Pagine

Visualizzazioni totali

Google Scholar
Visualizzazione post con etichetta Pubblica Amministrazione. Mostra tutti i post
Visualizzazione post con etichetta Pubblica Amministrazione. Mostra tutti i post

giovedì 2 novembre 2017

Le misure minime di sicurezza ICT per la PA: cosa sono e come applicarle


Entro fine anno tutte le amministrazioni dovranno adottare queste misure, tratte Critical Security Controls emessi dal SANS Institute e adattate alla realtà italiana. Vediamo come cambieranno lo scenario della sicurezza informatica pubblica
A seguito di un iter durato complessivamente più di un anno, lo scorso 4 aprile sono finalmente giunte in Gazzetta Ufficiale, come allegato alla Circolare AgID n. 1/2017 del 17 marzo 2017, le attese “Misure minime di sicurezza ICT per le pubbliche amministrazioni”. Con questo ultimo atto formale dunque le misure minime sono diventate di adozione obbligatoria da parte di tutte le Pubbliche Amministrazioni entro la fine del corrente anno, sotto la responsabilità del dirigente preposto ai sistemi informativi dell’organizzazione o alla sua digitalizzazione.
Le Misure Minime non giungono tuttavia inattese: in effetti il documento, che era stato finalizzato già nell’aprile del 2016 al termine di un processo di sviluppo che aveva compreso anche una estesa consultazione con alcune Pubbliche Amministrazioni di riferimento e con i componenti del Nucleo di Sicurezza Cibernetica, era stato anticipato sin dal settembre 2016 sui siti Web dell’Agenzia per l’Italia Digitale e del CERT-PA proprio per consentire alle Amministrazioni di iniziare a familiarizzare con le Misure Minime in largo anticipo rispetto alla loro pubblicazione in Gazzetta Ufficiale, e poter quindi pianificare con calma il relativo percorso di verifica ed adeguamento.
Ma cosa sono ed in cosa consistono le Misure Minime? Si tratta di un insieme ordinato e ragionato di “controlli”, ossia azioni puntuali di natura tecnica od organizzativa, che l’Agenzia per l’Italia Digitale ha predisposto al fine di fornire alle pubbliche amministrazioni un riferimento pratico per valutare e innalzare il proprio livello di sicurezza informatica, avvalendosi in ciò della sua facoltà di dettare “indirizzi, regole tecniche e linee guida in materia di sicurezza informatica” anche in ottemperanza alla direttiva del 1° agosto 2015 del Presidente del Consiglio dei ministri che impone l’adozione di standard minimi di prevenzione e reazione ad eventi cibernetici.
Come ben specifica la Premessa presente nel documento, l’insieme dei controlli che costituiscono le Misure Minime AgID, denominati AgID Basic Security Controls (ABSC) è stato composto partendo dalla base, già consolidata e assai apprezzata dalla comunità mondiale degli esperti di sicurezza, costituita dai cosiddetti “SANS 20” (oggi noti come Critical Security Controls) emessi dal SANS Institute. Tuttavia gli ABSC non sono una mera e letterale traduzione italiana dei controlli SANS/CSC, ma costituiscono un ragionato adattamento alla nostra realtà nazionale di alcuni controlli accuratamente selezionati come maggiormente significativi tra quelli presenti nelle ultime due versioni (la 5.1 e la 6.0) della lista. Ciò in considerazione delle peculiarità della nostra Pubblica Amministrazione, che non trova immediato riscontro nella più evoluta realtà statunitense.
Massima cura è stata inoltre posta nel modulare i controlli in modo da non costringere le Amministrazioni, soprattutto quelle più piccole, ad introdurre misure esagerate per la propria organizzazione, con evidente inutile dispendio di risorse. Per tale motivo i singoli controlli CSC sono stati trasposti nei controlli ABSC suddividendoli in famiglie di misure di dettaglio più fine, che possono essere adottate in modo indipendente proprio per consentire alle Amministrazioni di graduare il proprio sistema di sicurezza per meglio adattarlo alle effettive esigenze della specifica realtà locale.
