l’analisi

Identità digitale: come garantire la sicurezza con un approccio risk based



Indirizzo copiato

Un elemento cruciale del processo di digitalizzazione è assicurare la sicurezza di aspetti fondamentali, quali l’identità digitale dei cittadini e i sistemi informatici delle amministrazioni comunali. Per garantire la resilienza delle infrastrutture critiche è necessario adottare un approccio risk-based e resilience-based

Pubblicato il 9 ott 2023



CIE

Il processo di digitalizzazione del nostro Paese sta progredendo in maniera costante anche per quanto concerne l’identità digitale che, tuttavia, deve fare i conti col fattore sicurezza.

L’identità digitale, infatti, è diventata sempre più un bersaglio per gli hacker negli ultimi anni e rappresenta uno degli aspetti più critici nella gestione della cybersecurity, in un contesto dominato dai dati personali a tal punto che si sta assistendo ad una vera e propria “crisi dell’identità”, scaturita dalla crescente esposizione digitale e dalla mancanza di una cultura solida in termini di sicurezza informatica.

Pertanto, è necessario garantire che il rischio di cybersecurity sia costantemente presente nella mente delle persone, che devono essere continuamente educate su come riconoscere le minacce.

L’identità digitale in Italia

In Italia, l’identità digitale è garantita tramite l’emissione della Carta d’Identità Elettronica (CIE), un’iniziativa del Ministero dell’Interno in collaborazione con il Dipartimento per la Trasformazione Digitale.

A partire dall’inizio della diffusione della pandemia, si è registrato un aumento delle richieste di emissione della CIE. Il Dipartimento della Trasformazione Digitale, a maggio 2023, ha dichiarato che sono state complessivamente emesse oltre 35 milioni di CIE e che il numero di autenticazioni effettuate ha superato i 21 milioni.

Inoltre, a fine del 2022, il numero totale di enti italiani, sia pubblici che privati, che consentivano l’autenticazione tramite la Carta d’Identità Elettronica (CIE), ammontava a 6.240, a cui sono stati recentemente aggiunti 3.382 nuovi enti federati che hanno adottato questo metodo di autenticazione, a dimostrazione dell’espansione e dell’accettazione sempre maggiori di tale servizio nell’ambito della digitalizzazione del Paese, anche se nei maggiori comuni del Paesi, quali Roma e Milano, si registrano tempi lunghi (i.e. una media di 1-3 mesi) ottenere un appuntamento per l’emissione.

Il fattore sicurezza

Un elemento cruciale del processo di digitalizzazione è assicurare la sicurezza di aspetti fondamentali, quali l’identità digitale dei cittadini e i sistemi informatici delle amministrazioni comunali, poiché le conseguenze di una possibile violazione possono avere un impatto severo su un’ampia gamma di soggetti interessati, data la quantità e la sensibilità dei dati personali coinvolti.

Ne consegue che la CIE si presenta come un meccanismo di identificazione sicuro, basato su elementi specifici di protezione contro la contraffazione e dotato di un microchip integrato ed è considerata un’identità digitale più sicura e robusta rispetto allo SPID (Sistema Pubblico di Identità Digitale), che è classificato con livelli di sicurezza 1 e 2, e solo in alcune circostanze con livello 3.

Inoltre, la CIE – grazie al Decreto dell’8 settembre 2022 del Ministero dell’Interno pubblicato in Gazzetta Ufficiale il 5 ottobre – può ora essere utilizzata per accedere ai servizi della pubblica amministrazione allo stesso modo dello SPID oltre a prevedere tutti i livelli di autenticazione informatica per l’identità digitale: normale, significativo ed elevato, corrispondenti ai livelli 1, 2 e 3.

Le sfide all’orizzonte

Sia la pubblica amministrazione sia le realtà private, dovranno sempre più investire in strategie proattive di cybersecurity in grado di rilevare e mitigare le minacce, contemplando l’implementazione di soluzioni di autenticazione avanzata e accessi sicuri come il modello “Zero-Trust” o l’approccio SASE (Secure Access Service Edge), che sono diventati fondamentali per il successo di ogni processo di trasformazione digitale e innovazione in corso.

Inoltre, ricordiamo che si sono verificati problemi di indisponibilità del sito dei servizi di Carta di identità elettronica lo scorso 25 maggio 2023 per un problema tecnico nella fornitura della connettività Internet, causato dall’incendio divampato nei pressi della Stazione Tiburtina, che aveva coinvolto i cavi della fibra ottica. Ciò ha evidenziato ancora una volta la necessità di implementare una soluzione di business continuity per garantire una ridondanza almeno su questi sistemi altamente critici di interesse nazionale.

Resilienza delle infrastrutture critiche: come ottenerla

Per garantire la resilienza delle Infrastrutture Critiche, è fondamentale che le organizzazioni che gestiscono tali infrastrutture comprendano la propria situazione attuale e fissino obiettivi per il futuro. Devono acquisire la consapevolezza di sé e identificare i punti deboli che le caratterizzano, seguendo il principio aristotelico del “conosci te stesso”. Inoltre, è necessario adottare un approccio risk-based e resilience-based, implementando i principi di gestione del rischio, continuità operativa e sicurezza informatica. Ovvero, si tratta di:

  • Analizzare i rischi – È importante creare un elenco dettagliato delle risorse hardware, software e delle informazioni/dati presenti nell’Infrastruttura Critica al fine di individuare le diverse minacce, che possono essere sia interne che esterne, intenzionali o accidentali. Una volta identificati i rischi, sarà necessario adottare strategie di protezione, controlli e misure di sicurezza per mitigarli e ridurli.
  • Stabilire una governance della sicurezza – Per garantire l’allineamento delle risorse tecnologiche con il business dell’organizzazione, è fondamentale implementare una governance delle tecnologie dell’informazione. Ciò implica la progettazione di una strategia e una pianificazione delle tecnologie che tenga conto dei principi di sicurezza informatica e gestione del rischio. In particolare, è necessario sviluppare un sistema di gestione della sicurezza delle informazioni (ISMS) che sia in linea con le esigenze e gli obiettivi del business.
  • Progettare la Operational Resilience – È importante individuare le operazioni essenziali per il business e automatizzarle, monitorandole costantemente. Questo permette di rispondere agli incidenti e di garantire il ripristino in caso di crisi, incidenti o eventi imprevisti, seguendo i principi di continuità operativa e sicurezza informatica. Inoltre, occorre definire le procedure di aggiornamento delle applicazioni (DevOps), identificare le strategie di protezione come l’utilizzo di software antivirus, sistemi operativi, database, ecc. Infine, è fondamentale garantire la continuità del business attraverso un’analisi accurata degli impatti, la progettazione di piani di disaster recovery e di soluzioni di continuità, la gestione degli incidenti e la comunicazione in situazioni di crisi.
  • Definire l’architettura di Operation security L’obiettivo è progettare la rete e implementare i dispositivi di protezione perimetrale necessari per garantire la sicurezza delle comunicazioni. È altrettanto importante definire un sistema di gestione degli accessi e delle identità basato sulle operazioni che devono essere svolte, al fine di garantire la sicurezza delle comunicazioni.
  • Garantire la sicurezza del software di base – È fondamentale stabilire procedure e attività per mantenere costantemente aggiornati gli antivirus e i diversi server applicativi, come quelli per la posta elettronica, il web, i sistemi operativi e i sistemi di gestione dei database. Questo garantirà un livello adeguato di sicurezza e protezione da potenziali minacce e vulnerabilità.
  • Controllare adeguatamente l’accesso ai sistemi – È di estrema importanza garantire la sicurezza fisica degli asset sia dall’esterno che dall’interno delle strutture. Ciò implica l’implementazione di misure di sicurezza adeguate, come sistemi di sorveglianza, controllo degli accessi e monitoraggio delle attività. Inoltre, è fondamentale definire e gestire le procedure di accesso ai sistemi da parte del personale in base alle loro responsabilità, al cambio di ruolo o alla conclusione dei contratti, al fine di limitare l’accesso non autorizzato e proteggere le informazioni sensibili.
  • Misurare la sicurezza in modo continuo – È essenziale valutare in modo continuo l’efficacia dei controlli e delle procedure in base alle esigenze e alle operazioni dell’organizzazione. Di fatto, questo processo di valutazione periodica assicura che i controlli siano adeguati e funzionino correttamente per garantire la sicurezza e l’efficienza delle operazioni. Inoltre, in caso di necessità, devono essere apportate modifiche e miglioramenti per mantenere l’allineamento con le esigenze in evoluzione dell’organizzazione.
  • Formazione e consapevolezza – È quanto mai fondamentale garantire una formazione continua al personale e condurre esercitazioni periodiche per sviluppare una cultura della sicurezza informatica. Ciò include la consapevolezza sui rischi legati all’ingegneria sociale, al phishing e agli errori comuni, poiché il personale qualificato sarà in grado di rilevare e rispondere in modo proattivo agli incidenti di sicurezza. La formazione costante del personale è un elemento chiave per migliorare la capacità di difesa dell’organizzazione.

Ovvero, si tratta di garantire la resilienza delle infrastrutture critiche secondo un approccio predittivo, preventivo e proattiva.

Conclusioni

Concludendo, la promozione di una cultura di cyber resilience è essenziale e richiede un approccio olistico che combini la gestione del rischio, la continuità operativa e la sicurezza informatica, oltre a cambi di paradigma nel modo di pensare e di agire della nostra società in modo da risultare conformi al quadro normativo europeo che si basa su un approccio risk-based e resilience based.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3