La sicurezza nella PA: dati e considerazioni Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione
Motivazioni alla base dell osservatorio per la sicurezza La sicurezza ICT condiziona l efficacia dei processi informatici La migrazione al Sistema Pubblico di Connettività comporta una nuova prospettiva nella gestione della sicurezza Occorre misurare i miglioramenti nel tempo delle singole Amministrazioni e del quadro complessivo della PAC raccogliere tutte le indicazioni necessarie per definire le politiche e gli sviluppi attesi in materia di sicurezza per la PAC
La storia Rilevazione preliminare dello stato dei principali CED con specifica sezione dedicata alla Sicurezza ICT Rilevazione annuale del CNIPA sullo stato dell informatizzazione nella Pubblica Amministrazione
Modalità di lavoro Esame delle risposte Calcolo degli indicatori Relazione annuale
Gli indicatori chiave per la sicurezza Sono stati definiti 4 macro indicatori Sicurezza logica Sicurezza dell infrastruttura Sicurezza dei servizi Sicurezza dell organizzazione Gli indicatori sono valorizzati secondo una metrica che si basa sulle risposte ai questionari
Sicurezza Logica gli argomenti Criteri per l amministrazione dei sistemi Regole per l utilizzo delle risorse elaborative Sistemi per l autenticazione utente Aggiornamento dei S.O. Software Distribution per le PDL Sistemi e procedure per il Backup / Restore
Sicurezza logica i risultati Gestione centralizzata della sicurezza Sistemi di autenticazione basati su password Aggiornamenti periodici dei sistemi 65% KPI 1: Protezione Logica 6% 2% Scarso Basso Medio Alto 27% Il 90% delle PA ha policy centralizzate per l uso delle risorse interne da parte degli utenti e l 87% delle PA ha una policy per la password
Sicurezza dell infrastruttura gli argomenti Sicurezza fisica Sicurezza delle LAN (Wired / Wireless) Sicurezza perimetrale (FW) Sistemi per la rilevazione delle intrusioni (IDS/IDP) Tecnologie per l accesso remoto ai servizi
Sicurezza delle infrastrutture i risultati Discreta presenza di reti wireless L utilizzo dei firewall è prassi consolidata Buona diffusione di IDS e IPS 72% KPI 2: Sicurezza dell'infrastruttura 12% 4% Scarso Basso Medio Alto 12% Protocollo WPA poco diffuso Solo il 48% delle PA consente l accesso alla rete interna da remoto mediante VPN
Sicurezza dei servizi Sistemi e procedure per la C.O. e sistemi di Disaster Recovery Applicazioni web Filtro antivirus sulla posta elettronica Filtro Antispam sulla posta elettronica Cifratura del canale per l accesso a siti WEB interni o esterni (SSL) Centralizzazione dei sistemi antivirus
Sicurezza dei servizi L uso di antivirus è prassi consolidata Buona diffusione dei prodotti anti-spam Poca attenzione alla continuità operativa KPI 3: Sicurezza dei servizi 32% 31% 8% 29% Scarso Basso Medio Alto Solo il 70% delle PA utilizza il protocollo HTTPS per proteggere i contenuti sensibili
Organizzazione per la Sicurezza Piano di sicurezza ICT Organigramma (ruoli e strutture) per la sicurezza secondo la direttiva 16/1/2002 Gestione dell Outsourcing per la sicurezza Analisi del rischio per la sicurezza ICT Piano per la sicurezza logica e fisica Formazione del personale interno sul tema Sicurezza
Organizzazione per la sicurezza Limitata adozione della direttiva del 16 gennaio 2002 Carenza di pianificazione 29% 20% KPI 4:Organizzazione per la sicurezza 24% 27% Scarso Basso Medio Alto Solo il 57% delle PA ha un centro di gestione della sicurezza ICT ed un gruppo di gestione degli incidenti Nel 67% delle PA non è stato redatto ed approvato un piano di formazione e sensibilizzazione per la sicurezza ICT
Sintesi dei risultati della rilevazione del 2006 Sicurezza logica: valori medio-alti (KPI 7,33) Sicurezza delle infrastrutture: valori medio-alti (KPI 7,06) Sicurezza dei servizi: valori mediobassi (KPI 5,5) Organizazione per la sicurezza: valori medio-bassi (KPI 5,41)
Le iniziative delle amministrzioni Interesse crescente nei confronti delle problematiche di continuità operativa Alcune amministrazioni hanno stanziato fondi per progetti di disaster recovery Progetti per il single sign-on Documenti sulle politiche di sicurezza
Considerazioni finali Miglioramento rispetto al 2005 degli indicatori sicurezza logica e sicurezza infrastrutture Tendenza ad attestarsi sulle misure minime del DL 196/03 Poca attenzione alla riservatezza delle informazioni scambiate via Internet Carenza di strutture e procedure per la gestione dei problemi di sicurezza
Per maggiori informazioni www.cnipa.gov.it