Le misure minime di sicurezza informatica rappresentano un sostanziale cambio di visione nell’approccio della gestione degli incidenti informatici nella PA.
Ci sono due cambiamenti fondamentali.
Il cittadino e i suoi dati vengono posti al centro della attenzione. L’obbiettivo NON è quello di riparare il danno, dopo che si è verificato l’incidente, ma quello di attuare una serie di misure preventive. Detto con un proverbio evitare di chiudere le porte della stalla dopo che i buoi sono scappati.
Questo per fare in modo che, anche quando si verifichi un incidente, gli impatti sulla continuità del servizio siano controllati e limitati.
Per la prima volta emerge esplicitamente il concetto di una PA come una organizzazione unitaria, che risponde in modo sistemico ad eventi critici.
Mentre fino ad oggi la gestione degli incidenti informatici era concepito, percepito e gestito come un problema della singola PA. La specifica PA abbandonata a se stessa e doveva comunque trovare una soluzione, anche se magari la specifica PA non disponeva delle risorse e delle competenze necessarie per la corretta gestione dell’incidente informatico.
La PA dal punto di vista della sicurezza informatica viene modellata, come un gigantesco insieme di PA che contribuiscono in modo cooperativo ai gestione e alla soluzione degli incidenti informatici
Mentre, prima di questa normativa, ciascuna PA adottava in modo autonomo e sostanzialmente non coordinato, delle misure con l’obbiettivo di gestire localmente la situazione. Adesso prima di tutto ci sono delle linee guida uniformi per tutte le PA e l’organizzazione dei sistemi informativi della PA ha un obbiettivo leggermente diverso, molto più sfidante, raccogliere evidenze ed indicatori che precedono il manifestarsi degli incidenti informatici.
Queste informazioni vengono quindi gestite in maniera condivisa per prevenire la diffusione e il ripetersi di tali incidenti e comunque per fare in modo di limitare i danni e gli effetti negativi dell’incidente informatico.
Il cambio è quindi concettuale: si passa da misure minime per la sicurezza informatica NELLA PA intese come un mero adempimento normativo a misure mimime di sicurezza PER LA PA, nel senso di condividere in modo organico le informazioni, per prevenire i danni, le interruzione di pubblico servizio. Diminuire con un approccio strategico i rischi legati al trattamento delle informazioni del Cittadino e ottenere un comportamento più resigliente dei sistemi informativi nella PA.
La complessità degli attacchi e le potenza della minacce continueranno costantemente a espandersi. Il numero e la forza degli attacchi è destinato inesorabilmente a crescere. Quello che la PA può fare è operare come un organismo complesso, dotato di una intelligenza distibuita, in grado di imparare dagli attacchi subiti e rendere inefficaci gli attacchi o perlomeno individuare tattiche, stategie e buone pratiche volte a ridurre al minimo gli effetti negativi di attacco e un incidente informatico.
Paolo Foletto