La pubblica amministrazione (PA) in riferimento alla sempre più importante questione della sicurezza informatica può e deve essere considerata come un insieme di attività ed organizzazioni molto esposto al cybercrime. La PA rappresenta un ambiente fortemente regolato in quanto la propria attività si svolge nell’ambito e nei limiti di norme che hanno valore di legge. Nonostante ciò, il problema principale è che fino ad oggi sono state davvero poche le norme giuridiche che si sono occupate di sicurezza informatica applicabili proprio allo specifico ambito pubblica amministrazione (Parliamo di cybersecurity e in generale di sicurezza dei sistemi informatici).
I rischi connessi alla sicurezza informatica della PA possono riguardare informazioni, servizi, fonti, autorizzazioni, sistemi di controllo e monitoraggi che possono essere distrutti, alterati o sottratti. Tali rischi si possono concretizzare attraverso il contagio da malware, attacchi cyber, furto di credenziali e d’identità oppure attraverso la distruzione di servizio.
Ed è qui che entra in soccorso l’Agenzia per l’Italia Digitale (l’AgID).
Cos’è l’AgID e di cosa si occupa
L’Agenzia per l’Italia Digitale è l’agenzia tecnica della Presidenza del Consiglio che ha la mansione di assicurare il compimento degli obiettivi dell’Agenda digitale italiana e si assicura di collaborare alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione, favorendo l’innovazione e la crescita economica. L’AgID ha il compito di coordinare le amministrazioni nel percorso di attuazione del Piano Triennale per l’informatica della Pubblica amministrazione, favorendo la trasformazione digitale del Paese, ma non solo, sostiene l’innovazione digitale e favorisce la diffusione delle competenze digitali anche in collaborazione con le istituzioni e gli organismi internazionali, nazionali e locali.
Sicurezza informatica e AgID
Si prevede che l’AgID coordini, con un’apposita struttura, le iniziative di gestione e prevenzione degli incidenti di sicurezza informatici. In questo modo assume quindi un ruolo fondamentale nell’emanazione delle regole tecniche nel campo della sicurezza informatica. In particolare, l’AgID si occupa di dettare strategie, raccomandazioni e norme tecniche in tema di sensibilizzazione e alfabetizzazione dei dipendenti per tutto ciò che riguarda la sicurezza informatica e le relative emergenze, analisi dei rischi connessi all’utilizzo di tecnologie evolute, stima delle misure di protezione e delle attività di misurazione delle prestazioni.
In generale, i livelli di intervento previsti dell’AgDI sono di fatto tre:
- Coordinamento strategico e indirizzo politico, cui assegnare l’individualizzazione degli obiettivi funzionali a assicurare la protezione cibernetica e la sicurezza informatica nazionali;
- Supporto con funzioni di raccordo nei confronti di tutte le Amministrazioni ed enti competenti;
- Gestione delle crisi, curare e coordinare le attività di risposta e di ripristino delle funzionalità dei sistemi.
Sei una pubblica amministrazione? Verifica se la tua amministrazione è in linea con IT security e con i principi del GDPR. Scopri inoltre il corso security awareness per i dipendenti e i dirigenti,
Cosa si intende quando si parla di misure di sicurezza
L’AgID emana le misure minime di sicurezza ICT, che rappresentano un riferimento pratico per perfezionare e analizzare il livello di sicurezza informatica delle amministrazioni con lo scopo di bloccare le minacce informatiche più frequenti. Le misure minime di sicurezza ICT prevedono controlli di natura tecnologica e organizzativa utili alle Amministrazioni per determinare il proprio livello di sicurezza informatica.
Le misure minime possono essere divise in modo graduale in base alla complessità del sistema informativo e della realtà organizzativa dell’Amministrazione seguendo tre livelli di attuazione:
- Livello minimo: è quello alla quale ogni Amministrazione deve necessariamente rendersi conforme;
- Livello strandard: è il livello superiore al livello minimo, ogni Amministrazione deve considerarlo come base di riferimento in termini di sicurezza ed è quello più diffuso in Italia tra le PA;
- Livello avanzato: adottato dalle organizzazioni maggiormente esposte a rischi.
Gli obiettivi delle misure minime di sicurezza ICT sono molteplici: forniscono un riferimento operativo direttamente utilizzabile, stabiliscono una valida base comune di misure tecniche e organizzative, forniscono uno strumento adatto a verificare lo stato di difesa contro i rischi informatici; responsabilizzano le Amministrazioni sul bisogno di perfezionare il proprio livello di protezione cibernetica.
