▶️Misure di sicurezza

Misure di sicurezza

I rischi a cui è soggetto ogni sistema di gestione documentale consistono in quelli tipici di ogni sistema informatico, nonché in quelli relativi alla tutela ed alla protezione dei dati personali. Ne discende che l’analisi degli stessi e le relative misure di sicurezza devono essere condotte sia sul piano tecnologico che su quello organizzativo: le diverse norme vigenti supportano tale approccio. Dal punto di vista dei risultati le misure di sicurezza sono efficaci se consentono ai sistemi di gestione documentale di rispettare le seguenti caratteristiche fondamentali:

  • Riservatezza - avere la certezza che una certa informazione possa essere conosciuta solo da chi ha il diritto a farlo;

  • Integrità - avere la certezza che una certa informazione possa essere modificata solo da chi ha diritto a farlo e solo attraverso modalità note e verificabili;

  • Disponibilità - avere la certezza che una certa informazione possa essere prontamente reperita ed utilizzata tutte le volte che si ha .

Previsioni normative principali

Le PA devono far riferimento alle misure disposte da AGID la quale, sulla base dell'art. 14-bis del Decreto legislativo 7 marzo 2005, n. 82 - Codice dell’Amministrazione Digitale (di seguito CAD), tra le funzioni attribuite all'AGID, prevede, tra l'altro, l'emanazione di regole, standard e guide tecniche, nonché di vigilanza e controllo sul rispetto delle norme di cui al medesimo CAD, anche attraverso l'adozione di atti amministrativi generali, in materia di sicurezza informatica.

Il successivo art. 51 disciplina in maniera più articolata i compiti di AGID in tale materia e al comma 2 ter dello stesso articolo si può leggere: “I soggetti di cui all'articolo 2, comma 2, aderiscono ogni anno ai programmi di sicurezza preventiva coordinati e promossi da AGID secondo le procedure dettate dalla medesima AgID con le Linee guida.”

Sulla base di tali presupposti, AGID:

  • ha emanato la , che prevede criteri ed indicazioni puntuali per l’attuazione delle misure minime, nonché i relativi moduli di implementazione a supporto delle stesse;

  • dispone ed aggiorna gli obiettivi di sicurezza nell’ambito del Piano triennale per l’Informatica;

  • all’interno delle Linee Guida sulla formazione, gestione e conservazione dei documenti informatici ha dedicato due paragrafi alle misure di sicurezza, ed indicato 4 standard internazionali in materia di sicurezza dei sistemi informativi nell’Allegato 2 alle stesse Linee Guida.

Nello specifico della protezione dei dati, il testo di riferimento, in ambito comunitario, è il ispirato ad un approccio risk based, alla responsabilizzazione del Titolare e dei Responsabili del trattamento, nonché a principi di privacy by design e by default.

Trattandosi di un Regolamento UE, non necessita di recepimento da parte degli Stati membri.

La Circolare AgID e le misure di sicurezza

Le Linee Guida sulla formazione, gestione e conservazione dei documenti informatici (di seguito Linee Guida) citano la con la quale AgID fornisce una checklist funzionale all’implementazione delle “misure minime”, al cui adeguamento deve provvedere il Responsabile della Transizione Digitale (ex art. 17 del CAD). Le misure consistono in controlli di natura tecnologica, organizzativa e procedurale, utili alle amministrazioni per valutare il proprio livello di sicurezza informatica.

Di seguito un sommario di dette misure: per un’analisi più approfondita dei dettagli di ciascuna misura si rimanda alla consultazione della e dei suoi allegati:

  • Inventario dei dispositivi autorizzati e non autorizzati: gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e mantenendo aggiornato l’inventario) in modo che l’accesso sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro impedito l’accesso;

  • Inventario dei software autorizzati e non autorizzati: gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla rete in modo che sia installato ed eseguito solo software autorizzato, mentre il software non autorizzato e non gestito sia individuato e ne venga impedita l’installazione o l’esecuzione;

  • Proteggere le configurazioni di hardware e software sui dispositivi mobili, laptop, workstation e server: istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici possano sfruttare le vulnerabilità di servizi e configurazioni;

  • Valutazione e correzione continua della vulnerabilità: acquisire, valutare e intraprendere continuamente azioni in relazione a nuove informazioni allo scopo di individuare vulnerabilità, correggere e minimizzare la finestra di opportunità per gli attacchi informatici;

  • Uso appropriato dei privilegi di amministratore: regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi;

  • Difese contro i malware: controllare l’installazione, la diffusione e l’esecuzione di codice maligno in diversi punti dell’azienda, ottimizzando al tempo stesso l’utilizzo dell’automazione per consentire il rapido aggiornamento delle difese, la raccolta dei dati e le azioni correttive;

  • Copie di sicurezza: procedure e strumenti necessari per produrre e mantenere copie di sicurezza delle informazioni critiche, così da consentirne il ripristino in caso di necessità;

  • Protezione dei dati: processi interni, strumenti e sistemi necessari per evitare l’esfiltrazione dei dati, mitigarne gli effetti e garantire la riservatezza e l’integrità delle informazioni rilevanti.

Il Piano di sicurezza

Le , al par. 3.9, dispongono anche in merito alla predisposizione del Piano della Sicurezza: “In tale ottica, il responsabile della conservazione, di concerto con il responsabile per la transizione digitale, con il responsabile della gestione documentale e acquisito il parere del responsabile della protezione dei dati personali, predispone il piano della sicurezza del sistema di gestione informatica dei documenti, prevedendo opportune misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in materia di protezione dei dati personali, ai sensi dell’art. 32 del Regolamento UE 679/2016.

Il Regolamento (UE) generale per la protezione dei dati personali (GDPR) e i principi di sicurezza

L'art. 5, par. 1, lett. f) del GDPR stabilisce che i dati personali devono essere "trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)". E' importante notare che è l'intero trattamento a dover essere sicuro, non solo i dati come prodotto finale.

La sicurezza riguarda sia l'aspetto informatico del trattamento che quello organizzativo, per coprire eventi quali la sottrazione o la perdita di documenti.

In tal senso gli obiettivi fondamentali di ogni piano di sicurezza saranno funzionali a che:

  • i dati possano essere consultati, modificati, divulgati o cancellati solo dai soggetti autorizzati;

  • i dati trattati siano accurati e completi a seconda del motivo per cui si stanno usando;

  • in caso di perdita, modifica o distruzione accidentale, si deve essere in grado di recuperare tutti i dati e prevenire danni ai soggetti coinvolti, predisponendo un adeguato piano di continuità operativa.

Risultano, pertanto, indispensabili, una completa analisi dei rischi e l’adozione di codici di condotta e/o di certificazioni.

In sintesi le misure di sicurezza da adottare devono riguardare:

  • la gestione degli accessi;

  • l’autenticazione degli utenti, interni ed esterni;

  • l’autorizzazione degli utenti;

  • la gestione delle password;

  • l’aggiornamento puntuale degli applicativi e dei sistemi operativi;

  • la conservazione e la condivisione dei dati;

  • la protezione dei dati trattati direttamente;

  • la protezione dei dati scambiati o trasmessi a terzi soggetti;

  • la protezione dei dati archiviati;

  • la protezione di sistemi e database;

  • le procedure di continuità operativa;

  • la predisposizione di log dei sistemi;

  • la predisposizione di piani di auditing, vulnerability scan e penetration test.

Per la completa implementazione delle misure previste dallo stesso Regolamento UE vanno individuati i soggetti preposti al trattamento dei dati:

  • Titolare del trattamento: è il destinatario delle norme, ossia la persona fisica e/o giuridica, l’amministrazione pubblica o altro ente a cui compete decidere finalità, modalità del trattamento dei dati personali e gli strumenti utilizzati, compresa la sicurezza;

  • Responsabile del trattamento: la persona fisica, giuridica, l’amministrazione pubblica o altro ente designato, facoltativamente, dal titolare a trattare i dati compreso il profilo relativo alla sicurezza quali, ad esempio: i Direttori dei Dipartimenti, il Direttore Generale, i Dirigenti, i Responsabili della gestione documentale di ogni AOO;

  • Responsabile esterno del trattamento: la persona fisica o giuridica, autorità pubblica o organismo che tratta i dati per conto del Titolare del trattamento;

  • Incaricato del trattamento: la persona fisica autorizzata a compiere operazioni di trattamento dati dal Titolare o dal Responsabile.

Il Piano triennale per l’informatica: gli obiettivi di sicurezza per le PA

Il ha l’obiettivo di promuovere la trasformazione digitale delle PA italiane, in tutti i suoi aspetti, ed è soggetto ad un aggiornamento ciclico: l’ultima versione è quella per il triennio 2022-2024. In questa ultima edizione particolare attenzione viene posta agli obiettivi perseguiti dalla , finalizzati a rafforzare la cybersecurity di tutta la PA.

In tema di sicurezza i macro-obiettivi citati nel piano triennale 2022-2024 (cap.6) per le pubbliche amministrazioni sono:

  • OB.6.1 -Aumentare la consapevolezza del rischio cyber (Cyber Security Awareness) nelle PA.

  • OB.6.2 -Aumentare il livello di sicurezza informatica dei portali istituzionali della Pubblica Amministrazione.

Per ognuno di questi vengono definiti contestualmente anche le linee d’azione che sono:

OB.6.1:

  • Le PA nei procedimenti di acquisizione di beni e servizi ICT devono far riferimento alle ;

  • Le PA devono fare riferimento al documento tecnico ;

  • Le PA continuano a seguire le misure minime di sicurezza ICT per le pubbliche amministrazioni.

OB.6.2:

  • Le PA devono mantenere costantemente aggiornati i propri portali istituzionali e applicare le correzioni alle vulnerabilità;

  • Le PA, in funzione delle proprie necessità, possono utilizzare lo strumento online di auto valutazione per il controllo del e la versione del messo a disposizione da AgID.

PreviousRequisiti di un software di gestione documentaleNextMateriali facoltativi di approfondimento (webinar)

Last updated