Sogei: “dotare la PA di tecnologie e competenze, con una governance definita”

Sogei è da sempre presidio tecnologico centrale di un patrimonio informativo strategico per il Paese e per questo è riconosciuta come infrastruttura critica informatica d’interesse nazionale. Status sancito anche da specifiche convenzioni con il CNAIPIC della Polizia di Stato e con il Dipartimento Informazioni Sicurezza (DIS), finalizzate primariamente alla protezione delle informazioni e dei servizi ICT erogati ai cittadini e alla Pubbliche Amministrazioni. Inoltre, assumendo il ruolo di «partner tecnologico unico» del MEF con l’incorporazione del Ramo IT della Consip S.p.A. avvenuta a luglio 2013, Sogei è diventata punto di incontro tra le esigenze dei settori pubblico e privato e garante di una fornitura costante di servizi ad elevato contenuto di qualità e di sicurezza.

Sogei gestisce ed eroga servizi ICT per conto di diversi Clienti istituzionali, ognuno dei quali con specifiche esigenze da supportare, conseguenti alle funzioni statali espletate. Le principali attività svolte da Sogei riguardano lo sviluppo e l’esercizio dell’infrastruttura tecnologica e lo sviluppo e la manutenzione del software e dei servizi connessi. In entrambi gli ambiti il livello di complessità nel governo della sicurezza è aumentato in funzione della complessità degli asset coinvolti (sistemi, infrastrutture di rete e sicurezza, storage, software e basi dati).

Nel tempo le piattaforme tecnologiche si sono evolute e il rapido e continuo sviluppo dei servizi in rete ha creato un vero e proprio mondo virtuale, il cosiddetto “ spazio cibernetico ”, che se da un lato presenta innumerevoli vantaggi, quali l’abbattimento delle frontiere geografiche attraverso l’interconnessione di miliardi di individui, l’erogazione di nuovi tipi di servizi e lo scambio di conoscenza a livello globale, dall’altro è fonte di nuovi e complessi rischi.

L’apertura dei sistemi al mondo internet, web e mobile ha introdotto nuovi scenari di rischio, in particolare l’evoluzione costante degli attacchi cyber a servizi e patrimoni informativi. Quindi, in un momento di forte cambiamento, in cui il mondo della sicurezza è chiamato ad affrontare nuove sfide, è importante che le Pubbliche Amministrazione pongano particolare attenzione ai seguenti aspetti:

• Governance complessa

L’architettura istituzionale a protezione dello spazio cibernetico nazionale è molto complessa sia in termini di organizzazione che in termini di normativa di riferimento. È auspicabile l’istituzione di una Autorità Pubblica che indirizzi, controlli in maniera coordinata il mondo cyber security.

• Cultura della sicurezza e consapevolezza del rischio cyber

Esiste una bassa sensibilità e consapevolezza relativamente ai rischi legato al mondo cyber, è importante attivare un percorso di sensibilizzazione e informazione su tali aspetti rivolto ai cittadini. Inoltre, in linea con le direttive del Piano nazionale per la protezione cibernetica e la sicurezza nazionale di dicembre 2013, è necessario definire ed attuare un percorso di formazione sulla cyber security, rispetto alle emergenti sfide e opportunità derivanti dall’uso dello spazio cibernetico, diretta ai dipendenti delle Pubbliche Amministrazioni, ai vertici decisionali, sia politici che amministrativi.

• Digital transformation e information security

Il rapido sviluppo di soluzioni basate sulle nuove piattaforme tecnologiche espone sia la Pubblica Amministrazione che le aziende a continui nuovi rischi, che potrebbero compromettere la sicurezza informazioni e la disponibilità dei servizi, creando rilevanti danni economici e reputazionali. E’ necessario perciò avviare un processo di evoluzione della sicurezza, che accompagni quello tecnologico, attraverso iniziative e attività progettuali adeguate, abbandonando l’idea di poter ri-applicare gli stessi schemi dell’analogico.

• Information Sharing

E’ importante definire lo scambio di informazioni rilevanti e tempestive per la prevenzione e il contrasto della minaccia cyber verso soggetti governativi (come ad esempio il CERT Nazionale), pubblici e privati, a valle della definizione di accordi di condivisione. In tale ambito è necessario progettare e realizzare canali di comunicazione definiti, sicuri ed efficaci da utilizzare sia per la condivisione e la circolarità delle informazioni che in caso di incidenti o azioni ostili nei confronti delle infrastrutture informatiche pubbliche, nel rispetto del principio del need-to-know.

