CNIPA: secondo rapporto sulla sicurezza ICT nelle PAC

Il CNIPA ha pubblicato sul proprio sito il "Secondo rapporto sullo stato della sicurezza ICT delle PAC" (pdf , 779 K, 28 pp) relativo all’anno 2007.
La raccolta dei dati necessari e la valutazione del livello di sicurezza è stata fornita dalle rilevazioni annuali che il CNIPA ha svolto presso le stesse Amministrazioni per la produzione della relazione sullo stato dell’ICT della PAC.
I dati, che si riferiscono all’anno 2007, sono stati classificati secondo uno schema che ha permesso di delineare un modello di riferimento per gli aspetti operativi.
Nel presentare il rapporto si sottolinea come "l’attività di produzione delle relazioni permette al CNIPA anche di definire interventi mirati al miglioramento dello stato complessivo della sicurezza ICT delle PAC. La relazione sulla sicurezza ICT è destinata in primo luogo alle Amministrazioni, come contributo conoscitivo dello stato della sicurezza ICT della loro area di attività, ma anche all’intera comunità nazionale come aiuto informativo e metodologico in tema di sicurezza ICT".

Nelle sue "Considerazioni conclusive" il rapporto afferma che analizzando i dati relativi ai valori medi per l’intero campione il risultato della rilevazione 2007 è da considerarsi più che soddisfacente per tutti gli indicatori. Tuttavia la sicurezza dell’organizzazione rimane il punto debole dell’intera catena.
Per i primi due KPI (Sicurezza logica e Sicurezza dell’Infrastruttura) si conferma la maggiore sensibilità delle Amministrazioni rispetto a temi quali la Continuità Operativa (Sicurezza dei Servizi) o in maniera più diffusa tutta l’Organizzazione per la Sicurezza. Evidentemente devono essere citati anche gli aspetti positivi per i quali sono stati raggiunti risultati ottimali in maniera diffusa, come:

• l’impiego di sistemi di backup / restore centralizzati (anche se poi solo il 57% ha previsto nella propria organizzazione un responsabile dei Backup e gestisce le politiche di backup attraverso procedure ben documentate)
• buona la diffusione e l’impiego di sistemi per l’identificazione del personale che accede alla sala macchine (77%); ancora migliore il risultato relativo alla sicurezza perimetrale (83%)
• ottima la diffusione di firewall che raggiunge quasi il 100% del campione
• altrettanto buono l’impiego di sistemi centralizzati per il salvataggio di informazioni critiche, indispensabili per alimentare i sistemi di rilevazione e prevenzione delle intrusioni (event correlation)
• buona la diffusione, vicina al 77%, di sistemi antivirus centralizzati, o di filtri sulla posta elettronica per la rilevazione di virus o di messaggi non sollecitati.

D’altra parte, sintetizzando quanto già esposto in precedenza, tutte le criticità emerse convergono, secondo l’esperienza del CNIPA, verso tre linee di attività da intraprendere con particolare urgenza:

1. definizione di un piano di formazione dedicato alla sicurezza ICT, sia per gli utenti finali che per i responsabili della Sicurezza; particolare attenzione nella redazione del piano deve essere dedicata a soluzioni da mettere in atto per colmare le carenze organizzative già rilevate e soprattutto per garantire la massima affidabilità (Continuità Operativa) dei servizi
2. attivazione di procedure per l’esecuzione di "penetration test " standard in grado di valutare oggettivamente il rischio intrusione nei sistemi informativi, e supporto a procedure di assessment per la definizione della sicurezza di ogni singola Amministrazione
3. centralizzazione di competenze per la gestione degli incidenti e la raccolta di statistiche reali in grado di guidare l’evoluzione di ogni sistema informativo in funzione delle caratteristiche specifiche di ogni Amministrazione.

Nel seguito è riprodotto l’Executive Summary e l’indice del rapporto.

Executive Summary

Il documento fa riferimento ai dati del questionario per la rilevazione dello stato della sicurezza ICT delle PAC nell’anno 2007 ed è composto da quattro paragrafi, oltre a questa premessa:

1. Struttura e obiettivi del questionario;
2. Presentazione della metodologia applicata;
3. Presentazione dei risultati;
4. Valutazioni complessive.

Il primo paragrafo "Struttura ed Obiettivi del questionario" introduce brevemente gli obiettivi prefissati e la struttura del questionario. Nel paragrafo successivo viene presentata la metodologia utilizzata per analizzare i dati raccolti e tradurli in coefficienti con un significato oggettivo (Key Performance Indicator). Il paragrafo 3 analizza i risultati per ogni singolo quesito mettendo in evidenza eventuali criticità mentre l’ultimo paragrafo raccoglie sotto forma di considerazioni finali le indicazioni scaturite dall’analisi dell’intero campione, proponendo misure correttive ed azioni da intraprendere nel futuro come contromisure.
In estrema sintesi, come risulterà poi dalla presentazione dei dati raccolti, il questionario 2007 ha fornito un quadro dello stato della Sicurezza ICT nella Pubblica Amministrazione Centrale abbastanza confortante e sicuramente sufficientemente maturo per recepire ogni indicazione per migliorare gli standard attuali scaturita da iniziative del CNIPA.
Rispetto alle rilevazioni precedenti il miglioramento è stato netto, anche in virtù di iniziative promosse centralmente come il progetto SPC (Sistema Pubblico di Connettività) che è entrato ormai nella fase piena di esercizio.
Come ulteriore difficoltà nella interpretazione dei dati, occorre dire che il campione analizzato risulta fortemente disomogeneo e caratterizzato da un’estrema diversità di funzioni e di obiettivi. Per meglio affrontare questo problema, quest’anno il campione è stato suddiviso in 3 sottoinsiemi molto più omogenei. Indicazioni più puntuali potranno emergere solo da un’indagine di secondo livello condotta con le singole Amministrazioni.
Altra grossa criticità, dalla quale discendono molti dei comportamenti errati rilevati, è la mancanza di piani di formazione per la sensibilizzazione dei dipendenti della PAC. Benché fortemente correlati, emerge con chiarezza una dicotomia tra il tema trattamento dei dati sensibili e quello della Sicurezza più in generale. Infatti, mentre la normativa relativa al primo punto (D.L.vo n. 196 del 27 Giugno 2003) è stata largamente recepita anche con risultati oltre le aspettative, il tema Sicurezza ICT ancora stenta a trovare stabili radici nei responsabili della PAC. D’altra parte è facile intuire come una intrusione in un sistema informativo della PAC possa mettere a repentaglio una immensa quantità di dati sensibili. A tal proposito si ritiene che sia giusto forzare l’adozione di policy, anche attraverso un opportuno quadro normativo, in grado di stimolare maggiore attenzione nei confronti della sicurezza legando in maniera indissolubile il trattamento dei dati sensibili e la sicurezza dell’intero sistema informativo.

Indice 

• 1 Premessa
  • 1.1 Considerazioni preliminari
  • 1.2 Sintesi dei risultati della rilevazione
    • 1.2.1 Metodologia
    • 1.2.2 Campione della rilevazione
    • 1.2.3 Considerazioni
• 2 Struttura ed Obiettivi del questionario
  • 2.1 Obiettivi del questionario
  • 2.2 Elementi di novità dell’edizione 2007
• 3 Presentazione della metodologia applicata
  • 3.1 Raccolta e Valutazione dei dati
  • 3.2 Gli indicatori rilevati
    • 3.2.1 KPI1: Sicurezza logica
    • 3.2.2 KPI2: Sicurezza dell'infrastruttura
    • 3.2.3 KPI3: Sicurezza dei servizi
    • 3.2.4 KPI4: Sicurezza dell’organizzazione
  • 3.3 Le soglie utilizzate ed i valori minimi attesi
• 4 Presentazione dei risultati
  • 4.1 KPI1: Sicurezza logica
  • 4.2 KPI2: Sicurezza dell'infrastruttura
  • 4.3 KPI3: Sicurezza dei servizi
  • 4.4 KPI4: Sicurezza dell’organizzazione
• 5 Considerazioni conclusive
  • 5.1 Risultati complessivi
  • 5.2 Tendenze rispetto alle rilevazioni precedenti

Link utili

• Sito CNIPA
• Comunicato CNIPA
• 2007 - Secondo rapporto sullo stato della sicurezza ICT delle PAC (pdf , 779 K, 28 pp)
• 2006 - Primo rapporto sullo stato della sicurezza ICT delle PAC  (pdf, 1.4 M, 201 pp)
• Le pagine sulla sicurezza di CNIPA

Chi è Alain De Cristofaris?

Alain De Cristofaris, è Security & Compliance Manager presso una primaria azienda di consulenza e consigliere in ANSSAIF (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria)

Alain De Cristofaris su Linkedin 

Altri articoli di Alain De Cristofaris

• Intervista a Giampaolo Scafuro, vicepresidente di IISFA, musicista, organizzatore di "SecurPizza"
• NIST: Information Security Handbook: A Guide for Managers (parte seconda: Information Security Governance)
• NIST: Information Security Handbook: A Guide for Managers (parte prima)
• Security Manager: il curriculum perfetto
• Sicurezza e Compliance: quando il gioco si fa duro