Difendere l’ingente e inestimabile patrimonio informativo pubblico dalle insidie, sempre più concrete e complesse, del cyber crime e in generale dai pericoli provenienti dall’utilizzo di dati, informazioni e notizie nell’ambito dei servizi pubblici è compito assai arduo, dal momento che, come vedremo, la natura fortemente peculiare della pubblica amministrazione, chiamata a governare, amministrare e regolamentare ampie sfere della vita dei cittadini, non consente di applicare in maniera diretta e pedissequa gli standard internazionali di riferimento, quali la ISO/IEC 27001, il Cobit 5, e così via.
Proveremo, in questa nuova tappa verso la definizione di una roadmap di difesa della PA dal cyber crime a declinare gli orientamenti strategici, le previsioni e le decisioni di alto livello in azioni implementative di carattere più operativo, pratico e caratterizzate, per la prima volta dall’inizio del percorso, da un taglio maggiormente “tecnico”.
La conservazione dei documenti e degli archivi pubblici
Sottolineiamo innanzitutto che alla luce della peculiare situazione della PA in rapporto agli standard internazionali di riferimento, è necessario un ingente sforzo di personalizzazione ed adattamento al peculiare contesto in cui ogni organizzazione centrale o periferica dello Stato sia chiamata a svolgere le proprie funzioni istituzionali.
Un esempio che, a tal proposito, può essere utilizzato come punto di riferimento, anche al fine di rimarcare le profonde differenze che intercorrono tra le aziende private e le organizzazioni pubbliche, è quello connesso alla conservazione dei documenti, sia analogici che digitali, a vario titolo prodotti, utilizzati, elaborati, pubblicati o inoltrati a terzi nel corso delle consuete attività d’ufficio.
Se, infatti, nel caso di privati le singole normative di riferimento possono essere considerate abbastanza stabili, mature e relativamente “lineari” negli adempimenti richiesti (si pensi ad esempio ai tempi ed alle modalità di conservazione delle fatture, dei libri contabili, dei bilanci, etc), molto diverso e complesso è il quadro di riferimento per gli enti pubblici, che spesso si ritrovano nella difficilissima situazione di non conoscere la reale portata della documentazione prodotta ed elaborata né invero di possederne la piena “titolarità”.
Basti pensare, ad esempio, che, in base a quanto stabilito dagli articoli 822 e 824 del Codice Civile, gli archivi e i documenti degli enti siano soggetti al regime del demanio pubblico e pertanto siano inalienabili e che inoltre, il “Codice dei beni culturali”, approvato dal d.lgs. n. 42/2004, preveda che tutti i documenti e gli archivi pubblici appartengano al Patrimonio culturale nazionale (artt. 2 e 10).
In estrema sintesi, secondo tali norme, i documenti delle PA devono essere sempre considerati beni culturali, indipendentemente dalla loro età, tipologia o contenuto, con la conseguenza che tutti i documenti prodotti, ricevuti o conservati a qualsiasi titolo da una Pubblica Amministrazione possiedono fin dall’origine la duplice natura di “atti pubblici” e di “beni culturali”, tanto che anche la Soprintendenza Archivistica, organo periferico del Ministero per i Beni e le Attività Culturali, sia chiamata ad effettuare una complessa ed articolata attività di vigilanza sulla corretta conservazione ed archiviazione del patrimonio informativo acquisito dall’apparato statale.
La digitalizzazione della PA e il Piano Triennale AGID
Un ulteriore elemento da tenere in considerazione è certamente rappresentato dall’insieme di norme, regolamenti, linee guida e raccomandazioni in materia di digitalizzazione ed E-Government che, sia livello nazionale che in ambito comunitario, contribuiscono a rendere ancora più arduo il compito di disegnare un’architettura di protezione realmente adatta alle esigenze, spesso mutevoli, della pubblica amministrazione.
Si faccia, ad esempio, riferimento all’incessante lavoro di programmazione e coordinamento svolto dall’Agenzia per l’Italia Digitale e dal Team per la Trasformazione Digitale ed in particolare al Piano Triennale per l’Informatica nella Pubblica Amministrazione che, arrivato alla seconda edizione, traccia in maniera sempre più evidente e marcata non solo principi ispiratori ed indirizzi strategici ma anche e soprattutto vincoli implementativi, tecnologici ed infrastrutturali destinati ad orientare sensibilmente le scelte dei singoli enti distribuiti su tutto il territorio nazionale.
Particolarmente rilevanti, ai fini della cyber security, sono le previsioni relative alla razionalizzazione dei CED, con la connessa nascita dei Poli Strategici Nazionali, alla migrazione verso il Cloud, alla spinta verso la virtualizzazione delle reti e l’adozione di strumenti di respiro nazionale, quali SPID o pagoPA, che necessariamente devono essere contemplati dai dirigenti e dagli amministratori pubblici nell’effettiva implementazione delle proprie politiche inerenti la sicurezza delle informazioni e la protezione dal cyber-crime.
Se poi si considera che spesso le direzioni strategiche indicate dalle iniziative governative si scontrano con i limiti imposti dalle norme di contenimento della spesa (meglio conosciute come “Spending Review”), con la necessità di tutelare gli investimenti già effettuati e con un organico sottodimensionato e non sempre pronto a recepire in tempi rapidi i repentini mutamenti imposti dalle norme, si può ben comprendere come la missione di proteggere gli enti pubblici dal cyber-crime, oltre diventare sempre più complicata, richieda una forte azione di analisi che deve travalicare gli ambiti tecnici per sfociare in aspetti giuridici, contabili, economici e talvolta anche politici.
I nuovi adempimenti del GDPR
Una risonanza ancora maggiore, invero, ha avuto nell’ultimo anno l’entrata in vigore del Regolamento Generale per la Protezione dei Dati Personali (Gdpr), che fa gravare sulle pubbliche amministrazioni nuove e più stringenti regole finalizzate soprattutto a garantire l’adozione di idonee contromisure a tutela delle informazioni sensibili relative alle persone fisiche, che giocoforza sono trattate in maniera continuativa e sistematica nell’esercizio delle attività istituzionali.
A tal riguardo, è necessario sottolineare che, se da un lato l’avvento della nuova normativa comunitaria ha permesso di riaprire il dibattito sulla necessità di una strategia di alto livello finalizzata a garantire un’idonea protezione dei dati personali dei cittadini acquisiti dalle pubbliche amministrazioni, i nuovi conseguenti adempimenti contribuiscano ad aumentare il clima di incertezza tra gli addetti ai lavori ed in chi è quotidianamente chiamato a prendere decisioni in merito al trattamento ed alla “messa in sicurezza” di specifiche categorie di dati ed informazioni.
Alla ricerca del giusto equilibrio
Riprendendo l’esempio connesso ai tempi di conservazione dei documenti pubblici, quale potrebbe essere il giusto punto di equilibrio per un’amministrazione che si trova a gestire, ai sensi del codice civile, un patrimonio inalienabile in quanto soggetto a vincoli demaniali e che al contempo deve indicare nella propria “informativa” sul trattamento dei dati un preciso intervallo di tempo oltre il quale provvederà a cancellare e/o distruggere i dati non più necessari?
In termini ancora più semplici, tralasciando alcune situazioni di immediata intellegibilità, esiste per una pubblica amministrazione la possibilità di eliminare dai propri archivi alcune informazioni o, terminato il tempo correlato ad un procedimento amministrativo, i dati, anche quelli sensibili, personali e potenzialmente lesivi della privacy, devono essere soggetti alle norme della conservazione del patrimonio informativo pubblico?
Analoghe considerazioni potrebbero essere proposte sul corretto bilanciamento degli adempimenti inerenti la trasparenza amministrativa, che sempre più si riconnettono agli aspetti legati alla prevenzione della corruzione, con quelli inerenti la riservatezza, il diritto all’oblio o in generale la tutela della privacy ma anche della sicurezza ed incolumità dei singoli cittadini.
Un esempio eclatante in tal senso è quello legato alla pubblicazione, inizialmente prevista dal dlgs 33 del 2013, dei dati patrimoniali dei dirigenti pubblici che, dopo una lunga ed accesa battaglia sia mediatica che giudiziaria, è stata dichiarata incostituzionale dalla suprema corte in quanto violava il principio di proporzionalità.
Le macro-fasi di costruzione del modello di difesa
Dopo aver inquadrato, almeno in linea generale, il contesto di riferimento, il quadro normativo e le peculiarità insite nell’organizzazione e nei principi di funzionamento di una pubblica amministrazione, riprendiamo il processo di costruzione di un sistema di sicurezza, all’interno del quale è possibile individuare ben precise e distinte macro-fasi, descritte con maggiore dettaglio nelle precedenti “puntate”, che conducono un’organizzazione verso una corretta implementazione delle misure di cyber-security. In particolare, come più volte anticipato negli scorsi appuntamenti, il punto di partenza dell’intero percorso deve necessariamente riguardare il livello strategico e concretizzarsi in Politiche e strategie in grado di esplicitare la visione e gli obiettivi generali che un’amministrazione intende perseguire in relazione alla protezione del proprio patrimonio informativo.
Una volta che i principi cardine siano stati delineati, condivisi e diffusi a tutti i livelli dell’Ente, sarà fondamentale avviare la cosiddetta fase del “Risk Assessment” che permetterà di definire i rischi connessi a tutte le attività di core business ed a quelle “ortogonali” dell’amministrazione e guiderà il management verso la predisposizione del successivo step di “Risk Treatment” nella quale per ogni rischio saranno individuate, in linea di massima, soluzioni di carattere organizzativo, procedurale e tecnico in grado di riportare i rischi emersi entro i limiti indicati dal cosiddetto “Risk Appetite”.
In linea generale, pertanto, è possibile affermare che il Risk Assessment costituisca una vera e propria “pietra miliare” nella costruzione dell’intero sistema perché, attraverso la valutazione quantitativa e qualitativa dell’adeguatezza delle soluzioni già adottate o progettate in relazione agli obiettivi della propria organizzazione, permette l’avvio delle successive attività di gestione della sicurezza delle informazioni.
I controlli di primo livello
Il passaggio immediatamente successivo è quello connesso all’implementazione dei cosiddetti controlli di primo livello, ossia delle contromisure (quali le procedure di backup, di gestione dei cambiamenti, di protezione della rete, etc) direttamente finalizzate a garantire la mitigazione di un rischio attraverso azioni in grado di ridurre la probabilità di accadimento (controlli preventivi), l’impatto in caso di concretizzazione di una minaccia (controlli correttivi) o di rafforzare l’azione di un altro presidio (controlli compensativi).
L’obiettivo di fondo è quello di mettere in campo azioni, attività, procedure, linee guida e processi che, recependo i principi fondamentali espressi nei documenti strategici e seguendo le priorità emerse nella fase di definizione del rischio, possano costruire un vero e proprio reticolato di sicurezza, in grado di rispondere nel miglior modo possibile agli eventi avversi endogeni ed esogeni, agli errori umani ed alle debolezze intrinseche agli strumenti digitali ed analogici utilizzati nel corso delle consuete attività istituzionali.
E’ necessario, in tale sede, ricordare che i “controlli” di sicurezza non rappresentino degli scudi protettivi infallibili o definitivi ma al contrario debbano essere intesi come un primo strato di protezione (quasi come un tessuto epidermico) che per sua natura deve costantemente rinnovarsi, evolversi e migliorarsi nel tempo in relazione all’ambiente interno ed esterno e che deve essere affiancato da contromisure “complementari” e di “secondo livello”, capaci di limitare i danni dovuti ad eventuali malfunzionamenti dei meccanismi di difesa.
Si pensi ad esempio a quanto avveniva nelle antiche fortificazioni militari in cui le mura di cinta costituivano un avamposto di sicurezza costantemente presidiato da arcieri, archibugieri, fanti e cavalieri pronti ad intervenire nel caso in cui un avversario particolarmente attrezzato riuscisse a creare una breccia e ad entrare nel cuore del presidio da difendere.
Allo stesso modo, come vedremo nei prossimi appuntamenti, il sistema di difesa dal cyber crime deve dotarsi di meccanismi di gestione degli incidenti o, ancora peggio, dei disastri perché anche in condizioni di estrema emergenza è fondamentale poter continuare ad erogare quantomeno i servizi ritenuti vitali per un’organizzazione pubblica, il cui scopo principe è quello di tutelare i diritti dei cittadini e della collettività.
