Istituito con Decreto Interministeriale del Ministero delle Comunicazioni - e
del Dipartimento Innovazione e Tecnologie il Comitato Tecnico Nazionale per la
Sicurezza delle Reti e delle Informazioni nella Pubblica Amministrazione, si è
insediato presso il Dipartimento Innovazione e Tecnologie il 16 ottobre 2002.
Sin dalla fase di avvio tutti i membri del comitato si sono trovati d'accordo
nell'identificare il problema della sicurezza ICT come una grossa minaccia a
cui dover far fronte soprattutto in relazione al crescente ricorso alle
tecnologie dell'informazione da parte della PA e dei cittadini. In un
documento redatto dal comitato nel Febbraio 2003 si legge:
"La sicurezza di queste tecnologie, nel rispetto delle libertà fondamentali
della privacy (tutela della privacy è anche sicurezza), della manifestazione
del pensiero e della iniziativa economica, è senza dubbio presupposto
insopprimibile per assicurare - grazie al soddisfacimento dei requisiti di
integrità e riservatezza per dati e notizie e di disponibilità dei sistemi -
l'ordinato e sereno svolgersi proprio della vita politica, civile, economica e
sociale di tutti i giorni; ciò a garanzia di tutti coloro che intendono operare
e operano nel rispetto delle regole, contro ogni forma e "interferenza" di
criminalità, comune e organizzata, che, come è noto, ha da tempo "scoperto"
e utilizzato l'informatica, sia come strumento di comunicazione sia come mezzo
di commissione di reati, nonché la forza mediatica della comunicazione."
A partire da questo presupposto, viene avviato un intenso programma di
audizioni con Ministeri, Authority, enti pubblici e locali, associazioni e
organizzazioni private e esperti, mirato a disegnare con un certo grado di
precisione lo stato dell'arte in termini di sicurezza informatica del paese.
In particolare, il quadro che emerge da queste audizioni è quello di un paese
in cui la consapevolezze del problema inizia a diffondersi anche se solo tra gli
addetti ai lavori, mentre permane il poco interesse al problema da parte dei
vertici politici e del top management. Particolare degno di nota, non traspare
una grossa differenza tra il settore della pubblica amministrazione ed il
settore privato, anzi in generale la PA risulta avere una maggiore sensibilità
al problema rispetto al settore privato.
A seguito di queste risultanze il comitato decide di improntare la sua attività
futura su azioni che consentano il raggiungimento dei seguenti obiettivi:
accrescere il livello di consapevolezza del problema nella società ed in
particolar modo nella PA;
facilitare i processi per la "messa in sicurezza" delle strutture
informatiche della PA, che fossero conformi alle migliori pratiche
internazionali;
predisporre strutture di supporto alla PA per la gestione di incidenti
informatici ;
avviare un'attività legata alla continuità operativa nella PA.
Le azioni individuate per raggiungere questi obiettivi sono state:
Promuovere programmi per accrescere la consapevolezza del problema sicurezza
informatica tra gli utenti della rete Internet: scopo di questa azione è
divulgare a enti, organizzazioni e cittadini il problema della sicurezza
informatica e le misure da adottare per prevenirne gli effetti indesiderati.
Promuovere corsi di formazione per i dipendenti della Pubblica Amministrazione:
la formazione è il primo passo da compiere per far crescere negli utilizzatori
delle tecnologie la consapevolezza del problema sicurezza. Nell'ambito della
Pubblica Amministrazione il problema è particolarmente sentito ed è quindi
necessario predisporre un massiccio programma di formazione per tutti gli
utilizzatori.
Promuovere il ricorso agli standard di sicurezza: La certificazione dell'IT
security in accordo agli standard riconosciuti a livello internazionale
rappresenta un mezzo importante per costruire la fiducia e la confidenza sia nei
confronti di un'organizzazione che tra le varie parti coinvolte. In sostanza,
due standard ISO/IEC sono applicabili per la certificazione. Lo standard ISO
15408, noto anche come Common Criteria for Information Technology Security, che
fornisce le principali direttive per la valutazione e certificazione di prodotti
e sistemi informatici. Lo standard ISO 17799, che invece fornisce importanti
indicazioni sulle misure organizzative da intraprendere, in un'azienda, per
poter far fronte al problema della sicurezza informatica.
Predisporre una struttura, GOVCERT.IT, che sia in grado di gestire gli
attacchi IT non solo a livello dell'amministrazione centrale, ma,
eventualmente e in conformità con adeguati accordi, anche a livello di
amministrazioni locali. Il GOVCERT.IT deve diventare, per tutta la PA, il punto
di riferimento per quanto riguarda le informazioni che riguardano gli attacchi
informatici: tecniche di intrusione, vulnerabilità, minacce e patch.
Promuovere il ricorso a metodologie di analisi del rischio: l'analisi
del rischio è un processo fondamentale per la pianificazione, realizzazione e
gestione di qualsiasi sistema di sicurezza ICT. Ciascuna Amministrazione si deve
pertanto dotare di un processo continuo di analisi e gestione del rischio
conforme agli standard internazionali di sicurezza.
Promuovere la continuità operativa nella PA: anche in questo settore il
comitato ha svolto un'azione di stimolo, sollecitando la PA ad avviare azioni
mirate a garantire la continuità dei propri processi erogati tramite il
supporto dell'infrastruttura di ICT, prevenendo e minimizzando l'impatto di
incidenti intenzionali o accidentali e dei conseguenti possibili danni.
Tutte queste azioni sono state dettagliatamente descritte nell'ambito del
documento " Proposte concernenti le strategie in materia di Sicurezza
informatica e delle telecomunicazioni per la pubblica amministrazione" preparato
dal comitato e pubblicamente disponibile. Alcuni degli obiettivi
sopra menzionati sono stati raggiunti per altri, più a lungo termine, è stato
avviato un processo che speriamo porti a risultati tangibili. Va comunque tenuto
conto che in tutto il periodo di attività il comitato ha sempre lavorato con un
apporto organizzativo minimo, con autentico spirito di volontariato e di
iniziativa personale.
|
Pagina stampabile