• Protezione dei dati personali

In relazione al tema dati, la Privacy rappresenta una delle ricadute più delicate. Con l’approvazione del nuovo Regolamento sulla protezione dei dati, vengono introdotte regole comuni a tutti gli Stati membri dell’Unione Europea. Sebbene i principi della precedente norma rimangano validi, sono state introdotte novità importanti come data breach e privacy impact assessment.

Prima ancora della minaccia cibernetica, Sogei, in qualità di infrastruttura critica del Paese, ha dovuto affrontare e gestire, con particolare attenzione, tutti i rischi direttamente o indirettamente connessi con la sicurezza delle informazioni e con la sicurezza fisica e ambientale. Ciò, negli anni, ha consentito lo sviluppo di una cultura della sicurezza, orientata alla gestione dei rischi by design , e di un processo di aggiornamento costante, sia tecnologico che organizzativo, per rispondere alle minacce che, a qualunque livello, possono rappresentare direttamente un rischio per la sicurezza dei servizi erogati e indirettamente costituire una minaccia di carattere sistemico e nazionale.

• Framework comuni contestualizzati

E’ necessario contestualizzare il Framework Nazionale per la Cyber Security sulla Pubblica Amministrazione. Il Framework può rappresentare il punto di contatto tra le varie PA e fornire un linguaggio comune, un approccio omogeneo e un sistema di riferimento per affrontare la minaccia cyber, al fine di valutare, confrontare e ridurre i rischi e definire e attuare interventi specifici.

Sogei ha da sempre, quindi, fondato la propria mission sui principi di unitarietà, integrità ed evoluzione del patrimonio informativo , che non possono prescindere da impegni specifici volti al mantenimento dei più elevati standard di qualità e sicurezza delle informazioni e delle infrastrutture a supporto, quale motivo fondante dell’Organizzazione stessa.

Inoltre l’introduzione di nuove e sempre più stringenti normative, nonché la necessità di innovazione e trasformazione digitale del nostro Paese, nel più ampio contesto europeo, hanno spinto Sogei, nel corso degli anni, ad affrontare con sempre maggior impegno e focalizzazione il costante processo di rinnovamento e miglioramento della propria strategia di protezione dei servizi forniti.

Per meglio rispondere a tali esigenze Sogei, in linea con quanto indicato nel Framework Nazionale per la Cyber Security, ha sviluppato nel tempo un approccio globale alla sicurezza attraverso l’istituzione di un sistema di Security Governance , costituito da una specifica organizzazione, da una chiara definizione di ruoli e responsabilità e da processi a supporto dell’organizzazione stessa.

Si è dotata quindi di un centro di governo unico preposto all’identificazione ed al governo dei rischi, in un’ottica di sicurezza integrata. In tale ambito assume notevole importanza l’istituzione della figura del Chief Security Officer (CSO) che «orchestra» tutti gli attori coinvolti negli aspetti di tutela e salvaguardia del patrimonio informativo e degli asset aziendali. Tale “guida unica” permette di controllare e monitorare con un approccio integrato tutta la filiera della sicurezza legata alla protezione delle informazioni e fornire le leve decisionali necessarie a supportare le scelte di business, in coerenza con le normative vigenti.

L’introduzione del Sistema di Governo della Sicurezza ha consentito un ampio e profondo coinvolgimento dei vertici aziendali nei processi decisionali legati alla gestione dei rischi di sicurezza e delle conseguenti politiche di investimento.

Il Sistema di Governo della Sicurezza:

• analizza costantemente l’andamento dei rischi di sicurezza mediante il coinvolgimento diretto dei business owner e del vertice aziendale e sulla base dei riscontri effettivi provenienti dalle strutture di presidio operativo;
• definisce le priorità di investimento in ambito sicurezza e supporta di conseguenza la pianificazione degli interventi richiesti, assicurando l’allineamento continuo del programma di sicurezza con gli obiettivi strategici aziendali e ottimizzando la gestione delle risorse richieste;
• monitora sistematicamente l’andamento delle iniziative di sicurezza e, in generale, l’efficacia delle misure adottate, al fine favorire un processo di miglioramento continuo della sicurezza.

Il modello di Security Governance di Sogei, è basato su tre livelli di azione, che consentono di garantire la gestione e il raggiungimento degli obiettivi di protezione definiti, anche in considerazione della loro evoluzione nel tempo.