Saranno tralasciati nella trattazione, con l’intento di focalizzare l’attenzione sugli aspetti maggiormente identificativi delle pubbliche amministrazioni, alcuni dettagli implementativi ritenuti maggiormente “specialistici”, soprattutto di natura sistemistica, quali le configurazioni delle postazioni informatiche, le regole implementative sulle complessità delle password ed in generale tutto ciò che rientra in contesti standard pienamente mutuabili dall’ampia letteratura di settore.
Capacity Managament
Un processo troppo spesso sottovalutato, se non proprio ignorato, ma che, al contrario, riveste un’importanza fondamentale nell’implementazione di un adeguato sistema di sicurezza è quello connesso alla creazione ed all’aggiornamento costante di un “Capacity Management Plan”, ossia del Piano finalizzato a garantire che sia sempre disponibile una “capacità” (economica, finanziaria, tecnica, umana e temporale) adeguata a soddisfare le esigenze di sicurezza di un’amministrazione. Si tratta, invero, di un processo previsionale e manageriale che deve strettamente legarsi con la programmazione finanziaria e contabile di una pubblica amministrazione, con l’obiettivo di riservare nel Bilancio di previsione adeguate risorse economiche nei competenti capitoli di spesa, con la gestione delle risorse umane, che devono essere allocate e formate in maniera da garantire rotazioni di emergenza nei casi di necessità, ma anche con i processi di approvvigionamento, stoccaggio e dismissione della strumentazione e dei “pezzi di ricambio”, che devono essere disponibili nelle quantità e nei tempi compatibili con le esigenze di sicurezza di una PA.
Come si può facilmente intuire, il Capacity Management è per sua natura un processo intrinsecamente multidisciplinare, che deve coinvolgere tutte le sfere decisionali di una pubblica amministrazione con il fine di creare i presupposti e le fondamenta su cui si poggerà l’intera infrastruttura fisica.
In base ai risultati emersi dalla quantificazione del rischio, ad esempio, un’amministrazione, in sede di redazione del Piano di Capacità, dovrà determinare la corretta costituzione di un “fondo di emergenza”, da poter utilizzare in tempi rapidi, al di là dei possibili rimborsi che potrebbero arrivare dalle compagnie assicurative (che, com’è noto, coprono prioritariamente gli impatti economici), nel caso in cui uno o più scenari potenzialmente disastrosi dovessero verificarsi, con il fine di garantire una reazione immediata, pronta e calibrata rispetto alle reali esigenze contingenti.
Change Management
Un ulteriore elemento fortemente critico di tutta l’organizzazione di sicurezza è rappresentato dalla gestione dei cambiamenti che fisiologicamente avvengono, a tutti i livelli, nel corso delle consuete attività istituzionali. In tale ambito, l’obiettivo principale del cosiddetto “Change Management”, è quello di assicurare l’utilizzo di procedure e metodi quanto più possibile standardizzati in grado di coordinare in maniera coerente, uniforme e soprattutto tracciabile tutte le modifiche di natura tecnica, organizzativa, procedurale o implementativa con lo scopo di minimizzare l’impatto sui servizi erogati e fornire sempre un’adeguata pista di controllo in grado di garantire anche la “reversibilità” e la “riproducibilità” delle attività svolte.
E’ fondamentale sottolineare come la maggior parte delle vulnerabilità e delle situazioni di pericolo statisticamente riscontrate nei sistemi di sicurezza derivino da situazioni in cui sia necessario derogare, anche temporaneamente, alle consuete norme comportamentali o organizzative oppure da particolari condizioni nelle quali sia fisiologicamente necessario apportare modifiche alle autorizzazioni, ai permessi o alle limitazioni associate a determinati attori/utenti.
Si pensi, ad esempio, al caso in cui l’assenza improvvisa di un funzionario addetto ad un processo particolarmente sensibile determini la necessità di abilitare in via straordinaria una seconda persona all’utilizzo di un software potenzialmente critico oppure alle procedure che devono essere seguite ogni qual volta un dipendente viene assunto, trasferito, promosso o oppure quando termina un rapporto di lavoro.
Un altro caso particolarmente illustrativo può essere quello di un dipendente che chieda, anche per motivate o urgenti ragioni, al servizio di “help desk” lo sblocco temporaneo di un determinato vincolo quale può essere l’utilizzo in scrittura sul proprio PC di un dispositivo di memorizzazione USB. Si tratta di un’attività che, secondo le regole dell’amministrazione, dovrebbe necessitare di una particolare autorizzazione prima di essere effettuata? Nel caso in cui non fosse tracciata sarebbe possibile risalire, magari dopo diversi mesi, alla causa di una eventuale fuga di notizia o, per mutuare una locuzione portata alla ribalta dal GDPR, un evento di data-breach? Sono, pertanto, immediatamente intuibili anche le ingenti responsabilità che si potrebbero riversare sul management di un’amministrazione nel caso in cui una modifica non sia adeguatamente tracciata, autorizzata, gestita.
Asset Management
Le informazioni, i dati, le notizie acquisite, elaborate, memorizzate, trasmesse o semplicemente utilizzate all’interno di una pubblica amministrazione devono necessariamente transitare attraverso strumenti fisici o immateriali che ne permettano la visualizzazione, la modifica o la cancellazione. Non è possibile gestire e proteggere il proprio patrimonio informative se prioritariamente non si conoscono e soprattutto non si gestiscono, attraverso regole e procedure chiare ed univoche, i propri “asset” (non solo tecnologici) connessi alle informazioni, che in estrema sintesi possono essere schematizzati in:
- Dispositivi Hardware;
- Applicazioni Software;
- Archivi cartacei;
- Data Center;
- Locali tecnici;
- Strumenti diagnostici e di rilevamento.
Il primo fondamentale passaggio è quello della creazione di un registro degli asset, che permetta di avere accesso ai dati più importanti per ogni categoria di bene utilizzato, anche nell’ottica della necessità di sostituirlo, ripararlo, aggiornarlo o semplicemente dismetterlo.
E’ immediatamente comprensibile come il processo di Asset Management debba sempre risultare allineato con quanto previsto nel “Capability Plan” anche al fine di garantire la pronta disponibilità (o la capacità di attivare le procedure di approvvigionamento) di tutti gli strumenti necessari alla corretta gestione delle informazioni sia in condizioni ordinarie che di emergenza.
E’ di primaria importanza, ad esempio, che un’amministrazione sappia definire, con un buon livello di affidabilità, in base allo “stato di salute” ed all’”utilizzo corrente” della strumentazione in proprio possesso, il numero di postazioni informatiche “client” (ossia i computer utilizzati dal proprio personale) da acquistare nel medio e nel breve periodo ed allo stesso tempo assicuri la relativa copertura nei documenti finanziari, effettui una stima dei tempi sottesi ai procedimenti di acquisto ed a quelli correlati alla manutenzione e riparazione dei propri asset, con particolare riferimento a quelli maggiormente critici perché utilizzati da persone che rivestono “ruoli chiave”.
Access Management
Una volta che gli asset sono stati correttamente catalogati, inventariati e gestiti in maniera razionale e coerente con la missione istituzionale di un ente, si rende necessario assegnare i relativi privilegi di utilizzo, accesso, lettura, modifica o cancellazione a tutte le persone coinvolte nel trattamento di dati a qualsiasi livello nell’amministrazione.
Una delle soluzioni più efficienti ed in grado di garantire un ordinato processo di attribuzione, rimozione e rimodulazione degli accessi (intesi in senso lato) è quella basata sui “ruoli” e sulle “posizioni” rivestite dai diversi soggetti che operano all’interno dell’organizzazione.
Tale approccio, che deve necessariamente partire dalla classificazione delle risorse umane e delle possibili abilitazioni da assegnare, permette anche di ottenere una visione olistica dell’intera organizzazione e garantisce un’allocazione dei permessi decisamente più organica e razionale oltre a favorire i correlati processi di monitoraggio, controllo di secondo livello ed audit.
Di seguito, è riportata una tabella riepilogativa di possibili assegnazioni di ruoli e permessi:
Ruolo/Risorsa | Accesso fisico | Accesso ad Internet | Utenza Personal Computer | Utenza Active Directory | Utenza software 1 | Utenza software n |
Dipendenti | Solo locali amministrativi | Consentito di default tramite “gateway” con content-filtering | Utente standard | Associato ad un ruolo che permette l’accesso alle cartelle di rete associate al proprio ufficio | Utente con accesso limitato | Utente con accesso limitato |
Dirigenti | Solo locali amministrativi | Consentito di default tramite “gateway” con content-filtering | Utente standard | Associato ad un ruolo che permette l’accesso alle cartelle di rete associate al proprio Servizio | Utente con accesso limitato | Utente con accesso limitato |
Amministratori di sistema | Locali amministrativi e tecnici | Accesso diretto e non filtato | Utente amministratore | Associato ad un ruolo che permette l’accesso alle cartelle di rete associate al proprio ufficio | Utente Amministratore | Utente Amministratore |
Consulenti | Solo locali amministrativi | Di default non consentito | Non previsto di default | Non previsto di default | Non previsto di default | Non previsto di default |
Visitatori | Solo aree destinate agli esterni | Di default non consentito | Non previsto di default | Non previsto di default | Non previsto di default | Non previsto di default |
Network Management
Anche in considerazione dei principi cardine sui quali si basa il nuovo Piano Triennale per l’Informatica nelle Pubbliche Amministrazioni ed in particolare della volontà del Governo di spingere, per il tramite di Agid e Team per la Trasformazione Digitale, in maniera sempre più marcata e decisa sul Cloud, sulla concentrazione dei data center delle p.a. in poche strutture fisiche altamente specializzate ed in generale sulla fruizione di servizi remoti erogati da soggetti accreditati, un ruolo di primaria importanza riveste nell’organizzazione della struttura di sicurezza di una pubblica amministrazione la progettazione delle reti e della connettività.
In particolare, diventa fondamentale garantire la continuità dell’accesso al web ma anche riuscire ad ottenere un controllo quanto più completo e pervasivo possibile sui flussi digitali in ingresso ed uscita dalla propria rete aziendale.
In un contesto in cui la maggior parte dei software, delle applicazioni e dei servizi informatici utilizzati correntemente si trova (o si troverà a breve) al di fuori del proprio perimetro fisico, diventa imprescindibile, anche ai fini della cosiddetta “Continuità Operativa”, adottare soluzioni e costruire architetture di rete resilienti, ridondate e sicure.
Cosa succederebbe, ad esempio, nel caso in cui un’amministrazione rimanesse tagliata fuori dalla rete per un’intera giornata? O se, ancora peggio, tutti i dati da e verso il Cloud fossero intercettati, manipolati, diffusi, distorti o corrotti? O ancora, quale sarebbe l’impatto del malfunzionamento di uno switch, di un router o di un dispositivo che per la strutturazione della propria rete assume il ruolo critico di “Singolo Punto di Fallimento”?
Si faccia, ad esempio, riferimento al caso di un unico “firewall” che funga da interfaccia verso il cosiddetto “mondo esterno” e dal quale transitino, pertanto, tutte le informazioni da e verso l’amministrazione: è del tutto evidente che un attacco deliberato o anche un semplice problema elettrico a tale dispositivo sarebbe sufficiente a bloccare per un intervallo di tempo più o meno lungo tutti gli uffici dell’ente in questione.
In tale contesto, un prezioso strumento operativo è fornito dalle Convenzioni CONSIP ed in particolare dal Sistema Pubblico di Connettività (SPC) che permette a tutte le PA di personalizzare in maniera semplice, snella e lineare la propria infrastruttura telematica interloquendo direttamente con i fornitori che hanno vinto la gara bandita dalla centrale di committenza nazionale ed hanno la possibilità di sottoscrivere contratti esecutivi senza ulteriori aggravi burocratici o amministrativi.
In dettaglio, attraverso l’accordo quadro “SPC 2” è possibile soddisfare non solo le proprie esigenze in termini di connettività, modulando la “banda” che si intende avere a disposizione, ma anche acquistare interessanti strumenti quali il “Servizio di Sicurezza Perimetrale Unificata” (SPUN), che prevede l’installazione, presso la sede dell’Amministrazione interessata, dell’Hardware e del Software necessario a proteggere il sistema ed il “Servizio di Sicurezza Centralizzata” (SCEN), che invece garantisce una gestione centralizzata tramite un centro servizi locato presso una sede del fornitore.
Backup Management
Quella che probabilmente può essere considerata come la contromisura più celebre e diffusa anche nell’immaginario collettivo dei non addetti ai lavori è la procedura connessa al backup delle applicazioni e delle macchine client e server di un’organizzazione. Mutuando la terminologia propria del risk management, il backup può essere considerata come una tecnica “correttiva” in quanto non mira a prevenire una minaccia o a ridurne la probabilità di accadimento ma si pone l’obiettivo di minimizzare l’impatto che la concretizzazione di un rischio può avere su un determinato asset.
Un caso eclatante ed altamente significativo è quello di un computer che venga infettato da un malware quale ad esempio può essere un “Cryptolocker”, ossia quella tipologia di codice malevolo che cripta i dati di un hard disk rendendoli praticamente inutilizzabili e prevedendo un riscatto per il ripristino delle situazione “ex ante”. E’ del tutto evidente che il salvataggio preventivo dei dati non impedisce al malware di attaccare una postazione informatica ma riduce (ed a volte azzera) i danni subiti grazie alla possibilità di riutilizzare la copia precedentemente salvata, evitando anche spiacevoli e spesso inutili transazioni con gli hacker o i cyber-criminali.
In analogia con le considerazioni finora effettuate, è in ogni caso fondamentale ribadire come le attività di backup debbano essere accuratamente pianificate, progettate e calibrate in base alle reali esigenze di un’organizzazione ed alla criticità di ogni singola macchina o applicazione.
Tra i parametri fondamentali da configurare con la dovuta oculatezza è possibile, in estrema sintesi, ricordare:
- l’ampiezza, che riguarda la quantità e la tipologia di dati che si intende salvare. Si può optare, ad esempio, per il backup di una sola cartella, dell’intero disco rigido, dei soli dati o anche delle configurazioni del sistema operativo;
- la frequenza, che invece indica l’intervallo temporale che deve intercorrere tra un’operazione di salvataggio ed un’altra;
- il numero di copie, che determina il numero di differenti versioni di backup della stessa applicazione che devono essere conservate;
- la schedulazione complessiva, che permette di distribuire nella maniera più omogena possibile le attività di backup nel tempo in maniera da evitare sovrapposizioni e soprattutto congestioni nella rete.
Conclusioni
La progettazione, l’implementazione e l’effettiva costruzione dei controlli di primo livello costituiscono un importante momento di “concretizzazione” delle politiche di difesa di una pubblica amministrazione dalle minacce del cyber-crime che sono state definite, a livello strategico, nelle prime fasi del processo di modellazione dell’intero sistema di protezione e che, come più volte anticipato, devono, per loro natura, essere profondamente ed intrinsecamente allineate con la missione istituzionale e con la “Corporate Governance” dell’intera organizzazione, ossia con il complesso insieme di strumenti, regole, relazioni, processi e sistemi “aziendali” finalizzati ad una corretta ed efficiente gestione di una pubblica amministrazione.
Anche nelle attività descritte nel corso della presente trattazione, però, a differenza di quanto si possa comunemente essere indotti a pensare, gli aspetti puramente tecnici ed informatici, pur se più importanti rispetto alle precedenti macro-fasi, assumono un ruolo decisamente secondario al cospetto di attività di programmazione, pianificazione e definizione di procedure e linee guida che, nel caso degli enti pubblici, devono abbracciare anche e soprattutto aspetti burocratici, amministrativi e normativi, non sempre perfettamente lineari né tra loro pienamente convergenti.
E’ necessario, a tal riguardo, registrare come, a livello operativo, preziosi strumenti attuativi arrivino dalle Convenzioni Consip nelle quali sono contemplati, seppur attraverso una visione “bottom-up”, diversi tasselli inerenti la sicurezza delle informazioni che, se ben riconnessi tra loro, possono contribuire all’implementazione di singole soluzioni da incastonare nel quadro più generale della propria architettura di sicurezza.
Come anticipato in precedenza, il punto di arrivo dei controlli di primo livello è rappresentato dalla creazione di una vera e propria “cinta muraria” che dovrà, attraverso successivi interventi, che descriveremo nei prossimi passi della roadmap, essere puntellata, rinforzata ed a sua volta difesa e tutelata attraverso la predisposizione di ulteriori contromisure, in grado di entrare in funzione, alla stregua di anticorpi generati automaticamente dal sistema, in caso di fallimento del primo fronte di difesa, per permettere alle pubbliche amministrazioni di continuare a erogare, anche nelle situazioni più difficili ed impervie, quanto meno i servizi vitali e più importanti a favore della collettività e dei cittadini.