Il quadro

Sicurezza digitale, Italia in ritardo: le tre azioni urgenti

In autunno bisogna accelerare. Su tre punti. Istituire (per legge) un semplice modello di governo della cyber security nelle amministrazioni. Chiarire il ruolo delle Regioni rispetto ad Agid e Funzione Pubblica. Definire un modello operativo con gli obblighi di aderenza agli standard e linee guida emessi da Agid/Regioni e le modalità di verifica/certificazione. Un aspetto fondamentale, adottato da tutti i paesi avanzati

Pubblicato il 08 Set 2016

Andrea Rigoni

Intellium

sicurezza-160906000852

In questa prima parte del 2016 la sicurezza digitale è divenuta argomento di discussione quotidiana, non solo per gli avvenimenti internazionali, ma anche per i passi avanti fatti nel nostro paese. A febbraio è stato pubblicato il framework nazionale per la cyber security a cura del laboratorio nazionale di cyber security presso il CINI. Si tratta di una pietra miliare, in linea con gli approcci adottati dagli altri paesi europei.

L’iniziativa del framework, tra le altre cose, è anche in linea con la strategia per la crescita digitale 2014-2020, dove nella sezione “Digital Security per la PA”. La strategia recita: “Il Governo Italiano attraverso l’Agenzia per l’Italia Digitale definisce gli Standard e le linee guida di sicurezza per tutta la pubblica amministrazione. L’aderenza agli standard di servizio e di processo sarà obbligatoria per tutte le Amministrazioni Pubbliche”.

In queste poche parole c’è sintetizzata la strategia che il Governo dovrebbe adottare nei prossimi anni per dare un cambio di rotta radicale alla gestione della sicurezza nella PA. Purtroppo in assenza di regole, coordinamento e controlli, la sicurezza è totalmente lasciata nelle mani dei responsabili IT, i quali cercano di fare quello che possono per mitigare i crescenti rischi informatici. La carenza di un coordinamento centrale forte e la mancanza di riferimenti dedicati all’interno delle amministrazioni sono le due cause principali dei pochi progressi in quest’ambito.

Volendo stilare una lista di cose da fare in ordine di priorità, ecco ciò che ritengo prioritario:

  1. Istituire (per legge) un semplice modello di governo della cyber security nelle amministrazioni, ribadendo in modo formale la responsabilità diretta dei dirigenti e istituendo una figura di coordinamento che svolga la funzione di CISO – Chief Information Security Officer. E’ fondamentale che questo ruolo sia dedicato e comunque separato da chi ha responsabilità dell’ICT. Questa separazione è determinante per garantire un corretto indirizzo della sicurezza senza conflitti di interesse con le scelte dell’ICT. Inoltre, la tematica è divenuta talmente complessa e seria da richiedere professionalità specializzate e risorse dedicate a tempo pieno.
  2. Il modello di governo (istituito per legge) dovrà anche chiarire il ruolo delle regioni rispetto ad Agid e Funzione Pubblica. E’ indubbio che le regioni giochino un ruolo chiave nell’evoluzione dell’amministrazione digitale, ma questo non deve diventare un alibi per non promuovere un coordinamento centrale della sicurezza. Come ho avuto modo di scrivere e ribadire più volte in passato, la sicurezza alla fine è una caratteristica con cui costruire la nuova amministrazione digitale. La sicurezza va pensata a monte, quando si disegna un nuovo servizio o un nuovo processo. Pertanto, il modello di governo della sicurezza dovrà necessariamente seguire e allinearsi al modello di governo del digitale nella PA. Il problema è proprio questo: al momento il governo del digitale pare allo sbando e le numerose iniziative di razionalizzazione e centralizzazione sembrano fare fatica a decollare. E’ conseguenza logica che anche la sicurezza ne sia affetta. Se non si risolve a monte il problema del governo del digitale, non si risolverà quello della sicurezza.
  3. Insieme al modello di governo, va definito un modello operativo (sempre istituito per legge) che definirà gli obblighi di aderenza agli standard e linee guida emessi da Agid/Regioni e le modalità di verifica/certificazione. Questo è un aspetto fondamentale, adottato da tutti i paesi avanzati. Una volta individuate le responsabilità e i principi, vi deve essere un processo per cui alle amministrazioni sia ben chiaro che cosa debba essere fatto, pur lasciando la flessibilità necessaria (e questo è fornito dagli standard). E’ poi necessario verificare che i controlli di sicurezza raccomandati dagli standard siano effettivamente implementati con successo dalle amministrazioni (e questo è dato dal processo di compliance/certificazione). Senza un processo di questo genere, sarà impossibile raggiungere qualsiasi obiettivo di sicurezza nella PA. E’ un ciclo virtuoso che deve essere avviato: non è semplice, richiede uno sforzo notevole, ma non vi altra strada possibile. Tra l’altro, come già detto prima, questa impostazione è già prevista dalla Strategia per la crescita digitale 2014-2020.

Poiché il lavoro da svolgere è molto e complesso e purtroppo il divario tra la situazione ottimale e quella attuale è sempre maggiore, sarebbe utile che il governo istituisse una funzione di coordinamento e supporto centrale a questo processo. Non una agenzia che accentri poteri e attività, ma un organo leggero di coordinamento e supporto che possa lavorare al fianco di tutti gli attori coinvolti e che promuova l’avviamento delle azioni prioritarie sopra descritte.

L’errore che va a tutti i costi evitato è quello di procedere in modo tattico attraverso iniziative puntuali. Purtroppo, vista la complessità della Pubblica Amministrazione, dello stato della sua digitalizzazione e dell’altissimo livello di evoluzione delle minacce Cyber, non è più possibile rimandare l’adozione di un approccio strategico e coordinato.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati