Solo il risk treatment metterà al sicuro la PA dai pericoli informatici. Già, perché le misure di cyber security nella Pubblica amministrazione non possono basarsi unicamente su modelli standard: serve un’accurata pianificazione di processi in grado di coniugare la protezione dei dati ai complessi equilibri strategici dell’organizzazione. Ecco come il risk treatment può declinare questo tipo di orientamento.
Dopo aver affrontato, negli appuntamenti precedenti, gli aspetti fondamentali e preliminari del complesso ed articolato percorso finalizzato a proteggere la pubblica amministrazione ed il suo inestimabile patrimonio informativo dai pericoli sempre più temibili ed insidiosi del cyber-crime, nella presente “tappa” della road-map sarà approfondita una tematica, quella del cosiddetto “risk treatment”, che avvia, di fatto, l’implementazione delle contromisure da adottare in concreto e che, ancora una volta, trascende i confini tecnici e specialistici per fondersi inestricabilmente con decisioni e competenze di natura strategica, gestionale e organizzativa.
In continuità con le considerazioni già espresse nei primi passaggi, l’obiettivo principe dell’analisi che sarà di seguito sviluppata è quello di evidenziare le caratteristiche fortemente peculiari derivanti dall’applicazione in ambito pubblico di tecniche e metodologie standard che, fisiologicamente, devono essere personalizzate e plasmate ai principi ispiratori, alle regole di funzionamento ed ai compiti istituzionali propri degli enti nazionali, territoriali o locali.
La trasformazione della PA
Le pubbliche amministrazioni, infatti, si ritrovano, soprattutto in un momento di profonda trasformazione del contesto giuridico, sociale ed economico come quello attuale, a dover garantire la difficile convivenza di elementi che, pur essendo tra loro in apparente contrasto, modellano il perimetro entro il quale l’apparato della macchina statale, inteso nella sua più ampia accezione, deve necessariamente muoversi per soddisfare, secondo i dettami stabiliti dalla normativa, le esigenze dei cittadini, preservarne la sicurezza e perseguire al contempo la sostenibilità finanziaria a lungo termine dell’intero “Sistema Paese”.
In estrema sintesi, pertanto, è possibile affermare come amministratori, dirigenti e funzionari pubblici siano quotidianamente chiamati a ricercare il difficile punto di equilibrio tra forze, interessi divergenti (per quanto legittimi) e vincoli stratificati che non possono assolutamente essere derogati.
Si pensi, ad esempio, alle sempre più frequenti innovazioni normative che affidano, alle p.a. centrali e periferiche, nuovi e spesso gravosi adempimenti da porre in essere “senza aggravio per il bilancio dello stato”, nel rispetto della normativa sul “contenimento della spesa” (meglio nota come “Spending Review”) e dei limiti imposti da altre disposizioni di carattere generale, ponendo, di fatto, i soggetti attuatori nella difficilissima situazione di individuare soluzioni implementative che rappresentano giocoforza risposte parziali e non riescono ad affrontare il problema di riferimento con la dovuta incisività.
Tale situazione di carattere generale trova naturalmente riscontro anche nell’implementazione di un sistema di gestione della sicurezza delle informazioni e di difesa dal cyber-crime che, anche per le motivazioni sopra riportate, non può essere implementato applicando “pedissequamente” framework universalmente adottati quale la ISO/IEC 27001 o il COBIT 5 ma richiede necessariamente agli attori a vario titolo interessati di personalizzare rispetto alla situazione contingente le attività di volta in volta poste in essere, declinandole in una forma accettabile o quanto meno compatibile con il complesso contesto normativo, sociale e organizzativo che delimita e circoscrive l’azione di una pubblica amministrazione.
Le regole e i vincoli di un’organizzazione pubblica
Prima di addentrarci in questioni di carattere più propriamente tecnico, proviamo, al fine di esplicitare meglio il quadro di riferimento appena descritto, ad analizzare, a titolo esemplificativo, una delle contromisure previste dalla maggior parte dei framework internazionali, ossia quella che suggerisce ai vertici aziendali di verificare, in sede di assunzione di nuovo personale, non solo le competenze strettamente professionali ma anche il grado di affidabilità del candidato attraverso la cosiddetta attività di “background checks”, che potrebbe essere sintetizzata nell’analisi dei comportamenti pubblici della persona che si sta valutando.
