La consapevolezza della sicurezza nella PA: l

La consapevolezza della sicurezza
nella PA. L’esperienza MIUR
Paolo De Santis – Direzione Generale per i contratti, gli acquisti e
per i sistemi informativi e la statistica - MIUR
Il contesto in cui opera il sistema informativo
MIUR
Il sistema informativo, ormai da anni, si caratterizza per un
«perimetro allargato» in cui nuove classi di utenza hanno
assunto un ruolo fondamentale
Il sistema offre servizi a:
• Istanze on line
• Posta elettronica
 750.000 docenti
• Iscrizioni on line
• Scuola in chiaro
• Servizi scuola famiglia
Docenti ed
ATA
Famiglie
Studenti
Istituzioni
scolastiche
 230.000 personale ATA
 6000 pers. ammin.
 8.500 istituzioni scolastiche
 1,5 milioni di famiglie
 2,8 milioni di studenti
• Carta dello studente
• Portale dello studente
• Applicazioni del s.i.
• Plico telematico
• Cooperazione con
altre amm.
• PEC, Posta elettronica
Alcuni fattori di complessità rispetto al
tema della sicurezza
 Gestione del sistema in outsourcing, mediante due contratti
distinti per i servizi applicativi ed infrastrutturali
 Classi di utenza eterogenee, con diverse sensibilità,
aspettative e competenze digitali
 Elevata complessità della gestione delle identità, dei profili e
dei contesti di accesso
 Significativa mobilità del personale
 Esposizione mediatica a fronte di alcuni eventi particolari
 Ipersensibilità di molti utenti sul tema sicurezza e privacy
Le iniziative messe in campo dall’amministrazione
Sono stati individuati dei filoni di attività nell’ambito dei quali
conseguire una prima baseline di strumenti
 Filone organizzativo
 Filone contrattuale
 Filone tecnico
Un elemento di difficoltà: non esiste una struttura organizzativa
specificamente dedicata alla gestione delle problematiche
relative alla sicurezza. Le attività sono state svolte grazie alla
collaborazione fra gli uffici della direzione generale
Gli aspetti organizzativi (I)
Definizione ed implementazione di documenti di policy
sull’utilizzo dei principali strumenti del sistema informativo
a disposizione degli utenti:





Posta elettronica
Internet
Postazione di lavoro
Accesso alle applicazioni del sistema informativo
Sicurezza delle informazioni
Le politiche sono state presentate e discusse con le
organizzazioni sindacali. Sono consultabili in un’apposita sezione
della intranet. In generale hanno ricevuto una buona accoglienza.
Alcuni punti di attenzione: usabilità vs sicurezza, utenti Vip
Gli aspetti organizzativi (II)
La rete dei referenti per la sicurezza
Sono stati individuati ai vari livelli dell’amministrazione, dei
referenti per la sicurezza, con il compito di:
 identificare i nuovi utenti
 gestire le utenze e tutte le problematiche connesse
 Interfacciarsi con la struttura centrale per risolvere varie
tipologie di problematiche o per richiedere indagini di
sicurezza
Punti di attenzione: identificazione ed attribuzione delle utenze al
personale docente e alle famiglie. Bonifica delle utenze, pulizia dei
profili e dei contesti
Gli aspetti contrattuali
Il contratto presenta numerosi richiami alla sicurezza e
prevede parecchi obblighi in carico ai fornitori del sistema
informativo in outsourcing
 I fornitori sono nominati responsabili del trattamento dati
ai sensi del codice della privacy
 I fornitori sono tenuti ad adottare adeguate procedure e
strumenti di gestione della sicurezza in conformità alle
loro policy e a quelle dell’amministrazione
 I fornitori sono tenuti ad adottare tutte le misure
necessarie ad evitare la distruzione, perdita od
alterazione delle informazioni da loro gestite
Alcuni strumenti: sistema di gestione della sicurezza, piano
disaster recovery, BIA, Reportistica varia
Gli aspetti tecnici
L’amministrazione è dotata dei più comuni strumenti di
sicurezza perimetrale e degli end point




Firewall
IPS
IDS
Sistema di protezione delle postazioni di lavoro basato
su antivirus, antimalware, antispyware
Nella consapevolezza che le applicazioni rappresentano ormai il principale punto di
vulnerabilità ed attacco dei sistemi informativi, sono state sviluppate delle politiche di
sicurezza delle applicazioni su base Owasp, con un set di requisiti di crescente
complessità implementativa.
Punto di attenzione: come implementarle le policy di
sicurezza delle applicazioni nell’ambito del ciclo di sviluppo
esistente
Alcune direzioni di lavoro per il futuro
 Consolidare e manutenere quanto già implementato in termini di
strumenti e procedure
 Uniformare e migliorare la gestione delle utenze
 Rafforzare i meccanismi di autenticazione, attraverso l’introduzione
di strumenti di strong authentication
 Migliorare la capacità di rispondere alle istanze che pervengono
dall’autorità giudiziaria, in modo più efficiente e meno costoso
 Allineare gli strumenti disponibili, le prescrizioni contrattuali, le
procedure di recovery alle mutate esigenze del business
Considerazioni finali
Il quadro complessivo è costituito da luci ed
ombre
 L’amministrazione ha necessità di ricondurre le molte iniziative e strumenti di cui si è
dotata in un quadro più organico, migliorando la propria capacità di governance e
focalizzandosi sulle problematiche più critiche
 La sicurezza è ancora vista come una tematica per addetti ai lavori e non come un
valore che deve permeare l’intera amministrazione. Occorrono iniziative di formazione
e sensibilizzazione
 L’amministrazione ha bisogno di dedicare con maggiore continuità risorse, umane e
finanziarie, al tema della sicurezza, pur in mancanza di strutture organizzative
specifiche
 Occorre promuovere fra tutte le categorie di utenza una cultura «laica della sicurezza»,
che corregga le situazioni di cattiva pratica, ma salvaguardi l’usabilità delle applicazioni
e la pratica di lavoro quotidiano
Grazie per l’attenzione!
[email protected]