Piano nazionale della sicurezza delle tecnologie dell’informazione e comunicazione della pubblica amministrazione, e modello organizzativo nazionale di sicurezza ict per la pubblica amministrazione (1)

 

Nella seduta del Collegio del CNIPA del 29.07.2004 uno dei componenti , l’ing. Claudio Manganelli, Presidente del Comitato Tecnico della Sicurezza Informatica  e delle Telecomunicazioni nelle P.A.di cui al Decreto Interministeriale del 24.07.2002, dopo aver premesso che il Comitato Tecnico da lui presieduto aveva pubblicato  nel marzo dello stesso anno un documento dal titolo “Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione” in adempimento dell’incarico a suo tempo  ricevuto ma che restava da definire, così come previsto dalla direttiva del Presidente del Consiglio dei Ministri del 16.01.2002.e sulla base delle proposte del sopra citato Comitato, sia il Piano nazionale della sicurezza I.C.T. sia il Modello Organizzativo nazionale di sicurezza I.C.T. per la Pubblica Amministrazione, secondo le definizioni contenute nella sopra citata direttiva del 16.01.2002.,faceva presente che in

 un tale contesto il CNIPA avrebbe potuto farsi promotore di una iniziativa per la redazione dello schema dei predetti provvedimenti, anche in considerazione delle funzioni istituzionali dello stesso CNIPA e di cui alla normativa vigente (Art. 7 comma 1 lett. c) del decreto legislativo 12 febbraio 1993 n. 32 e del n. 2 del DPCM del 18 maggio 2001).. Ciò premesso, il sopracitato ing. Manganelli proponeva la costituzione di un Gruppo di lavoro,che avrebbe dovuto essere coordinato dallo scrivente nella sua qualità di Consulente Giuridico per la sicurezza informatica del CNIPA, e composto da personale del medesimo CNIPA, eventualmente supportato da consulenti esterni per la redazione dello schema sia del Piano nazionale che del Modello Organizzativo. I risultati di tale gruppo di lavoro, una volta approvati dal Collegio,avrebbero dovuto essere portati all’attenzione del Comitato Tecnico sopra indicato “per la sua condivisione”, Al termine della discussione  il Collegio approvava la costituzione del gruppo di lavoro che sarebbe stato composto come appresso:

 

 

 

§   Ing. Mario Terranova.. – Componente

Il Gruppo di lavoro, il cui referente sarebbe stato lo stesso proponente Ing. Manganelli,- precisava il Collegio- avrebbe dovuto concludere la propria attività entro il mese di febbraio 2005 ed avrebbe potuto essere integrato con nuovi componenti che sarebbero stati individuati su indicazione del predetto referente in base alle specifiche competenze tecniche richieste.Successivamente, nel corso dei lavori del Gruppo, il referente, Ing. Manganelli, proponeva al Collegio la integrazione del Gruppo con l’ inclusione di alcuni membri del Comitato Tecnico Nazionale e cioè del prof. Danilo  Bruschi, dell’ing. Franco Guida, del dott. Giorgio Tonelli e del rappresenfante del DIT , Ten Col. Vincenzo Merola.:Il Collegio, nella seduta del 23/9/2004, approvava la proposta ed incaricava il suo Presidente di provvedere formalmente alla integrazione .Il Presidente con delibera n.20 del 5/10/2004 provvedeva in conseguenza….: Successivamente nella seduta del Collegio del 14.10.2004 il referente, ing. Manganelli, in considerazione dell’importanza che i documenti da elaborare rivestivano per il loro impatto sul sistema della  sicurezza ..ICT. della nazione, prospettava l’opportunità di integrare il Gruppo di lavoro che già vedeva- come già detto- tra i suoi componenti la totalità dei membri. del Comitato Tecnico Nazionale, con l’inserimento di rappresentanti del Ministero delle Comunicazioni e cioè dell’ing. Luisa Franchina, Direttore della Direzione Generale della regolamentazione e qualità dei servizi, e del dott. Gianluca Petrillo, Consigliere Tecnico del Ministro delle Comunicazioni.Il Collegio accoglieva la proposta e con delibera del 16.11.2004, il Presidente provvedeva in conformità . La complessità del lavoro di redazione dei due documenti e l’ingresso del gruppo di nuovi componenti, impediva al gruppo di osservare i tempi fissati per l’espletamento dell’incarico, termini che, su richiesta espressa . dello scrivente e del referente,, venivano prorogati al giugno 2005 con delibera del Collegio del 24.02.2005, e, successivamente, nuovamente prorogati al 30.07.2005 con altra deliberazione del 23.06.2005.  Tutto ciò premesso,  lo scrivente ..ritiene opportuno e necessario. fa presente che la nota complessità della materia ha richiesto uno sforzo non indifferente da parte dei componenti del gruppo sostenuto,  principalmente, da parte degli’ingegneri. Manca, Pontevolpe e Terranova… ma anche del dott. Rellini Lerz ., del Ten. Col. Merola, e dei dottori. Moxedano e Pucciarelli. Grande collaborazione ha anche fornito la segreteria composta dall’ing. Fabio Ottavi sino al maggio 2005 e, successivamente, dal dott. Davide Guerri.

Lo scrivente ha poi svolto anche  il compito di rivedere,, dal punto di vista formale, i due documenti approvati dal gruppo e qui allegati.

 

 

 

L’iniziativa relativa alla redazione dei documenti allegati e quindi  alla costituzione del citato gruppo di lavoro ha trovato la sua base logica  in un fondamentale documento e cioè nella  Direttiva emessa il 16.01.2002 dalla Presidenza del Consiglio dei Ministri, e per essa

 dal Ministro per l’Innovazione e le Tecnologie, avente come titolo “Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni statali”, nella quale venivano preannuciate le iniziative relative alla redazione. sia del Piano nazionale che del Modello Organizzativo, del quale ultimo  veniva indicato anche lo schema di riferimento..L’intenzione relativa alla redazione degli allegati documenti veniva ribadita

 nel successivo documento -tecnico politico del titolo “Linee guida del governo per lo sviluppo della società dell’informazione” ,emesso nel giugno 2002 dallo stesso Ministro dell’Innovazione e le Tecnologie, nel cui paragrafo 1.2 venivano, molto sinteticamente, indicati gli elementi dei due futuri documenti.In attuazione della Direttiva e delle Linee Guida citate  venne poi costituito il Comitato Tecnico della Sicurezza Informatica e delle Telecomunicazione nelle Pubbliche Amministrazioni che, nel marzo del 2004,  rese pubbliche le  importanti” Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la Pubblica Amministrazione,” ,documento del quale il Gruppo di lavoro ha tenuto ampiamente conto nello svolgimento del suo compito..così come. ha tenuto conto,della parte riguardante la

,  sicurezza, contenuta nel Decreto legislativo 28.02.2005 n. 42 relativo al Sistema Pubblico di Connettività (SPC) e del successivo documento relativo alle Linee Guida Provvisorie di cui al Decreto del Ministro per l’Innovazione e le Tecnologie del 17.02.2005.

 

Come è noto lo sviluppo dei sistemi delle reti informatiche, in particolare di Internet, la capillare diffusione delle apparecchiature, la interdipendenza dei sistemi, lo sviluppo del commercio elettronico e della posta elettronica hanno determinato una situazione difficile .per quanto riguarda la sicurezza informatica. Ai fattori di cui sopra si aggiungono le diversità nazionali di tipo giuridico. che rendono,sia detto per inciso, notevolmente difficile a livello internazionale il compito del “law enforcement” Appare pertanto fondato quanto ripetutamente sostenuto dagli esperti   e cioè  che nessun soggetto e nessuna organizzazione pubblica o provata, può ritenersi al riparo dagli attentati alla sicurezza informatici,   D’altro canto l’approccio alla problematica della sicurezza informatica dei sistemi e delle reti presenta le sue difficoltà giacchè occorre tener conto di numerosi fattori ,tecnici,organizzativi,sociali,economici, e anche giuridici ,a volte strettamente connessi…..

 

Un documento che intenda fornire chiarezza e suggerire iniziative non parziali  e quindi secondo una prospettiva il più possibile ampia  in tema di sicurezza informatica, non può pertanto  concretarsi in un documento formalmente  unitario giacché, fra l’altro, la sua redazione ,per i motivi sopra esposti, implica il concorso di esperti diversi  la cui competenza  spazia dal campo tecnico a quello organizzativo ed a quello giuridico.

Questo concorso di esperienze e competenze diverse, così come verificato nel corso dei lavori del Comitato Tecnico Nazionale, sfociato nelle citate  Proposte , influisce necessariamente sulla struttura dei documento finali che..assumono, in un certo senso , la figura di un mosaico composto nella cornice di riferimento..che è quella della sicurezza informatica.                   LE INIZIATIVE NORMATIVE “DE IURE CONDENDO” INDICATE NEI DUE DOCUMENTI.

 Il funzionamento ottimale di un sistema di sicurezza informatica  richiede l’esistenza di presupposti e condizioni tecniche, organizzative e giuridiche, oggettivi e soggettivi. Occorre anzitutto che il documento che detta gli indirizzi e le prescrizioni  in ambito pubblico rappresenti il risultato di una azione di legittimazione normativa, e quindi rivesta la figura di una norma cogente, inteso il termine in senso ampio, che abbia cioè, la forza e l’autorità di imporsi dal punto di vista giuridico-amministrativo ai soggetti dell’ambiente burocratico ai quali si rivolge ed  ai quali deve richiedere ed ottenere, obbligatoriamente e necessariamente  in considerazione degli  interessi in gioco, la più ampia  collaborazione e la osservanza stretta degli indirizzi  e prescrizioni relativi..

Ecco perché il primo requisito formale  per il buon funzionamento nel settore pubblico di regole in tema di sicurezza informatica è la forma giuridica che il documento relativo deve rivestire e che deve necessariamente ..essere quella .  di una norma primaria, in grado di prevedere,tra l’altro,  obblighi e responsabilità.

Va da sè che i soggetti  tenuti dell’osservanza delle regole dovranno essere formati nel senso della cultura informatica.

Il perseguimento degli obbiettivi  di sicurezza richiede,quindi, apposite iniziative  anche di tipo pedagogico…. ed organizzativo per quanto riguarda la formazione degli operatori,  ….

Importante è poi il .controllo. della efficacia ed effettività dei piani di sicurezza e dei modelli organizzativi effettuato in modo sistematico attraverso un attento controllo dei perimetri interni ed esterni  della sicurezza. A tale scopo occorre addestrare nell’ambito della P.A. …”auditors”..,professionalmente . in grado di controllare la permeabilità del sistema alle minacce di qualunque tipo, interne ed esterne.

Nei congrui casi occorre ..ricorrere… con decisione e concretezza all’intervento di “red teams” esterni, naturalmente affidandosi a soggetti ed organizzazioni .altamente qualificati ed in possesso ., nei casi di intervento su sistemi più delicati ,del NOS di sicurezza.

Decisiva è poi la centralizzazione  dell’ente incaricato a livello nazionale di coordinare le iniziative in tema di sicurezza nell’ambito della P.A.. Anche qui l’organo  di riferimento deve ,per poter svolgere efficacemente il suo lavoro, essere dotato di legittimazione normativa. e di una precisa autorità amministrativa. e quindi situato al più alto livello politico-burocratico..( Presidenza del Consiglio ) A questo proposito  si ritiene che l’unità temporanea di missione, denominata GOVCERT,e provvisoriamente allocata presso il CNIPA,  debba assumere stabilità e veste giuridica vera e propria,potendo ,comunque, rappresentare una sezione del CNSI  ( Centro Nazionale della Sicurezza Informatica ) la cui istituzione è stata ampiamente  sostenuta,sia detto per inciso, dal Comitato Tecnico Nazionale ed  il cui punto di vista è stato condiviso pienamente dal Gruppo di lavoro.  “Last but not least”.. occorre  infine coordinare il futuro CNSI con le strutture previste in tema di sicurezza dal SPC ( Sistema Pubblico di Connettività ).

 

 

Gli elementi più significativi del Piano Nazionale e del Modello Organizzativo scaturiscono dell’analisi dell’attuale panorama della sicurezza ICT delle Amministrazioni e dall’anelito di introdurre un nuovo e più efficace modo per conseguire la sicurezza nel settore pubblico.

Il panorama attuale vede infatti il predominio di una sicurezza di tipo “tecnologico” che si accompagna alla sostanziale inconsapevolezza dei fenomeni che la governano. I fornitori di prodotti e metodologie giocano un ruolo chiave in questo panorama promuovendo, spesso, soluzioni che non scaturiscono da reali esigenze degli utenti, ma da inquietudini e timori debitamente fomentati ai fini commerciali.

I due documenti intendono proporre,come affermato dal membro del gruppo di lavoro,ing.Pontevolpe, un nuovo modo di affrontare il problema che si basa su due pilastri e cioè: la conoscenza delle problematiche e l’organizzazione.

Infatti, allorché l’informatica entra nelle attività comuni, è indispensabile sviluppare una capacità di governo di tali processi che comprenda gli aspetti di sicurezza, al pari di quanto avviene nelle attività tradizionali. Inoltre le organizzazioni,,le cui strutture ed attività sono spesso fondate su modelli comportamentali desueti, devono adeguarsi ai nuovi strumenti informativi che stanno modificando gli abituali concetti di tempo e  di spazio.  ..e perfino di norma giuridica.

In quest’ottica, senza osteggiare il mercato – che viene anzi ritenuto indispensabile per il corretto sviluppo della sicurezza ICT – i due documenti pongono in secondo piano le soluzioni tecniche e metodologiche, considerate strumentali rispetto ad un governo della sicurezza che si basa principalmente sulla conoscenza dei fenomeni e su una adeguata organizzazione. Il piano è quindi incentrato sui temi della formazione, della sensibilizzazione e della circolazione delle informazioni, sia ai fini di prevenzione di problemi, che di promozione e attestazione della sicurezza. Il tema dell’organizzazione è invece trattato in larga misura dal modello organizzativo che propone uno schema articolato che possa adattarsi alle realtà eterogenee del comparto pubblico.

I due documenti sopra citati costituiscono, tra l’altro, una prima azione di promozione della “cultura della sicurezza”. Essi sono infatti arricchiti da numerosi allegati che hanno l’obiettivo di sensibilizzare sulle problematiche specifiche e di fornire alle Amministrazioni una guida concreta per l’attuazione degli interventi prioritari.  ( 2 )

 

CARLO SARZANA DI S.IPPOLITO