L'analisi tecnica

Linee guida Agid sulla sicurezza nel procurement ICT: tutte le regole e i consigli

Sono in consultazione fino al 19 giugno le linee guida Agid sulla sicurezza nel Procurement ICT. Un documento realizzato nell’ottica di suggerire a PA e fornitori le procedure e gli step necessari per gestire in modo efficiente le procedure di appalto proteggendosi dai rischi cyber. Ecco tutte le regole

Pubblicato il 06 Giu 2019

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Group, Clusit, ENIA

procurement

AgID ha pubblicato le “Linee Guida – Sicurezza nel Procurement ICT” e, fino al 19 giugno 2019, sarà possibile commentare o suggerire modifiche sulla piattaforma. Siamo di fronte a un momento importante di trasformazione: la rivoluzione digitale è in atto e anche le PA devono necessariamente adeguarsi ed evolversi, in un’ottica di efficiente gestione della supply chain sempre più digitalizzata, per essere maggiormente resilienti ed in grado di salvaguardare la propria continuità operativa ed affrontare i rischi cyber derivanti dall’impiego delle piattaforme di e-procurement.

Procurement ICT e rischi cyber

La circolare di AgID del 24.06.2016, sulla modalità di acquisizione di beni e servizi ICT, aveva posto in evidenza il ruolo e l’utilità di Consip a sostegno dell’innovazione e della sicurezza dei sistemi informativi della PA, coerentemente con le linee guida varate dal Governo che miravano alla prevenzione ed alla protezione del sistema italiano di public procurement dagli cyber attack. Un’enorme quantità di dati e di documenti vengono gestiti giornalmente dalla PA ed essi devono essere resi disponibili anche in formato digitale. La sicurezza informativa è, pertanto, una conditio sine qua non: si devono attuare tutte le misure necessarie – soprattutto anche a fronte dell’entrata in vigore lo scorso maggio 2018 del GDPR – per garantire la protezione dell’hardware, del software, dei dati, degli accessi non autorizzati e salvaguardarne la riservatezza e la protezione da eventuali usi illeciti.

La digitalizzazione del settore pubblico deve necessariamente passare attraverso l’adozione di pratiche omogenee, al fine di garantire l’interoperabilità tra le varie PA, oltre che tra le stesse PA e gli operatori/fornitori privati, per gli acquisti di beni e servizi mediante modelli di approvvigionamento informatizzato. In questa prospettiva AgID ha emanato le linee guida fornendo “indicazioni tecnico-amministrative per garantire, all’interno delle procedure per l’approvvigionamento di beni e servizi informatici della PA, la rispondenza di questi ad adeguati livelli di sicurezza”. I vari fornitori possono accedere al patrimonio informatico delle PA con il rischio di introdurre potenziali rischi informatici che potrebbero impattare sulla riservatezza, sull’integrità, sull’autenticità dei dati pubblici, vanificando le misure prese dalle PA a salvaguardia del loro patrimonio informatico.

I consigli delle linee guida Agid

Attraverso le linee guida si evidenzia la necessità di meglio formalizzare e strutturare il rapporto con i fornitori ed, al tempo stesso, si fornisce, a tutti gli attori coinvolti nel processo di e-procurement, l’opportunità per un continuo aggiornamento o modifica delle misure di sicurezza, mutuando, ove il caso, modalità efficienti/efficaci e competenze dei fornitori stessi di beni e servizi informatici, in un’ottica di spirito di collaborazione e partnership tra pubblico e privato. Dunque una necessità di:

  • stabilire un linguaggio comune
  • condividere obiettivi di sicurezza
  • rendere più efficienti le clausole dei contratti
  • evidenziare problematiche della sicurezza nel procurement ICT
  • fornire glossari e classificazioni
  • formalizzare definizioni e concetti correlati alla sicurezza nel procurement ICT
  • fornire good practices o soluzioni già in essere o semplici misure da implementare, per misurare il livello di sicurezza dei processi di procurement in essere in un’ottica di coerenza con la norma e con il contesto in cui si trova ad operare la PA.

Dal punto di vista della normativa, si rimanda a:

  • ISO 22301 – Business Continuity,
  • ISO 22317 – Business Impact Analysis ,
  • ISO 22001 – Sistema di Gestione della Sicurezza delle Informazioni
  • ISO 31000 – Risk Management
  • ISO 15408 – Standard Common Criteria
  • Linee guida del Software Sicuro (AgID)
  • Misure Minime di sicurezza AgID

È necessario operare in un contesto olistico, ben strutturato atto a definire ruoli e responsabilità, come in un’orchestra, dove tutti gli elementi “suonano” il proprio strumento, seguendo un proprio spartito ma, insieme, contribuiscono ad eseguire con successo la sinfonia. Le risorse umane, che si occuperanno di e-procurement, dovranno necessariamente aggiornare le loro competenze o essere formati ad hoc in termini di:

  • Procurement management
  • Gestione progetti
  • Asset management
  • Change management
  • Sicurezza
  • Protezione dei dati

Business continuity e Risk assessment nel procurement

Sarà necessario implementare piani di Business Continuity e di gestione del rischio per garantire una resiliente attività di e-procurement oltre a diffondere puntualmente una letteratura dei casi di successo/insuccesso in termini di sicurezza, al fine di sensibilizzare le parti coinvolte e diffondere, sempre più, la cultura della prevenzione. La Business Impact Analysis (BIA) ed il Risk Assessment (RA) aiuteranno a:

  • Stabilire ruoli e responsabilità connesse alla sicurezza del procurement ICT, identificando risorse idonee
  • Effettuare un’analisi dei beni informatici (i.e. apparecchiature hardware, applicazioni, licenze, ecc.), identificarne l’owner, responsabile del mantenimento dei requisiti di sicurezza, oltre a definire l’ambito di utilizzo interno ed esterno (i.e. cittadini e imprese)
  • Stabilire modalità e tempistiche di manutenzione ed aggiornamento per gestire criticità, rischi, minacce e vulnerabilità oltre che ottimizzare le risorse e ridurre i costi. Le manutenzioni dovranno essere ripetute periodicamente a fronte, per esempio di mutate condizioni operative/organizzative delle PA.

Altra attività importante da svolgere, in un’ottica di resilienza e sicurezza, è la valutazione del fornitore in termini di tutte le misure di sicurezza nell’erogazione delle sue prestazioni e la conformità alle normative vigenti, stabilendo nei capitolati di gara o nei contratti di fornitura:

  • Competenze e responsabilità
  • Modalità e periodicità di audit

Scrittura dei documenti di gara, gli step per la PA

Secondo le linee guida Agid, la PA dovrà essere in grado, ai fini di scrittura della documentazione di gara, di :

  • Analizzare la fornitura e classificarla in base a criteri di sicurezza (es. riportando la criticità complessiva ad una scala a 3 valori, i.e. Alta, Media e Bassa)
  • Scegliere lo strumento di acquisizione più idoneo – tra quelli disponibili ed in accordo con il codice degli appalti – rispettando i criteri di sicurezza adeguati o, nel caso di forniture altamente critiche, verificare la disponibilità di accordi quadro (in termini di oggetto e capienza) in grado di garantire i requisiti di sicurezza ad hoc
  • Scegliere i requisiti di sicurezza che l’offerta del fornitore deve contenere, da inserire nel capitolato, esplicitando quelli “obbligatori” e quelli “opzionali” con relativo punteggio tecnico
  • Definire gli obblighi dei fornitori in termini di standard di riservatezza per la gestione delle informazioni/dati e standard gestioni dei dati (GDPR), efficace monitoraggio della fornitur, efficace svolgimento dell’attività di audit, requisiti vari di sicurezza a cui si fa riferimento nell’Appendice A – Requisiti di sicurezza eleggibili)
  • Garantire le competenze di sicurezza nella commissione di valutazione (i.e. almeno uno dei commissari deve avere le competenze in termini di sicurezza soprattutto per le forniture critiche); inoltre per le gare che si aggiudicano con il criterio dell’offerta “più economicamente vantaggiosa”, i componenti della giuria devono essere iscritti all’Albo Nazionale gestito da ANAC (Riferimento Codice dei Contratti – d.gls 50/2016 rispettivamente art. 77 e 78).

