La consapevolezza della sicurezza nella PA: l
Transcript
La consapevolezza della sicurezza nella PA: l
La consapevolezza della sicurezza nella PA. L’esperienza MIUR Paolo De Santis – Direzione Generale per i contratti, gli acquisti e per i sistemi informativi e la statistica - MIUR Il contesto in cui opera il sistema informativo MIUR Il sistema informativo, ormai da anni, si caratterizza per un «perimetro allargato» in cui nuove classi di utenza hanno assunto un ruolo fondamentale Il sistema offre servizi a: • Istanze on line • Posta elettronica 750.000 docenti • Iscrizioni on line • Scuola in chiaro • Servizi scuola famiglia Docenti ed ATA Famiglie Studenti Istituzioni scolastiche 230.000 personale ATA 6000 pers. ammin. 8.500 istituzioni scolastiche 1,5 milioni di famiglie 2,8 milioni di studenti • Carta dello studente • Portale dello studente • Applicazioni del s.i. • Plico telematico • Cooperazione con altre amm. • PEC, Posta elettronica Alcuni fattori di complessità rispetto al tema della sicurezza Gestione del sistema in outsourcing, mediante due contratti distinti per i servizi applicativi ed infrastrutturali Classi di utenza eterogenee, con diverse sensibilità, aspettative e competenze digitali Elevata complessità della gestione delle identità, dei profili e dei contesti di accesso Significativa mobilità del personale Esposizione mediatica a fronte di alcuni eventi particolari Ipersensibilità di molti utenti sul tema sicurezza e privacy Le iniziative messe in campo dall’amministrazione Sono stati individuati dei filoni di attività nell’ambito dei quali conseguire una prima baseline di strumenti Filone organizzativo Filone contrattuale Filone tecnico Un elemento di difficoltà: non esiste una struttura organizzativa specificamente dedicata alla gestione delle problematiche relative alla sicurezza. Le attività sono state svolte grazie alla collaborazione fra gli uffici della direzione generale Gli aspetti organizzativi (I) Definizione ed implementazione di documenti di policy sull’utilizzo dei principali strumenti del sistema informativo a disposizione degli utenti: Posta elettronica Internet Postazione di lavoro Accesso alle applicazioni del sistema informativo Sicurezza delle informazioni Le politiche sono state presentate e discusse con le organizzazioni sindacali. Sono consultabili in un’apposita sezione della intranet. In generale hanno ricevuto una buona accoglienza. Alcuni punti di attenzione: usabilità vs sicurezza, utenti Vip Gli aspetti organizzativi (II) La rete dei referenti per la sicurezza Sono stati individuati ai vari livelli dell’amministrazione, dei referenti per la sicurezza, con il compito di: identificare i nuovi utenti gestire le utenze e tutte le problematiche connesse Interfacciarsi con la struttura centrale per risolvere varie tipologie di problematiche o per richiedere indagini di sicurezza Punti di attenzione: identificazione ed attribuzione delle utenze al personale docente e alle famiglie. Bonifica delle utenze, pulizia dei profili e dei contesti Gli aspetti contrattuali Il contratto presenta numerosi richiami alla sicurezza e prevede parecchi obblighi in carico ai fornitori del sistema informativo in outsourcing I fornitori sono nominati responsabili del trattamento dati ai sensi del codice della privacy I fornitori sono tenuti ad adottare adeguate procedure e strumenti di gestione della sicurezza in conformità alle loro policy e a quelle dell’amministrazione I fornitori sono tenuti ad adottare tutte le misure necessarie ad evitare la distruzione, perdita od alterazione delle informazioni da loro gestite Alcuni strumenti: sistema di gestione della sicurezza, piano disaster recovery, BIA, Reportistica varia Gli aspetti tecnici L’amministrazione è dotata dei più comuni strumenti di sicurezza perimetrale e degli end point Firewall IPS IDS Sistema di protezione delle postazioni di lavoro basato su antivirus, antimalware, antispyware Nella consapevolezza che le applicazioni rappresentano ormai il principale punto di vulnerabilità ed attacco dei sistemi informativi, sono state sviluppate delle politiche di sicurezza delle applicazioni su base Owasp, con un set di requisiti di crescente complessità implementativa. Punto di attenzione: come implementarle le policy di sicurezza delle applicazioni nell’ambito del ciclo di sviluppo esistente Alcune direzioni di lavoro per il futuro Consolidare e manutenere quanto già implementato in termini di strumenti e procedure Uniformare e migliorare la gestione delle utenze Rafforzare i meccanismi di autenticazione, attraverso l’introduzione di strumenti di strong authentication Migliorare la capacità di rispondere alle istanze che pervengono dall’autorità giudiziaria, in modo più efficiente e meno costoso Allineare gli strumenti disponibili, le prescrizioni contrattuali, le procedure di recovery alle mutate esigenze del business Considerazioni finali Il quadro complessivo è costituito da luci ed ombre L’amministrazione ha necessità di ricondurre le molte iniziative e strumenti di cui si è dotata in un quadro più organico, migliorando la propria capacità di governance e focalizzandosi sulle problematiche più critiche La sicurezza è ancora vista come una tematica per addetti ai lavori e non come un valore che deve permeare l’intera amministrazione. Occorrono iniziative di formazione e sensibilizzazione L’amministrazione ha bisogno di dedicare con maggiore continuità risorse, umane e finanziarie, al tema della sicurezza, pur in mancanza di strutture organizzative specifiche Occorre promuovere fra tutte le categorie di utenza una cultura «laica della sicurezza», che corregga le situazioni di cattiva pratica, ma salvaguardi l’usabilità delle applicazioni e la pratica di lavoro quotidiano Grazie per l’attenzione! [email protected]