L’INAIL (Istituto Nazionale Assicurazione Infortuni sul Lavoro), dal punto di vista della sicurezza delle informazioni, opera nella complessità tipica di una grossa amministrazione centrale, caratterizzata da un corposo parco applicativo distribuito tra architetture on site, in cloud o anche ibride, che servono milioni di cittadini/aziende/professionisti, la cui gestione delle autorizzazioni di accesso ai dati è molto complessa.
Dal punto di vista dell’organizzazione interna poi si è evoluto e radicato il lavoro da remoto, frutto di evoluzione organizzativa accelerata dalla pandemia e accompagnata dalla dovuta evoluzione tecnologica.
I numeri sono molto significativi, in termini di utenti e tecnologie, e il tutto insiste tutti su un patrimonio dati corposo e critico perché intriso di personali e sanitari. Ovvia quindi l’associazione con tutta la materia di privacy e protezione dei dati personali.
Collaborazione tra Enti pubblici: i servizi di hosting e housing di Inail per le PA
Gli obiettivi di sicurezza per la tutela del patrimonio dati INAIL
Per queste ragioni, è da tempo che l’istituto ha esteso tra i suoi obiettivi di sicurezza la classica triade RID – Riservatezza, Integrità e Disponibilità – mettendo al centro altri aspetti come la resilienza, l’autenticità e il non ripudio.
Il tema dell’autenticità, ad esempio, è da considerarsi imprescindibile e può essere declinato in contromisure di sicurezza ormai assestate ma ancora poco usate all’interno delle PA. Tra queste la multi factor authentication o autenticazione forte, che in Istituto abbiamo scelto di utilizzare a “livello globale”, con significativo innalzamento della postura di cyber sicurezza. Da un lato l’autenticazione a 2 fattori consente di associare, in maniera forte, le identità digitali alle operazioni sui dati, dall’altro protegge in modo diretto da classiche minacce di sicurezza come il furto d’identità e le azioni di path traversal, spesso al centro degli attacchi informatici.
L’approccio organizzativo e strategico
Relativamente all’approccio è ormai indiscutibile che l’analisi del rischio debba essere il punto di partenza, la miccia che innesca il processo sicurezza e che necessariamente deve pervadere le varie componenti organizzative. Ognuna, nell’ambito dello step processuale nel quale si inserisce, deve avere la capacità analizzare i rischi, indirizzando le strategie a medio e lungo termine, ma anche le attività quotidiane.
È importante che le componenti dedicate alla sicurezza (l’area di governo, quella operativa e quella di controllo) sappiano governare le due grandezze principali su cui ruota il processo sicurezza ovvero rischio e impatto. La maturità in questo senso si sostanzia proprio nella ricerca e capacità di individuazione di un punto di equilibrio tra limitarsi alla mitigazione dei rischi o saper guardare agli impatti anche senza i condizionamenti della statistica, anche in considerazione del business, che nel caso di INAIL abbiamo detto riguardare dati di carattere sanitario di milioni di cittadini italiani e quindi dati personali “sensibili” su larga scala.
La strategia, in linea con la dinamicità del contesto ICT, deve saper essere molto dinamica in funzione del mutevole scenario dei rischi e delle minacce di sicurezza. Si tratta in pratica di darsi dei principi di carattere generale, saperli contestualizzare e applicare nei micro e macro-scenari che un’organizzazione deve affrontare.
Tali principi, che costituiscono la traccia della sicurezza delle informazioni, vanno ricercati:
- per quanto detto, ovviamente, nell’analisi del rischio che deve essere costante e continua, ma soprattutto pervadere le attività ed essere, appunto, “embedded”;
- nella competenza del personale addetto alla sicurezza, poiché alla componente tecnologica vanno affiancate squadre di professionisti competenti;
- nei processi orientati al miglioramento continuo, tra i cardini di tutte le best practice e gli standard di settore, tra cui la ISO27001 che proprio quest’anno ha ricevuto un importante e atteso aggiornamento. Principio, quello del miglioramento continuo, che può e deve sicuramente essere esteso anche agli strumenti di sicurezza, che devono essere scelti anche per la capacità di evolversi e di integrarsi con le altre componenti infrastrutturali;
- negli standard che devono supportare chi fa governance e sicurezza, soprattutto nel rapporto con le altre componenti IT dell’organizzazione (sviluppo, sistemi, ma anche impianti, ecc.);
- nello scambio continuo e nella condivisione delle informazioni, sia verso l’interno, che con altri enti e organizzazioni, cercando sempre scambi bidirezionali, orientati alla crescita e non limitati alla condivisione di bollettini o alert a senso unico;
- nella giusta attenzione al mercato, perché se è sicuramente essenziale l’adozione di prodotti leader, lo è altrettanto la modalità con cui vengono gestiti e utilizzati. Ottimizzare l’uso un prodotto all’interno del proprio business, integrandolo con gli altri strumenti e processi esistenti costituisce la vera differenza, il reale valore aggiunto. Un prodotto, infatti, può essere sostituito per una serie di motivi (economici, di comodità di utilizzo, ecc.) ma difficilmente, se non opportunamente gestito, da questa sostituzione ne scaturirà un miglioramento della posture di sicurezza;
- nella difesa in profondità, costruita grazie a barriere di sicurezza posizionate su vari livelli, a copertura completa di quanti più scenari di rischio possibile;
- nel by design, ovvero nel pensare alla sicurezza sempre, dall’inizio e nelle evoluzioni di tutte le iniziative progettuali, nei cambi architetturali, nelle nuove idee e anche nei cambiamenti organizzativi. Il beneficio che se ne trae è inestimabile, basterebbe confrontarlo con tutti quei casi, presenti in ogni organizzazione, in cui si è dovuto correre ai ripari con degli interventi e investimenti a posteriori.
Le funzioni di sicurezza dell’Istituto
Dal punto di vista pratico le funzioni essenziali dell’organizzazione della sicurezza costituite in seno alla direzione ICT dell’Istituto sono:
- la governance della sicurezza, che ha in carico la definizione e diffusione di politiche, linee guida e procedure di sicurezza informatica all’interno dell’Istituto, curando in modo sistematico anche la materia di protezione dei dati personali. In questa funzione c’è anche il mantenimento e il miglioramento continuo del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), attraverso il quale INAIL ha conseguito la certificazione allo standard ISO/IEC 27001 già dal novembre 2017, estendendola poi nel marzo 2022 alla ISO/IEC 27017, costituendo una eccezione nel contesto della Pubblica Amministrazione;
- il SOC – Security Operation Center – ovvero il punto nevralgico per il controllo operativo della sicurezza. È il luogo in cui convergono tutte le informazioni di sicurezza provenienti dall’infrastruttura, necessarie a monitorare proattivamente e gestire la sicurezza in modo centralizzato e globale. Il SOC eroga i numerosi servizi di sicurezza, tra cui la protezione perimetrale (NW Firewall, DNS Firewall, Advanced Threat Protection – ATP, Web Application Firewall – WAF, Reverse proxy, Network Intrusion Prevention System – NIPS), la sicurezza di PDL e sistemi (DB Firewall, Endpoint security, certificati digitali, cassaforte elettronica, web gateway), security intelligence (analisi malware e sandboxing, vulnerability assessment, network forensics;
- il CERT – Computer Emergency Response Team – incaricato di raccogliere le segnalazioni di incidenti informatici e potenziali vulnerabilità che provengono dalla comunità interna ed esterna, segnalando eventuali data breach. In collaborazione col SOC, si occupa di gestire gli eventi critici di tipo Cyber (incidenti) e svolge anche importanti attività istituzionali e di cooperazione nazionale e internazionale mediante, ad esempio, la condivisione con lo CSIRT di strumenti per l’info sharing e la partecipazione al Perimetro di Sicurezza Nazionale Cibernetico (PSNC). Il CERT rappresenta inoltre il punto di contatto e supporto con gli utenti in merito alla sicurezza;
- la funzione deputata alla gestione dei servizi di identificazione, autenticazione e accesso. Si occupa, tra l’altro, di implementare i meccanismi di accesso Internet/Intranet tramite SPID, CNS, CIE e MFA – Multi Factor Authentication – e i meccanismi di profilazione in grado di gestire e organizzare le categorie eterogenee di utenti, arricchendone e verificandone le caratteristiche in maniera coerente attraverso il sistema centralizzato per consentire una fruizione facile e veloce dei servizi, delle piattaforme e dei sistemi;
- la funzione di verifica delle applicazioni, che testa e certifica il rispetto dei requisiti di qualità e sicurezza definiti nelle fasi di progettazione e realizzazione, supportando il ciclo produttivo delle soluzioni applicative in coerenza con le metodologie e gli standard di mercato. Funzione che, tra l’altro, coordina il processo di transizione dallo sviluppo alla produzione ed esegue attività di certificazione del software e test di sicurezza;
- la funzione di Security Risk, Audit e certificazione ISO, che è responsabile delle attività di monitoraggio e controllo delle performance della Direzione e delle forniture, effettua le verifiche di conformità IT e governa le attività di gestione dei rischi IT. Tale funzione è responsabile delle attività connesse alla gestione della certificazione di Sicurezza ISO27001 e ISO27017, di Qualità ISO 9001 e del Servizio ISO 20000, nonché responsabile della attuazione e miglioramento dei Sistemi di Gestione della Qualità, del Servizio e dell’integrazione di tutti i Sistemi
- la sicurezza fisica e del data center;
- la funzione di continuità operativa che cura appunto il tema della disponibilità secondo quanto previsto dall’Istituto;
- Il resto dell’organizzazione (personale amministrativo, personale sanitario, ecc.) in un contesto di responsabilità collettiva.
In questo modo le funzioni del “processo sicurezza” risultano distribuite nell’organizzazione IT e ogni componente ha un ruolo legato alla sicurezza in ogni funzione. Allo stesso modo nessuno può fare a meno di confrontarsi con le politiche e le linee guida. Ciascuno, compreso chi non è strettamente associato alla sicurezza IT, ha una sua responsabilità, tra cui quella di essere consapevole del proprio ruolo, degli impatti delle proprie azioni e delle proprie scelte, comprese quelle organizzative e di business, sviluppando una propria maturità di sicurezza.
Chiaramente chi invece è direttamente coinvolto (governance, SOC, CERT, audit, ecc.) deve viceversa essere profondo conoscitore del contesto di business in cui opera e, tra le altre cosa, deve conoscere nel dettaglio la criticità insita nel tipo di dati che l’organizzazione tratta, proprio per poter realizzare al meglio le mitigazioni di rischi e impatti necessarie.
Del resto, “consapevolezza di tutti” è la parola chiave poiché quello della sicurezza è un lavoro troppo spesso nascosto, dietro le quinte, che opera sempre nel limbo e nel rischio di bloccare un’azione lecita o di non bloccare un’azione non lecita, in un difficile equilibrio tra il bloccare o appesantire un servizio e garantirne la sicurezza. Nelle attività di tutti giorni, rilasci, installazioni, aperture e chiusure di porte e di protocolli, applicazione di politiche è fondamentale lo scambio di informazioni e la fiducia reciproca tra i team e tra le persone. Nessuno deve poter né voler eludere la sicurezza come, allo stesso tempo, nessuno deve avere intenzione di bloccare attività necessarie o utili per motivi di sicurezza.
