Gestione identità digitale del cittadino e sicurezza informatica nei
Transcript
Gestione identità digitale del cittadino e sicurezza informatica nei
Gestione identità digitale del cittadino e sicurezza informatica nei servizi della PA Il crescente utilizzo dei social network , la costante evoluzione dell’”Internet of Thing” e la graduale migrazione dei dati e dei servizi verso il modello del cloud computing richiede una radicale trasformazione della Pubblica Amministrazione che deve riorganizzarsi anche per far fronte alle minacce e ai rischi cibernetici. Parallelamente lo sviluppo dei servizi e delle infrastrutture della pubblica amministrazione non può prescindere da una effettiva garanzia della sicurezza delle reti e dell’informazione, che faccia crescere la fiducia dei cittadini verso i servizi on-line. Tale condizione è necessaria affinché i cittadini stessi possano utilizzare tali servizi, consentendo più efficienza all’intero sistema Stato dell’arte Gestione dell’identità digitale del cittadini I servizi on line della Regione Piemonte (circa 120 servizi rivolti a cittadini ed imprese) richiedono attualmente un sistema di credenziali (user, password, PIN o CNS) che il cittadino utilizza per l’autenticazione. Tali credenziali vengono fornite attraverso un processo specifico definito da normativa regionale (DGR 2 agosto 2013, n. 37-6240). Con il Sistema Pubblico di Identità Digitale - SPID, sarà possibile accedere a qualunque servizio on-line con un'unica credenziale, rilasciata da uno dei gestori di identità digitali certificati a livello nazionale, universalmente accettata ed utilizzabile per l’autenticazione con qualunque erogatore di servizi online, pubblico e privato (italiano e dell'Unione Europea). La Regione partecipa alla prima fase del progetto SPID che vedrà l’avvio di alcuni servizi con la nuova modalità di autenticazione. Sicurezza informatica nei servizi della Pubblica Amministrazione piemontese In linea con quanto disposto dal Decreto crescita 2.0 e dal successivo DPCM 24 gennaio 2013, la Regione Piemonte provvede a mantenere alto il livello di guardia sui rischi nell’ambito della sicurezza , facendo evolvere costantemente contromisure e tecnologie a protezione dei propri servizi telematici e dei dati al fine di prevenire rischi e incidenti che danneggerebbero l’Amministrazione regionale e di conseguenza la Pubblica Amministrazione nel suo complesso. Pertanto la Regione persegue gli indirizzi dettati per la protezione cibernetica e la sicurezza informatica, calandoli nel contesto regionale, oltre a collaborare con la struttura nazionale CERT-Pubblica Amministrazione (Computer Emergency Response Team della Pubblica Amministrazione). Quadro di riferimento nazionale Gestione dell’identità digitale del cittadini Strategia per la crescita digitale 2014-2020 • Azioni infrastrutturali trasversali: Servizio Pubblico d’Identità Digitale (SPID) • casa del cittadino Programmi di accelerazione: Italia Login – La Agenda per la semplificazione 2015-2017 • La cittadinanza digitale - Diffusione del sistema pubblico di identità digitale (SPID) Sicurezza informatica Strategia per la crescita digitale 2014-2020 • Azioni infrastrutturali trasversali: Digital Security per la PA Contributo dell’azione al raggiungimento degli obiettivi delle traiettorie L’azione si inserisce nella traiettoria “Società digitale” in quanto mira: • Sul piano della gestione dell’identità digitale del cittadino a garantire a tutti i cittadini e alle imprese, attraverso l’adozione di SPID, un accesso sicuro e protetto ai servizi digitali della Pubblica Amministrazione e dei soggetti privati, offrendo un elevato grado di usabilità attraverso l’adozione di strumenti moderni e flessibili; • sul piano della sicurezza informatica nei servizi della Pubblica Amministrazione piemontese a far fronte alle nuove minacce; • ad aumentare il livello di sicurezza delle informazioni e delle comunicazioni digitali per consentire nuovi livelli di servizi per i cittadini e le imprese; • a tutelare la privacy, l’integrità e la continuità dei servizi della Pubblica Amministrazione piemontese. Attività Gestione dell’identità digitale del cittadino • Completamento della prima fase di SPID, avvio dei servizi pilota individuati (servizi del portale “Io scelgo la salute”) e definizione del piano di migrazione di tutti i servizi regionali (rivolti a cittadini e imprese) verso il modello federato SPID. • Adeguamento dei Service Provider e pubblicazione dei servizi regionali con accesso SPID (garantendo compatibilità con il sistema di credenziali precedentemente in vigore a livello regionale). • Supporto alla diffusione delle nuove regole e del modello di autenticazione introdotto da SPID a livello della Pubblica Amministrazione regionale (seminari, fornitura di strumenti per la “migrazione” a SPID, etc…). Sicurezza informatica nei servizi della Pubblica Amministrazione piemontese • Valutazione dello stato di sicurezza dell’infrastruttura IT regionale, rilevando eventuali punti di criticità e vulnerabilità e applicando le azioni da intraprendere (di carattere organizzativo e/o tecnologico), atte alla riduzione del rischio informatico. • Definizione delle Linee Guida per la creazione del framework “Enterprise Risk Management” da condividere con le Pubbliche Amministrazioni regionali e con il CERT nazionale. • Implementazione di un sistema di gestione della sicurezza delle informazioni (ISMS – Information Security Management System), a supporto della governance dell’information security regionale e nel rispetto del DPCM 24 gennaio 2013; definizione delle unità di sicurezza a livello regionale (ULS-R) in grado di gestire la cybersecurity, allo scopo di offrire cooperazione strutturale ed operativa al CERT-Pubblica Amministrazione nazionale. Gli stakeholders coinvolti Amministrazioni Pubbliche piemontesi e centrali, cittadini italiani che accedono a servizi digitali pubblici e privati, attori del settore privato che forniscono soluzioni e servizi alla Pubblica Amministrazione. Beneficiari L’azione complessiva ha come beneficiari: • i cittadini (intesi come fruitori dei servizi della Pubblica Amministrazione e delle imprese) che possono accedere ai servizi on line con maggiore consapevolezza e sicurezza. • Le Pubbliche Amministrazioni e le imprese coinvolte (intesi come erogatori di servizi ai cittadini e che quindi beneficiano della messa in sicurezza dei processi e dei dati della Pubblica Amministrazione). Risultati attesi Gestione dell’identità digitale del cittadino Avanzamento identità digitale: n. identità (credenziali individuali) create nella federazione SPID su base regionale/tot. Cittadini residenti. Obiettivo all’ anno IV: 50%. Diffusione strumenti di identità digitale: n. TS-Carta Nazionale Servizi distribuite. Obiettivo all’Anno II : circa 3 milioni (circa il 65% della popolazione piemontese) Sicurezza informatica nei servizi della Pubblica Amministrazione piemontese Security assessment: securizzazione dei servizi digitali regionali rispetto alle vulnerabilità rilevate nel security assessment. Obiettivo all’Anno IV: 100% dei servizi digitali regionali securizzati. Implementazione dell’ISMS Information Security Management System: Obiettivo all’Anno IV: ISMS implementato. Tag ID, Cyber security and privacy, Online trust