Per facilitarne ulteriormente l’adozione, minimizzando gli impatti implementativi sull’organizzazione interessata, i controlli sono inoltre stati suddivisi in tre gruppi verticali, riferiti a livelli complessivi di sicurezza crescente. I controlli del primo gruppo (livello “Minimo”) sono quelli strettamente obbligatori ai quali ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve essere conforme in termini tecnologici, organizzativi e procedurali: essi dunque rappresentano complessivamente il livello sotto al quale nessuna Amministrazione può scendere. I controlli del secondo gruppo (livello “Standard”) rappresentano la base di riferimento per la maggior parte delle Amministrazioni, e costituiscono un ragionevole compromesso fra efficacia delle misure preventive ed onerosità della loro implementazione. I controlli del terzo gruppo (livello “Alto”) rappresentano infine il livello adeguato per le organizzazioni maggiormente esposte a rischi, ad esempio per la criticità delle informazioni trattate o dei servizi erogati, ma anche l’obiettivo ideale cui tutte le altre organizzazioni dovrebbero tendere. Naturalmente va considerato che il raggiungimento di elevati livelli di sicurezza, quando sono molto elevati sia la complessità della struttura che l’eterogeneità dei servizi da essa erogati, può essere eccessivamente oneroso se applicato in modo generalizzato: ogni Amministrazione dovrà pertanto avere cura di individuare al suo interno gli eventuali sottoinsiemi tecnici e/o organizzativi, caratterizzati da una sostanziale omogeneità di requisiti ed obiettivi di sicurezza, all’interno dei quali potrà applicare in modo omogeneo le misure adatte al raggiungimento degli obiettivi stessi.
Per quanto riguarda i contenuti, le Misure Minime prevedono, nella loro formulazione attuale, otto insiemi (o “classi”) di controlli. Vediamole brevemente.
I controlli delle prime due classi (ABSC 1 e 2) riguardano rispettivamente l’inventario dei dispositivi autorizzati e non autorizzati e quello dei software autorizzati e non autorizzati. In pratica essi impongono all’organizzazione di gestire attivamente i dispositivi hardware e i pacchetti software in uso, predisponendo e mantenendo aggiornati, a diversi livelli di dettaglio e con differenti modalità attuative a seconda del livello di sicurezza, i rispettivi inventari, e prevedendo inoltre meccanismi per individuare e/o impedire tutte le anomalie operative, ossia l’impiego di elementi non noti e/o esplicitamente autorizzati.
I controlli della terza classe (ABSC 3) riguardano la protezione delle configurazioni hardware e software sui sistemi in uso presso l’organizzazione.
I controlli della quarta classe (ABSC 4) sono finalizzati ad individuare tempestivamente, e correggere, le vulnerabilità dei sistemi in uso, minimizzando la finestra temporale nella quale le vulnerabilità presenti possono essere sfruttate per condurre attacchi contro l’organizzazione.
I controlli della quinta classe (ABSC 5) sono rivolti alla gestione degli utenti, in particolare gli amministratori, ed hanno lo scopo di assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi sui sistemi in uso.
I controlli della sesta classe (ABSC 8) hanno lo scopo di contrastare l’ingresso e la diffusione nell’organizzazione di codice malevolo di qualsiasi provenienza.
I controlli della settima classe (ABSC 10) sono relativi alla gestione delle copie di sicurezza delle informazioni critiche dell’organizzazione, che in ultima analisi sono l’unico strumento che garantisce il ripristino dopo un incidente.
L’ottava ed ultima classe (ABSC 13) riguarda infine la protezione contro l’esfiltrazione dei dati dell’organizzazione, in considerazione del fatto che l’obiettivo principale degli attacchi più gravi è la sottrazione di informazioni.
La norma attuativa prevede che ciascuna Amministrazione debba non solo implementare i controlli rilevanti, ma anche dare brevemente conto della modalità di implementazione compilando un apposito modulo il quale andrà poi firmato digitalmente e conservato dall’Amministrazione stessa, salvo inviarlo al CERT-PA in caso di incidenti (link per scaricare il modulo).  Da notare infine che le Misure Minime richiedono che le Pubbliche Amministrazioni accedano sistematicamente a servizi di early warning che consentano loro di rimanere aggiornate sulle nuove vulnerabilità di sicurezza: a tal proposito il CERT-PA fornisce servizi proattivi ed informativi a tutte le amministrazioni accreditate.

