Anche questo documento, come il precedente, ha l'ambizione di porsi all'attenzione del decisore politico e presentargli un'analisi dello stato dell'arte e delle diverse azioni auspicabili per facilitare la costituzione di organizzazioni in grado di gestire la sicurezza delle informazioni.

Il gruppo di lavoro, coordinato da Andrea Rigoni, dall'analisi dello scenario è addivenuto ad alcune riflessioni sulle evoluzioni possibili rispetto a quattro ambiti tematici e per ciascuno di essi ha elaborato alcune raccomandazioni prioritarie per assicurare, da parte delle organizzazioni pubbliche, un'adeguata prevenzione e risposta agli eventi cibernetici.

1. L'importanza del Framework Nazionale per la Cyber Security nell'evoluzione e allineamento degli standard di sicurezza della pubblica amministrazione a quelli già ampiamente utilizzati a livello internazionale o in altri settori, nonché dei relativi processi di compliance;

Raccomandazione: 1. Definire standard di sicurezza e procedure di compliance

2. Il ruolo dei Computer Emergency Response Team (CERT) e il loro sviluppo nel contesto della pubblica amministrazione italiana, secondo una logica evolutiva che tenga conto non solo della loro capacità di risposta agli incidenti informatici, ma anche e sopratutto della loro capacità di prevenzione delle minacce;

Raccomandazioni:

2.1 Realizzare un "abecedario" dei CERT per la PA

2.2 Assicurare la cooperazione tra CERT

3. L'importanza dei processi di creazione e potenziamento delle competenze in tema di cyber security, rispetto al quale rivestono un ruolo fondamentale tanto le azioni formative volte a formare "a monte" specifiche figure professionali in tema di sicurezza informatica (corsi di laurea), quanto le azioni formative e informative destinate al personale tecnico della PA, e più in generale a tutti i dipendenti pubblici;

Raccomandazioni:

3.1 Attivare nuovi corsi di laurea afferenti alla Classe LM66

3.2 Realizzare pacchetti formativi modulari per i dipendenti della PA

4. Lo sviluppo e la diffusione nella PA italiana della figura del Chief Information Security Officer, ovvero di quelle specifiche figure cui affidare il coordinamento delle attività volte a garantire la sicurezza dell'amministrazione.

Raccomandazione: 4. Istituzione del CISO nelle pubbliche amministrazioni

Il report è disponibile all'indirizzo http://cantieripadigitale.it/it/sicurezza-digitale-report-2016/ sul portale della community di FPA a cui è necessario essere iscritti per scaricare il documento. 

Valenzano, 6 febbraio 2017