Sicurezza applicativa: il Cantiere sicurezza digitale al lavoro a beneficio della PA
Condividere conoscenze, esperienze e buone pratiche al fine di fornire delle indicazioni operative in una sorta di decalogo a beneficio del mondo della PA: sono questi gli obiettivi del Cantiere Sicurezza Digitale, promosso da FPA
7 Marzo 2019
Diego Mezzina
ICT Security Manager, INSIEL Spa - Cantiere Sicurezza Digitale
La sicurezza delle applicazioni è un tema di stringente attualità – se si considera che la maggioranza degli attacchi informatici vengono indirizzati direttamente verso le app – e rispetto al quale anche l’Agenzia per l’Italia Digitale si è dimostrata molto attenta, emettendo specifiche indicazioni per lo sviluppo del software sicuro nel contesto delle linee guida per la Sicurezza ICT delle Pubbliche Amministrazioni.
I sistemi informatici – di cui le applicazioni sono parte integrante – sono alla base dell’automazione di processi in tutti i settori produttivi, come anche nella Pubblica Amministrazione. Molte aspettative sono riposte nella capacità dell’IT di rendere più efficienti e vicine ai cittadini le PA stesse, attuando di fatto la cosiddetta trasformazione digitale, ovvero la profonda integrazione tra le tecnologie digitali ed i processi tipici dell’organizzazione di riferimento, nel caso di specie la PA.
Il tema della sicurezza delle informazioni è estremamente ampio e comprende considerazioni che possono spaziare dalla protezione fisica delle infrastrutture alla sensibilizzazione degli utenti dei sistemi stessi. In questo scenario appare fondamentale garantire che le soluzioni alla base della trasformazione digitale offrano adeguate garanzie anche dal punto di vista della sicurezza.
Tuttavia, se da un lato il tema è rilevante – anche vista la piena entrata in vigore del Regolamento UE 2016/679 – ed è crescente la volontà di miglioramento, dall’altro il contesto della PA si scontra con dei vincoli e uno status quo che fa della sicurezza applicativa una sfida davvero interessante.
Basti pensare, per esempio, ai vincoli di budget, alle scadenze connesse alla necessità di apportare manutenzioni adeguative, alla volontà – da parte dei decisori – di estendere il campo di applicazione di soluzioni legacy nate in un contesto “intranet”, alla necessità di integrare soluzioni vecchie e nuove. O, ancora, ai vincoli normativi legati alle procedure di acquisizione di beni e servizi, che hanno un’influenza sui parametri tipici della gestione dei progetti, ovvero risorse, costi, ma soprattutto tempi di realizzazione.
Condividere conoscenze, esperienze e buone pratiche al fine di fornire delle indicazioni operative in una sorta di decalogo a beneficio del mondo della PA: sono questi gli obiettivi del Cantiere Sicurezza Digitale, promosso da FPA, in cui un gruppo di esperti provenienti dal mondo della PA e del privato sta analizzando in dettaglio il tema della sicurezza applicativa, secondo diverse direttrici.
• La definizione di un ciclo di sviluppo sicuro (Secure Software Development Life Cycle – SSDLC), con eventuali strumenti, tool, standard a supporto, già presenti a livello internazionale.
• La progettazione dei requisiti, nella piena consapevolezza che oltre ai requisiti funzionali di un’applicazione, solitamente oggetto di analisi e confronto, esistono anche requisiti non funzionali, quali quelli di sicurezza, che troppo spesso sono lasciati inespressi o sottointesi, ma che vanno invece considerati opportunamente.
• La sicurezza applicativa nei capitolati, tema che entra in gioco ogniqualvolta una Pubblica Amministrazione si rivolge a fornitori di prodotti software o anche di servizi ICT di varia natura che abbiano per oggetto delle applicazioni (ivi compresi i servizi di sviluppo software): è necessario che anche i fornitori siano infatti correttamente responsabilizzati e resi parte attiva nel presidio della sicurezza.
• La verifica e manutenzione della sicurezza applicativa, che comprende le attività di verifica nelle diverse fasi del ciclo di vita di un servizio applicativo, dallo sviluppo, alla transition fino all’esercizio.
• I possibili checkpoint organizzativi, che una PA può mettere in atto per presidiare l’adozione delle corrette misure di sicurezza identificate sul tema Il Cantiere Sicurezza Digitale, attraverso l’attività che sta svolgendo, non potrà prendere in esame un argomento tanto complesso in ogni suo aspetto, ma servirà senz’altro a fornire degli spunti utili e interessanti e a stimolare l’evoluzione di questo tema.
Il Cantiere Sicurezza Digitale, attraverso l’attività che sta svolgendo, non può prendere in esame un argomento tanto complesso in ogni suo aspetto, ma può senz’altro fornire degli spunti utili e interessanti e a stimolare l’evoluzione di questo tema.