Misure minime di sicurezza ICT per le PA e soluzioni tecnologiche (parte prima)

sicurezza

Primo articolo di approfondimento sul tema delle soluzioni tecnologiche per rispondere alla Misure Minime di Sicurezza ICT delle PA, a cui ne seguiranno altri al fine di delineare con precisione il contesto.


La circolare 2/2017 dell’Agenzia per l’Italia Digitale ha imposto alle Pubbliche Amministrazioni di attestare il livello di adozione delle proprie misure di sicurezza, misurandolo sulla base delle misure minime emanate dalla stessa AgID nel 2016. Questo adempimento ha letteralmente aperto un nuovo mercato tecnologico specifico per le PA, ma ci si dovrebbe chiedere se la tecnologia fine a sé stessa sia la risposta efficace a quanto richiesto dall’iniziativa di AgID.

In realtà, l’implementazione della sicurezza in un ente richiede un piano strategico, che si concretizza in un insieme di interventi di carattere organizzativo e tecnologico, con il preciso obiettivo di mitigare l’impatto delle minacce di carattere informatico che possono colpire le risorse (server, postazioni di lavoro, documenti, archivi informatici, ecc) dell’ente.

Per questo motivo, ridurre l’organizzazione della sicurezza dell’ente all’acquisto di alcuni software, per quanto efficaci possano essere, si rivela una risposta inadeguata. Inoltre ogni sistema informatico è una realtà specifica e peculiare: è impossibile che una famiglia di prodotti sia sempre la vera e unica risposta alle esigenze di un ente.

Sicuramente, per trovare le risposte adeguate occorre porsi le domande corrette. E la prima domanda a cui si deve rispondere è la seguente: se proprio volessimo focalizzarci sul mero aspetto tecnologico, cosa occorrerebbe implementare per adempiere almeno al livello minimo delle misure di sicurezza AgID?

Ecco la “lista della spesa”:

  • Un inventario hardware e software (ABSC 1.X.X e ABSC 2.X.X)
  • Un sistema/processo di distribuzione delle patch di sicurezza (ABSC 3.X.X e ABSC 4.X.X)
  • Un sistema di valutazione/correzione delle vulnerabilità (ABSC 4.X.X)
  • Un sistema di difesa dai malware (ABSC 8.X.X.)
  • Un sistema di tracciamento dei log di accesso degli amministratori di sistema (ABSC 5.X.X)
  • Un sistema di filtraggio del traffico di rete e in particolare del traffico web (ABSC 8.X.X e ABSC 13.X.X)

Il tracciamento dei log degli accessi degli amministratori di sistema e il filtraggio della navigazione internet non verranno approfonditi in questo contesto, poiché si occupano di contesti specifici a sé stanti, che non necessariamente devono essere interconnessi con gli altri ambiti.

Sugli altri contesti vale la pena di fare delle considerazioni, sia di carattere specifico che nell’aggregazione fra le varie componenti, che verranno approfonditi nel prossimo articolo…


SI.net Servizi Informatici supporta le aziende e le PA nella protezione dei dati e delle macchine procedendo all’installazione, configurazione, gestione e monitoraggio di sistemi efficaci per il controllo della sicurezza quali firewall, proxy, antivirus, antimalware e antispam.
Contemporaneamente cura l’installazione, la configurazione e la gestione dei sistemi di salvataggio automatico delle banche dati, dei backup quotidiani e del sistema di implementazione del disaster recovery.
SI.net, grazie all’utilizzo di strumenti di virtualizzazione che consentono di slegarsi dalla componente hardware, è inoltre in grado di snellire le procedure di backup e disaster recovery, tenendo copia delle immagini degli interi sistemi virtualizzati e consentendo un ripristino rapido (completo o parziale) in caso di malfunzionamento

______________________________________________________

Visita la pagina del nostro sito dedicata alla Protezione dei dati e sicurezza informatica e contattaci, senza impegno, per ogni tua esigenza in merito: scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su Twitter e su Facebook, YouTube e LinkedIn

 

 

Salva

Salva

Salva

Salva

Salva

Salva

Nessun commento ancora

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Eventi e Scadenze

SCADENZA PA: adesione delle PA al circuito SPID 31 dicembre 2017
SCADENZA PA - Redazione attestazione misure di sicurezza adottate 31 dicembre 2017
SCADENZA PA - Nomina del responsabile per la transizione al digitale 31 dicembre 2017
SCADENZA PA: UFF. PROTOCOLLO - redazione elenco dei fascicoli da trasferire nell'archivio di deposito 10 gennaio 2018
SCADENZA PA: UFF. PROTOCOLLO - riversamento registrazioni Protocollo Informatico 28 febbraio 2018
SCADENZA PA: Obiettivi di accessibilità 31 marzo 2018
SCADENZA PA: applicazione del regolamento europeo sulla protezione dei dati personali 25 maggio 2018

Tweet recenti