menu di navigazione del network

Misure Minime di Sicurezza ICT v2


(Andrea Tironi) #1

Ciao a tutti.

Sto riprendendo in mano le Misure Minime dopo tempo in cui hanno fatto un po’di polvere sulla scrivania. Voci portare dal vento dicevano che forse ne usciva una seconda release?

E’ davvero prevista? Meglio aspettare la seconda release?

Andrea


(Paolo Tartara) #2

Ciao Andrea, non so se uscirà una v2
Secondo me sono esagerate già in versione 1… per noi la collaborazione, la condivisione… è un sogno… siti come Slack, Messenger, DropBox, Google Drive (tutti strumenti usati e richiesti dal Team Digitale) sono BLOCCATI dalle rete interna, compresa l’installazione degli agent. Ora anche l’anteprima dei file, delle email…tutto bloccato.
Mi sembra che sia tutt’altro che una apertura verso il WEB, ma una chiusura in noi stessi…

E ho letto che…
L’adeguamento delle Pubbliche amministrazioni alle Misure minime dovrà avvenire entro il 31 dicembre 2017, a cura del responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie di cui all’art.17 del C.A.D., ovvero, in sua assenza, del dirigente allo scopo designato.

In bocca al lupo!


(Andrea Tironi) #3

La versione 2 avrebbe dovuto essere una semplificazione da quello che ho capito per le piccole PAL, per le quali era chiaro che fosse impossibile l’atturazione.

La security di per sè a volte comporta chiusura, ma non può essere una limitazione al livello di cui parli tu (gdrive, slack …). Perlome non credo sia questo che intendono Agid e TD.

Andrea


(Gianni Salpietra) #4

Personalmente ho trovato estremamente limitativa l’estrapolazione dal SANS 20 del 2015 di solo 8 CSC, eludendo ad es l’WIFI etc…faccio presente che esiste già la versione del 2016 sempre del SANS 20, consiglio vivamente di applicarla in toto, a prescindere dalle direttive Agid.
La Sicurezza é un’approccio mentale, non un compitino…


(Andrea Tironi) #5

Concordo sull’aspetto teorico, ma poi ci si scontra con la pratica = non ci sono i soldi o non c’è la mentalità o non c’ una priorità. Per cui un dataset minimo va comunque fatto, anche solo per chi deve iniziare da qualche parte.

Io le ho trovate molto utili, migliorabili, ma sicuramente utili nelle PAL.


(RobertoB) #6

Ma perché solo 8 CSC? In realtà i CSC sono 20…

CSC controls

Comunque personalmente ritengo le Misure Minime di Sicurezza del CERT-PA uno sforzo notevole nel panorama italiano del “non dobbiamo fare nulla perché noi siamo sicuri”. Tanto di cappello che hanno preso come base i CSC.

Il lavoro di “potatura” mi sembra un eccellente adattamento alla pochezza del nostro approccio in sicurezza. E purtroppo non solo sicurezza informatica visto quello che è successo a Genova. Manca la cultura del controllo. Le cose si fanno e poi nessuno controlla perché non paghi qualcuno in caso di errore, ovviamente.

Ma sono OT adesso :slight_smile:

ciao


(Gianni Salpietra) #7

Dal SANS 20, la CircolareAgID_170418_n_2_2017_Mis_minime_sicurezza_ICT_PA-GU-103-050517 CIRCOLARE 18 aprile 2017 , n. 2/2017 , ne ha estrapolati solo 8, come già scritto.


(Andrea Tironi) #8

Rimane quanto detto: piuttosto di niente meglio piuttosto. E comunque è un punto di partenza secondo me adeguato.


(RobertoB) #9

Vero, 8 CSC.

Comunque rimango della mia opinione, del resto le motivazioni sono ben scritte nella introduzione alle Misure Minime (che si chiamano minime apposta). Certamente rispettare tutti i 20 CSC sarebbe più che auspicabile, ma per far meglio alla fine non si fa bene. Troppe volte visto…

Chi ha scritto le Misure Minime conosce bene la PA e le ritrosie e le difficoltà che ci sono nell’irregimentare certe attività. Figuriamoci nelle PAL dove ci sono anche problemi di budget e personale.


(Andrea Tironi) #10

Tornando al topic, è prevista una versione 2?