Data protection

CYBERSECURITY: favorire la sua consapevolezza per gestirne i rischi. Il tool fornito da ACN per le amministrazioni pubbliche.


L’Agenzia per la cybersicurezza nazionale ha messo a disposizione delle Amministrazioni Centrali e per quelle locali già registrate  uno strumento per valutare il rischio cyber riferito alla propria amministrazione.

Il tool di valutazione e trattamento del rischio cyber consente ad ogni PA di effettuare le operazioni di self assessment, piani di trattamento e monitoraggio delle iniziative volte a ridurre il livello di rischio cyber.[1]

L’Agenzia per la cybersicurezza nazionale è l’Autorità posta a tutela degli interessi nazionali nel cyberspazio e assume tutte le funzioni in materia di cybersicurezza attribuite precedentemente all’Agenzia per l’Italia Digitale (AgID).

L’attribuzione delle funzioni è disposta dal Decreto Legge n. 82 del 2021 (all’art. 7, comma 1, lett. m) e attuata tramite il Decreto del Presidente del Consiglio dei ministri del 1 settembre 2022,“Modalità e termini per assicurare il trasferimento delle funzioni, dei beni strumentali e della documentazione dall’Agenzia per l’Italia digitale e dal Dipartimento per la trasformazione digitale all’Agenzia per la cybersicurezza nazionale”. Tra i beni strumentali previsti dal trasferimento rientra anche il tool di valutazione e trattamento del rischio cyber sviluppato e messo a disposizione delle PA da parte di AgID, compreso il data base degli utenti già registrati.

In attuazione dei decreti, l’Agenzia (ACN) ha preso in gestione il tool ed ha aggiornato, anche in ottica di adeguamento alla Strategia Nazionale di Cybersicurezza, gli aspetti delle valutazioni del rischio legati all’evoluzione della minaccia cyber. La versione, attualmente fruibile permane quella sviluppata da AgID, e, per dare continuità al suo utilizzo, sono stati mantenuti tutti i profili e le registrazioni degli utenti già accreditati dalla precedente Amministrazione.

METODOLOGIA E STRUMENTI

Per individuare una metodologia di gestione del rischio cyber, è fondamentale partire dalla definizione e dell’analisi del contesto (interno ed esterno) della PA, così da individuare le peculiarità che caratterizzano tale contesto ed il possibile insieme delle minacce a cui può essere esposto.

La fase di self-assessment, su cui si basa la metodologia adottata, consiste in primo luogo in un’accurata catalogazione dei servizi digitali al fine di garantire un calcolo puntuale ed attendibile del livello di rischio.

La metodologia per la PA

L’approccio metodologico si basa sui principi e le linee guida dettati dallo standard ISO 31000[2] e sull’information risk assessment methodology 2 (IRAM2[3]), metodologia prodotta dall’Information Security Forum (ISF[4]).

La metodologia consente di valutare il rischio legato ad una certa minaccia rispetto ai servizi erogati o utilizzati da una PA, senza interessare gli asset che li compongono.

Il tool per la gestione del rischio

Il tool è accessibile in modalità web con le credenziali del Sistema Pubblico di Identità Digitale (SPID) ed è pensato per guidare l’Utente nelle varie fasi di esecuzione del risk assessment:

  1. definizione delle caratteristiche, primarie e secondarie, del servizio ed assegnazione del profilo di criticità allo stesso;
  2. valutazione dei possibili impatti derivanti dalla perdita di RID (Riservatezza, Integrità, Disponibilità); legata ad aspetti di carattere economico, reputazionale, legale e operativo;
  3. identificazione delle minacce, dei controlli di sicurezza e calcolo dei livelli di rischio;
  4. predisposizione del piano di trattamento;
  5. monitoraggio del rischio nel tempo.

Il processo di self assessment potrà avvenire secondo due modalità distinte, a scelta dell’Utente in fase di avvio della procedura:

  • per servizio: ogni fase del processo, dall’assegnazione del profilo di criticità all’analisi del rischio, viene effettuata su tutti i servizi. La PA dovrà rispondere ai controlli di sicurezza previsti dal tool e declinati su ciascun servizio;
  • per PA (procedura semplificata): l’amministrazione dovrà rispondere ai controlli di sicurezza previsti senza fornire le indicazioni specifiche per servizio.

Le due modalità, che devono essere considerate come possibili successivi livelli di avvicinamento al processo di risk management, offrono gradi di attendibilità differenti:

  • l’esecuzione dell’assessment per servizio porta a risultati di alto profilo di affidabilità;
  • la modalità di assessment per PA, più agevole e veloce, offre risultati con un grado di attendibilità minore, in quanto opera sui dati aggregati e ad un livello di approssimazione maggiore.

Adempimenti per le Pubbliche Amministrazioni

Il soggetto deputato a effettuare le attività di valutazione o quanto previsto nel tool è il Referente per la Cybersicurezza; individuato con legge 28 giugno 2024, n. 90, che ha introdotto obblighi tesi al rafforzamento della resilienza delle pubbliche amministrazioni centrali e di numerose amministrazioni locali, con l’individuazione di un referente e di una struttura responsabili per l’attuazione, ivi inclusa l’adozione delle linee guida per la cybersicurezza che saranno emanate da ACN.

Per inciso, il referente aziendale per la cybersicurezza svolge anche la funzione di punto di contatto unico dell’ente o dell’azienda con l’Agenzia nazionale per la Cybersicurezza, alla luce della Determinazione dell’ACN

[1] Link: https://rischiocyber.acn.gov.it/cyber/metodologiaStrumenti.html#section1

[2] La norma ISO 31000 “Risk management — Principles and guidelines[1] in italiano UNI ISO 31000 Gestione del rischio – Principi e linee guida. È una guida che fornisce principi e linee guida generali per la gestione del rischio. Può essere utilizzata da qualsiasi organizzazione pubblica, privata o sociale, associazione, gruppo o individuo, e non è specifica per nessuna industria o settore. La ISO 31000 può essere applicata nel corso dell’intero ciclo di vita di un’organizzazione, ed essere adottata per molte attività come la definizione di strategie e decisioni, operazioni, processi, funzioni, progetti, prodotti, servizi e beni. Può inoltre essere applicata a qualsiasi tipo di rischio, sia per conseguenze di tipo positivo che negativo. Essendo una linea guida, NON è certificabile. (Link: https://it.wikipedia.org/wiki/ISO_31000 )

[3] La  soluzione SureCloud IRAM2 consolida tutte le valutazioni su una piattaforma centralizzata, consentendo ai professionisti del rischio di prendere decisioni aziendali informate e facilitare una migliore gestione del rischio. La piattaforma tecnologica SureCloud  è altamente configurabile di per la governance, il rischio e la conformità integrati per eliminare le inefficienze e migliorare la visibilità.

Il software SureCloud IRAM2 automatizza il processo di gestione e valutazione del rischio informativo IRAM2, consentendo alle aziende di utilizzare la metodologia in modo flessibile ed efficiente. Riduce il numero di fogli richiesti per completare la valutazione, rimuovendo le ripetizioni e archiviando centralmente i dati relativi al profilo aziendale.

[4] Il Quadro sulla sicurezza delle informazioni (ISF) definisce l’approccio, i principi guida, i ruoli e le responsabilità stabiliti dal CICR per gestire un rischio per la sicurezza delle informazioni, al fine di proteggere le informazioni e i sistemi informatici del CICR dalla perdita di riservatezza, integrità e disponibilità. (link: https://www.linkedin.com/company/information-security-forum/?trk=public_profile_experience-item_profile-section-card_subtitle-click&original_referer=https%3A%2F%2Fwww%2Egoogle%2Ecom%2F&originalSubdomain=it )

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

privacy medico
AI

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Elenco dipendenti
La trasmissione degli elenchi del personale ai sindacati in caso di elezioni delle RSU aziendali
22 Febbraio 2025
sentenza tribunale
L’esercizio del diritto di accesso ai dati personali al vaglio di una recente sentenza del Tribunale di Salerno.
28 Aprile 2025
Garante Privacy
Il rispetto della normativa in materia di protezione dei dati personali quale elemento di valutazione delle risorse umane che operano all’interno dell’organizzazione del titolare del trattamento.
20 Gennaio 2025

Start typing and press Enter to search