Sicurezza informatica nella PA: servono tecnologie, competenze e una responsabilità diffusa all’interno dell’organizzazione

Home PA Digitale Sicurezza Digitale Sicurezza informatica nella PA: servono tecnologie, competenze e una responsabilità diffusa all’interno dell’organizzazione

L’adozione del recente Decreto-legge n. 82/2021 e l’istituzione dell’Agenzia per la cybersicurezza nazionale sono il segno della rilevanza del tema e della volontà di incrementarne il presidio. Resta però centrale il ruolo delle amministrazioni territoriali, sul quale impattano diversi elementi, dall’l’infrastrutturazione all’analisi dei processi, dalla definizione di policy chiare alle competenze dei dipendenti. E, soprattutto, la definizione di un piano di azione a 360 gradi, che favorisca una responsabilità diffusa a tutta l’organizzazione

31 Agosto 2021

I

Ilenia Imola

Direzione generale del Comune di Rimini

Photo by Sigmund on Unsplash - https://unsplash.com/photos/AIIC6wCqkQc

Se, come dice Bruce Schneier, “la sicurezza non è un prodotto, è un processo”, il Decreto-legge n. 82/2021 “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza” – convertito con modificazioni il 4 agosto 2021, con legge n. 109/2021 – pare indicare la strada verso un percorso di misure strutturali per la sicurezza informatica nella PA, che non mirano alla mera risposta causa-effetto, ma alla definizione di una più consapevole identità in materia, e confermano l’orientamento europeo ad un sistema di cyberresilienza.

L’adozione di una norma speciale e l’istituzione dell’Agenzia per la cybersicurezza nazionale con l’annesso Nucleo a supporto del Presidente del Consiglio dei Ministri – pur in presenza di un’Agenzia per l’Italia Digitale che, come indicato all’’art. 51, comma 1-bis del CAD, è già ampiamente competente in materia e si impegna tramite il Cert-AgID, a mantenere e sviluppare servizi di sicurezza preventivi e funzioni di accompagnamento utili per la crescita e la diffusione della cultura della sicurezza informatica – sono il segno della rilevanza del tema e della volontà del nostro Paese di incrementarne il presidio. L’intervento si pone in linea con la Direttiva (UE) 2016/1148, detta Direttiva NIS, su cui è stata presentata una proposta di aggiornamento da parte della Commissione UE a fine dicembre 2020, e con la Componente 1 della Missione 1 del PNRR (Digitalizzazione, Innovazione e Sicurezza nella PA). Questa Componente si pone, infatti, l’obiettivo di trasformare in profondità la Pubblica Amministrazione attraverso una strategia centrata sulla digitalizzazione e il rafforzamento della cybersecurity nazionale ne rappresenta uno degli elementi abilitanti. L’investimento 1.5 Cybersecurity prevede un costo totale di 623 milioni di Euro.

La centralità del tema è confermata, del resto, dagli attacchi informatici di questa estate che si inseriscono all’interno di un trend in crescita: si pensi che, stando al ‘Rapporto Clusit 2021 sulla sicurezza ICT in Italia’, nell’anno 2020 sono stati rilevati 1.871 attacchi gravi a livello globale (di dominio pubblico), ovvero un +12% rispetto all’anno 2019 e un +66% rispetto al 2017, e che il 14% di attacchi gravi a livello globale ha interessato la Pubblica Amministrazione (il Rapporto prende in esame il settore Governativo, Militare, Forze dell’Ordine e Intelligence ed esclude Sanità e Scuola), mentre la Relazione annuale sulla politica dell’informazione per la sicurezza 2020 (realizzata dal DIS, AISE e AISI) registra un +10% di attacchi alla PA italiana nel 2020.

Il maggiore impegno dello Stato non assolve, evidentemente, le Amministrazioni territoriali dal compito di garantire la sicurezza informatica nel proprio ambito, non solo attraverso interventi finalizzati all’infrastrutturazione tecnologica o alla risoluzione temporanea di incidenti informatici, che sono destinati a fallire se non inseriti in una visione organizzativa predefinita e complessiva.

La logica della digitalizzazione come strumento organizzativo si rinviene già nel sistema disegnato dal d.lgs. n. 82/2005, Codice dell’Amministrazione Digitale (CAD), che all’articolo 17, pur con tutte le modifiche cui è stato sottoposto, ha mantenuto il riferimento all’ufficio per la transizione al digitale, ovvero ad un team di competenze trasversali cui è affidata una serie di funzioni, ulteriormente specificate dalla circolare n. 3/2018 del Ministro per la Pubblica Amministrazione, da svolgersi sotto la guida del Responsabile per la transizione al digitale (RTD).

