Cybersecurity e PA: la vostra situazione, son curioso!

Confrontandomi con alcuni colleghi di altre istituzioni pubbliche, ci siamo chiesti come mai anche nelle PA, analogamente al “Responsabile della Sicurezza”, non vi sia anche un Responsabile della Cyber-sicurezza obbligatorio, considerando che ormai gran parte delle attività di un qualsiasi Ente pubblico passano attraverso la risorsa ICT.

Alcune PA più lungimiranti hanno nominato, negli anni, dei referenti/responsabili della cybersecurity.

E voi, nella vostra PA, avete un referente per la sicurezza informatica nel caso accada qualche incidente informatico?

Nelle PA c’è il Responsabile per la Transizione al Digitale (RTD) che ai sensi dell’art. 17 comma c) del CAD è anche il responsabile della sicurezza informatica dell’Ente.

Normativamente si, come recita il comma da te citato:

c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di
connettivita’, nel rispetto delle regole tecniche di cui all’articolo 51, comma 1;

ma è pensabile che una figura dirigenziale possa avere competenze su tutto lo scibile digitale, compresa la sicurezza (che già di per sé è un ambito vastissimo e non squisitamente “tecnico”)?

Non penso sia un caso se a una tale “richiesta” del CAD gli effetti siano stati, alla luce dei risultati di una Commissione Parlamentare di Inchiesta (https://docs.italia.it/media/pdf/relazionecommissionedigitale-docs/bozza/relazionecommissionedigitale-docs.pdf), generalmente insoddisfacenti. Al punto 6.3, “Indicazioni conclusive”, la Commissione recita, testualmente:

“Il tentativo di istituire la figura di Chief Digital Officer “a costo zero” è chiaramente fallito. È di tutta evidenza che le figure necessarie non sono presenti all’interno della PA, nonostante, come detto, la normativa prevedesse figure analoghe sin dal 1993 e quindi non vi è alcuna giustificazione per una mancata politica di assunzione in quasi 25 anni. Il costo, però, di un protrarsi della mancanza di giuste competenze nei livelli apicali, con la conseguente esternalizzazione del know-how e l’impossibilità di una reale interlocuzione tra pari con i fornitori, è un costo di gran lunga superiore a quello necessario ad una deroga del blocco delle assunzioni per figure con adeguate competenze tecnologiche,
manageriali e di informatica giuridica. È inutile ricordare che i costi della mancata transizione alla modalità operativa digitale sono stimabili in miliardi di euro e non è pensabile continuare a sostenerli a causa di una visione miope che pretende di operare una tale trasformazione senza avere la risorsa più importante in questo processo: il capitale umano”

A questo punto torno alla domanda iniziale, al di là della normativa vigente: come è strutturata e organizzata, in modo concreto e fattivo, la cybersecurity nel Vostro Ente?

Grazie e buon lavoro!

Michele

1 Mi Piace

Nell’ente per quale lavoro abbiamo un ufficio sicurezza informatica, che di fatto si occupa della redazione degli assessment richiesti da agid in materia di misure minime e della gestione degli incident segnalati da forze dell’ordine o dai provider. Inoltre coadiuva il dirigente nella scelta degli strumenti di sicurezza opportuni per implementare le misure richieste da agid e dal buon senso.

1 Mi Piace

Grazie @Valerio_Minetti per l’interessante testimonianza. E’ esattamente quello che ho sempre pensato fosse necessario in qualsiasi Ente, a prescindere dalle soluzioni tecniche adottate. Anche in un futuro “sul cloud” (ammesso che sia possibile e sostenibile economicamente, ovviamente), di sicurezza informatica ci sarà sempre bisogno.
Ormai è chiaro, infatti, che la cybersecurity non è una branca dell’IT ma un contesto che abbraccia a 360° il mondo digitale: ovunque ci sia anche solo uno smartphone e un accesso a Internet, ci sarà bisogno di competenze di in cybersecurity.

Attendo altre testimonianze e ti ringrazio.

Sarcasmo on:
Noi abbiamo nominato tutti i responsabili previsti da tutte le norme e ora non c’è più nessuno che lavora :wink:

3 Mi Piace

…analogamente al “Responsabile della Sicurezza”, non vi sia anche un Responsabile della Cyber-sicurezza obbligatorio…

My2cents: perché il responsabile della sicurezza si occupa di questioni correlate al rischio sulla salute… e “l’obbligatorieta’” è la risposta politica alla riduzione della quantità infinita di morti sul lavoro in italia. Non voglio dire che la cybersec non sia importante, necessaria, opportuna, ecc… ma solo che rischiare la vita per sfamare la propria famiglia mi sembra qualcosa di più vicino ai diritti elementari dell’essere umano

Gentile Pierluigi,

grazie per la tua risposta. Tuttavia mi sento di non condividere a pieno la tua visione: in primis, i corsi sulla sicurezza sul lavoro sono obbligatori anche per chi non fa un lavoro pericoloso. Penso al sottoscritto, videoterminalista, che ogni tot anni deve sorbirsi un corso sulla guida del muletto e movimentazione carichi, quando il massimo che movimento, al lavoro, è il mouse sul tappetino!

Insomma, non tutti i lavori, non tutte le aziende, hanno impiegati e operai che rischiano la vita sul lavoro. Per fortuna, direi!

Tuttavia, vedo anche una certa miopia su come la profonda trasformazione della società e pervasività dell’ambito cyber sta mettendo a rischio anche le vite umane. Penso agli attacchi ransomware agli ospedali (abbiamo già due vittime, di cui un bambino: https://www.redhotcyber.com/post/muore-un-bambino-per-un-attacco-informatico-e-la-seconda-vittima-di-un-ransomware), così come i drammi causati dagli attacchi alle aziende che, in conseguenza dei danni, falliscono (1 su 9 in Italia, vado a memoria). Insomma, trovo sbagliato minimizzare un rischio che è sempre più concreto e sempre più vicino ai nostri diritti elementari.

Per questo vedrei estremamente utile una figura come quella suggerita in ogni azienda che ha a che fare con l’ambito cyber.

Concordo, e aggiungo che secondo me, finché una figura di questo tipo non verrà resa obbligatoria (con tutte le responsabilità annesse), un’ampia fetta di aziende (soprattutto PMI, mi pare che da parte delle grandi aziende ci sia più attenzione) e PA continueranno a ignorare il tema.