Gli esperti di security ricordano al nuovo governo i problemi di Pubblica amministrazione ed enti locali
Si moltiplicano gli allarmi sul fronte sicurezza. Dopo Cnipa e Unione europea
è la volta del Clusit, l’Associazione italiana per la sicurezza informatica, che
rivolge al nuovo governo una serie di richieste che includono anche la Pubblica
amministrazione e in particolare quella locale.
“La prima area
d’azione – sostiene il Clusit nel suo documento reperibile sul sito www.clusit.it – riguarda il modello di valutazione del costo dei sistemi di sicurezza nella Pa. Di certo tutti vorrebbero sistemi di protezione estremamente sicuri,a bassissimo costo e ad altissime prestazioni, ma queste tre condizioni sono, almeno per il momento, inconciliabili. Nella Pa in passato hanno prevalso i criteri di scelta di tipo economico e le stesse gare d’appalto assegnano punteggi molto rilevanti alla voce “prezzo” e quindi non potremmo aspettarci sistemi sicuri o performanti. In questo senso dobbiamo auspicare un cambio di rotta, quanto meno che identifichi il costo i una soluzione di sicurezza non nel suo valore di acquisto ma, almeno, nella sua solidità nel tempo, nel suo costo di gestione e nella sua capacità di ridurre i costi dei danni derivanti da incidenti e violazioni”.
Il Clusit raccomanda anche l’avvio di
iniziative
per lo scambio di informazioni come gli Isac (Information sharing and analysis center) sul modello attivo da molti anni negli Stati Uniti “perché tanto nel settore privato che in quello pubblico la creazione di reti di fiducia tra persone che operano ai massimi livelli è il attore chiave per prevenire quanto più possibile incidenti gravi ma soprattutto per gestire efficacemente le situazioni di crisi”.
Poi c’è la Pa locale che rappresenta “un elemento di grave vulnerabilità”.
Per questo secondo gli esperti dell’Associazione bisogna avviare una specifica
attività di sensibilizzazione ai temi della sicurezza soprattutto facendo
percepire la criticità dei sistemi che la Pa locale si trova a gestire. Bisogna
accrescere le competenze interne di primo livello e incoraggiare la condivisione
di risorse specifiche sovracomunali su un modello concettuale analogo a quello
“infermiere-medico-specialista” tipico del mondo sanitario. Infine,
bisogna incoraggiare lo scambio di informazioni e la costruzione di reti trusted
in grado di rilevare e circoscrivere efficacemente anomalie e attacchi.