Tra le funzioni del team per la transizione digitale è prevista la riorganizzazione dei processi finalizzati alla realizzazione dell’Amministrazione digitale e aperta.

Com’è possibile, dunque, reingegnerizzare i processi a favore di un maggiore e massiccio impiego del digitale e, al tempo stesso, garantire la sicurezza dei dati trattati dall’Amministrazione?

L’analisi dei processi, l’infrastrutturazione, la definizione di policy chiare, e la loro efficace comunicazione, costituiscono passi fondamentali, ma se è vero, come dice Kevin Mitnick, che è il fattore umano a costituire l’anello più debole per la sicurezza informatica di un’azienda, occorrono ulteriori considerazioni.

Oltre ai firewall eretti dall’ufficio IT, uno strumento di mitigazione della vulnerabilità del sistema è rappresentato dalla formazione al digitale di tutti i dipendenti non IT. Quest’ultima non si può esaurire nell’insegnamento all’uso dei sistemi operativi, nella conoscenza dei formati di file o nell’esistenza e nella gestione di SPID o CIE, ma ha il compito di veicolare consapevolezza sulla protezione dei dati, sia in relazione ai rischi dell’ambiente digitale in cui si opera, sia in relazione all’impatto delle tecnologie sulla riservatezza dei dati personali trattati, considerata la rilevanza che questi rivestono nel contesto contemporaneo e i diritti fondamentali che vi sono correlati.

Per i dipendenti non IT le competenze digitali di base sono declinate nel Syllabus ‘Competenze digitali per la PA’, documento realizzato nel maggio 2019 a cura dell’Ufficio per l’innovazione e la digitalizzazione del Dipartimento della funzione pubblica e aggiornato nel luglio 2020. Le competenze sono suddivise in cinque aree, una delle quali è relativa proprio alla sicurezza, intesa come ‘l’insieme delle misure di carattere tecnologico, organizzativo e procedurale volte a garantire la protezione dei sistemi informatici e dei dati in essi contenuti’.

Il documento conferma la natura trasversale ed organizzativa della gestione dei rischi legati alla sicurezza informatica, e quindi la necessità di una conoscenza diffusa a tutto il personale della PA.

Non dobbiamo poi dimenticare che la cybersecurity è uno dei pilastri del Piano Triennale per l’Informatica nella PA 2020 – 2022, e aumentare la consapevolezza del rischio cyber nella PA è considerato importante quanto aumentare il livello di sicurezza informatica dei portali istituzionali. Per questo sono previste – tra le altre – azioni di sensibilizzazione rivolte agli RTD sulle tematiche cybersecurity.

Ma perché la formazione al digitale, e in particolare quella relativa alla sicurezza informatica, possa divenire un elemento di maggiore salvaguardia dei dati della PA, occorrono alcune condizioni:

  • consapevolezza e concomitanza di intenti di tutto il board dirigenziale, per coordinare un sistema formativo in grado di rilevare costantemente il fabbisogno e di programmare interventi mirati. Il sentimento diffuso che imputa la trasformazione digitale all’azione solitaria del Responsabile per la Transizione Digitale (RTD) rappresenta uno dei primi fallimenti delle progettualità in materia;
  • fuggire la tentazione di pensare che le competenze informatiche di base non possano essere acquisite dal personale non IT, ma anche fuggire la tentazione di immettere in organico più personale possibile con competenze informatiche a cui affidare in via esclusiva l’oscura materia. In questo senso, oltre al personale IT, di cui c’è sicuramente carenza, prevedere audit periodici sullo stato di salute digitale può supportare le scelte dirigenziali in merito ai collaboratori più propensi ad un re-skill e, eventualmente, ad un up-skill;
  • la formazione al digitale deve acquisire una natura strutturale all’interno delle politiche di fabbisogno formativo delle Amministrazioni, e deve attingere alle metodologie di apprendimento pratico. Come viene effettuata l’evacuazione ai fini della sicurezza fisica in caso di incendio o di terremoto, così in informatica è necessario prevedere penetration test e security audit;
  • pianificare puntuali interventi formativi di diffusione a tutti i livelli dell’Amministrazione delle policy aziendali in materia di sicurezza informatica e, in particolare, della procedura da seguire in caso di incidente informatico, anche in ottica data breach.

Le vicende nostrane di questa estate ci ricordano ancora di più che siamo nell’era in cui il problema non è se avverrà un attacco, ma quando avverrà, e per questo non è più possibile rimandare la definizione di un piano di azione a 360 gradi relativo alla sicurezza informatica, che favorisca una responsabilità diffusa a tutta l’organizzazione.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!