Una volta selezionato il fornitore e sottoscritto il contratto sarà necessario:

  • Gestire le utenze dei fornitori, fornendo ai dipendenti del fornitore che si interfacciano con la PA le “utenze nominative in accordo con le politiche di sicurezza definite” (i.e. Account Management)
  • Gestire l’utilizzo dei dispositivi di proprietà del fornitore che devono rispettare i requisiti di capitolato (vedi Appendice A – Requisiti generali)
  • Gestire l’accesso alla rete dell’amministrazione, secondo le abilitazioni strettamente necessarie in base al contratto stipulato e con tracciamento degli accessi per eseguire l’audit
  • Gestire l’accesso ai server/database di sviluppo, nei quali sono stati importati i dati necessari per gli scopi del progetto, in modo da rispettare le forniture di sviluppo e di manutenzione e tracciare eventuali eccezioni che si dovessero verificare
  • Stipulare accordi di autorizzazione, riservatezza e confidenzialità con il fornitore prima dell’avvio del progetto, magari facendo riferimento a modelli standard o best practices; inoltre il fornitore dovrà fornire l’elenco del personale coinvolto nel progetto e fare ad esso sottoscrivere dichiarazioni di riservatezza e confidenzialità
  • Verificare il rispetto delle prescrizioni di sicurezza nello sviluppo applicativo -soprattutto per quelle forniture classificate come critiche – monitorando che il fornitore stia utilizzando effettivamente le tecnologie e le metodologie descritte nella propria offerta tecnica, oppure che stia rispettando le specifiche tecniche del capitolato
  • Monitorare le utenze e gli accessi dei fornitori per verificare l’impiego di personale specializzato con qualifiche e formazione adeguata e, all’occorrenza, rimuovere i permessi di accesso delle utenze

Gli obblighi per il fornitore

Al termine di ogni progetto, come riportato nel capitolato e nel contratto, il fornitore dovrà rilasciare la seguente documentazione:

  • Documentazione finale e completa del progetto
  • Manuale di installazione/configurazione
  • Report “Assessment Sicurezza” eseguiti, evidenzianti vulnerabilità e azioni risoluzione/mitigazioni approvate
  • “Libretto Manutenzione” del prodotto contenente anche dati produttore, versione prodotto software utilizzati, librerie, firmware.
  • Informazioni relative al reperimento dei Bollettini di Sicurezza dei singoli produttori
  • Informazioni relative al processo di installazione degli aggiornamenti di sicurezza
  • Documento relativo informazione di fine vita/rilascio aggiornamenti sicurezza (Eol)
  • Verbale di avvenuta cancellazione dei dati sull’hardware dismesso, al fine di evitare che permangano dati critici sullo stesso

Conclusioni

Le PA del presente e del futuro dovranno fornire servizi pubblici digitali sempre più efficienti nell’ottica del loro ruolo costituzionale di creare “valore pubblico”. La trasformazione digitale sta trasformando l’economia e la società in modo sempre più accelerato, essa rappresenta una sfida per tutti gli attori del mercato pubblico e privato. Pertanto, al fine di garantire un contesto sempre più resiliente in termini di continuità operativa, di gestione del rischio (in tutte le sue accezioni) e della sicurezza, dobbiamo tutti dimostrare una capacità di adattamento alla trasversalità ed alla complessità di questo mutato contesto tecnologico-culturale.

Bisogna essere in grado di affrontare e vincere le sfide della trasformazione digitale, agendo tutti quanti per perseguire l’innovazione attraverso un processo di integrazione delle tecnologie digitali nei processi decisionali e garantire una sempre maggiore interoperabilità delle soluzioni tecnologiche, una migliore gestione dei dati ed una maggiore diffusione di standard comuni e condivisi. Tutti gli attori, pertanto, devono essere in grado di garantire la continuità, attraverso un processo olistico consolidato, migliorando la partnership tra settore pubblico e privato sempre in un’ottica di resilienza e gestione del rischio e della sicurezza.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Cheshire cat, l'assistente virtuale open source: come funziona