Emanate dall’AgID il 26 aprile 2016, pubblicate in Gazzetta Ufficiale il 6 aprile 2017, le “Misure minime di sicurezza informatica per la PA” contengono indicazioni per valutare e innalzare il livello di ICT security della Pubblica amministrazione. Il documento è parte delle “Regole Tecniche per la sicurezza informatica delle PA”, ex Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, che incarica l’Agenzia per l’Italia Digitale dello sviluppo di standard di riferimento. Le prescrizioni dovranno essere adottate entro il 31 dicembre 2017 da tutte le Amministrazioni Pubbliche, per il contrasto di minacce digitali-telematiche più comuni e frequenti. Le linee guida mostrano tre livelli di attuazione, di cui il primo stabilisce i criteri di base per la conformità tecnologica, organizzativa e procedurale; i successivi livelli, invece, prevedono strumenti di protezione più completi. In via generale, le regole tecniche concernono l’Inventario dei dispositivi autorizzati e non autorizzati, l’Inventario dei software autorizzati e non autorizzati, la Protezione delle configurazioni di hardware e software sui dispositivi mobili, laptop, workstation e server, la Valutazione e la correzione continua delle vulnerabilità, l’Uso appropriato dei privilegi di amministratore, le Difese contro i malware, le Copie di sicurezza, la Protezione dei dati. L’obiettivo sotteso al documento è di fornire alle PA un riferimento normativo, consentendo loro di intraprendere un percorso di progressiva verifica ed adeguamento per la sicurezza informatica.
Tralasciando la sostanza delle prescrizioni, è necessario soffermarsi sulla strategia sottesa al documento. L’AgID, attraverso una regolamentazione tecnica, mira a indicare linee guida per la cyber sicurezza delle PA, attraverso standard e regole, recate in un “riferimento normativo”. La normazione riguarda però elementi tecnici tradizionali, basici, che dovrebbero essere parte del tradizionale bagaglio di un manager ICT, in quanto principi cardine per la difesa di sistemi digitali e telematici. L’AgID dunque, attraverso una “norma”, vuole concorrere a creare, e diffondere, una “cultura della sicurezza” informatica, indicando misure minime da rispettare. Misure minime che, a livello europeo, in una cornice ad oggi tecnico-giuridica come quella della protezione dei dati personali, sono sparite come concetto e principio, lasciando spazio, ex Reg. Gen. 2016/679, all’elaborazione di procedure per la conoscenza e la dimostrazione delle buon pratiche, nonché per la valutazione e la mitigazione dei rischi, tali da essere applicabili in concreto ed elaborate dai singoli enti. Misure minime, altresì, tradizionalmente concepite non quale punto di partenza per la costruzione di una performante tutela dei dati, bensì come elemento minimo necessario per non incorrere in sanzioni. Concetto che, se associato alle prescrizioni indicate, mostra, indirettamente, l’attuale inadeguatezza della cyber security sottesa alle infrastrutture ICT delle PA italiane.
La cultura della sicurezza è un elemento tecnico-giuridico difficile da inculcare, che necessita di tempo per maturare e radicarsi. Forma e sostanza del documento emesso dall’AgID sono un ulteriore primo passo verso l’obiettivo, che per essere raggiunto deve però partire dal cuore del problema: dal know–how, dalla formazione e dalla selezione del personale, cui associare solo successivamente l’uso di diritto, sanzioni e minime regole tecniche da rispettare.
Volume consigliato:
Scrivi un commento
Accedi per poter inserire un commento