Le cure per una PA malata di insicurezza cronica

Mai come in questi mesi il tema della Cyber Security e della sicurezza informatica sono stati al centro dell’attenzione politica. Sembra quasi che l’argomento abbia preso il posto dell’Agenda Digitale, se non altro per dichiarazioni e attese da parte delle amministrazioni e degli addetti al settore. Un indicatore è dato dal numero di convegni, tavole rotonde e iniziative sul tema, nei quali si discute di quali misure vadano adottate per migliorare la sicurezza della PA e del paese.

Il tema è senz’altro complesso e i fronti su cui intervenire sono molteplici, ma ciò non deve portare a perdere l’attenzione dalle vere iniziative chiave che purtroppo sono anche le più impegnative e complicate. Elenco quelli che considero i tre pilastri da indirizzare in maniera prioritaria:

• Definizione di standard puntuali per la sicurezza nella PA inseriti all’interno di un framework nazionale.
• Individuazione di figure apicali nelle PA (CISO – Chief Information Security Officer) con l’esplicita e unica responsabilità di garantire la sicurezza attraverso l’aderenza agli standard governativi, la vigilanza sui processi e sui controlli e la gestione delle situazioni di incidente.
• Integrazione della sicurezza nei piani, nelle architetture e nei modelli evolutivi dell’ICT nella PA (definita da qualcuno “security by design”).

Ovviamente questo non è un elenco esaustivo, ma senza questi tre pilastri, ogni altro intervento risulterebbe inutile. Aumentare gli investimenti, formare i dipendenti, promuovere l’information sharing, creare CERT, creare partnership con il privato, lavorare sul procurement sono tutte iniziative importanti, ma che risulterebbero inefficaci senza aver costruito prima i tre pilastri.

A FORUM PA 2016 ci interrogheremo su come costruire un Framework Nazionale di cyber security il cui scopo è quello di offrire alle organizzazioni un approccio volontario e omogeneo per affrontare in maniera solida il rischio legato alla minaccia cyber. L’appuntamento è il 25 maggio con il convegno “Verso un Framework nazionale per la Cybersecurity” , una tavola rotonda nella quale si discuterà delle iniziative da proporre.

In particolare, per quanto riguarda gli standard, andrebbe definito de iure un framework di riferimento (basterebbe rielaborare la proposta di Framework Nazionale elaborata dal Laboratorio Nazionale di Cyber Security presso il CINI) e identificare uno schema di standard di riferimento. ISO fornisce un’ottima base e laddove vi sia necessità, NIST mette a disposizione standard tecnici per il governo molto evoluti e disponibili pubblicamente. L’adozione degli standard va resa obbligatoria per la PA e per i suoi fornitori (sia di prodotti che servizi, indipendentemente dalle dimensioni) e il vertice della PA ha la responsabilità di sottoscrivere periodicamente una dichiarazione di conformità agli standard, oltre a disporre attività di certificazione periodica. Si tratta di un processo enorme, dall’impatto positivamente devastante sulla sicurezza della PA: rendere la sicurezza una parte fondamentale del processo evolutivo e renderne responsabili i vertici. Responsabilità deve implicare sanzione e pena nel caso di non conformità.

L’individuazione di un responsabile della sicurezza, ovvero di un CISO – Chief Information Security Officer, è un altro pilastro. Sebbene la responsabilità ultima sia sempre del vertice, è opportuno individuare una figura dedicata e competente che sia interfaccia unica interna ed esterna per questa tematica. Il CISO è colui che lavorerà con tutte le altre funzioni della PA al fine di garantire la corretta implementazione dei controlli, l’approvvigionamento di servizi e prodotti secondo gli standard, la corretta gestione della sicurezza, il reporting verso il vertice e verso il regolatore (che potrebbe essere Agid – ma con un mandato rafforzato – o altra agenzia), la conduzione di attività di certificazione, ecc.

Poiché la sicurezza è una caratteristica relativa ai sistemi ICT, alle informazioni e alle infrastrutture, non è possibile pensarla come un elemento separato, ma come parte integrante del processo ICT e del processo informativo di una PA. Come dice qualcuno: dalla sicurezza “bolt-on”, alla sicurezza “built-in”. La sicurezza deve diventare la modalità con cui si costruiscono i sistemi, le applicazioni e i servizi, con cui si gestiscono e con cui si affrontano le anomalie e gli incidenti. Solo in questo modo si potranno ottenere elevati livelli di sicurezza. I controlli saranno molto più efficaci, poiché nativi e completamente integrati. I budget saranno gestiti più facilmente, poiché l’impatto di una sicurezza “built-in” è senz’altro minore: basti pensare la miriade di funzioni di sicurezza già disponibili di base nelle infrastrutture e nel software applicativo. Ovviamente un ingrediente fondamentale è la cultura e la competenza della Cyber Security nei vari ambiti della PA, ingrediente che al momento scarseggia, specialmente nelle amministrazioni più piccole. In questo aiuterà l’evoluzione verso servizi in Cloud per la PA.

FPA ha avviato un cantiere della PA digitale dedicato alla “Sicurezza Informatica”. Vi partecipano rappresentati della PA, dell’industria ed esperti di settore. L’obiettivo è raccogliere tutte le necessità per una PA più sicura ed elaborare un piano di proposte per il governo. Il prossimo appuntamento è direttamente a FORUM PA 2016. Vi aspetto numerosi.