Lo scenario

Sicurezza da remoto, le soluzioni per la PA tramite Consip: servizi e formazione

Consip ha dato il via libera al lotto 1 dell’Accordo quadro per i servizi di sicurezza da remoto, piano da 468 milioni di euro: si punta a offrire assistenza da remoto per proteggere infrastrutture e dati: il piano prevede, oltre al supporto tecnico, anche corsi di formazione per creare consapevolezza

Pubblicato il 04 Ott 2022

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

security-ga9b5e8a96_1920

Consip ha attivato il lotto 1 dell’Accordo quadro per i servizi di sicurezza da remoto, un piano da 468 milioni di euro per servizi di cybersecurity per la Pubblica Amministrazione.

L’accordo offre assistenza da remoto per la protezione di infrastrutture, applicazioni e dati e segue il Lotto 2 “Sevizi di compliance e controllo”, presentato a marzo, per la sicurezza dei dati on premise, immagazzinati presso le sedi del cliente. Entrambi i lotti seguono le indicazioni del Piano Triennale dell’informatica nella PA e serviranno anche per la realizzazione dei progetti di digitalizzazione e innovazione del Pnrr. Saranno disponibili servizi di protezione e prevenzione, nonché assistenza per la rilevazione e la gestione di incidenti e attacchi e per il recupero.

Certificazioni cyber security, la Ue cambia ancora: i nodi delle notifiche di conformità

Sicurezza da remoto, chi fornisce i servizi

I servizi saranno forniti da un RTI cui partecipano Accenture S.p.A., Fincantieri Nextech S.p.A., Fastweb S.p.A., DEAS Difesa e Analisi Sistemi S.p.A. per le Pubbliche Amministrazioni locali e da RTI cui partecipano Telecom Italia S.p.A., Net Group S.p.A., Reevo S.p.A., KPMG Advisory S.p.A., Almaviva -The Italian Innovation Company S.p.A., per le Amministrazioni centrali.

Il lotto 2 era stato aggiudicato a un RTI cui partecipano Deloitte Risk Advisory S.r.l., EY Advisory S.p.A. e Tele-co S.r.l. per le Pubbliche Amministrazioni locali, e a un RTI con Intellera Consulting S.r.l., Capgemini Italia S.p.A., HSPI S.p.A. e Teleconsys S.p.A. per quanto riguarda le Amministrazioni centrali.

Le soluzioni

Nel lotto 1 sono citati servizi come il SOC, Security Operation Center, ormai diffuso presso tutte le grandi aziende, ma spesso assente nella PA locale, i firewall a vari livelli, i servizi di threat intelligence, le analisi dei log. Tutte forniture che portano effettivamente sicurezza solo se inserite in una strategia globale di sicurezza, che abbia consapevolezza degli scopi che ciascuna piattaforma o ciascun servizio raggiunge, di come questi scopi vanno integrati nella strategia comportamentale globale e dei punti di raccordo tra i vari servizi e le varie piattaforme in modo che non restino punti non presidiati. Si parla poi di certificati SSL piuttosto che TLS o di firme digitali. Anche qui, il cliente appare sommerso da una valanga di possibilità che però hanno senso solo se coordinate tra loro e nella visione globale di sicurezza e non possono invece essere colte come una singola opportunità perché vanno a coprire solo alcuni aspetti della sicurezza e mai tutti in un solo colpo.

L’importanza del fattore umano

Oltre al supporto tecnico il piano offre anche corsi di formazione e security awareness per il personale della PA. Ecco il vero punto nodale. La PA necessita di personale specializzato, in grado di formulare strategie di sicurezza e di capire cosa sta acquistando e perché nell’ambito di questi accordi. Senza personale competente, anche solo a livello strategico e di governance, ancora una volta, le PA, soprattutto quelle locali, resteranno preda di un mondo che non comprendono e che le sta per colpire a valanga.

È proprio la PA locale l’obiettivo più ambizioso e più importante di questi piani. Si tratta di migliaia di aziende e istituzioni, talvolta anche molto piccole, che devono prendere atto degli obblighi di sicurezza che derivano dai loro compiti connaturati e dai dati che gestiscono e generano. Realtà che possono essere estremamente remote dai temi di cyber security perché costituite da personale che non ha competenze IT. Il nodo è sempre nelle persone. Occorre rendere le persone consapevoli del problema, in grado di redigere una strategia o di comprenderne redatta insieme con il fornitore (o con i fornitori), in grado poi di comprendere quando e come la strategia viene realizzata e gli obiettivi raggiunti e infine in grado di mantenere attive le prestazioni, in termini di sicurezza, ottenute.

La formazione del personale

Tutto questo significa partire dalla formazione e dall’informazione al personale, organizzare momenti di diffusione del messaggio, anche da parte delle Istituzioni preposte come la Agenzia per la Cybersecurity nazionale, concentrarsi su come portare il personale della PA centrale e delle PA locali ad un livello di interlocuzione con i fornitori che possa consentire di non finire nella valanga di forniture come fiocchi di neve. E significa anche creare team misti cliente-fornitore di tipo “trusted”, ossia fiduciari, per poter partire con la stesura delle strategie e la comprensione di cosa comprare, in che ordine, come mettere poi tutto insieme perché la sicurezza sia un unicum coerente e non una coloratura a macchia di leopardo.

Conclusione

La sfida è ambiziosa. Gli aggiudicatari si muoveranno verso gli obiettivi dei loro accordi promuovendo attività e azioni, ma l’ideale sarebbe che fossero gli obiettivi, ossia le PA centrali e locali a muoversi per cercare di avviare processi e azioni nell’ambito di ciascun accordo e lotto. Sarebbe l’ideale che questi accordi quadro venissero interpretati, soprattutto dalle realtà più piccole, come una grande opportunità per avviare un processo interno di aggiornamento, digitalizzazione e messa in sicurezza generale, coordinata e completa. Sarà difficile che i componenti degli RTI possano andare “di porta in porta” anche nelle realtà più piccole, quindi lavoriamo da ora, ACN per prima, per rendere le PA locali consapevoli dell’enorme opportunità che hanno davanti e per far si che questa venga sfruttata a pieno.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati