Community InnovaPuglia - Sicurezza aziendale

 

 

 

 

 

La documentazione che descrive il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) di InnovaPuglia è disponibile al seguente link:

Sistema di Gestione della Sicurezza delle Informazioni (SGSI)

E' consigliabile leggere per primo il Documento di Security Organization che inquadra il SGSI nell'ambito della struttura della Società.

Particolare rilevanza assume nel Sistema il tema dell'Analisi dei rischi che è condotta da InnovaPuglia sulla base della metodologia Mehari la cui documentazione è disponibile  sotto forma di manuale e cartella excel di template, nonché di una documento di Linee Guida che illustra le modalità definite per l'applicazione della metodologia nell'ambito delle attività della Società.
E' disponibile anche un paragrafo di specificazione tecnica di un capitolato tipo con cui si prescrive ai fornitori di soluzioni software l'adozione della stessa metodologia per le parti di loro competenza.

Incidenti Informatici

Si richiama inoltre l'attenzione sulla procedura di Gestione Incidenti ed il particolare il punto di ingresso per le segnalazioni via email (all'indirizzo info@soc.innova.puglia.it), oppure attraverso una segnalazione anche telefonica all'Helpdesk (080 4670206) che provvederà all'inoltro verso il SOC.
 

L'analisi degli incidenti gestiti nel 2018 è la seguente:
 
Nel corso dell'anno sono stati registrati n. 9 incidenti.
 
In gran parte si è trattato di problemi di disponibilità dei servizi, peraltro molto limitati a singole applicazioni ed a periodi temporali ristretti.
 
In alcuni casi sono state registrate delle comunicazioni del CERT-PA nazionale che allarmavano in relazione a dump della costituency di InnovaPuglia reperiti in rete. In tutti i casi si è verificato che si trattava di dati estremamente obsoleti, risalenti quindi a periodi di molti anni fa in cui la gestione della sicurezza era sicuramente meno robusta.
 
Tuttavia questi eventi hanno permesso di verificare il funzionamento del collegamento a CERT-PA a cui la Società si è iscritta a fine 2017 e che è diventato operativo nel 2018.
 
In generale si rileva che la nuova gestione degli incidenti sta migliorando la capacità di analisi di ciò che accade e quindi l'apprendimento dagli errori al fine del miglioramento continuo.
 
Nel corso dell'anno la nota negativa è stata rappresentata dal ritardato affidamento da parte del Socio Regione del finanziamento destinato a coprire i costi di manutenzione dell'infrastruttura tecnologica del Datacenter. Questa situazione di impossibilità di stipulare i contratti di manutenzione ha portato al rinvio dell'audit pianificato per settembre 2018, con conseguente sospensione della validità della certificazione.
 
La criticità amministrativa si è risolta con l'Atto Dirigenziale n. 843/2018 che è stato notificato alla Società in data 29/11/2018. Fermo restando che a necessità contingenti si è provveduto con interventi tecnici fuori programma di manutenzione, l'approvazione del finanziamento ha consentito l'avvio della procedura di gara per acquisire servizi di manutenzione sul Sistema Dinamico di Acquisizione della CONSIP.
 
Pertanto si procederà con la riprogrammazione dell'audit nel 2019 finalizzato alla riattivazione della certificazione. 

 

Ultimo aggiornamento 16/03/2019