disponibilità devono essere formalmente documentati.

Application security designDevono essere stabilite procedure per permettere la convergenza della sicurezza dell’informazione con gli obiettivi istituzionali
Change control/ManagementDevono essere stabilite procedure per la correttezza gestione del ciclo vita di un software, dai requisiti alla progettazione fino all’implementazione, ed alle fasi di system testing, collaudo e manutenzione correttiva ed evolutiva
Security upgrade managementE’ necessario assicurare che tutti i sistemi software siano aggiornati e tutte le patch di sicurezza installate
Ufficio Acquisti/Ufficio Affari AmministrativiRequisiti di Sicurezza in prodotti e serviziDevono essere stabiliti requisiti formali a salvaguardia della sicurezza nella valutazione di prodotti o servizi .
Requisiti di Sicurezza in ContrattiRequisiti di confidenzialità, integrità e disponibilità devono essere inseriti in tutti i contratti, in particolar modo quelli con fornitori di servizi e manutenzioni tecnologiche

Conclusioni

Tutte le previsioni di carattere generale contenute nel Documento di “Security Policy”, che, come visto in precedenza, condensa le direttive espresse dal Top-Management di una pubblica amministrazione, dovranno successivamente trovare concretizzazione ed essere declinate dal punto di vista operativo e procedurale attraverso manuali, linee guida, piani di intervento e di azione che scenderanno progressivamente ai livelli di dettaglio fino ad incrociarsi inevitabilmente, come vedremo nei prossimi appuntamenti, con le tecniche e le best-practice tipiche della cyber-defense e della lotta al crimine digitale.

@RIPRODUZIONE RISERVATA

LinkedIn

Twitter

Whatsapp

Facebook

Google+

Link

Articolo 1 di 2