Gestione identità digitale del cittadino e sicurezza informatica nei

Gestione identità digitale del cittadino e sicurezza informatica nei servizi
della PA
Il crescente utilizzo dei social network , la costante evoluzione dell’”Internet of Thing” e la graduale
migrazione dei dati e dei servizi verso il modello del cloud computing richiede una radicale trasformazione
della Pubblica Amministrazione che deve riorganizzarsi anche per far fronte alle minacce e ai rischi
cibernetici. Parallelamente lo sviluppo dei servizi e delle infrastrutture della pubblica amministrazione non
può prescindere da una effettiva garanzia della sicurezza delle reti e dell’informazione, che faccia crescere
la fiducia dei cittadini verso i servizi on-line. Tale condizione è necessaria affinché i cittadini stessi possano
utilizzare tali servizi, consentendo più efficienza all’intero sistema
Stato dell’arte
Gestione dell’identità digitale del cittadini
I servizi on line della Regione Piemonte (circa 120 servizi rivolti a cittadini ed imprese)
richiedono attualmente un sistema di credenziali (user, password, PIN o CNS) che il
cittadino utilizza per l’autenticazione. Tali credenziali vengono fornite attraverso un
processo specifico definito da normativa regionale (DGR 2 agosto 2013, n. 37-6240).
Con il Sistema Pubblico di Identità Digitale - SPID, sarà possibile accedere a qualunque
servizio on-line con un'unica credenziale, rilasciata da uno dei gestori di identità digitali
certificati a livello nazionale, universalmente accettata ed utilizzabile per
l’autenticazione con qualunque erogatore di servizi online, pubblico e privato (italiano
e dell'Unione Europea). La Regione partecipa alla prima fase del progetto SPID che
vedrà l’avvio di alcuni servizi con la nuova modalità di autenticazione.
Sicurezza informatica nei servizi della Pubblica Amministrazione piemontese
In linea con quanto disposto dal Decreto crescita 2.0 e dal successivo DPCM 24
gennaio 2013, la Regione Piemonte provvede a mantenere alto il livello di guardia sui
rischi nell’ambito della sicurezza , facendo evolvere costantemente contromisure e
tecnologie a protezione dei propri servizi telematici e dei dati al fine di prevenire rischi
e incidenti che danneggerebbero l’Amministrazione regionale e di conseguenza la
Pubblica Amministrazione nel suo complesso.
Pertanto la Regione persegue gli indirizzi dettati per la protezione cibernetica e la
sicurezza informatica, calandoli nel contesto regionale, oltre a collaborare con la
struttura nazionale CERT-Pubblica Amministrazione (Computer Emergency Response
Team della Pubblica Amministrazione).
Quadro di
riferimento
nazionale
Gestione dell’identità digitale del cittadini
Strategia per la crescita digitale 2014-2020
•
Azioni
infrastrutturali
trasversali:
Servizio
Pubblico d’Identità Digitale (SPID)
•
casa del cittadino
Programmi di accelerazione: Italia Login – La
Agenda per la semplificazione 2015-2017
•
La cittadinanza digitale - Diffusione del sistema
pubblico di identità digitale (SPID)
Sicurezza informatica
Strategia per la crescita digitale 2014-2020
•
Azioni
infrastrutturali
trasversali:
Digital
Security per la PA
Contributo
dell’azione al
raggiungimento
degli obiettivi
delle traiettorie
L’azione si inserisce nella traiettoria “Società digitale” in quanto mira:
•
Sul piano della gestione dell’identità digitale del
cittadino a garantire a tutti i cittadini e alle imprese, attraverso l’adozione di SPID,
un accesso sicuro e protetto ai servizi digitali della Pubblica Amministrazione e dei
soggetti privati, offrendo un elevato grado di usabilità attraverso l’adozione di
strumenti moderni e flessibili;
•
sul piano della sicurezza informatica nei servizi
della Pubblica Amministrazione piemontese a far fronte alle nuove minacce;
•
ad aumentare il livello di sicurezza delle
informazioni e delle comunicazioni digitali per consentire nuovi livelli di servizi per i
cittadini e le imprese;
•
a tutelare la privacy, l’integrità e la continuità
dei servizi della Pubblica Amministrazione piemontese.
Attività
Gestione dell’identità digitale del cittadino
•
Completamento della prima fase di SPID, avvio
dei servizi pilota individuati (servizi del portale “Io scelgo la salute”) e definizione
del piano di migrazione di tutti i servizi regionali (rivolti a cittadini e imprese) verso
il modello federato SPID.
•
Adeguamento dei Service Provider e
pubblicazione dei servizi regionali con accesso SPID (garantendo compatibilità con
il sistema di credenziali precedentemente in vigore a livello regionale).
•
Supporto alla diffusione delle nuove regole e
del modello di autenticazione introdotto da SPID a livello della Pubblica
Amministrazione regionale (seminari, fornitura di strumenti per la “migrazione” a
SPID, etc…).
Sicurezza informatica nei servizi della Pubblica Amministrazione piemontese
•
Valutazione
dello
stato
di
sicurezza
dell’infrastruttura IT regionale, rilevando eventuali punti di criticità e vulnerabilità e
applicando le azioni da intraprendere (di carattere organizzativo e/o tecnologico),
atte alla riduzione del rischio informatico.
•
Definizione delle Linee Guida per la creazione
del framework “Enterprise Risk Management” da condividere con le Pubbliche
Amministrazioni regionali e con il CERT nazionale.
•
Implementazione di un sistema di gestione
della sicurezza delle informazioni (ISMS – Information Security Management
System), a supporto della governance dell’information security regionale e nel
rispetto del DPCM 24 gennaio 2013; definizione delle unità di sicurezza a livello
regionale (ULS-R) in grado di gestire la cybersecurity, allo scopo di offrire
cooperazione strutturale ed operativa al CERT-Pubblica Amministrazione nazionale.
Gli stakeholders
coinvolti
Amministrazioni Pubbliche piemontesi e centrali, cittadini italiani che accedono a
servizi digitali pubblici e privati, attori del settore privato che forniscono soluzioni e
servizi alla Pubblica Amministrazione.
Beneficiari
L’azione complessiva ha come beneficiari:
•
i cittadini (intesi come fruitori dei servizi della
Pubblica Amministrazione e delle imprese) che possono accedere ai servizi on line
con maggiore consapevolezza e sicurezza.
•
Le Pubbliche Amministrazioni e le imprese
coinvolte (intesi come erogatori di servizi ai cittadini e che quindi beneficiano della
messa in sicurezza dei processi e dei dati della Pubblica Amministrazione).
Risultati attesi
Gestione dell’identità digitale del cittadino
Avanzamento identità digitale: n. identità (credenziali individuali) create nella
federazione SPID su base regionale/tot. Cittadini residenti. Obiettivo all’ anno IV: 50%.
Diffusione strumenti di identità digitale: n. TS-Carta Nazionale Servizi distribuite.
Obiettivo all’Anno II : circa 3 milioni (circa il 65% della popolazione piemontese)
Sicurezza informatica nei servizi della Pubblica Amministrazione piemontese
Security assessment: securizzazione dei servizi digitali regionali rispetto alle
vulnerabilità rilevate nel security assessment. Obiettivo all’Anno IV: 100% dei servizi
digitali regionali securizzati.
Implementazione dell’ISMS Information Security Management System: Obiettivo
all’Anno IV: ISMS implementato.
Tag
ID, Cyber security and privacy, Online trust