del 08/11/2007

Il 1° Rapporto CNIPA sullo Stato della Sicurezza ICT nella PAC, recentemente pubblicato, si affianca alle rilevazioni annuali le sullo stato dell'ICT e sulla razionalizzazione delle infrastrutture ICT nella PAC. 49 quesiti on line raccolti in 4 sottosezioni, 4 indicatori chiave per accendere i riflettori sullo stato dell'arte della sicurezza informatica su un campione di 49 soggetti. In sintesi: in netto miglioramento e molto soddisfacenti i risultati medi su Sicurezza logica e Sicurezza dell'infrastruttura, sotto la soglia minima di accettabilità il dato medio su Sicurezza dei servizi e Sicurezza dell'organizzazione. Proprio in questi ultimi ambiti il CNIPA si appresta a un intervento specifico ed urgente.

Il Rapporto

Il 1° Rapporto sulla Stato della Sicurezza ICT nella PAC - 2006 si inserisce in un'attività più ampia e strategica del CNIPA, volta alla definizione di un framework organico e normativo per la difesa dei servizi di e-government e del patrimonio dati dello Stato. Il Rapporto si rivolge: alle Amministrazioni come contributo conoscitivo dello stato della sicurezza ICT della loro area di attività; al CNIPA come supporto alla determinazione di interventi per migliorare lo stato della sicurezza e infine all'intera comunità nazionale come aiuto informativo e metodologico in tema di sicurezza ICT. Il Rapporto si basa su un questionario che riprende i quesiti predisposti nella sezione sicurezza del questionario della rilevazione sulla razionalizzazione della PAC, al fine di rendere possibile il confronto tra dati rilevati nelle diverse edizioni. 4 le aree di indagine individuate, collegate a 4 indicatori chiave - Key Performance Indicator KPI: Sicurezza logica, Sicurezza dell'infrastruttura, Sicurezza dei servizi e Sicurezza dell'organizzazione. Obiettivo primario è stato la rilevazione di valori specifici riferiti agli indicatori individuati, al fine di fornire una misura realistica sullo stato della PAC rispetto al tema sicurezza informatica. La rilevazione ha per tanto seguito un framework che permettesse di analizzare statisticamente fino a che punto ciascuno dei "sottotemi" sia stato affrontato dal campione, individuando allo stesso tempo le aree che necessitano di interventi puntuali o comuni a più Amministrazioni.

I contenuti

La struttura dei dati rilevati nel Rapporto segue la suddivisione del tema sicurezza in 4 aree, in parallelo con gli indicatori chiave (KPI) indivivuati. In particolare, il tema sicurezza viene così declinato e indagato:
Sicurezza logica (KPI1): Modello organizzativo per amministrazione dei sistemi, definizione di policy, controllo degli accessi alle risorse e certificazioni richieste; Sistemi per l'autenticazione; Aggiornamento S.O. dei server e Software Distribution per le PDL; Strumenti per il Backup/Restore
Sicurezza dell'infrastruttura (KPI2): Sicurezza fisica; Sicurezza perimetrale e controllo accessi ai locali tecnici; Apparati attivi per la sicurezza degli accessi; Reti wireless e contromisure per aumentarnee la sicurezza; Modalità di accesso da remoto e strumenti utilizzati, quali VPN
Sicurezza dei servizi elementari (KPI3): Continuità operativa, procedure da attivare e disponibilità di un piano di disaster recovery; Servizi centralizzati quali antivirus o antispam sulla posta in transito o sulle PDL; Protezione dei contenuti e web filtering; Capacità di rilevare le intrusioni, e/o prevenirle in funzione del tipo di attacchi già subiti.
Sicurezza dell'organizzazione (KPI4): cura delle Amministrazioni nel ricoprire i ruoli previsti dal DM del 16/02/2002 e tutti i ruoli "noti" in ambito sicurezza; Gestire adeguatamente gli incidenti; Definire policy e curare un budget esplicitamente dedicato alla sicurezza; Gestire adeguatamente le eventuali risorse esterne per la gestione della sicurezza; Avviare iniziative per garantire sviluppi futuri su questi temi.

Nota metodologica

Il questionario su cui il Rapporto si basa consta di 36 quesiti e 13 sottoquesiti a risposta "chiusa" in un insieme predefinito di valori, anche se alla fine di ogni sezione è stata lasciata la possibilità ad ogni Amministrazione di aggiungere delle note. A partire dai dati inseriti dalle Amministrazioni si è proceduto alla normalizzazione dei risultati per consentirne l'analisi statistica e la presentazione in un report sintetico. In particolare, i risultati per ogni KPI sono stati raccolti in 4 fasce alle quali sono stati attribuiti significati di valore: KPI tra 0 e 4 = scarso; KPI tra 4 e 5= accettabile; KPI tra 5 e 7 = buono; KPI tra 7 e 10 = ottimo.

Demo report risultati

Risultati principali

Sicurezza logica: il risultato complessivo raggiunto è più che soddisfacente, pari a 7.33 (valore medio dalle risposte delle Amministrazioni). Il 65% del campione (32 Amministrazioni) hanno ottenuto un punteggio superiore alla soglia ottimale. I punti di debolezza individuati si riferiscono ai criteri utilizzati nell'acquisizione di software o servizi e agli strumenti impiegati per l'autenticazione degli utenti.

Sicurezza delle infrastrutture: si sono registrati risultati incoraggianti con un punteggio medio di 7.08, anche se 4 Amministrazioni - oltre 2 che hanno scelto di non rispondere - asseriscono di non utilizzare alcuna protezione nella connessione alla rete pubblica. Attenzione deve essere ancora rivolta al tema Reti wireless (valore medio 5.6) e ai sistemi per la rilevazione o prevenzione delle intrusioni, in uso presso 25 Amministrazioni (51% campione).

Sicurezza dei servizi: i risultati mostrano una sostanziale disomogeneità dei dati raccolti sia tra i diversi quesiti della sezione sia tra le diverse Amministrazioni. Il risultato complessivo ha raggiunto il valore medio di 5.47. I peggiori risultati sono stati ottenuti sul tema Continuità operativa e sulla capacità delle Amministrazioni di rilevare intrusioni o attacchi. 15 Amministrazioni (36% del campione) hanno ottenuto un punteggio inferiore a 4.00.
Sicurezza dell'organizzazione: si sono registrati risultati dal valore medio di 5.41, distribuiti in maniera piuttosto uniforme tra le Amministrazioni. Più della metà (25) non hanno una voce in bilancio dedicata alla sicurezza e 31 (più del 61% del campione) non hanno mai approntato o previsto un piano di formazione per stimolare, negli utenti dei sistemi informativi, una maggiore sensibilità al tema sicurezza o una maggiore capacità di affrontare consapevolmente condizioni critiche. 10 Amministrazioni affermano che non hanno mai effettuato un'analisi dei rischi connessi alla sicurezza informatica. In generale si è riscontrata una propensione molto maggiore ad attuare piani per la Sicurezza fisica e logica rispetto al dedicare energie per adeguare la propria organizzazione.

Il 1° Rapporto CNIPA sulla Stato della Sicurezza ICT nella PAC-2006