Consip ha attivato il lotto 1 dell’Accordo quadro per i servizi di sicurezza da remoto, un piano da 468 milioni di euro per servizi di cybersecurity per la Pubblica Amministrazione.
L’accordo offre assistenza da remoto per la protezione di infrastrutture, applicazioni e dati e segue il Lotto 2 “Sevizi di compliance e controllo”, presentato a marzo, per la sicurezza dei dati on premise, immagazzinati presso le sedi del cliente. Entrambi i lotti seguono le indicazioni del Piano Triennale dell’informatica nella PA e serviranno anche per la realizzazione dei progetti di digitalizzazione e innovazione del Pnrr. Saranno disponibili servizi di protezione e prevenzione, nonché assistenza per la rilevazione e la gestione di incidenti e attacchi e per il recupero.
Certificazioni cyber security, la Ue cambia ancora: i nodi delle notifiche di conformità
Sicurezza da remoto, chi fornisce i servizi
I servizi saranno forniti da un RTI cui partecipano Accenture S.p.A., Fincantieri Nextech S.p.A., Fastweb S.p.A., DEAS Difesa e Analisi Sistemi S.p.A. per le Pubbliche Amministrazioni locali e da RTI cui partecipano Telecom Italia S.p.A., Net Group S.p.A., Reevo S.p.A., KPMG Advisory S.p.A., Almaviva -The Italian Innovation Company S.p.A., per le Amministrazioni centrali.
Il lotto 2 era stato aggiudicato a un RTI cui partecipano Deloitte Risk Advisory S.r.l., EY Advisory S.p.A. e Tele-co S.r.l. per le Pubbliche Amministrazioni locali, e a un RTI con Intellera Consulting S.r.l., Capgemini Italia S.p.A., HSPI S.p.A. e Teleconsys S.p.A. per quanto riguarda le Amministrazioni centrali.
Le soluzioni
Nel lotto 1 sono citati servizi come il SOC, Security Operation Center, ormai diffuso presso tutte le grandi aziende, ma spesso assente nella PA locale, i firewall a vari livelli, i servizi di threat intelligence, le analisi dei log. Tutte forniture che portano effettivamente sicurezza solo se inserite in una strategia globale di sicurezza, che abbia consapevolezza degli scopi che ciascuna piattaforma o ciascun servizio raggiunge, di come questi scopi vanno integrati nella strategia comportamentale globale e dei punti di raccordo tra i vari servizi e le varie piattaforme in modo che non restino punti non presidiati. Si parla poi di certificati SSL piuttosto che TLS o di firme digitali. Anche qui, il cliente appare sommerso da una valanga di possibilità che però hanno senso solo se coordinate tra loro e nella visione globale di sicurezza e non possono invece essere colte come una singola opportunità perché vanno a coprire solo alcuni aspetti della sicurezza e mai tutti in un solo colpo.
L’importanza del fattore umano
Oltre al supporto tecnico il piano offre anche corsi di formazione e security awareness per il personale della PA. Ecco il vero punto nodale. La PA necessita di personale specializzato, in grado di formulare strategie di sicurezza e di capire cosa sta acquistando e perché nell’ambito di questi accordi. Senza personale competente, anche solo a livello strategico e di governance, ancora una volta, le PA, soprattutto quelle locali, resteranno preda di un mondo che non comprendono e che le sta per colpire a valanga.
È proprio la PA locale l’obiettivo più ambizioso e più importante di questi piani. Si tratta di migliaia di aziende e istituzioni, talvolta anche molto piccole, che devono prendere atto degli obblighi di sicurezza che derivano dai loro compiti connaturati e dai dati che gestiscono e generano. Realtà che possono essere estremamente remote dai temi di cyber security perché costituite da personale che non ha competenze IT. Il nodo è sempre nelle persone. Occorre rendere le persone consapevoli del problema, in grado di redigere una strategia o di comprenderne redatta insieme con il fornitore (o con i fornitori), in grado poi di comprendere quando e come la strategia viene realizzata e gli obiettivi raggiunti e infine in grado di mantenere attive le prestazioni, in termini di sicurezza, ottenute.
La formazione del personale
Tutto questo significa partire dalla formazione e dall’informazione al personale, organizzare momenti di diffusione del messaggio, anche da parte delle Istituzioni preposte come la Agenzia per la Cybersecurity nazionale, concentrarsi su come portare il personale della PA centrale e delle PA locali ad un livello di interlocuzione con i fornitori che possa consentire di non finire nella valanga di forniture come fiocchi di neve. E significa anche creare team misti cliente-fornitore di tipo “trusted”, ossia fiduciari, per poter partire con la stesura delle strategie e la comprensione di cosa comprare, in che ordine, come mettere poi tutto insieme perché la sicurezza sia un unicum coerente e non una coloratura a macchia di leopardo.
Conclusione
La sfida è ambiziosa. Gli aggiudicatari si muoveranno verso gli obiettivi dei loro accordi promuovendo attività e azioni, ma l’ideale sarebbe che fossero gli obiettivi, ossia le PA centrali e locali a muoversi per cercare di avviare processi e azioni nell’ambito di ciascun accordo e lotto. Sarebbe l’ideale che questi accordi quadro venissero interpretati, soprattutto dalle realtà più piccole, come una grande opportunità per avviare un processo interno di aggiornamento, digitalizzazione e messa in sicurezza generale, coordinata e completa. Sarà difficile che i componenti degli RTI possano andare “di porta in porta” anche nelle realtà più piccole, quindi lavoriamo da ora, ACN per prima, per rendere le PA locali consapevoli dell’enorme opportunità che hanno davanti e per far si che questa venga sfruttata a pieno.
