Agid e PA

Come può essere gestito il rischio nella PA

La Pubblica Amministrazione, nel perseguire le proprie finalità istituzionali, si avvale di uffici e professionalità e tecnologie volti ad assicurare informazioni e servizi alla collettività.
La sicurezza riveste un’importanza fondamentale per assicurare la disponibilità, l’integrità, la riservatezza delle informazioni, dei servizi offerti e della resilienza della complessa macchina amministrativa.

A seconda della complessità del sistema informativo e della realtà organizzativa dell’amministrazione, le attività di gestione del rischio possono tradursi in controlli di natura tecnologica, organizzativa e procedurale utili a valutare il livello di sicurezza informatica e volti a contrastare le minacce informatiche più frequenti, all’interno di un percorso continuo di monitoraggio e miglioramento.

Progettare servizi sicuri

La gestione del rischio informatico è una parte importante della progettazione e della gestione continuativa del sistema informativo, nell’ottica dei principi di security by design. Non può essere considerata come un’azione una tantum o ex post dei controlli di sicurezza. Già nella fase di definizione dei requisiti, la progettazione di un servizio deve prevedere una valutazione del rischio che permetta di appurare la necessità di proteggere il servizio stesso e quanto una soluzione tecnica faciliti o, al contrario, ostacoli l’adozione di controlli adeguati.

Il ruolo di AGID – Le misure minime di sicurezza e il progetto Italia Login

AgID supporta le amministrazioni nelle attività di progettazione e pianificazione di strategie utili ad assicurare la resilienza dell’infrastruttura informatica nazionale della PA.

Anche a fronte di un considerevole aumento di incidenti informatici o azioni ostili volti a compromettere il corretto funzionamento dei sistemi informativi o dei servizi erogati, le iniziative di AgID (Direttiva del Presidente del Consiglio dei Ministri, 1 agosto 2015) sono volte ad agevolare un sistema di prevenzione e di risposta efficiente delle singole amministrazioni.

Una prima azione in tal senso si è tradotta nella pubblicazione delle Misure minime di sicurezza ICT per le Pubbliche Amministrazioni (2017).

In attuazione dell’Agenda digitale italiana, e all’interno del progetto europeo Italia Login – la casa del Cittadino, AgID ha sviluppato una metodologia di gestione del rischio, a partire da un benchmark internazionale di buone prassi pubbliche e private, per:

  • poter essere applicata a tutti gli enti della Pubblica Amministrazione italiana, diversi per dimensioni, complessità tecnologiche e di erogazione dei servizi verso imprese, cittadini e nei confronti di altre entità pubbliche;
  • poter essere supportata da uno strumento applicativo fruibile da tutte le PA e integrato con altre infrastrutture IT centrali.

Il progetto ha l’obiettivo di:

  • definire un processo di analisi del rischio per poter ottenere, nel medio termine, una stima del livello di rischio cyber cui è esposta ciascuna PA;
  • rendere autonoma ogni PA nella pianificazione di interventi per il trattamento del rischio al fine di ridurlo ad un livello ritenuto accettabile (risk appetite);
  • ricondurre tali interventi a convenzioni già attive nell’ambito dei contratti quadro;
  • consentire il monitoraggio dell’implementazione di tali interventi alle PA che hanno affrontato l’analisi del rischio;
  • creare uno strumento di monitoraggio AgID esteso su tutti gli enti della PA;
  • diffondere tra tutti gli stakeholders coinvolti la cultura della gestione del rischio cyber.

In particolare, la diffusione della cultura del rischio cyber fa riferimento a:

  • lo sviluppo sicuro dei servizi, sulla base della rispondenza alle linee guida sullo sviluppo sicuro del software ed all’utilizzo del tool di risk assessment di AgID;
  • la familiarità con i principi dell’analisi dinamica (DAST) e statica (SAST) del software;
  • l’ introduzione all’approccio del privacy/security by design.