Metodologia e strumenti

Per individuare una metodologia di gestione del rischio informatico, è fondamentale partire dalla definizione e dell’analisi del contesto (interno e esterno) della PA, così da individuare le peculiarità che caratterizzano tale contesto e il possibile insieme delle minacce a cui può essere esposto.
L’assessment che AgID effettua sui servizi della PA, in fase di autovalutazione, consiste in un’accurata mappatura degli stessi al fine di garantire un calcolo puntuale e attendibile del livello di rischio.
L’identificazione dei servizi avviene distinguendoli in:

  • servizi verticali: erogati dalla PA al cittadino o ai dipendenti, senza l’azione o l’intervento di intermediari;
  • servizi trasversali: erogati il più delle volte da PA a PA, offrono funzionalità fondamentali e trasversali a supporto dei servizi verticali, uniformando le modalità di erogazione. Rientrano in questa categoria le piattaforme abilitanti individuate dal Piano Triennale (SPID, pagoPA, ANPR, SIOPE+, ecc.).

La metodologia per la PA

L’approccio metodologico scelto da AgID si basa sui principi e le linee guida dettati dallo standard ISO 31000 [DR-3] e sull’information risk assessment methodology 2 (IRAM2), metodologia prodotta dall’Information Security Forum (ISF).
La metodologia consente di valutare il rischio legato ad una certa minaccia rispetto ai servizi erogati o utilizzati da una PA, senza interessare gli asset che li compongono.

Gli strumenti di Risk Management

AgID ha predisposto un tool di cyber risk management che consente ad ogni PA di effettuare le operazioni di self assessment, predisporre gli opportuni piani di trattamento e mantenere il monitoraggio delle iniziative intraprese ai fini di ridurre il livello di rischio.

Il Tool per la Gestione del Rischio

Il tool è accessibile in modalità web con le credenziali del Sistema Pubblico di Identità Digitale SPID.
Il tool è pensato per guidare l’utente nelle varie fasi di esecuzione del Risk Assessment:

  1. definizione delle caratteristiche, primarie e secondarie, del servizio ed assegnazione del profilo di criticità allo stesso;
  2. valutazione dei possibili impatti derivanti dalla perdita di RID (riservatezza; integrità; disponibilità) legata ad aspetti di carattere economico, reputazionale, legale e operativo;
  3. identificazione delle minacce, dei controlli di sicurezza e calcolo dei livelli di rischio;
  4. predisposizione del piano di trattamento;
  5. monitoraggio del rischio nel tempo.

Il processo di self assessment potrà avvenire secondo due modalità distinte, a scelta dell’utente in fase di avvio della procedura:

  • per servizio: ogni fase del processo, dall’assegnazione del profilo di criticità all’analisi del rischio, viene effettuata su tutti i servizi. La PA dovrà rispondere ai controlli di sicurezza previsti dal tool e declinati su ciascun servizio.
  • per PA (procedura semplificata): l’amministrazione dovrà rispondere ai controlli di sicurezza previsti senza fornire le indicazioni specifiche per servizio.

Le due modalità,che devono essere considerate come possibili successivi livelli di avvicinamento al processo di risk management, offrono gradi di attendibilità differenti:

  • l’esecuzione dell’assessment per servizio porta a risultati di alto profilo di affidabilità;
  • la modalità di assessment per PA, più agevole e veloce, offre risultati con un grado di attendibilità minore, in quanto opera sui dati aggregati e ad un livello di approssimazione maggiore.