La consapevolezza della sicurezza nella PA. L esperienza MIUR

Documenti analoghi
Regolamento GESTIONE E AGGIORNAMENTO SITO WEB ISTITUZIONALE

I dati in cassaforte 1

MANUALE DELLA QUALITÀ Pag. 1 di 6

INTERVENTO LE AZIONI DI SISTEMA TRA CAPACITY BUILDING E COOPERAZIONE A RETE (ROMA, 10 MAGGIO 2006)

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

VIDEOSORVEGLIANZA E CERTIFICAZIONE

FORMAZIONE AVANZATA IL CONSERVATORE DEI DOCUMENTI DIGITALI

Nome modulo: ANALISI ED ILLUSTRAZIONE DEI RUOLI PREVISTI NELL ORGANIZZAZIONE

ISTITUTO TECNICO ECONOMICO STATALE L. AMABILE

1 La politica aziendale

INDICE PR 13 COMUNICAZIONE E GESTIONE DELLE INFORMAZIONI 1 SCOPO 2 CAMPO DI APPLICAZIONE 3 TERMINOLOGIA E ABBREVIAZIONI 4 RESPONSABILITÀ

Il Nuovo Codice dell Amministrazione Digitale: opportunità per i cittadini, adempimenti per le amministrazioni Napoli, 28 aprile 2011

COMUNE DI CASTELLAR (Provincia di Cuneo) PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA TRIENNIO 2014/2016.

Riconoscibilità dei siti pubblici: i domini della Pa e le regole di.gov.it

Comune di San Martino Buon Albergo

Audit & Sicurezza Informatica. Linee di servizio

DELIBERAZIONE DELLA GIUNTA REGIO- NALE 16 maggio 2011, n. 1101

COMUNE DI ROCCAVIONE Provincia di Cuneo

SOMMARIO. Art. 8 Conoscenza dei bisogni e valutazione del gradimento dei servizi

Sicurezza informatica in azienda: solo un problema di costi?

AGENDA DIGITALE: COSA I COMUNI SI ATTENDONO DALLA SUA ATTUAZIONE E COME I COMUNI POSSONO CONTRIBUIRE ALLA SUA ATTUAZIONE

AVVISO PUBBLICO ALLE ISTITUZIONI SCOLASTICHE ED EDUCATIVE O LORO RETI DELLA REGIONE SICILIA

PO 01 Rev. 0. Azienda S.p.A.

Guadagnare Salute Piemonte Scuole che Promuovono Salute

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Il modello veneto di Bilancio Sociale Avis

SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE

REGOLAMENTO DI FUNZIONAMENTO

IL SISTEMA INFORMATIVO DELL ISTRUZIONE CONTRIBUTO ALLA TRASPARENZA

Politica per la Sicurezza

ATTO D INDIRIZZO DEL DIRIGENTE SCOLASTICO PER LA PREDISPOSIZIONE DEL PIANO TRIENNALE DELL OFFERTA FORMATIVA

Processo di gestione del rischio

COMUNE DI ROTTOFRENO PROVINCIA DI PIACENZA PIANO DELLA PERFORMANCE SEGRETERIA E AFFARI ISTITUZIONALI III QUADRIMESTRE 2013

Formazione Immigrazione

Il cittadino digitale. Francesco Meschia, Erminio Ribet CSI-Piemonte

PROVINCIA DI MATERA. Regolamento per il funzionamento. dell Ufficio Relazioni con il Pubblico della Provincia di Matera

Il catalogo MARKET. Mk6 Il sell out e il trade marketing: tecniche, logiche e strumenti

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Obiettivi di accessibilità

Ufficio I Funzioni vicarie. Affari generali. Personale docente, educativo ed ATA. Legale, contenzioso e disciplinare.

IL PROCESSO CIVILE TELEMATICO

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

Monitoraggio dell attuazione della legge 440/97 Analisi di contesto e Gantt delle operazioni

SCHEDA PRODOTTO PAG. 1 J O B T I M E W F. Variazioni mensili al cartellino presenze. Versione 6.1. JOBTIME Work Flow

Auto Mutuo Aiuto Lavoro

La tecnologia cloud computing a supporto della gestione delle risorse umane

CREDEMTEL. Credemtel S.p.A. Telese, 03/2015 CREDEMTEL

CAMERA DI DI COMMERCIO COMMERCIO DI CAMPOBASSO: UN ENTE DIGITALE

SiRVeSS. Il Sistema di Riferimento Veneto per la Sicurezza nelle Scuole. Silvia Rosin Direzione Regionale per la Prevenzione