Alcune politiche generali riguardanti la sicurezza informatica
Oggigiorno il tema della sicurezza informatica è diventato un fenomeno sempre più preoccupante, con il continuo sviluppo di internet, la criminalità informatica ha costruito un’efficiente rete finalizzata allo scambio di informazioni e alla commercializzazione di prodotti funzionali al compimento di atti criminosi.
Per evitare o ridurre questi rischi informatici, a livello di politica generale di sicurezza, diventa necessario anche per la pubblica amministrazione:
- Definire scenari di valutazione del rischio e piani di difesa;
- Attivare strumenti tecnici e organizzativi su tutta la filiera;
- Monitorare costantemente le procedure e gli strumenti utili;
- Sensibilizzare i dipendenti sulla necessità di abilità e strumenti multidisciplinari, attraverso anche piani di informazione e formazione.
Il corso sulla sicurezza informatica per la pubblica amministrazione
Non sottovalutare il tema di sicurezza informatica: la superficie di attacco è sempre più in aumento, l’utilizzo della rete è diventato fondamentale e tutto ciò rende critica la sicurezza del dato (e la conseguente mancanza di privacy). Si richiede uno sforzo notevole di ammodernamento della cybersecurity nazionale che protegga persone e infrastrutture ma soprattutto che tuteli il diritto alla privacy. È necessario garantire che tutti i dati custoditi in rete siano inviolabili.
Uno strumento per favorire la consapevolezza all’utilizzo degli strumenti e delle dotazioni informatiche è rappresentato dal corso sulla sicurezza informatica per utenti.
Il corso è rivolto a tutti coloro che utilizzano i sistemi tecnici aziendali, dalle figure manageriali, ai dirigenti, ai responsabili di area. Fino ad arrivare a tutti gli utenti finali e agli user con differenti livelli di competenze informatiche che desiderano aumentare il proprio livello di competenza e attenzione nell’utilizzo professionale dei vari strumenti tecnologici.
La formazione consente di acquisite e mantenere le conoscenze fondamentali per gestire la propria attività professionale in sicurezza e compliance. Il corso ha l’obiettivo di fornire le competenze necessarie per supportare gli utenti ad un uso consapevole e responsabile dei mezzi informatici in generale e insegna ai partecipanti a porre attenzione anche alle operazioni più comuni: dall’apertura degli allegati di posta elettronica alle policy di riservatezza della propria password.
Cosa deve fare la pubblica amministrazione?
Il tema della sicurezza informatica è di assoluta attualità. La pubblica amministrazione non deve farsi trovare impreparata a far fronte all’emergenza cyber o alla gestione dell’attivazione di nuovi modelli operativi, come ad esempio lo smart working. Vietato improvvisare e fare affidamento a soluzioni poco performanti, poco idonee e poco sicure.
Il lavoro da remoto espone le PA a molteplici rischi di attacchi hacker e, in questo contesto, molti aggressori informatici hanno potuto approfittare dell’assenza di adeguate protezioni sulle reti riuscendo a adoperare furti di credenziali e accedere a dati riservati. Ecco allora che la cyber-security è diventata una priorità per molte realtà che vogliono sottrarsi da questi attacchi esterni, riservando investimenti e tecnologie a questo aspetto.
La sicurezza informatica però non è soltanto una questione di firewall e antivirus ma riguarda anche i comportamenti dei singoli lavoratori, le PA sono quindi chiamate a attuare un’attività di Cyber Security Awareness (CSA), una strategia aziendale condivisa di difesa dai rischi informatici che coinvolga tutti i dipendenti.
Inoltre, l’analisi della situazione interna ad una specifica PA dovrebbe fare riferimento alle linee guida presenti nel documento sulle “Misure di Sicurezza” pubblicato da AgID.
La sicurezza nella pubblica amministrazione non è facoltativa e di conseguenza sono previste sanzioni pesanti per le inadempienze di misure di sicurezza.
Come aumentare la sicurezza della pubblica amministrazione?
Scopri come molte realtà pubbliche ed enti locali hanno già risposto alla richiesta di sicurezza e di compliance grazie alla consulenza dedicata in ambito cybersecurity e alla formazione sulla sicurezza informatica per utenti. Silver Academy in collaborazione con Nexsys, società di consulenza informatica specializzata in cybersecurity, propone una serie di seminari e corsi di formazione dedicati e creati ad hoc per ogni specifica realtà pubblica e per ogni differente azienda.
Flessibilità ed efficienza sono alla base dei percorsi che vengono erogati al fine di migliorare la sicurezza dei sistemi e la consapevolezza degli addetti ai lavori. La formazione è prevista in presenza, online e da remoto, e tramite video corsi dedicati anche in formato e-learning e SCORM. Scopri di più sui tool di phishing e vai sul sito alla voce corso sicurezza informatica.