Cnipa, la sicurezza Ict nella PA

CyberwarSicurezza

PA: il sistema informatico è a rischio di pandemia a causa dei ritardi

È stato presentato il Piano Nazionale e il Modello Organizzativo per la Sicurezza ICT nelle Pa. Il sistema informatico della Pubblica amministrazione italiana è a rischio di attacchi e virus a causa dei ritardi accumulatisi nell’adozione di strumenti e modelli organizzativi di sicurezza, determinati da una inadeguata cultura e dalla carenza di risorse.È il monito che emerge dalle conclusioni del convegno promosso dal CNIPA presso il CNR ed a cui sono intervenuti il ministro delle Comunicazioni, Mario Landolfi, rappresentanti delle istituzioni, nonchè esperti italiani e stranieri. Quello della sicurezza informatica non è un aspetto secondario ma essenziale nel momento in cui i progetti di e-Government nazionale e locale stanno entrando in operatività e ogni giorno cresce il numero dei servizi on line della Pubblica amministrazione e, di conseguenza, anche l’afflusso telematico di cittadini ed imprese. Dal 2002 il coordinamento delle attività in tale campo è affidato al Comitato Tecnico Nazionale sulla Sicurezza Informatica, la cui presidenza è affidata al CNIPA che ha costituito al proprio interno l’unità GovCERT, per la prevenzione e gestione degli attacchi informatici. In questo quadro il CNIPA sta realizzando il Sistema Pubblico di Connettività-SPC, con servizi di comunicazione e di interoperabilità, che si avvale di reti internet ‘dedicate’ alla PA, di concezione moderna, con prestazioni eccellenti ed elevati livelli di sicurezza che lo collocano all’avanguardia in Europa: si tratta dell’infrastruttura fondamentale che consentirà di semplificare e velocizzare l’intera PA, centrale, regionale e locale, con la circolarità dell’informazione e dei dati tra i diversi livelli di governo e l’accesso dei cittadini a tutti i servizi erogati, indipendentemente dall’ubicazione geografica. “Dai dati del CNIPA, relativi al 2004 e limitatamente alle Amministrazioni Centrali”, ha detto, “si ricava un insieme di informazioni sullo stato della loro sicurezza ICT: tema che è generalmente piuttosto avvertito ma, a fronte di una predisposizione in termini tecnologici relativamente elevata si pongono in evidenza lacune per gli aspetti organizzativi e per quelli attinenti alla pianificazione, alla formazione ed alla gestione”. In particolare, “a tre anni dalla

Direttiva del gennaio 2002, solo il 43% delle Amministrazioni Centrali dichiara di avere nominato un responsabile della sicurezza ICT; solo il 37% di avere definito formalmente una policy della sicurezza; solo il 53% di avere avviato un piano di formazione e sensibilizzazione; solo il 22% dichiara di disporre di un gruppo interno di gestione degli incidenti. E che vi siano ancora posizioni di retroguardia sulla materia ‘sicurezza ICT’ lo dimostrano i continui rinvii delle misure ‘minime’ di sicurezza per le pubbliche amministrazioni, previste dal ‘Codice in materia di protezione dei dati personali’ “. Insomma, ha aggiunto Manganelli, “poche amministrazioni hanno fatto molto, ma molte hanno fatto molto poco“. Gli elementi più significativi emergenti da questi elaborati, ritenuti più urgenti dal Comitato, sono: necessità di un programma di informazione e sensibilizzazione rivolto all’intera comunità sulla sicurezza informatica e nelle comunicazioni; potenziamento delle strutture di prevenzione e gestione degli incidenti informatici e delle reti, nonché di quelle destinate alla continuità operativa dei sistemi informativi delle PPAA; istituzione di un organismo di vertice che raggruppi e coordini tutte le attività nel settor e; standardizzazione e promozione di attività di certificazione per la sicurezza ICT, tutti fattori importantissimi non solo come momento di verifica, ma anche di mantenimento nel tempo delle caratteristiche fondamentali di sicurezza ICT. Infine, Claudio Manganelli ha auspicato che “nella PA e nelle leggi finanziarie si instauri l’abitudine ad esporre previsioni di spesa congrue per tutelare l’efficienza e l’efficacia degli investimenti strumentali in tecnologia. Non può essere sufficiente che la spesa in sicurezza ICT sia dell’1,5% di quella complessiva, ma dovrebbe spingersi sino al 3%. Non solo, ma non si possono adeguare i sistemi di sicurezza ICT se non si revisionano anche i processi organizzativi, un fattore umano e non tecnologico. E questo è quanto le Amministrazioni, assieme al CNIPA, stanno impegnandosi a fare”.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore