Misure Minime di Sicurezza ICT - Parte Economica

Andrea_Tironi1 · 21 Agosto 2017, 12:27pm

Buongiorno a tutti.

Più mi addentro nella valutazione operativa delle misure minime di sicurezza ICT, più mi rendo conto che il solo raggiungere il minimo necessario nelle PAL comporterà degli oneri di startup e di canone, che non tutti saranno disponibili a mettere sul campo, visto che in molti considerano la sicurezza informatica un’assicurazione e come tale decidono di prendersi il rischio se non hanno soldi.

Sono previsti dei finanziamenti, aiuti, sgravi, altro per le PAL che effettuano questi investimenti?
Potrebbero utilizzare ad esempio i soldi fermati dal patto di stabilità?
Questa seconda forma potrebbe essere un incentivo anche per l’economia.

Gentilmente mi potreste far sapere se ci sono possibilità in queste direzioni?
Altrimenti nonostante stia cercando di preparare il terreno con tanta acqua e humus, e il periodo sia favorevole, credo che la penetrazione del tema non sarà molto alta/totale e dal punto di vista della sicurezza questo non è buono.

es.
Il Governo inglese ha messo a disposizione delle PMI un voucher da 5.000 sterline da investire in cybersecurity, sviluppi di nuove idee e protezione di proprietà intellettuale. Potrebbe essere un “voucher” preso dal patto di stabilità dello stesso valore per cybersecurity in Italia per le PAL.

Grazie.

Andrea

robertob · 22 Agosto 2017, 5:33am

" in molti considerano la sicurezza informatica un’assicurazione e come tale decidono di prendersi il rischio se non hanno soldi"

Ecco questa tua affermazione è alla base del perché la Cyber Security o, meglio, la Sicurezza Informatica, è la cenerentola degli investimenti ICT.

Rischio probabile non giustifica budget.
Danno reale a posteriori giustifica budget.
Con i fichi secchi le nozze non si fanno.

Ergo: la tua domanda è giustissima ma temo che le risposte o non ci saranno o saranno negative. Ti devi arrangiare con quello che c’è.

Scusa la franchezza eh

Andrea_Tironi1 · 22 Agosto 2017, 7:17am

Grazie Roberto del tuo contributo.

Preferisco la sincerità e la chiarezza, questo forum serve a quello.

Sono convinto che una risposta ci sarà e che perlomeno quanto scrivo porterà a delle valutazioni.
E’ lo scopo di questo forum.

Credo che il processo virtuoso sia:

(parte politica) norma di indirizzo
(parte tecnica) attuazione tecnologica
(parte politica) risorse

Senza risorse praticamente si sta dicendo alle PA: è importante che fai cybersicurezza, trovati i soldi. Ma sappiamo bene, o perlomeno so bene per esperienza nelle PAL, che le PAL faticano a trovare fondi per qualsiasi cosa, come posso fargli trovare fondi per un problema ipotetico che sentono a km da loro? Davanti a un sindaco che mi dice: i soldi che mi chiedi per la cybersicurezza devo toglierli dai Servizi Sociali, cosa posso dirgli?

Certo le PAL devono ottemperare la norma, ma un aiuto economico ad ottemperarla potrebbe sicuramente favorire un circolo virtuoso che poi ha un ritorno anche sull’economia italiana. Mettere fondi per le PA (ma il discorso può essere esteso alle PMI) per la cybersecurity vuol dire coinvolgere il tessuto produttivo in investimenti su questo mercato e non può che generare ritorni positivi a livello di ecosistema italiano economico e di cybersicurezza. Magari nasceranno nuove aziende specializzate nella security essendoci un grosso mercato, o si potenzieranno aziende esistenti. Arriveranno player dall’estero che ora hanno solo sedi di rappresentanza o commerciali. Se arrivano investimenti, arriva anche interesse, arrivano cervelli, arrivano sviluppi e tecnologia, le università seguono di più quello che il mercato sta facendo e si crea un circolo virtuoso, che può coinvolgere anche il militare come nel modello israeliano. Le modalità possono essere numerose (incentivi, sgravi, accesso ai fondi del patto di stabilità, riduzioni di tassazione, fondi messi ad hoc etc etc)

Nella cybersecurity non ci si può aspettare che il solo privato decida di occuparsene, perchè il rischio è alto e il ritorno incerto. Servono investimenti pubblici oltre che direttive perchè va preservato l’ecosistema industriale e umano Italia che è pubblico, e perchè va preservata la democrazia che può essere senza dubbio messa in bilico dal cyberspazio e dalla mancanza di difese cyber adeguate. L’appello è accorato, ma è fatto perchè credo in quello che scrivo.