E’ immediatamente intuibile che, se un’azienda privata ha piena facoltà di inserire nei propri processi valutativi anche la verifica, ad esempio, dei “post” e del materiale pubblicato sui social network, molto più difficile, se non impossibile, è l’applicazione di tale previsione nel contesto di una pubblica amministrazione.
Più semplicemente, una p.a. che voglia procedere con l’assunzione di nuovo personale deve necessariamente seguire quanto prescritto dalla normativa che disciplina le modalità di accesso al pubblico impiego, delimitando e circoscrivendo sia i requisiti di ammissibilità ad un concorso che i compiti di verifica affidati all’amministrazione, non prevedendo deroghe o gradi di flessibilità compatibili con le verifiche sopra descritte.
In tale contesto, un Dirigente pubblico dovrà necessariamente affidarsi a controlli “compensativi” (come ad esempio l’accesso al casellario giudiziario) che, rispettando i limiti ed i vincoli previsti dalla normativa, garantiscano anche l’applicazione di contromisure in grado di tutelare il patrimonio informativo della propria amministrazione adeguando nel miglior modo possibile principi di carattere generale alla complessa fisionomia dell’apparato pubblico.
In estrema sintesi, pertanto, è possibile affermare che, se nella fase del risk assessment, ossia dell’analisi e dell’individuazione dei rischi, una pubblica amministrazione sia chiamata a fare i conti con l’importanza e la complessità delle proprie funzioni e con le potenziali ricadute sulla collettività (si pensi all’esempio delle abitazioni costruite sul greto di un fiume proposto nella precedente “puntata” ed alle implicazioni anche disastrose che potrebbe insorgere da una errata o superficiale valutazione di tale situazione), nel successivo step del “risk treatment” debba, al contrario, confrontarsi soprattutto con le regole ed i vincoli che in qualche modo rendono ancora più difficoltoso il già arduo compito di difendere un’organizzazione così vasta dalle minacce cibernetiche.
I principi basilari del risk treatment
Dopo aver inquadrato l’ambito di riferimento ed aver esplorato alcuni degli aspetti che contribuiscono a rendere fortemente differente l’applicazione in ambito pubblico di tecniche utilizzate a livello planetario, proviamo a definire i concetti basilari del risk treatment che, mutuando una definizione fornita dall’ENISA, può essere inteso come il processo di selezione e implementazione di misure finalizzate a ricondurre il rischio al di sotto di una soglia di sicurezza fissata da ogni organizzazione in base ad una molteplicità di fattori esterni (norme, obblighi contrattuali, interessi degli stakeholders) ed interni quali ad esempio la cosiddetta “propensione al rischio”.
Le soluzioni implementative adottate, cui in termini tecnici ci si riferisce con il nome di “controlli”, costituiscono le colonne portanti dell’intero sistema di gestione della sicurezza delle informazioni (ISMS) e conseguentemente rappresentano il “core business” della maggior parte dei framework di sicurezza che, di fatto, forniscono un insieme di contromisure progettate per rispondere, in linea generale, ai rischi di natura informativa comuni a tutte le organizzazioni e che, naturalmente, necessitano di una forte azione di personalizzazione in relazione all’ambiente in cui devono essere adottate.
Sviluppo, approvazione e “sponsorizzazione” del piano d’azione risk treatment
Un passaggio fondamentale del risk treatment è sicuramente rappresentato dalla predisposizione e successiva approvazione da parte della Direzione Generale di un’amministrazione di un piano d’azione strutturato ed organico, nel quale siano presenti, oltre alla descrizione delle modalità implementative delle opzioni prescelte, almeno i seguenti elementi:
- Azioni, priorità e tempi previsti;
- Risorse umane ed economiche necessarie;
- Ruoli e responsabilità di tutte le parti coinvolte nelle azioni proposte;
- Indicatori di misurazione dell’efficienza e dell’efficacia;
- Modalità di verifica e monitoraggio.
Un elemento fortemente caratterizzante di un Piano di Azione, in grado di orientarne in maniera decisiva le sorti, è certamente rappresentato dal coinvolgimento, anche nelle fasi iniziali, e soprattutto dalla sponsorizzazione da parte del top management che deve necessariamente imprimere a tutto il processo di gestione del rischio il “crisma” dell’ufficialità con il fine di diffondere, a tutti i livelli dell’organizzazione, la cultura e la predisposizione verso la sicurezza delle informazioni.
A tal proposito, è importante sottolineare come un indicatore universalmente utilizzato per misurare il grado di attenzione prestato verso i rischi di natura informativa è rappresentato dal numero di segnalazioni di eventi anomali o situazioni “borderline” riportate da dipendenti e collaboratori di una determinata realtà aziendale, che, statisticamente, aumentano in situazioni nelle quali l’imprimatur proviene direttamente dai vertici aziendali. Tale aspetto, invero, è ancora più rilevante e determinante in realtà come le pubbliche amministrazioni in cui le gerarchie organizzative continuano ad avere un peso rilevante ed essere improntate a profili di formalità sempre meno riscontrabili in ambiti privati anche di grandi dimensioni.
In particolare, un fattore discriminante che caratterizza sostanzialmente, ancora una volta, gli enti pubblici, rispetto ad altre tipologie di organizzazioni, è rappresentato dal profilo “autoritativo” del top management che, oltre al ruolo di dirigente o legale rappresentante, riveste spesso anche funzioni istituzionali, politiche e di rappresentanza di una collettività che travalica i confini stessi dell’organizzazione. Si pensi, ad esempio, al caso di un sindaco che non può essere semplicemente considerato come il vertice di un’amministrazione comunale perché investito, grazie al mandato ricevuto, di un ruolo ben più ampio e articolato, da cui discendono ulteriori poteri e responsabilità.
Analoga considerazione può essere riproposta per un Dirigente Apicale, quale ad esempio il Direttore Generale dell’INPS o dell’Agenzia delle Entrate, che, pur non assumendo cariche elettive o di tipo politico, deve comunque assumere decisioni in grado di incidere in maniera diretta sulla sfera personale di una vasta platea di individui e cittadini.
Security by design e rischio residuo
Riprendendo un concetto che negli ultimi mesi sta riscuotendo, grazie all’entrata in vigore del Regolamento Generale per la Protezione dei Dati Personali, grande risonanza anche mediatica, è opportuno sottolineare come l’effettiva attuazione delle misure previste dal Piano d’azione, al fine di garantire risultati concreti, debba necessariamente seguire il principio della cosiddetta “security by design”, ossia debba puntare ad una profonda integrazione con le attività “ordinarie” svolte a tutti i livelli dell’amministrazione in maniera tale che le contromisure adottate diventino elementi essenziali e connaturati in tutti i contesti organizzativi e non siano, al contrario, considerate sovrastrutture ortogonali se non proprio “ultronee” rispetto al core business di un ente pubblico.
Premettendo, inoltre, che il risk treatment è per sua natura un’attività ciclica e destinata ripetersi nel tempo, è possibile definire quale attività finale del processo la misurazione del cosiddetto “rischio residuo”, ossia delle aree di vulnerabilità ancora potenzialmente attaccabili in seguito all’applicazione di tutti i controlli di sicurezza.
In merito a tale elemento, è necessario effettuare due differenti considerazioni in ordine al raggiungimento degli obiettivi prefissati in fase di pianificazione delle azioni di gestione del rischio ed alla propensione verso il miglioramento continuo dell’intero processo, che richiede di ripartire iterativamente dai risultati ottenuti nelle sessioni precedenti. In prima battuta, è fondamentale sottolineare come, non essendo possibile, nemmeno idealmente, eliminare ogni area di rischio, la valutazione della situazione “ex post”, ossia successiva all’applicazione di tutte le contromisure previste dal Piano di azione, debba essere effettuata in rapporto alle soglie accettabili stabilite, a priori, dal top management.
In sostanza, è possibile affermare che l’intero processo di risk treatment può essere considerato concluso con successo se il valore del rischio residuo sia inferiore ai livelli massimi “sopportabili” da una determinata organizzazione, ossia risulti compatibile con il cosiddetto “risk appetite” che, in estrema sintesi, può essere definito come la propensione al rischio fissata, direttamente o implicitamente, dai vertici aziendali.
Soluzioni implementative
Dopo aver ripercorso, seppur sinteticamente, i principali aspetti teorici del risk treatment ed aver provato a declinare nel contesto della pubblica amministrazione alcune nozioni di carattere basilare, è necessario, ora, affrontare la tematica da un punto di vista maggiormente operativo, attraverso anche la proposizione di alcuni strumenti e metodologie applicabili a differenti contesti organizzativi.
Proseguendo il cammino iniziato nella fase di identificazione dei rischi, anche l’implementazione del processo di risk treatment utilizzerà quale base di partenza il framework VERA (Very Easy Risk Assessment), elaborato da Cesare Gallotti, che, come anticipato in precedenza, si presta, grazie anche alle continue evoluzioni proposte dal suo autore ed al tipo di licenza aperta con cui viene distribuita, ad essere riadattato alle esigenze di singole realtà professionali pubbliche e private.
La dichiarazione di applicabilità
Il primo passo del percorso è rappresentato dalla valutazione delle modalità implementative dei singoli controlli proposti dalla ISO/IEC 27001, con particolare riferimento a quanto descritto nell’Allegato A, che fornisce un insieme di contromisure “preconfezionate” in grado di rispondere, se implementate e soprattutto adeguate in maniera opportuna rispetto al contesto di riferimento, ai principali rischi emersi dalla precedente fase di assessment.
I principi contenuti nella norma rappresentano, infatti, un valido modello di riferimento in grado di guidare le organizzazioni nel complesso percorso di adozione di un sistema di gestione della sicurezza delle informazioni efficace, efficiente ed allineato con quelle che sono ritenute le migliori pratiche universalmente adottate.
Le attività appena descritte, inoltre, permettono anche di preparare e redigere la cosiddetta “Dichiarazione di Applicabilità” (o Statement of Applicability) prevista dallo standard che, in estrema sintesi, rappresenta lo strumento attraverso il quale ogni organizzazione esplicita sia la compatibilità dei controlli con la propria realtà organizzativa sia, in maniera sommaria, le modalità operative con le quali i diversi punti sono effettivamente concretizzati, consentendo di ottenere una visione olistica dell’intero processo di gestione della sicurezza.
Come avremo modo di vedere in dettaglio successivamente, il livello di maturità raggiunto da un’amministrazione nella realizzazione delle attività correlate ad un controllo consentirà di determinare la qualità della risposta alle diverse minacce e, conseguentemente, anche il rischio residuo.
In particolare, mutuando la seguente scala di valori proposta dal VERA, i controlli possono essere classificati in 4 macro-aree:
| Livello | Linee guida per la valutazione |
| 1- Inadeguato | Il controllo non è previsto o è assente nella pratica. |
| 2- Parzialmente adeguato | Il controllo è applicato sporadicamente o in modo completamente inadeguato, non garantendone quindi l’efficacia. |
| 3- Quasi adeguato | Sono state rilevate mancanze al controllo, soprattutto di tipo formale (per esempio, inesattezze nelle procedure relative). |
| 4- Adeguato | Il controllo è sistematicamente applicato e non sono state rilevate inadeguatezze al controllo. |
Si riporta di seguito, a titolo esemplificativo, uno stralcio della tabella in cui ad ogni contromisura è correlata una valutazione, una descrizione, seppur sommaria, delle attività implementate e l’eventuale giustificazione nel caso in cui un determinato controllo non sia considerato attinente o applicabile al proprio contesto:
| Controllo | Valutazione controllo | Attività Implementata | Giustificazione per mancata implementazione |
| A.05.01.01 Politiche per la sicurezza delle informazioni | 4 | Redazione ed approvazione di un documento di Security Policy | n.a. |
| A.05.01.02 Riesame delle politiche per la sicurezza delle informazioni | 4 | Le politiche di sicurezza sono riviste con cadenza almeno annuale all’interno del Comitato per la Sicurezza delle Informazioni | n.a. |
| A.07.02.01 Responsabilità della direzione | 4 | I compiti e le responsabilità della Direzione sono esplicitati nel Documento di Security Policy | n.a. |
| A.07.02.02 Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni | 4 | Con cadenza almeno annuale, il Comitato per la sicurezza delle informazioni approva un Piano di formazione e sensibilizzazione del personale | n.a. |
| A.08.02.02 Etichettatura delle informazioni | 3 | Tale aspetto è trattato nel Documento di “Classificazione delle informazioni” | n.a. |
Una volta che la precedente attività di analisi è stata completata, è necessario procedere, come anticipato, con l’associazione tra i controlli valutati nel passo precedente ed i rischi intercettati e mitigati attraverso la loro implementazione.
Anche in questo caso, sarà utilizzata una tabella di correlazione mutuata dal VERA che permette di calcolare, in maniera semplice e diretta, il rischio residuo in rapporto alle soglie identificate dal Top Management, alla robustezza di ogni contromisura e alle vulnerabilità presenti nella nostra infrastruttura di sicurezza.
Invero, il quadro sinottico, di cui è riportata, a titolo esemplificativo, una porzione, rappresenta un importante strumento gestionale e strategico in quanto permette di comprendere in maniera semplice e diretta gli ambiti di intervento e le minacce direttamente affrontate da un controllo della norma ISO/IEC 27001 che, se applicato in maniera automatica e non connessa al contesto organizzativo di riferimento, rischia di perdere gran parte del proprio significato ed essere, conseguentemente, percepito da tutto il personale come un onere o una sovrastruttura inutile se non addirittura controproducente.
| Danni fisici | ||||||||
| Minaccia | Incendio | Allagamento | Polvere, corrosione, congelamento. | Distruzione di strumentazione da parte di persone malintenzionate | Attacchi (bombe, terroristi) | |||
| Valore | 1 | 1 | 2 | 2 | 2 | |||
| Parametri | ID | D | D | D | D | |||
| Controllo | Val. contr. | Vulnerab. | Base di rischio -> | 4,00 | 4,00 | 8,00 | 8,00 | 8,00 |
| A.05.01.01 Politiche per la sicurezza delle informazioni | 4 | 1 | 4,00 | 4,00 | 8,00 | 8,00 | 8,00 | |
| A.05.01.02 Riesame delle politiche per la sicurezza delle informazioni | 4 | 1 | 4,00 | 4,00 | 8,00 | 8,00 | 8,00 | |
| A.06.01.01 Ruoli e responsabilità per la sicurezza delle informazioni | 4 | 1 | 4,00 | 4,00 | 8,00 | 8,00 | 8,00 | |
| A.06.01.02 Separazione dei compiti | 4 | 1 | 8,00 | |||||
| A.06.01.03 Contatti con le autorità | 4 | 1 | 4,00 | 8,00 | 8,00 | |||
| A.06.01.04 Contatti con gruppi specialistici | 4 | 1 | 4,00 | 8,00 | 8,00 | |||
| A.06.01.05 Sicurezza delle informazioni nella gestione dei progetti | 3 | 2 | 8,00 | 8,00 | 16,00 | 16,00 | 16,00 | |
| A.06.02.01 Politica per i dispositivi portatili | 4 | 1 | 8,00 | |||||
| A.06.02.02 Telelavoro | 4 | 1 | 8,00 | |||||
| A.07.01.01 Screening | 4 | 1 | 4,00 | 8,00 | 8,00 | |||
| A.07.01.02 Termini e condizioni di impiego | 4 | 1 | 4,00 | 8,00 | ||||
| A.07.02.01 Responsabilità della direzione | 4 | 1 | 4,00 | 8,00 | ||||
E’ necessario precisare come i valori numerici contenuti nella tabella rappresentino il risultato quantitativo di operazioni algebriche derivanti da operazioni descritte in precedenza. In particolare, il livello di rischio determinato dall’incrocio di una minaccia ed un controllo è derivato dalla moltiplicazione della vulnerabilità della contromisura (intesa come l’inverso della robustezza valutata in sede di “Applicazione di Applicabilità”) per la base di rischio associata alla minaccia intercettata (a sua volta calcolata durata la fase di “risk assessment”).
E’ del tutto evidente come, in maniera perfettamente analoga, sia possibile calcolare anche il cosiddetto “rischio inerente”, ossia il livello fisiologicamente presente nel nostro sistema prima dell’implementazione dei presidi di sicurezza.
Dopo aver effettuato entrambe le misurazioni, infine, si avrà la possibilità di valutare l’effetto concreto delle contromisure effettivamente poste in essere, confrontando tra loro i valori iniziali e quelli finali dei rischi (ossia, utilizzando le definizioni tecniche, il rischio inerente con quello residuo), secondo quanto descritto nella tabella di seguito riportata.
| Controllo | Tipo controllo | Analisi | Azioni | Rischio inerente | Rischio Residuo |
| A.06.01.05 Sicurezza delle informazioni nella gestione dei progetti | SICUREZZA | Il rischio è accettabile | Revisione del controllo entro ________ | 60,00 | 24,00 |
| A.08.02.02 Etichettatura delle informazioni | SICUREZZA | Il rischio è accettabile | Revisione del controllo entro ________ | 60,00 | 24,00 |
| A.11.01.01 Perimetro di sicurezza fisica | SICUREZZA | Il rischio è accettabile | Revisione del controllo entro ________ | 40,00 | 16,00 |
Alla luce di quanto finora esposto, è possibile affermare come un primo fondamentale risultato del risk-treatment, eseguito secondo la metodologia proposta, sarà quello di ottenere una valutazione quantitativa dell’adeguatezza delle soluzioni già adottate o progettate in relazione alla postura di rischio della propria organizzazione e, conseguentemente, di guidare le successive attività di gestione della sicurezza delle informazioni.
Una volta definite le aree in cui è necessario focalizzare maggiormente la propria attenzione, infatti, sarà possibile implementare le ulteriori macro-fasi del processo di costruzione di un adeguato sistema di gestione della sicurezza delle informazioni, che saranno descritte nei prossimi interventi e possono essere così classificate:
- Implementazione dei controlli di primo livello: rappresentano tutte le contromisure direttamente finalizzate a garantire la mitigazione di un rischio attraverso azioni in grado di ridurre la probabilità di accadimento (controlli preventivi), l’impatto in caso di concretizzazione di una minaccia (controlli correttivi) o di rafforzare l’azione di un altro presidio (controlli compensativi); si pensi, ad esempio, alle procedure di backup, di sensibilizzazione del personale, di gestione dei cambiamenti, etc.
- Progettazione e costruzione dei sistemi di secondo livello: si tratta di processi che devono innescarsi ogni qualvolta i controlli primari non riescono, per qualsiasi motivazione, a raggiungere l’obiettivo per il quale sono stati creati. Rientrano in tale ambito, tra le altre, le procedure di Incident Management, il cui obiettivo principe è quello di gestire, e dove possibile tamponare, gli eventuali incidenti di sicurezza, o di Problem Management, il cui fine invece è quello di ricercare e risolvere le cause principali di incidenti per evitare la loro reiterazione nel tempo;
- Ideazione ed attuazione delle procedure di emergenza: nel caso in cui i controlli di primo e secondo livello non riescano a riportare la situazione in uno stato di controllo, si rende necessario attivare processi di natura eccezionale, che permettano la prosecuzione delle attività vitali di un’amministrazione sia dal punto di vista organizzativo ed amministrativo (la cosiddetta Business Continuity) che da quello informatico (Il “Disaster Recovery”).
Conclusioni
E’ possibile affermare che il risk-treatment rappresenti, all’interno dell’articolato percorso di implementazione di un sistema di gestione della sicurezza delle informazioni, una vera e propria pietra miliare perché avvia, di fatto, la costruzione e la messa in esercizio di presidi e contromisure finalizzati a proteggere il patrimonio informativo dalle vulnerabilità interne e dalle minacce esterne, sempre più pericolose, complesse ed in grado di provocare danni anche irreparabili se non affrontate in maniera opportuna.
Per le metodologie implementative, come quella proposta nella nostra road-map, basate sullo standard ISO/IEC 27001, inoltre, le attività condotte in questa fase permettono anche di valutare per la prima volta in maniera organica e quantitativa il livello di maturità, affidabilità ed applicabilità delle contromisure e dei controlli previsti dalla norma che, come abbiamo avuto modo di approfondire in precedenza, devono comunque essere adeguatamente declinati e personalizzati in base al contesto di riferimento ed allo stesso tempo devono essere selezionati, attraverso la cosiddetta “Dichiarazione di Applicabilità”, in base alla loro effettiva utilità ed efficacia nella realtà organizzativa di ogni singola amministrazione.
In continuità con quanto analizzato nelle precedenti “puntate”, infine, anche la discussione sul risk-treatment conferma la presenza di quei tratti estremamente peculiari che rendono ancora più complesso, laborioso e per nulla lineare il compito di proteggere organizzazioni di natura pubblica, che, accanto alle caratteristiche comuni di ogni contesto aziendale, presentano sfaccettature e sfumature difficilmente rinvenibili in altri ambienti e che, pertanto, richiedono gradi di introspezione, personalizzazione e adeguamento delle tecniche conosciute tali da condurre alla creazione di modelli di riferimento completamente nuovi e profondamente differenti rispetto alle best practice adottate in ambito internazionale.