La fatturazione elettronica per le istituzioni scolastiche

PROTOCOLLO INFORMATIZZATO, PROTOCOLLO INFORMATICO E GESTIONE DOCUMENTALE. Maggio 2006

Dematerializzare per Semplificare

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

DIGITALIZZAZIONE DELL ARCHIVIO CONSOLARE DELL AMBASCIATA D ITALIA A PRAGA

Comune di SOVERE Provincia di BERGAMO CRITERI. gestione ed aggiornamento Sito Web Istituzionale

La Posta Certificata per la trasmissione dei documenti informatici. renzo ullucci

IL SISTEMA DI GESTIONE AMBIENTALE PER UN COMUNE

Anno Scolastico: 2014/2015. Indirizzo: Amministrazione, finanza e marketing. Classe: quarta. Disciplina: Tecnologie della Comunicazione

ALLEGATO 5 SCHEDA DI VALUTAZIONE STEERING RICERCA E INNOVAZIONE CIG: AB1. Allegato 5: Scheda di valutazione Pag. 1

Strumenti digitali e privacy. Avv. Gloria Galli

QUESTIONARIO 3: MATURITA ORGANIZZATIVA

ƒ Gli standard e la gestione documentale

12.1) Metodi e tecniche di valutazione delle politiche pubbliche nella dimensione locale (rif. Paragrafo n.12 del Piano formativo Argomento n.

Identità certa nei processi online Identity & Service Provider SPID

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITÀ

Presidenza del Consiglio dei Ministri

Padova, 13 gennaio Il cruccio del Provider: ci sono o ci faccio? Marisa Sartori e Mauro Zaniboni

POLITICA DI COESIONE

Bollettino Ufficiale della Regione Puglia n. 177 del

Programma triennale per la trasparenza e integrità

Linee guida per le Scuole 2.0

Aldo Lupi Ancitel Lombardia

FORUM PA 2011 PIANO STRAORDINARIO PER LA DIGITALIZZAZIONE DELLA GIUSTIZIA

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

2 aprile 2010 Sicurezza: Rappresentante dei Lavoratori per la Sicurezza

Relazione accompagnamento Studio di Fattibilità Tecnica COMUNE DI TURRI. Provincia Medio Campidano

un responsabile ti chiamerà al più presto per chiarire ogni dubbio

MODULO DIDATTICO 2 Trasparenza amministrativa: gli obblighi normativi per le scuole dopo il D.LGS. n. 33/2013

COMUNE DI CASTIGLION FIORENTINO Provincia di Arezzo. PIANO DI INFORMATIZZAZIONE per il Triennio

Manifesto IFLA Per la Biblioteca Multiculturale

Corso di Valutazione Economica dei Progetti e dei Piani. Marta Berni AA

trasversali Gestione corpi di reato progetti operativi gestione delle risorse rapporto con gli utenti innovazione organizzazione logistica

INFORMAZIONE FORMAZIONE E CONSULENZA. benchmark ingbenchmarking benchmarkingbench marking

IL DIRETTORIO DELLA BANCA D ITALIA

Il Sistema Integrato di Gestione della Conoscenza dell Agenzia

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

Policy. Le nostre persone

ICT per la Sanità in Emilia Romagna

' ( % ) *+,*, -. ) '&&/ 0- / 1

PIEMONTE. D.G.R. n del 1/8/2005

Comitato di Sorveglianza Roma, 20 giugno 2014

POLITICA INTEGRATA QUALITÀ, AMBIENTE E SICUREZZA

Attività relative al primo anno

Nome. Cognome. Nato/a. In data. Nome. Sede. Istituto d Istruzione Superiore. Dichiarazione della. Certificazione finale delle Competenze.

Allegato alla delibera n. 75GC/2012 COMUNE DI CORNELIANO D ALBA PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA

lavorativo di persone con provvedimenti penali detentivi e/o in esecuzione penale esterna.

REGOLAMENTO PER LA GESTIONE DELLE SEGNALAZIONI E DEI RECLAMI

Il Security Manager in Banca. Ing. Anthony C. Wright Business Continuity Banca Nazionale del Lavoro

Transcript:

La consapevolezza della sicurezza nella PA. L esperienza MIUR Paolo De Santis Direzione Generale per i contratti, gli acquisti e per i sistemi informativi e la statistica - MIUR

Il contesto in cui opera il sistema informativo MIUR Il sistema informativo, ormai da anni, si caratterizza per un «perimetro allargato» in cui nuove classi di utenza hanno assunto un ruolo fondamentale Il sistema offre servizi a: Istanze on line Posta elettronica Iscrizioni on line Scuola in chiaro Servizi scuola famiglia 750.000 docenti 230.000 personale ATA 6000 pers. ammin. Docenti ed ATA Studenti Famiglie Istituzioni scolastiche 8.500 istituzioni scolastiche 1,5 milioni di famiglie 2,8 milioni di studenti Carta dello studente Portale dello studente Applicazioni del s.i. Plico telematico Cooperazione con altre amm. PEC, Posta elettronica

Alcuni fattori di complessità rispetto al tema della sicurezza Gestione del sistema in outsourcing, mediante due contratti distinti per i servizi applicativi ed infrastrutturali Classi di utenza eterogenee, con diverse sensibilità, aspettative e competenze digitali Elevata complessità della gestione delle identità, dei profili e dei contesti di accesso Significativa mobilità del personale Esposizione mediatica a fronte di alcuni eventi particolari Ipersensibilità di molti utenti sul tema sicurezza e privacy

Le iniziative messe in campo dall amministrazione Sono stati individuati dei filoni di attività nell ambito dei quali conseguire una prima baseline di strumenti Filone organizzativo Filone contrattuale Filone tecnico Un elemento di difficoltà: non esiste una struttura organizzativa specificamente dedicata alla gestione delle problematiche relative alla sicurezza. Le attività sono state svolte grazie alla collaborazione fra gli uffici della direzione generale

Gli aspetti organizzativi (I) Definizione ed implementazione di documenti di policy sull utilizzo dei principali strumenti del sistema informativo a disposizione degli utenti: Posta elettronica Internet Postazione di lavoro Accesso alle applicazioni del sistema informativo Sicurezza delle informazioni Le politiche sono state presentate e discusse con le organizzazioni sindacali. Sono consultabili in un apposita sezione della intranet. In generale hanno ricevuto una buona accoglienza. Alcuni punti di attenzione: usabilità vs sicurezza, utenti Vip

Gli aspetti organizzativi (II) La rete dei referenti per la sicurezza Sono stati individuati ai vari livelli dell amministrazione, dei referenti per la sicurezza, con il compito di: identificare i nuovi utenti gestire le utenze e tutte le problematiche connesse Interfacciarsi con la struttura centrale per risolvere varie tipologie di problematiche o per richiedere indagini di sicurezza Punti di attenzione: identificazione ed attribuzione delle utenze al personale docente e alle famiglie. Bonifica delle utenze, pulizia dei profili e dei contesti

Gli aspetti contrattuali Il contratto presenta numerosi richiami alla sicurezza e prevede parecchi obblighi in carico ai fornitori del sistema informativo in outsourcing I fornitori sono nominati responsabili del trattamento dati ai sensi del codice della privacy I fornitori sono tenuti ad adottare adeguate procedure e strumenti di gestione della sicurezza in conformità alle loro policy e a quelle dell amministrazione I fornitori sono tenuti ad adottare tutte le misure necessarie ad evitare la distruzione, perdita od alterazione delle informazioni da loro gestite Alcuni strumenti: sistema di gestione della sicurezza, piano disaster recovery, BIA, Reportistica varia

Gli aspetti tecnici L amministrazione è dotata dei più comuni strumenti di sicurezza perimetrale e degli end point Firewall IPS IDS Sistema di protezione delle postazioni di lavoro basato su antivirus, antimalware, antispyware Nella consapevolezza che le applicazioni rappresentano ormai il principale punto di vulnerabilità ed attacco dei sistemi informativi, sono state sviluppate delle politiche di sicurezza delle applicazioni su base Owasp, con un set di requisiti di crescente complessità implementativa. Punto di attenzione: come implementarle le policy di sicurezza delle applicazioni nell ambito del ciclo di sviluppo esistente

Alcune direzioni di lavoro per il futuro Consolidare e manutenere quanto già implementato in termini di strumenti e procedure Uniformare e migliorare la gestione delle utenze Rafforzare i meccanismi di autenticazione, attraverso l introduzione di strumenti di strong authentication Migliorare la capacità di rispondere alle istanze che pervengono dall autorità giudiziaria, in modo più efficiente e meno costoso Allineare gli strumenti disponibili, le prescrizioni contrattuali, le procedure di recovery alle mutate esigenze del business

Considerazioni finali Il quadro complessivo è costituito da luci ed ombre L amministrazione ha necessità di ricondurre le molte iniziative e strumenti di cui si è dotata in un quadro più organico, migliorando la propria capacità di governance e focalizzandosi sulle problematiche più critiche La sicurezza è ancora vista come una tematica per addetti ai lavori e non come un valore che deve permeare l intera amministrazione. Occorrono iniziative di formazione e sensibilizzazione L amministrazione ha bisogno di dedicare con maggiore continuità risorse, umane e finanziarie, al tema della sicurezza, pur in mancanza di strutture organizzative specifiche Occorre promuovere fra tutte le categorie di utenza una cultura «laica della sicurezza», che corregga le situazioni di cattiva pratica, ma salvaguardi l usabilità delle applicazioni e la pratica di lavoro quotidiano

Grazie per l attenzione! paolo.desantis@istruzione.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back