Tornando alle PAL, non si può chiedere a una famiglia operaria monoreddito di 4 persone in affitto a Milano di mettere l’impianto di videosorveglianza e la porta blindata solo perchè migliora la sicurezza e quindi impostare la norma che obbliga a farlo. Lo sanno anche loro che sarebbe bello da fare (che già sarebbe un bel passo culturale), ma se non ci sono i soldi non ci sono i soldi. Perlomeno questo è quello che vivo quotidianamente nella PAL.

Andrea

Giorgio_Ovani · 27 Agosto 2017, 1:44pm

La questione economica per tutto IT oggi è molto importante ma spesso sottovalutata visto che negli ultimi anni le nuove direttive per le PA sono state sempre fatte a costo zero.

Per recuperare disponibilità sarebbe ora di poter pensare ai PC, monitor e stampanti alla pari di una penna, foglio e gomma e alla facilità di acquisto e di poter spostare a parti ordinarie di bilancio. Pensare quanto sarebbe bello comprare i PC con leasing anziché attivare mutui col fatto che questi potrebbero essere cambiati ogni 3 anni con più facilità…

In più tra le direttive dovrebbero mettere obbligo per i micro comuni sotto i 2000 abitanti di spostare tutto l’assetto IT sotto comuni più grandi che hanno personale capace di capire certe necessità.

Poi va bene prodotti office open source ma in altri ambienti come i Sistemi informativi territoriali 20 anni fa si facevano convenzioni regionali per acquisti agevolati per le PA… adesso non si possono più fare? Se uso degli open source poi devo comprare assistenza per tutto e una persona in più per la gestione…e il risparmio?

Comunque già basterebbe che la politica capisca che ci vuole almeno una porticina blindata:wink:

Andrea_Tironi1 · 28 Agosto 2017, 9:46am

“La questione economica per tutto IT oggi è molto importante ma spesso sottovalutata visto che negli ultimi anni le nuove direttive per le PA sono state sempre fatte a costo zero.”

Sottoscrivo.

Solitamente la strategia per far digerire le normative IT è fare vedere i vantaggi funzionali ed economici di medio termine, dall’introdurre alcune soluzione informatiche. Sugli amministratori delle PAL questo può voler dire: fare di più con le stesse persone, avere meno persone, offrire più servizi, migliorare l’accessibilità dei dati etc etc

Sulla CyberSicurezza l’unica arma è la paura. E questa funziona (parlo della mia esperienza) molto fino a che non si parla di soldi. Perchè quando si parla di soldi subentra la necessità. Anche solo ottemperare alle norme minime di sicurezza ICT comporta dei costi non irrisori.

Riassumendo, credo che le direttive a costo zero non funzionino in questo caso, visto che si chiede di dare vita ad un nuova cultura con interventi importanti e strutturali e questo richiede volontà e risorse economiche, anche solo per creare quel nucleo di enti centrali e locali virtuosi.

Inoltre, non vedo cosa ci sia di male a livello pubblico a decidere che le PA debbano seguire delle norme e a stanziare soldi perchè lo facciano: mi sembra quasi naturale. Ricordo sempre l’opzione di andare anche a toccare i soldi del “patto di stabilità” il che aiuterebbe anche l’economia.

Mi farebbe piacere avere una risposta dal Team o da Agid in merito al tema sollevato, per capire se c’è qualche possibilità di andare nella direzione di un finanziamento anche nella prossima legge di stabilità, con fondi europei, o bisogna fare con quello che si ha, ovvero a costo zero.

Siamo prossimi a fine anno e quindi capirlo sarebbe importante per capire anche come muoversi a livello di soluzioni.

Grazie.

Andrea

Giorgio_Ovani · 28 Agosto 2017, 6:43pm

Verissimo…lo spauracchio della sicurezza IT non è nulla di fronte allo spauracchio del costo. Pensare che anche semplici gestionali possono costare anche 50 o 100.000€ vuol dire fare economie di medio termine per comuni sotto in10.000 abitanti, che sono la grande maggioranza in Italia è che non vogliono perdere la loro sovranità nella gestione dei dati e delle decisioni.

Occorre incentivare di più i servizi aggregati per piccoline mesi comuni, invece di farli confluire nelle grandi aree metropolitane o aree vaste.
Una legge o una direttiva forte in questo senso sarebbe anche maggiore forza economica.

Se per un ministero o una regione risulta facile prendere personale addetto , per le piccole realtà con i vincoli di bilancio attuali è un delirio…e spesso la buona volontà non può colmare un vuoto culturale o informatico😉

Andrea_Tironi1 · 14 Novembre 2017, 3:44pm

Ecco perchè servono soldi per la cybersecurity

Andrea

DarioB · 14 Novembre 2017, 3:45pm

Se è vero… rabbrividisco!!!