L’Agenzia per l’Italia Digitale ha emanato una propria prima circolare n.ro 1/2017 in data 17 marzo 2017 , pubblicata in gazzetta ufficiale in data 4/4/2017 ed una successiva circolare n.ro 2 in data 18 aprile 2017 pubblicata in gazzetta ufficiale in data 5/5/2017 entrambi ad oggetto: «Misure minime di sicurezza ICT per le pubbliche amministrazioni (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)» – attraverso le quali entro il 31 dicembre, tutte le organizzazioni statali e locali saranno chiamate ad implementare le misure minime indicate dalla normativa, definendo strumenti e processi per far fronte ad eventuali attacchi e per garantire una gestione ordinaria che eviti, per quanto possibile, qualsiasi tipo di minaccia.
Il provvedimento di grande importanza obbliga la pubblica amministrazione all’esecuzione di una autovalutazione sul grado di adozione di controlli sulla sicurezza che derivano da standard di riferimento internazionali, ovvero i Critical Security Controls del Center for Internet Security americano.
I controlli di sicurezza, denominati ABSC, ovvero AgID Basic Security Controls, derivano dal progetto dei 20 Critical Security Controls avviato nel 2008 da parte del SANS Institute e dal Center for Internet Security in collaborazione con le principali agenzie americane dedicate alla sicurezza e i principali fornitori di tecnologie del settore.
Le misure previste nei controlli ABSC sono state selezionati dalle seguenti 8 categorie di controlli:
• Inventario dei dispositivi autorizzati e non autorizzati
• Inventario del software autorizzato e non autorizzato
• Configurazione sicura di hardware e software
• Adozione di un processo di gestione delle vulnerabilità
• Utilizzo controllato dei privilegi amministrativi
• Adozione di difese contro i programmi malware
• Capacità di recuperare l’operatività in caso di incidente, ovvero Business Continuity
• Protezione dei dati
Secondo l’AGID i controlli da verificare sono stati mappati con le specifiche del Framework Nazionale sulla Sicurezza Cibernetica e il livello della loro adozione è stato graduato rispetto ai seguenti livelli:
• minimo, il livello al di sotto del quale il rischio è ritenuto inaccettabile e che nessuna PA deve eludere.
• standard, il livello ottimale cui tutte le Pa devono perseguire come obiettivo
• alto, livello di pertinenza degli Enti coinvolti nel processo di gestione della sicurezza nazionale.
Tutto ciò premesso per dare attuazione a tale adempimento, la nostra azienda ha sviluppato una soluzione software basata su piattaforma open source, efficiente e a costo contenuto: SecurityGenius System (c), che in particolare:
-
consente la compilazione del modulo previsto dalla normativa
-
visualizza costantemente il numero delle descrizioni delle misure che ancora devono essere compilate.
-
permette la stampa di versioni in bozza per la verifica.
-
gestisce delle note in maniera da poter tracciare in modo consistente le fasi di implementazione realizzazioni e adozione delle misure.
-
completata la compilazione il programma genera una delle versione definitive, che deve essere scaricata e firmata digitalmente, marcata temporalmente e conservata.
** Servizi opzionali:
-
possibilità di attivare un promemoria in maniera tale da evitare la compilazione a ridosso delle scadenza.
-
iscrizione alla newsletter sulle misure minime di sicurezza informatica nella PA
Obbiettivo reale della norma è quello di instaurare un processo di raccolta di evidenze oggettive in modo tale da prevenire o comunque lenire gli effetti di un attacco informatico.
SecurityGenius System (c) viene ceduto con la formula ‘ASP’ pertanto non necessita di installazione, ma saranno inviate solo le credenziali per il collegamento diretto ad un sito specifico via internet.
I punti di forza del sistema SecurityGenius System (c) sono::
- utilizzo procedura: in forma ASP
- scalabilità: a seconda delle esigenze della struttura l’applicativo può essere utilizzato da uno o più utenti
- semplicità: l’applicativo contiene già le tabelle necessarie alla compilazione del modulo AGID precaricate. E’ sufficiente caricare le modalità di applicazione, anche in tempi diversi e generare in modo automatico il modulo con pochi click ed in modo completamente guidato.
- multipiattaforma: compatibilità di tutti i sistemi host Windows, Linux e Unix
SecurityGenius System (c) il sistema visto con i tuoi occhi, la sicurezza del tuo domani …
Per informazioni e contatti: