Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Pubblica amministrazione e open source

Le attività del Comitato tecnico nazionale per la sicurezza ICT nella PA 

di Danilo Bruschi* - 27.01.06

(Relazione presentata alla conferenza "La sicurezza ICT nella PA: strategie e azioni " - Roma, 17 gennaio 2006)

 
Istituito con Decreto Interministeriale del Ministero delle Comunicazioni - e del Dipartimento Innovazione e Tecnologie il Comitato Tecnico Nazionale per la Sicurezza delle Reti e delle Informazioni nella Pubblica Amministrazione, si è insediato presso il Dipartimento Innovazione e Tecnologie il 16 ottobre 2002. Sin dalla fase di avvio tutti i membri del comitato si sono trovati d'accordo nell'identificare il problema della sicurezza ICT come una grossa minaccia a cui dover far fronte soprattutto in relazione al crescente ricorso alle tecnologie dell'informazione da parte della PA e dei cittadini. In un documento redatto dal comitato nel Febbraio 2003 si legge:
"La sicurezza di queste tecnologie, nel rispetto delle libertà fondamentali della privacy (tutela della privacy è anche sicurezza), della manifestazione del pensiero e della iniziativa economica, è senza dubbio presupposto insopprimibile per assicurare - grazie al soddisfacimento dei requisiti di integrità e riservatezza per dati e notizie e di disponibilità dei sistemi - l'ordinato e sereno svolgersi proprio della vita politica, civile, economica e sociale di tutti i giorni; ciò a garanzia di tutti coloro che intendono operare e operano nel rispetto delle regole, contro ogni forma e "interferenza" di criminalità, comune e organizzata, che, come è noto, ha da tempo "scoperto" e utilizzato l'informatica, sia come strumento di comunicazione sia come mezzo di commissione di reati, nonché la forza mediatica della comunicazione."

A partire da questo presupposto, viene avviato un intenso programma di audizioni con Ministeri, Authority, enti pubblici e locali, associazioni e organizzazioni private e esperti, mirato a disegnare con un certo grado di precisione lo stato dell'arte in termini di sicurezza informatica del paese. In particolare, il quadro che emerge da queste audizioni è quello di un paese in cui la consapevolezze del problema inizia a diffondersi anche se solo tra gli addetti ai lavori, mentre permane il poco interesse al problema da parte dei vertici politici e del top management. Particolare degno di nota, non traspare una grossa differenza tra il settore della pubblica amministrazione ed il settore privato, anzi in generale la PA risulta avere una maggiore sensibilità al problema rispetto al settore privato.
A seguito di queste risultanze il comitato decide di improntare la sua attività futura su azioni che consentano il raggiungimento dei seguenti obiettivi:
accrescere il livello di consapevolezza del problema nella società ed in particolar modo nella PA;
facilitare i processi per la "messa in sicurezza" delle strutture informatiche della PA, che fossero conformi alle migliori pratiche internazionali;
predisporre strutture di supporto alla PA per la gestione di incidenti informatici ;
avviare un'attività legata alla continuità operativa nella PA.

Le azioni individuate per raggiungere questi obiettivi sono state:

Promuovere programmi per accrescere la consapevolezza del problema sicurezza informatica tra gli utenti della rete Internet: scopo di questa azione è divulgare a enti, organizzazioni e cittadini il problema della sicurezza informatica e le misure da adottare per prevenirne gli effetti indesiderati.
Promuovere corsi di formazione per i dipendenti della Pubblica Amministrazione
: la formazione è il primo passo da compiere per far crescere negli utilizzatori delle tecnologie la consapevolezza del problema sicurezza. Nell'ambito della Pubblica Amministrazione il problema è particolarmente sentito ed è quindi necessario predisporre un massiccio programma di formazione per tutti gli utilizzatori.
Promuovere il ricorso agli standard di sicurezza: La certificazione dell'IT security in accordo agli standard riconosciuti a livello internazionale rappresenta un mezzo importante per costruire la fiducia e la confidenza sia nei confronti di un'organizzazione che tra le varie parti coinvolte. In sostanza, due standard ISO/IEC sono applicabili per la certificazione. Lo standard ISO 15408, noto anche come Common Criteria for Information Technology Security, che fornisce le principali direttive per la valutazione e certificazione di prodotti e sistemi informatici. Lo standard ISO 17799, che invece fornisce importanti indicazioni sulle misure organizzative da intraprendere, in un'azienda, per poter far fronte al problema della sicurezza informatica.
Predisporre una struttura, GOVCERT.IT, che sia in grado di gestire gli attacchi IT non solo a livello dell'amministrazione centrale, ma, eventualmente e in conformità con adeguati accordi, anche a livello di amministrazioni locali. Il GOVCERT.IT deve diventare, per tutta la PA, il punto di riferimento per quanto riguarda le informazioni che riguardano gli attacchi informatici: tecniche di intrusione, vulnerabilità, minacce e patch.
Promuovere il ricorso a metodologie di analisi del rischio: l'analisi del rischio è un processo fondamentale per la pianificazione, realizzazione e gestione di qualsiasi sistema di sicurezza ICT. Ciascuna Amministrazione si deve pertanto dotare di un processo continuo di analisi e gestione del rischio conforme agli standard internazionali di sicurezza.
Promuovere la continuità operativa nella PA: anche in questo settore il comitato ha svolto un'azione di stimolo, sollecitando la PA ad avviare azioni mirate a garantire la continuità dei propri processi erogati tramite il supporto dell'infrastruttura di ICT, prevenendo e minimizzando l'impatto di incidenti intenzionali o accidentali e dei conseguenti possibili danni.
Tutte queste azioni sono state dettagliatamente descritte nell'ambito del documento " Proposte concernenti le strategie in materia di Sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione" preparato dal comitato e pubblicamente disponibile. Alcuni degli obiettivi sopra menzionati sono stati raggiunti per altri, più a lungo termine, è stato avviato un processo che speriamo porti a risultati tangibili. Va comunque tenuto conto che in tutto il periodo di attività il comitato ha sempre lavorato con un apporto organizzativo minimo, con autentico spirito di volontariato e di iniziativa personale.
 

* Ordinario di informatica, Dipartimento di informatica e comunicazioni dell'Università di Milano

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2006  Informazioni sul copyright