L'organizzazione della sicurezza ICT delle...

ForumPA, Roma – 8/5/06 L'organizzazione della sicurezza ICT delle P.A. – C. Manganelli 1 di 28

Claudio Manganelli Componente del Collegio CNIPA – Presidente del Comitato

tecnico nazionale per la sicurezza ICT nella PA

L'organizzazione della sicurezza ICT delle P.A.

ForumPA, Roma – 8 maggio 2006

Convegno


Stato della sicurezza ICT nella PAC*

Protezione fisica dell'infr.

24%

0%

9%67%

Scarso Basso

Medio Alto

Organizzazione per la sicurezza

76%

21%0% 3%

Scarso Basso

Medio Alto

* dati da rilevamento CNIPA su PAC, in corso di elaborazione finale


I rischi per lo sviluppo dell’e-government

� Le informazioni acquisite o elaborate possono essere raccolte, memorizzate, analizzate, relazionate ed utilizzate in diversi modi, in posti geograficamente remoti, senza che i soggetti interessati ne siano consci

� Lo sviluppo dell’e-government è accompagnato dal sorgere di nuovi problemi� furto d’identità� spamming� prodotti di pubblicità indesiderati (adware)

� Dopo l’entusiasmo per le nuove tecnologie, si rischia il “rigetto” per l’assenza di garanzie di sicurezza


La sicurezza ICT del settore pubblico

� Nella precedente legislatura sono state indicate nella promozione della Società dell’informazione e nella realizzazione di un nuovo modello di Stato digitalizzato due priorità per lo sviluppo economico, sociale e culturale del Paese

� La straordinaria efficienza dei nuovi strumenti da un lato moltiplica le opportunità di sviluppo del Paese, dall’altro incrementa i fattori di rischio ed offre nuove opportunità di uso non etico e criminoso

� La digitalizzazione dello Stato incrementa la dipendenza dai sistemi informativi e quindi l’importanza della loro sicurezza


Prime risposte al bisogno di sicurezza ICT

� Direttiva del Presidente del Consiglio dei Ministri del 16 gennaio 2002 sulla “Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali”

� "Linee guida del Governo per lo sviluppo della Società dell'Informazione nella legislatura” (28 maggio 2002)

� Istituzione del Comitato tecnico nazionale sulla sicurezza ICT nelle PA (DM MIC-MIT 24 luglio 2002 e 6 agosto 2004)


Le indicazioni del Comitato tecnico

“Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione“ (marzo 2004)


Il Codice dell’amministrazione digitale

� Normativa dedicata all’ICT� Il codice ed i provvedimenti ad esso collegati� Decreto legislativo 28 febbraio 2005, n. 42 recante istituzione del sistema pubblico di connettività

� Decreto del Presidente della Repubblica 11 febbraio 2005, recante posta elettronica certificata


La sicurezza ICT nel Codice

� Una parte rilevante dei contenuti del Codice è dedicata agli aspetti della sicurezza delle informazioni � Modulistica (art. 58)� Firma digitale (art. 21)� CIE e CNS (art. 67)� Sicurezza dei dati (art. 54)� Pagamenti informatici (art. 5)� Segretezza della corrispondenza telematica (art.52)


Iniziative promosse dal Comitato tecnico per la sicurezza ICT delle PA

� Redazione delle linee guida per il Piano Nazionale e del Modello Organizzativo –CNIPA e Ministero delle Comunicazioni

� GovCERT - CNIPA

� Formazione sulla sicurezza ICT delle PA –Ministero delle Comunicazioni


Redazione delle linee guida per il Piano Nazionale e il Modello Organizzativo

•Il Piano Nazionale della sicurezza ICT e il Modello Organizzativo della sicurezza ICT per la Pubblica Amministrazione sono stati previsti nelle “Linee guida del Governo per lo sviluppo della Società dell’Informazione nella legislatura”

•Il risultato del Gruppo di lavoro è stato pubblicato nel Quaderno 23 del CNIPA


Le indicazioni del Comitato tecnico

“Linee guida per la sicurezza ICT delle pubbliche amministrazioni:

• Piano Nazionale della sicurezza delle ICT per la PA

• Modello organizzativo nazionale di sicurezza ICT per la PA”


GovCERT.it - obiettivi

� Assicurare un presidio informativo sugli eventi che possono colpire le infrastrutture, i servizi e gli utenti finali della PA

� Fornire le informazioni ed il supporto idonei a prevenire e gestire gli incidenti e le emergenze relativi alla sicurezza ICT nella PA

� Emanare linee guida di tipo tecnico ed organizzativo per favorire ed uniformare la capacità di risposta agli incidenti e lo sviluppo e la cultura della sicurezza nelle PA

� Collaborare con altri Organi dello Stato che hanno competenza inmateria e favorirne l’interazione

� Raccogliere dati relativi alla sicurezza ICT nella PA per analisi statistiche e individuare eventuali tendenze

� Costituire per la PA un punto di riferimento per la sicurezza informatica


GovCERT.it

� Proposto dal “Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni”

� Approvato dal Comitato dei ministri per la società dell’informazione

� Attuato dal CNIPA attraverso la creazione di una � “Unità di gestione degli attacchi informatici“ -maggio 2004

� Finanziamenti resi disponibili - fine 2004� Nucleo operativo attualmente costituito da 4 (+1) risorse


I CERT-AM

Estratti della Direttiva 16/1/2002

� “Assume priorità la predisposizione di una procedura per la Gestione degli Incidenti e l’approntamento di uno specifico presidio organizzativo denominato CERT-AM: Computer Emergency Response Team dell’Amministrazione.”

� “Deve essere costituita una squadra di intervento per gli incidenti, in modo da poterli limitare e prevenire in maniera efficace ed economica.”

� “La squadra di intervento deve essere preparata a rilevare ed areagire agli incidenti garantendo:

� Risposta efficace e preparata

� Centralizzazione e non duplicazione degli sforzi� Incremento della consapevolezza degli utenti rispetto le

minacce.”


DIRETTIVA 16/1/2002

CERT-AM ED UNITÀ LOCALI NELLE PA

CENTRALI

PA CENTRALE

Il tassello mancante

CERT-AM

CERT-AM

CERT-AM

CERT-AM

CERT-AM

CERT-AM

CERT-AM

CERT-AM

ISTITUZIONE DEL GovCERT.it

CERT GOVERNATIVO DI COORDINAMENTO

CERTCoordinamento


CERT governativi in EUROPA


GovCERT.it

Tipologia e missione

Constituency* & autorità

Modello organizzativo

CERT interno

CERT coordinamento

PA CentraleNessuna autorità

* Constituency, termine utilizzato per indicare

la comunità di riferimento di un CERT


Linee di azione prioritarie

Creazione e stabilizzazione delle relazioni con la Constituency

Progettazione, sviluppo ed erogazione alla Constituency dei servizi di maggiore utilità,

efficacia ed economicità di sistema

Definizione di accordi di collaborazione con altri Organi dello Stato, con istituzioni analoghe anche internazionali, con fornitori di prodotti e serviz i


GovCERT.it - Constituency

� Relazioni stabili e già operative con 32 Amministrazioni (su 59)più alcune adesioni a titolo volontaristico

� Per ogni Amministrazione gli interlocutori del GovCERT.it sono stati classificati in:� ISTITUZIONALI

� Consiglieri tecnici per la sicurezza ICT� Comitati Sicurezza ICT� Responsabili sistemi informativi

� DI RIFERIMENTO� Responsabili sicurezza ICT

� OPERATIVI� Gli appartenenti ai gruppi CERT-AM/unità locali o ai security team

� In corso la costituzione di un Gruppo di Lavoro ristretto per ladefinizione di linee guida per i CERT-AM e della disciplina delle relazioni fra questi ed il GovCERT.it; il gruppo fungerà da anche da gruppo di contatto con le Amministrazioni.


GovCERT.it - servizi

REATTIVIREATTIVI

Gestione incidenti

Supporto alla risposta

Coordinamento della risposta

Early warning

Gestione codici pericolosi

Coordinamento della risposta

PROATTIVIPROATTIVI QUALITÀ QUALITÀ SICUREZZASICUREZZASensibilizzazioneCooperazione e condivisione informazioni

Osservatorio tecnologico

Valutazioni/verifiche

Definizione di regole e linee guida

Raccolta e analisi informazioni


GovCERT.it - relazioni

GovCERT.itFF.OO.

CNIPA eComitato

TF-CSIRT FIRSTEGC

ISP

Altri CSIRT* MEDIA

ORGANISMI EUROPEI

Operatori TLC

Fornitorisoftware

* Computer Security Incident Response Team,

termine generico per indicare i CERT


EARLY

WARNING

Piano dei servizi

GEN2005

PROVVISORIO COMPLETO

WEB ASSESSMENT

DIFFUSIONE

INFO

OSSERVATORIO

TECNOLOGICO

RACCOLTA

INFO’S

SUPPORTO

INCIDENTI

LUG2005

OTT2005

DIC2006

GEN2006


WEB

AVANZATO



Il servizio di Early Warning

I Bollettini prodotti sono:• in lingua italiana e formati predefiniti;• firmati digitalmente;• creati sulla base di informazioni reperite da fonti private e pubbliche.

Da Gennaio 2005, data di inizio delle attività del GovCERT:• 87 (di cui 21 nel 2006) segnalazioni per nuove vulnerabilità gravi o

importanti• 16 (di cui 3 nel 2006) avvisi di presenza in rete di malware a rischio

medio o elevato• Metriche e profilazione tecnologica delle Amministrazioni (in corso di

definizione)• Ampliamento del dominio tecnologico di osservazione


Servizio gestione incidenti

Da gennaio 2005, data di inizio delle attività del GovCERT

• Rilevazione web defacement sui siti web della Constituency, delle Regioni, delle Province di maggiore importanza (Procedure di comunicazione con firma digitale e ove praticabile cifrate)

• 17 (di cui 6 nel 2006) web defacement rilevati e comunicati

• Ricevute alcune segnalazioni di incidenti� una di esse ha richiesto l’analisi del codice virale


WG ENISA

� Partecipazione al Gruppo di Lavoro ristretto su “CERT cooperation”, recente iniziativa di ENISA (European Network and Information Security Agency)

� Prima attività: inventario degli CSIRT operanti nei paesi dell’Unione Europea

Il giorno 11 ottobre 2005 si è svolto il primo incontro dei CSIRT Italiani che ha visto la partecipazione di 16 security-team italiani in rappresentanza di quasi tutti i settori della società. L’organizzazione è stata curata in collaborazione con il CERT-IT.


Nuovi Servizi 2006

� Nel corso del 2006

� Prossima apertura di un contact center a disposizione della constituency per la segnalazione incidenti

� Rilascio di un rapporto mensile sulle questioni più rilevanti per la sicurezza informatica

� Prossima apertura del sito web www.govcert.it� Attivazione dei servizi a richiesta di scansione delle vulnerabilità dei siti web della constituency


Uno sguardo al futuro

� È necessario consolidare le azioni in corso� Vanno rilanciate iniziative di awareness per la PA ma

con lo sguardo rivolto a PMI e utenti finali� Va avviato un programma per la diffusione di buone

pratiche� Va avviato un programma che individui un percorso di

certificazione di ICT security adeguato alla PA� Vanno consolidati i rapporti internazionali� È necessaria l’istituzione di un organismo preposto al

dettare le strategie e il coordinamento delle attività in tema di sicurezza ICT, per evitare sovrapposizioni ed ottenere da ogni azione il massimo dell’efficacia


Gli interventi del convegno

�La certificazione e la formazione sulla sicurezza ICT (L. Franchina –Min. Comunicazioni-ISCOM)�Le linee guida per la sicurezza ICT delle PA (G. Pontevolpe - CNIPA)�La sicurezza delle reti pubbliche (M. Terranova - CNIPA)� Sicurezza e privacy (C. Comella – Garante per la protezione dei dati personali)

�Interventi di fornitori:Rodolfo FalconeCountry Manager Italy Trend Micro Italia S.p.a.Mario NicosiaSecurity & Identity Management Solutions Leader Oracle ItaliaAndrea RigoniSenior Client Service Manager SymantecVincenzo SpagnolettiEnterprise Account Manager American Power Conversion Italia SrlRoberto UgoliniResponsabile Servizi Sicurezza Postecom POSTECOM SPA Gruppo Poste Italiane

L'organizzazione della sicurezza ICT delle...

Documents

Transcript of L'organizzazione della sicurezza ICT delle...