Lo scorso gennaio l’Agenzia per la Cybersicurezza Nazionale, in collaborazione con il Dipartimento per la trasformazione digitale, ha predisposto alcuni atti che hanno permesso di:
- definire il modello per la classificazione dei dati e dei servizi della pubblica amministrazione;
- definire i requisiti per le infrastrutture digitali che tali dati trattano;
- identificare le specifiche tecniche per i servizi cloud, cui le pubbliche amministrazioni si appoggiano per trattare i dati.
Nell'articolo
Servizi cloud della Pubblica Amministrazione: gli atti dell’ACN
Gli atti ai quali facciamo riferimento sono:
- la determina n. 306 (PDF) e l’allegato (PDF) sul modello per la predisposizione dell’elenco e della classificazione di dati e di servizi;
- la determina n. 307 (PDF) e l’allegato (PDF) sulle ulteriori caratteristiche dei servizi cloud e requisiti per la qualificazione.
Questi documenti rappresentano una vera e propria summa delle caratteristiche tecniche dei sistemi informatici che le pubbliche amministrazioni devono utilizzare. Non nascondiamo i lettori che la lettura di questi documenti ha destato molti dubbi circa la rispondenza dei sistemi esistenti a queste specifiche. D’altro canto, è anche vero che se non si ha un chiaro traguardo da raggiungere, diventa assai difficile avviare una procedura di graduale miglioramento delle strutture esistenti.
L’approccio scelto dall’Agenzia per la Cybersicurezza Nazionale è articolato in tre fasi principali:
- dare indicazioni alle pubbliche amministrazioni sulle modalità di classificazione dei dati che trattano,
- dare indicazioni sulle caratteristiche tecniche delle infrastrutture, che tali dati trattano,
- dare indicazioni sulle caratteristiche tecniche dei servizi di cloud, cui le pubbliche amministrazioni possono appoggiarsi.
Le modalità di classificazione dei dati
Per quanto riguarda le modalità di classificazione dei dati, sono state individuate tre categorie: dati ordinari, critici e strategici.
Il modello proposto, semplificato e uniforme, è pensato per facilitare il settore pubblico nella procedura di classificazione. Le amministrazioni potranno compilare un questionario on-line e, una volta completato, inviarlo all’Agenzia per la Cybersicurezza Nazionale per la validazione della corretta applicazione della metodologia.
Caratteristiche delle infrastrutture che trattano i dati
A questo punto, si passa ad analizzare le caratteristiche che devono avere le infrastrutture, che trattano tali dati.
Per aiutare la Pubblica Amministrazione nel valutare correttamente le infrastrutture, di cui fa uso, il documento mette a disposizione cinque criteri di valutazione, appresso illustrati. È evidente che i cinque criteri di valutazione devono essere sviluppati in modo diverso, a seconda che l’infrastruttura in esame appartenga ad una delle tre categorie previste; vale a dire infrastrutture idonee a trattare dati ordinari, piuttosto che critici o strategici.
I cinque livelli di valutazione delle infrastrutture
IDENTIFY – ID-in questa categoria rientra lo sviluppo dell’analisi di rischio e, ciò che è assai importante, anche l’individuazione dei rischi legati alla gestione della catena di approvvigionamento.
PROTECT- PR-in questa categoria rientrano la gestione dell’identità dei soggetti autorizzati, i controlli di accesso e la costruzione di profili appropriati per i soggetti autorizzati; l’addestramento dei soggetti autorizzati rappresenta un aspetto fondamentale di questa politica.
DETECT – DE -in questa categoria rientrano tutte le attività di monitoraggio, che possono permettere di identificare tempestivamente eventi afferenti alla sicurezza informatica e confermare l’efficacia delle misure di protezione.
RESPOND- RS – in questa categoria sono comprese tutte le azioni, che permettono di mettere sotto controllo un evento critico informatico, sia di natura criminosa, sia di natura accidentale, onde mitigare gli effetti e risolvere l’incidente.
RECOVER – RC-in questa categoria rientrano tutte le procedure ed i processi, che permettono di ripristinare la piena funzionalità del sistema informativo della pubblica amministrazione, a seguito di una compromissione.
La valutazione dei rischi connessi all’ambiente
Particolarmente apprezzabile è il fatto che, nella valutazione dei rischi connessi all’ambiente, in cui si trova l’infrastruttura, sono presi in esame anche aspetti spesso trascurati, come ad esempio:
- la possibile vicinanza di corsi d’acqua,
- la ubicazione dei parcheggi dei dipendenti e dei visitatori,
- le aree di carico e scarico ed altro.
Ampio spazio è dedicato anche alla tipologia degli impianti di videosorveglianza, alle aree coperte, alle modalità di cattura e conservazione delle immagini e via dicendo.
Il fornitore cloud e le caratteristiche dei servizi offerti
Si analizzano infine le caratteristiche dei servizi che resi dal fornitore cloud. Qui per la prima volta si fa riferimento a specifiche normative, di livello internazionale, la conformità alle quali, come i lettori ben sanno, costituisce regola d’arte, ai sensi dell’indicazioni del nostro codice civile.
L’allegato B2 mette appunto in evidenza le caratteristiche di qualità, sicurezza ed altre caratteristiche dei servizi cloud, classificati a quattro livelli.
Modalità di classificazione dei sistemi cloud
Passiamo adesso ad esaminare le modalità di classificazione dei sistemi cloud e quattro livelli sopra indicati.
Anche in questo caso sono elencate, per ogni livello, le cinque categorie sopra illustrate, dando indicazioni analitiche assolutamente apprezzabili. Le indicazioni analitiche sono sempre più stringenti, mano a mano che si passa da sistemi in grado di ospitare dati ordinari, piuttosto che critici o strategici.
Il riferimento ai sistemi di gestione
Il documento fa riferimento al sistema di gestione della qualità nel cloud, esplicitamente evidenziando la norma UNI EN ISO 9001:2015-sistemi di gestione per la qualità. Parimenti, il sistema di gestione dei servizi nel cloud deve essere conforme allo standard ISO / IEC 20000-1:2018-sistema di gestione dei servizi.
Si fa riferimento anche alle certificazioni ISO /IEC 27001:2003-sistemi di gestione per la sicurezza dell’informazioni, con estensione alle ISO / IEC 27017: 2015 ed ISO /IEC 27018: 2019 servizi nel cloud, oggetto di qualifica. Il riferimento a questa ultima norma è particolarmente importante, perché essa è specialmente dedicata ad un efficiente ed efficace protezione dei dati personali conservati nel cloud. Viene accettata anche una certificazione della Cloud Security Alliance.
Al crescere del livello, crescono anche le norme che devono essere rispettate, ad esempio, per la qualificazione a livello QC3 è richiesto anche il rispetto della norma ISO 22301-business continuity-gestione della continuità operativa per il servizio cloud in questione.
Conclusioni
L’autore di questo testo non può che chiudere questa esposizione apprezzando lo sforzo fatto dai tecnici dell’agenzia nazionale per la cybersicurezza.
Potrebbe essere opportuno, ad integrazione di questo documento, l’avvio di corsi di formazione, destinati ai responsabili informatici delle pubbliche amministrazioni coinvolte, per meglio illustrare la pratica applicazione di queste indicazioni ed offrire un supporto tecnico, meglio ancora se anche economico, per attuare programmi di migrazione delle infrastrutture esistenti verso un allineamento a queste indicazioni.
Consulta i libri di EPC Editore
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore