In questa prima parte del 2016 la sicurezza digitale è divenuta argomento di discussione quotidiana, non solo per gli avvenimenti internazionali, ma anche per i passi avanti fatti nel nostro paese. A febbraio è stato pubblicato il framework nazionale per la cyber security a cura del laboratorio nazionale di cyber security presso il CINI. Si tratta di una pietra miliare, in linea con gli approcci adottati dagli altri paesi europei.
L’iniziativa del framework, tra le altre cose, è anche in linea con la strategia per la crescita digitale 2014-2020, dove nella sezione “Digital Security per la PA”. La strategia recita: “Il Governo Italiano attraverso l’Agenzia per l’Italia Digitale definisce gli Standard e le linee guida di sicurezza per tutta la pubblica amministrazione. L’aderenza agli standard di servizio e di processo sarà obbligatoria per tutte le Amministrazioni Pubbliche”.
In queste poche parole c’è sintetizzata la strategia che il Governo dovrebbe adottare nei prossimi anni per dare un cambio di rotta radicale alla gestione della sicurezza nella PA. Purtroppo in assenza di regole, coordinamento e controlli, la sicurezza è totalmente lasciata nelle mani dei responsabili IT, i quali cercano di fare quello che possono per mitigare i crescenti rischi informatici. La carenza di un coordinamento centrale forte e la mancanza di riferimenti dedicati all’interno delle amministrazioni sono le due cause principali dei pochi progressi in quest’ambito.
Volendo stilare una lista di cose da fare in ordine di priorità, ecco ciò che ritengo prioritario:
- Istituire (per legge) un semplice modello di governo della cyber security nelle amministrazioni, ribadendo in modo formale la responsabilità diretta dei dirigenti e istituendo una figura di coordinamento che svolga la funzione di CISO – Chief Information Security Officer. E’ fondamentale che questo ruolo sia dedicato e comunque separato da chi ha responsabilità dell’ICT. Questa separazione è determinante per garantire un corretto indirizzo della sicurezza senza conflitti di interesse con le scelte dell’ICT. Inoltre, la tematica è divenuta talmente complessa e seria da richiedere professionalità specializzate e risorse dedicate a tempo pieno.
- Il modello di governo (istituito per legge) dovrà anche chiarire il ruolo delle regioni rispetto ad Agid e Funzione Pubblica. E’ indubbio che le regioni giochino un ruolo chiave nell’evoluzione dell’amministrazione digitale, ma questo non deve diventare un alibi per non promuovere un coordinamento centrale della sicurezza. Come ho avuto modo di scrivere e ribadire più volte in passato, la sicurezza alla fine è una caratteristica con cui costruire la nuova amministrazione digitale. La sicurezza va pensata a monte, quando si disegna un nuovo servizio o un nuovo processo. Pertanto, il modello di governo della sicurezza dovrà necessariamente seguire e allinearsi al modello di governo del digitale nella PA. Il problema è proprio questo: al momento il governo del digitale pare allo sbando e le numerose iniziative di razionalizzazione e centralizzazione sembrano fare fatica a decollare. E’ conseguenza logica che anche la sicurezza ne sia affetta. Se non si risolve a monte il problema del governo del digitale, non si risolverà quello della sicurezza.
- Insieme al modello di governo, va definito un modello operativo (sempre istituito per legge) che definirà gli obblighi di aderenza agli standard e linee guida emessi da Agid/Regioni e le modalità di verifica/certificazione. Questo è un aspetto fondamentale, adottato da tutti i paesi avanzati. Una volta individuate le responsabilità e i principi, vi deve essere un processo per cui alle amministrazioni sia ben chiaro che cosa debba essere fatto, pur lasciando la flessibilità necessaria (e questo è fornito dagli standard). E’ poi necessario verificare che i controlli di sicurezza raccomandati dagli standard siano effettivamente implementati con successo dalle amministrazioni (e questo è dato dal processo di compliance/certificazione). Senza un processo di questo genere, sarà impossibile raggiungere qualsiasi obiettivo di sicurezza nella PA. E’ un ciclo virtuoso che deve essere avviato: non è semplice, richiede uno sforzo notevole, ma non vi altra strada possibile. Tra l’altro, come già detto prima, questa impostazione è già prevista dalla Strategia per la crescita digitale 2014-2020.
Poiché il lavoro da svolgere è molto e complesso e purtroppo il divario tra la situazione ottimale e quella attuale è sempre maggiore, sarebbe utile che il governo istituisse una funzione di coordinamento e supporto centrale a questo processo. Non una agenzia che accentri poteri e attività, ma un organo leggero di coordinamento e supporto che possa lavorare al fianco di tutti gli attori coinvolti e che promuova l’avviamento delle azioni prioritarie sopra descritte.
L’errore che va a tutti i costi evitato è quello di procedere in modo tattico attraverso iniziative puntuali. Purtroppo, vista la complessità della Pubblica Amministrazione, dello stato della sua digitalizzazione e dell’altissimo livello di evoluzione delle minacce Cyber, non è più possibile rimandare l’adozione di un approccio strategico e coordinato.