Il primo livello è costituito dalla Leadership ed Indirizzo, che ha finalità di fornire l’orientamento strategico aziendale verso le tematiche di sicurezza e offre l’impegno direzionale necessario. Attraverso il Sistema di Governo della Sicurezza , il CSO ed il vertice aziendale gestiscono i rischi e le priorità di intervento, allocano i budget per la sicurezza e assicurano l’allineamento continuo tra strategia di sicurezza ed obiettivi di business, oltre a recepire correttamente le necessità provenienti dal mondo esterno (quali l’evoluzione tecnologica e di mercato, i requisiti di business specifici, le normative e le direttive di settore).

Il secondo il livello è costituito dal Coordinamento e Controllo, dove operano specifici Sistemi di Gestione aziendali, quali il Sistema di Gestione per la Sicurezza delle Informazioni, il Sistema di Gestione della Privacy, il Sistema di Gestione della Sicurezza Fisica, con la finalità di indirizzare e supervisionare l’attuazione delle misure di sicurezza, affinché i requisiti siano effettivamente recepiti dalle unità organizzative preposte allo sviluppo, all’erogazione e alla manutenzione di infrastrutture, sistemi e servizi.

Il terzo livello riguarda l’Attuazione delle misure di Protezione, dove operano le strutture organizzative che, collaborando a stretto contatto con i responsabili dei Sistemi di Gestione, hanno l’obiettivo di realizzare e gestire operativamente le misure tecnologiche di sicurezza ( protezione delle sedi fisiche e dei Data Center, protezione delle reti e delle infrastrutture tecnologiche, protezione dei dati e delle informazioni) in linea con le strategie, gli obiettivi ed i criteri definiti nei livelli precedenti.

Infine è stato creato il CERT che, operando in perfetta sinergia con le altre componenti aziendali , fornisce le competenze e gli strumenti necessari a prevenire e reagire a qualsiasi tentativo di compromissione. In questo senso agisce come unico punto di contatto verso il mondo esterno ed interno (c.d. Constituency), per la gestione delle criticità e delle emergenze legate alla Cyber Security.

La governance della sicurezza oltre ad essere unica deve contemporaneamente essere in grado di rispondere a:

• l’ evoluzione costante delle minacce di sicurezza, sia in termini di sofisticazione degli attacchi che di numerosità degli stessi;
• le novità introdotte dalla normativa vigente (ad esempio provvedimenti in ambito protezione dei dati personali, responsabilità amministrativa delle società e degli enti, ecc.);
• l’allineamento alle direttive nazionali e comunitarie in tema di protezione dello spazio cibernetico e della strategia di protezione nazionale[1];
• l’adozione di certificazioni e standard di settore, quali lo standard ISO/IEC 27001, al fine di garantire il raggiungimento e la verifica degli obiettivi di sicurezza da parte di Enti terzi;
• gli organismi di controllo quali responsabile della protezione dei dati, auditor ISO27001, board, clienti,
• le nuove o mutate necessità legate allo sviluppo ed evoluzione dei servizi verso il mercato (ad esempio impegni assunti dall’Italia in materia di strategia per la Crescita Digitale nella Pubblica Amministrazione , nel più ampio quadro della Agenda Digitale Europea).

Sogei pone quindi una scrupolosa attenzione alla conformità ai vincoli di sicurezza costituiti dalle norme vigenti, dagli standard adottati e dai requisiti espressi dai propri Clienti. In considerazione della molteplicità dei suddetti vincoli, è stato sviluppato un approccio di “multi-compliance ”, al fine di ricondurre a una unica vista integrata la gestione dei requisiti di sicurezza derivanti da:

• la normativa vigente, con particolare riguardo al Codice Privacy (D.Lgs. 196/2003) e ai provvedimenti emanati dall’Autorità Garante applicabili ai trattamenti aziendali e a quelli gestiti per conto dei Clienti;
• i principali standard di settore, con particolare riguardo all’ISO/IEC 27001, come già evidenziato nell’ambito del SGSI, al Framework for Improving Critical Infrastructure Cybersecurity (NIST) e al Framework Nazionale per la CyberSecurity .