giovedì 4 ottobre 2012

Le 3 V che segnano che segnano il futuro dei big data (e anche il nostro)

Nel 2003 avevamo prodotto collettivamente 5 miliardi di gigabyte di dati (o exabyte). L’anno scorso questa cifra è salita a 1,8 trilioni di gigabyte (o zettabyte). Si tratta di dati prodotti dagli acquisti e dalle vendite, dai cellulari, dai nostri spostamenti (es. il telepass), dagli oltre 30 milioni di sensori istallati in città (quelli per la misurazione delle polveri sottili) o incorporati in oggetti (macchine industriali, automobili, contatori elettrici, ecc..), dalle attività svolte online.
Pensate che ogni minuto in rete vengono spedite 204 milioni di email, effettuate 2 milioni di ricerche su Google, caricate l’equivalente di 48 ore di video su YouTube, creati più di 27mila post su Tumblr e WordPress, inviati oltre 100mila tweet e compiute oltre 2.2 milioni di azioni su Facebook (like, condivisioni, commenti, ecc…). Big data è il termine che viene usato ultimamente per far riferimento a base dati che hanno alcune caratteristiche peculiari, le 3 V:
  • Volume: nel senso di ingenti quantitativi di data set non gestibili con i database tradizionali;
  • Velocity: dati che affluiscono e necessitano di essere processati a ritmi sostenuti o in tempo reale. La velocità a volte è un fattore critico per garantire la soddisfazione del cliente;
  • Variety: elementi di diversa natura e non strutturati come testi, audio, video, flussi di click, segnali provenienti da RFID, cellulari, sensori, transazioni commerciali di vario genere.
Una miniera di informazioni a disposizione delle organizzazioni che saranno in grado di acquisirli, gestirli, interpretarli. Le aziende potrebbero utilizzarli per analizzare i rischi e le opportunità di mercato, ma soprattutto per comprendere più a fondo i bisogni dei clienti, addirittura prima che questi li esprimano. Wal-Mart ha acquisito una società specializzata per monitorare i post su Facebook, Twitter, Foursquare e individuare i punti vendita da rifornire adeguatamente dei prodotti più citati.
Anche le pubbliche amministrazioni potrebbero trarre vantaggio dalla comprensione dei dati a loro disposizione. Ad esempio l’agenzia per il lavoro tedesca analizzando i dati storici sull’impiego e sugli investimenti effettuati, è riuscita a segmentare la popolazione dei disoccupati per offrire interventi mirati ed efficienti. Ciò si è tradotto in un risparmio di 10 miliardi di euro all’anno e nella riduzione del tempo impiegato per ottenere un lavoro.
Ma per ottenere questi vantaggi c’è bisogno di tecnologie sofisticate e un cambiamento culturale non indifferente. Infatti tutti questi bit sono inutili senza un investimento in risorse umane competenti che sappiano come trasformarli in informazioni utili. Il lavoro del data scientist è uno di quelli che nei prossimi anni sarà sempre più richiesto. Secondo McKinsey, nei soli Stati Uniti per poter sfruttare efficacemente le potenzialità dei big data occorrerebbero un milione e mezzo di analisti e data manager. Se le grandi organizzazioni imparano ad unire i punti delle nostre esistenze per i propri fini commerciali quali problemi potrebbero sorgere? Chi ci dice che non cedano alla tentazione di mettere in atto analisi predittive arbitrarie e discriminatorie per alcune categorie sociali?
Nella società dei dati dove la conoscenza asimmetrica, tra aziende e individui, può acuire enormemente il divario sociale, la gestione dei big data dovrebbe essere affrontata come una questione che coinvolge i diritti civili di tutti. C’è bisogno di stabilire, per tempo, nuove regole in termini di privacy, controllo e conservazione dei dati, trasparenza delle analisi, sicurezza. Alcune riflessioni e proposte in tal senso le trovate nel mio ultimo ebook che si intitola proprio “La società dei dati“.

lunedì 16 aprile 2012

Digital divide all’italiana. 4 su 10 non si sono mai connessi



Si continua a parlare di Internet, qualcuno lo trasforma in diritto e lo mette anche in Costituzione (Islanda), tutti si riempiono la bocca con l’equazione +internet=+democrazia e più libertà (chiedete a Twitter e alla sua disponibilità alla censura cinese se questo significhi libertà e democrazia)
 in Italia il Governo lancia in grande stile la Pubblica amministrazione online. Tutto bello, tutto perfetto ma, tralasciando le questioni sulla libertà e sui diritti, e concentrandosi solo sulla questione italiana, la domanda sorge spontanea: che senso ha spostare i documenti della pubblica amministrazione online se, in Italia, sono meno quelli che Internet la usano di quelli che, per vari motivi, non sanno più o meno neanche cosa sia? A che servono 7 mln di documenti della PA on line se 4 famiglie su 10 non hanno internet e il 39% tra 16 e 74 anni non si è mai collegata?
Il digital divide nel nostro Paese è un problema serio, che affonda le sue radici in ritardi infrastrutturali (la tanto sospirata banda larga) e culturali. E’ un problema talmente tanto serio che il rischio vero è quello di creare cittdini di serie A, connessi e quindi comodamente seduti a casa propria, e cittadini di serie B, disconnessi e pazientemente in fila negli uffici.  E’ un problema solo di tipo civile? Riguarda la sfera della pubblica amministrazione e della buona gestione della cosa pubblica? No, non direi. Avere una fetta maggioritaria di popolazione che Internet non la mastica è un problema ben più ampio. Investe le aziende, che non riescono a cogliere le opportunità che il Web offre loro, investe i comunicatori, gli uomini marketing, tutto il mondo che del web sta facendo business, che, alla fine, si ritrova ad aver a che fare sempre con la stessa platea di abitanti della Rete. Platea che non cresce, anzi. Ampliare l’accesso alla Rete, investire finalmente in banda larga e in informatizzazione non solo della PA ma anche delle famiglie, vorrebbe dire anche, e soprattutto, fare una grande operazione culturale per questo Paese. Abituare le persone ad avere un rapporto online con la PA significherebbe educarle all’uso dello strumento tout-court. Volete che poi, una volta capito come funziona e, soprattutto, avendo banda a disposizione a costi ragionevoli, quegli stessi utenti sulla Rete non ci restino, magari per navigare, leggere, informarsi e comprare?
Nel frattempo l’articolo di Massimo Sideri sul Corriere, oggi, è davvero illuminante e, se permettete, allarmante.
L’accesso impossibile a Internet per quattro famiglie su dieci
Il 39% della popolazione tra i 16 e 74 anni non si è mai collegata al Web. In Inghilterra solo il 10%
Lo stato di salute del rapporto tra noi cittadini e la pubblica amministrazione è ricco di statistiche e alcune sono sorprendenti. La transizione verso il digitale in Italia è al palo? Tutt’altro. Se si va a prendere la percentuale di servizi pubblici di base interamente disponibili online – la fonte è la Commissione europea – l’Italia raggiunge il 100%, saldamente davanti alla Germania (90,9), Francia (83,3) e Unione Europea a 27 (80,9). Anche la tanto osannata Finlandia è ora sotto di noi. La crescita è stata esponenziale. Solo a metà del 2009 eravamo al 55,6% e dovevamo guardare in alto per subire l’ironia degli altri Paesi europei. Per inciso, è interessante osservare che anche la Spagna ha subito un’accelerazione fermandosi però al 91,7%. Dovendo riconoscere a Cesare quel che è di Cesare quella curva esponenziale ha un nome: Renato Brunetta, il ministro della Pubblica amministrazione del governo Berlusconi. Il suo progetto di digitalizzazione della Pubblica amministrazione ha ottenuto dei risultati che sulla carta sono ottimi. Ora il decreto legge sulle Semplificazioni, nel capitolo in cui implementa la cosiddetta Agenda digitale, ha dato un’ulteriore spinta a questo processo con 7 milioni di documenti e certificati che verranno forniti «solo» online. È la prima fase di quella che Stefano Parisi, alla guida della neonata Confindustria digitale, ha definito sul Corriere come switch off dello stato analogico. Una strategia condivisibile anche per Francesco Sacco dell’Università Bocconi che, insieme a Stefano Quintarelli, è stato uno dei promotori del manifesto per l’Agenda digitale in Italia.
Ma allora la domanda spontanea è: come mai l’ e-government italiano non fa scuola? Se ci si sposta sulla percentuale di cittadini che negli ultimi 3 mesi ha inviato o ricevuto un documento della pubblica amministrazione online si scopre che rifiniamo in fondo alla classifica: 10,7% contro il 19,3 dell’Unione, il 21,2 della Francia e il 32,3 della Finlandia. Addirittura tra il 2008 e il 2010 siamo peggiorati di quasi due punti percentuali. Nel 2006 eravamo al 13,7%. Da una parte una crescita esponenziale, dall’altra un trend negativo: il nodo da sciogliere inizia a intravedersi. E per definirne meglio i contorni vale la pena di incrociare i numeri della Commissione con i dati Eurostat del dicembre 2011 sulle case con un accesso a Internet: 62% in Italia, contro l’83 della Germania, il 76 della Francia, l’85 della Gran Bretagna, l’84 della Finlandia e il 91 della Svezia. In soldoni: 4 famiglie su dieci in Italia non hanno fisicamente la possibilità di collegarsi al web tramite rete fissa. Peggio: il 39% della popolazione tra i 16 e i 74 anni non si è mai collegata alla rete né fissa né mobile. Solo un inglese su dieci non ha mai sperimentato una pagina web in qualunque sua forma. Siamo degli emarginati digitali. E questi due ultimi dati ci dicono che un po’ è analfabetismo e un bel po’ assenza di infrastrutture. In Italia è come se avessimo costruito tutti i caselli ma non ci fosse ancora l’autostrada (e, anzi, talvolta si spaccia per autostrada una semplice statale).

Fonte: Online Media Relations - Autore: Daniele Chieffi