Le minacce informatiche rappresentano un rischio costante per la sicurezza dei sistemi e dei dati delle pubbliche amministrazioni. Al fine di contrastare efficacemente queste minacce, l'Agenzia per l'Italia Digitale (AgID) ha emanato le "Misure minime di sicurezza ICT", un insieme di controlli pratici e linee guida fondamentali per valutare e migliorare il livello di sicurezza informatica delle amministrazioni pubbliche.

Panoramica delle Misure Minime di Sicurezza ICT

Le misure minime di sicurezza ICT forniscono un quadro di riferimento completo per affrontare le sfide legate alla sicurezza informatica nella pubblica amministrazione. Queste misure comprendono una serie di controlli di natura tecnologica, organizzativa e procedurale, progettati per contrastare le minacce informatiche più comuni e frequenti. L'implementazione di queste misure è stata resa obbligatoria per tutte le pubbliche amministrazioni entro il 31 dicembre 2017, come stabilito dalla Circolare 18 aprile 2017, n. 2/2017 dell'AgID.

Livelli di Attuazione delle Misure Minime

Le misure minime di sicurezza ICT sono state strutturate in tre livelli di attuazione, al fine di consentire una implementazione graduale e adattata alle esigenze specifiche di ciascuna amministrazione:

1. Livello Minimo: Rappresenta il livello base al quale ogni pubblica amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente conformarsi.
2. Livello Standard: Questo livello, superiore al livello minimo, costituisce il riferimento principale in termini di sicurezza informatica e riflette la realtà della maggior parte delle amministrazioni pubbliche italiane.
3. Livello Alto: Questo livello è destinato alle organizzazioni maggiormente esposte a rischi, come quelle che trattano informazioni critiche o erogano servizi essenziali. Tuttavia, può essere considerato come un obiettivo di miglioramento da parte di tutte le altre organizzazioni.

Obiettivi e Vantaggi delle Misure Minime

L'introduzione delle misure minime di sicurezza ICT persegue diversi obiettivi fondamentali:

1. Fornire un riferimento operativo direttamente utilizzabile: Le misure minime si presentano sotto forma di checklist, rendendo più semplice per le amministrazioni valutare e migliorare il proprio livello di sicurezza informatica.
2. Stabilire una base comune di misure tecniche e organizzative irrinunciabili: Queste misure definiscono un insieme minimo di controlli che tutte le amministrazioni devono implementare per garantire un livello di sicurezza accettabile.
3. Offrire uno strumento per verificare lo stato di protezione e tracciare un percorso di miglioramento: Le amministrazioni possono utilizzare le misure minime per valutare la propria situazione attuale e identificare le aree di miglioramento prioritarie.
4. Responsabilizzare le amministrazioni sulla necessità di migliorare e mantenere adeguato il proprio livello di protezione cibernetica: L'adozione di queste misure promuove una maggiore consapevolezza e impegno da parte delle amministrazioni nel garantire la sicurezza dei propri sistemi e dati.

Responsabilità di Implementazione

L'implementazione delle misure minime di sicurezza ICT è una responsabilità che ricade sul dirigente responsabile dell'organizzazione, dell'innovazione e delle tecnologie di ciascuna amministrazione pubblica, come indicato nell'articolo 17 del Codice dell'Amministrazione Digitale (CAD). In assenza di tale figura, la responsabilità ricade sul dirigente designato dall'amministrazione. Il dirigente responsabile è tenuto a compilare e firmare digitalmente il "Modulo di implementazione" allegato alla Circolare 18 aprile 2017, n. 2/2017, attestando l'adozione delle misure minime di sicurezza ICT da parte dell'amministrazione.

Struttura delle Misure Minime di Sicurezza ICT

Le misure minime di sicurezza ICT sono organizzate in diverse aree tematiche, ognuna delle quali affronta specifici aspetti della sicurezza informatica. Queste aree comprendono:

Organizzazione della Sicurezza

Questa sezione riguarda l'organizzazione e la governance della sicurezza informatica all'interno dell'amministrazione. Comprende misure relative alla definizione di ruoli e responsabilità, alla gestione dei rischi, alla formazione del personale e alla gestione degli incidenti di sicurezza.

Esempi di misure:

• Definizione di un responsabile della sicurezza informatica
• Adozione di un sistema di gestione della sicurezza delle informazioni
• Formazione periodica del personale sulla sicurezza informatica
• Definizione di procedure per la gestione degli incidenti di sicurezza

Sicurezza delle Risorse Umane

Questa sezione affronta le misure relative alla gestione del personale e alla sensibilizzazione sulla sicurezza informatica. Comprende aspetti come la formazione, la definizione di ruoli e responsabilità, e la gestione dei cambiamenti di personale.

Esempi di misure:

• Formazione periodica del personale sulla sicurezza informatica
• Definizione di ruoli e responsabilità per la sicurezza informatica
• Procedure per la cessazione del rapporto di lavoro o il trasferimento di personale

Sicurezza Fisica e Ambientale

Questa sezione riguarda la protezione degli asset fisici e dell'ambiente operativo dell'amministrazione. Comprende misure relative alla sicurezza delle aree di lavoro, alla protezione dei dispositivi e delle infrastrutture, e alla gestione dei supporti di memorizzazione.

Esempi di misure:

• Controllo degli accessi alle aree di lavoro
• Protezione dei dispositivi e delle infrastrutture contro minacce ambientali
• Gestione sicura dei supporti di memorizzazione rimovibili

Sicurezza delle Operazioni

Questa sezione affronta la sicurezza delle operazioni quotidiane dell'amministrazione, comprendendo misure relative alla gestione dei backup, alla registrazione degli eventi di sicurezza, alla protezione dalle code malevole e alla gestione delle vulnerabilità.

Esempi di misure:

• Implementazione di procedure di backup e ripristino dei dati
• Registrazione degli eventi di sicurezza e monitoraggio dei log
• Protezione dalle code malevole e dai malware
• Gestione delle vulnerabilità e delle patch di sicurezza

Sicurezza delle Comunicazioni

Questa sezione riguarda la sicurezza delle comunicazioni e delle reti dell'amministrazione. Comprende misure relative alla gestione della rete, alla protezione delle reti wireless, ai controlli di accesso e alla crittografia dei dati.

Esempi di misure:

• Separazione delle reti e controllo degli accessi
• Protezione delle reti wireless
• Utilizzo di protocolli di comunicazione sicuri e crittografia dei dati

Sicurezza dei Sistemi Informatici

Questa sezione affronta la sicurezza dei sistemi informatici dell'amministrazione, comprendendo misure relative alla gestione degli accessi, alla protezione dalle minacce e alla sicurezza delle applicazioni.

Esempi di misure:

• Controllo degli accessi ai sistemi e alle applicazioni
• Protezione dai malware e dalle minacce informatiche
• Sviluppo sicuro delle applicazioni e gestione delle vulnerabilità

Sicurezza dell'Acquisizione, Sviluppo e Manutenzione dei Sistemi

Questa sezione riguarda la sicurezza durante le fasi di acquisizione, sviluppo e manutenzione dei sistemi informatici dell'amministrazione. Comprende misure relative ai requisiti di sicurezza, alla sicurezza dello sviluppo e alla gestione dei cambiamenti.

Esempi di misure:

• Definizione dei requisiti di sicurezza per i nuovi sistemi
• Adozione di pratiche di sviluppo sicuro
• Gestione dei cambiamenti e delle patch di sicurezza

Gestione della Continuità Operativa

Questa sezione affronta la continuità operativa dell'amministrazione in caso di incidenti o disastri. Comprende misure relative alla pianificazione della continuità operativa, alla gestione degli incidenti e alla ripresa delle attività.

Esempi di misure:

• Sviluppo di un piano di continuità operativa
• Definizione di procedure di gestione degli incidenti
• Meccanismi di ripresa delle attività in caso di disastro

Conformità

Questa sezione riguarda la conformità dell'amministrazione alle leggi, alle normative e agli standard di sicurezza applicabili. Comprende misure relative alla revisione della sicurezza, alla protezione dei dati personali e alla gestione dei requisiti di conformità.

Esempi di misure:

• Revisione periodica della sicurezza informatica
• Protezione dei dati personali e conformità al GDPR
• Gestione dei requisiti di conformità normativi e legislativi

Monitoraggio e Miglioramento Continuo

L'adozione delle misure minime di sicurezza ICT non è un processo one-time, ma richiede un monitoraggio e un miglioramento continuo. Le amministrazioni devono periodicamente valutare l'efficacia delle misure implementate, identificare eventuali lacune e adottare azioni correttive per migliorare costantemente il proprio livello di sicurezza informatica. Inoltre, è fondamentale mantenere aggiornate le misure di sicurezza per affrontare le nuove minacce e le evoluzioni tecnologiche. L'AgID fornisce regolarmente aggiornamenti e linee guida aggiuntive per supportare le amministrazioni in questo processo.

Conclusioni

Le misure minime di sicurezza ICT rappresentano un passo fondamentale per migliorare la sicurezza informatica nella pubblica amministrazione locale. Attraverso l'adozione di queste misure, le amministrazioni possono proteggere efficacemente i propri sistemi e dati dalle minacce informatiche, garantendo la continuità operativa e la conformità alle normative vigenti. Tuttavia, è importante sottolineare che l'implementazione delle misure minime è solo il primo passo verso un percorso di miglioramento continuo della sicurezza informatica. Le amministrazioni devono impegnarsi costantemente per monitorare, valutare e migliorare le proprie misure di sicurezza, al fine di rimanere al passo con l'evoluzione delle minacce e delle tecnologie. Attraverso un approccio proattivo e una collaborazione costante con l'AgID e gli altri enti competenti, la pubblica amministrazione locale può svolgere un ruolo cruciale nel garantire la sicurezza informatica e la protezione dei dati sensibili, contribuendo così a preservare la fiducia dei cittadini e a promuovere un'amministrazione digitale efficiente e affidabile.