E’ stato quindi realizzato l’Information Security Framework (ISF), che rappresenta lo strumento di valutazione della conformità alle normative vigenti e agli standard internazionali in materia di sicurezza informatica e privacy, in particolare l’ISF prende in considerazione: il D.Lgs.196/2003 – Codice in materia di protezione dei dati personali; i Provvedimenti e Linee guida del Garante in tema di:

• Amministratori di sistema
• Videosorveglianza
• Posta elettronica e internet
• Misure sicurezza e modalità scambio dati tra PA
• Anagrafe Tributaria sicurezza e accessi
• UNI ISO/IEC: 27001
• il Framework Nazionale Cybersecurity
• il D.Lgs. 231/2001 – Responsabilità amministrativa delle società e degli enti
• le Istruzioni contrattuali dell’Amministrazione Finanziaria
• le Politiche di Sicurezza interne

Tali norme rappresentano i tutti i requisiti di sicurezza delle informazioni espressi nei vari ambiti normativi a cui sono soggette le attività di Sogei (in particolare sviluppo software e gestione dell’infrastruttura tecnologica e dei servizi).

Il Framework diviene quindi il riferimento guida per tutte le attività che riguardano il ciclo di sviluppo di un servizio quali la progettazione, l’implementazione, l’erogazione, l’audit e le azioni correttive. Inoltre, mantenendo i collegamenti con i riferimenti di norme e standard da cui origina ogni singolo requisito di sicurezza, consente di costruire più viste dedicate a diversi aspetti di compliance distinti, a partire dalle stesse risultanze comuni.

Esso è utilizzato correntemente da Sogei per verifiche di conformità orizzontali su processi e servizi ICT o verticali mirate a particolari ambiti di sicurezza. I risultati ottenuti sono utilizzati per individuare le aree maggiormente critiche e i relativi interventi per la riduzione dei rischi attraverso la predisposizione di specifici piani di azione.

Particolare importanza assuma la fase di monitoraggio, sia per la rilevazione dello stato di avanzamento dei piani di azione che per la valutazione dei livelli di conformità delle misure di sicurezza implementate.

Per assicurare la piena copertura degli adempimenti normativi o standard internazionali di sicurezza, il Framework è aggiornato costantemente con le nuove normative o direttive. Ciò consente anche di:

• recepire correttamente i requisiti provenienti dagli obblighi contrattuali, dalle normative e dagli standard di riferimento come input fondamentali per la progettazione e la realizzazione dei servizi ICT e per l’attuazione di interventi di sicurezza (c.d. security by design)
• definire il contributo che ciascun intervento di sicurezza fornisce al raggiungimento degli obiettivi definiti nell’ambito del Sistema di Governo della Sicurezza di Sogei;
• facilitare la correlazione tra lo specifico intervento di sicurezza e la tipologia di rischio.

Il Framework inoltre può essere utilizzato nel processo di Risk Management. Nella fase di Identification, i rischi possono essere collegati ai requisiti di multi-compliance presenti nel Framework, che rappresentano il profilo normativo che il servizio, sul quale deve essere effettata l’analisi del rischio.

Con la fase di Assessment si valuta il gap che esiste tra la soluzione di sicurezza attuata e il grado di robustezza ottimale e si individuano quindi i relativi rischi da trattare.

Nelle successive fasi di Decision e Treatment, sono individuate le modalità di trattamento e, qualora i rischi debbano essere mitigati, viene definito il piano di interventi necessari per la loro mitigazione.

L’ultima fase di Monitoring permette di monitorare gli indicatori di rischio per servizi e per ambito di conformità (cybersecurity, privacy,…). I risultati del monitoraggio sono utilizzati per attivare nuovamente la fase di Assessment, assicurando il ciclo di miglioramento continuo.

I benefici dell’adozione del Framework sono:

• Unico riferimento per i requisiti di sicurezza
• Ogni requisito deriva dalla sintesi dei riferimenti normativi, contrattuali e standard vincolanti per l’azienda in uno specifico ambito (es. autenticazione)
• Dal framework si estraggono i requisiti applicabili in fase di progettazione, implementazione e audit, garantendo la coerenza dei processi di sviluppo e controllo
• Individuazione della priorità dei requisiti
• Ogni requisito individuato è associabile ad una priorità in funzione della copertura delle normative/contratti/standard collegati e della criticità (sanzione penale, amministrativa e rischi operativi) derivante dal non rispetto dei relativi vincoli
• Ottimizzazione degli audit e degli assessment
• Effettuare audit e assessment integrati riducendo l’effort richiesto alle strutture coinvolte.
• Possibilità di effettuare audit orizzontali su processi e servizi o verticali mirati a particolari ambiti di sicurezza.
• Registrare le evidenze di audit e assessment valutando conformità e rischi distintamente rispetto ad ogni riferimento considerato (privacy, ISO27001, cyber security, …)
• Gestione integrata del Piano degli interventi di rientro
• Valutare costi e benefici degli interventi di rientro, eventualmente necessari, valutandone le priorità in base ai requisiti e agli ambiti di conformità collegati.

Sogei ritiene che la strategia e l’approccio descritti, collochino l’Azienda ai massimi livelli in termini di erogazione sicura dei servizi ICT per qualsiasi Pubblica Amministrazione, infrastruttura critica od operatore di rilevanza sistemica per il Paese. Nel prossimo futuro, attraverso le proprie capacità di prevenzione, difesa e contrasto della minaccia Cyber, Sogei potrà fornire un contributo sostanziale allo sviluppo ed alla crescita dei servizi digitali in Italia.

In particolare Sogei, forte della propria esperienza, propone alla Pubblica Amministrazione alcuni progetti metodologici che le permetteranno da un lato di classificare le banche dati della Pubblica Amministrazione in ambiti omogenei di informazioni (sanità, giustizia, economia, toponomastica,…) in base alla tipologia privacy dei dati e dell’impatto derivante dalla perdita di Riservatezza, Integrità e Disponibilità, dall’altro di dotarsi di una metodologia di Risk Management basata sul Framework Multi-Compliance:, realizzato da Sogei e contestualizzato sulla realtà della Pubblica Amministrazione stessa, che permetta di valutare il rischio di sicurezza inteso come gap tra profilo corrente e profilo ottimale, individuato dal catalogo delle misure di sicurezza che realizzano i requisiti del Framework in base al contesto applicativo, tecnologico e alla criticità delle informazioni trattate.

Definire una metodologia di Risk Management basata sul Framework che permetta di valutare il rischio inteso come gap tra profilo corrente e profilo ottimale di sicurezza.

Realizzare un catalogo delle misure di sicurezza che realizzano i requisiti del Framework in base al contesto applicativo e tecnologico.

Utilizzare il Framework Multi-Compliance:

• come strumento di valutazione della conformità al profilo di sicurezza atteso in sede di stipula di convenzioni per cooperazione applicativa con altri Titolari
• come strumento di valutazione del rischio a supporto dei processi di audit interno per individuare aree prioritarie di intervento

Per quanto precede, avvicinandomi alle conclusioni è possibile affermare che la protezione delle informazioni (di cui la cyber security è un aspetto) è intesa come una priorità e un bene comune a tutela dell’ecosistema digitale della PA.

Sogei considera le strategie per garantire la sicurezza cibernetica parte integrante del processo di digitalizzazione, che deve tener conto dei cambiamenti tecnologici, normativi, sociali e geopolitici. Consapevole di ciò, per la protezione delle infrastrutture tecnologiche e dei servizi informatici, considerati architravi della gestione di ogni organizzazione, ha reso operativo il CERT, nell’ambito della cyber security governance .

Sogei si avvia ad assumere un ruolo chiave nello sviluppo delle tematiche relative a data governance & analytics, cyber security hub, cyber competence center a sostegno di potenziali aree di intervento. Fattori chiave sono: la creazione di un centro per la sicurezza cibernetica, il supporto alla razionalizzazione del patrimonio informativo della PA, il supporto alle attività formative ed educative in materia di difesa cibernetica e promozione della costituzione di una “comunità nazionale di difesa cibernetica”.

Inoltre Sogei, continuando ad investire in sicurezza, in stretta collaborazione con realtà universitarie e industriali, è in grado di dare un contributo attivo all’innovazione nel settore della difesa cibernetica nazionale, come il Cyber Defense Lab, condividendo i risultati delle proprie attività di sperimentazione, che includono lo sviluppo di nuove pratiche e metodiche di gestione e intervento, nonché l’individuazione e sviluppo di soluzioni tecnologiche specifiche.

In conclusione Sogei, anche attraverso le proprie capacità di difesa e contrasto alle minacce cyber, potrà fornire un contributo sostanziale allo sviluppo ed alla crescita dei servizi digitali in Italia, affiancando nei prossimi anni Enti ed Amministrazioni nelle sfide e nelle opportunità legate ai processi di digitalizzazione della società nazionale.