際際滷

際際滷Share a Scribd company logo

ICT Security - PA digitale e sicurezza

ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale

di Andrea Lisi e Silvia Riezzo Non ci pu嘆 essere digitalizzazione della Pubblica Amministrazione senza opportuni standard di sicurezza

1 of 3
Download to read offline
ICT Security - PA digitale e sicurezza
22 Marzo 2016 ICT Security I n uno degli episodi del film Made in Italy di Nanni Loy (mirabile affresco satirico dei difetti nostrani), un cittadi- no qualunque, interpretato da Nino Man- fredi, recatosi allanagrafe per un certifi- cato di residenza, viene risucchiato in un surreale gorgo di file, sportelli, bolli man- canti e documenti sbagliati che sembrano, alla fine, mettere in discussione la sua stessa esistenza e identit. Una situazione volutamente esasperata che coglie nel segno, evidenziando alcuni aspetti della burocrazia italiana che tor- nano a riproporsi anche oggi, nella fase di passaggio dalla vecchia pubblica ammi- nistrazione, fatta di carte bollate e file allo sportello, alla nuova, pi湛 trasparente e pi湛 funzionale (almeno cos狸 dovrebbe essere) amministrazione digitale. Ma molti degli ostacoli e delle complicazio- ni che il cittadino si trova a dover superare per esercitare i propri diritti (ma anche per adempiere i propri doveri), e con i quali guardando le cose da un altro punto di vi- sta - gli stessi operatori della PA devono fare faticosamente i conti, sono il frutto di una confusione organizzativa e di una nor- mativa troppo complicata, ridondante per certi aspetti, lacunosa per altri. Che la digitalizzazione in Italia manchi di una governance solida e precisa non 竪 un mistero, visto che negli ultimi anni abbia- mo accumulato, in questo settore, pi湛 in- carichi che risultati: un Digital Champion nazionale, un Consigliere per linnovazione a Palazzo Chigi, un direttore dellAgID e un Commissario di governo per il digitale a cui si aggiungono il Tavolo di indirizzo di AgID, il Tavolo permanente per linnovazione e lagenda digitale italiana, il Tavolo di coor- dinamento dellAgenda digitale fra le Re- gioni. A destare perplessit, sia chiaro, non sono le persone chiamate a ricoprire que- sti ruoli, n辿 la loro indiscutibile professio- nalit, ma la mancanza di una definizione puntuale delle responsabilit e di una ro- busta strategia a lungo termine per i deli- cati processi di digitalizzazione del nostro Paese, che, magari, dia pi湛 nerbo al ruolo direttivo dellAgID, senza spezzettare fun- zioni e poteri in un nugolo di incarichi, di fatto depotenziandoli. La confusione dominante si riversa anche sulla normativa, producendo delle incon- gruenze non da poco e delle ricadute an- che per la corretta conservazione e la si- curezza dei nostri dati e documenti. E non possiamo non ricordare che non si pu嘆 parlare di corretta formazione e di pun- tuale gestione di dati, informazioni e docu- innovazionE DELLa Pa: non ci Pu嘆 EssErEDiGitaLizzazionEsEnzasicurEzza conservazione, Protezione e sicurezza dei Dati ANORC: Associazione Nazionale per Operatori e Responsabili della Conservazione digi- tale dei documenti) dal 2007 mette in comunicazione conoscenze e bisogni di aziende, enti pubblici, professionisti ed esperti che operano nella Dematerializzazione e Conser- vazione digitale, con lo scopo di garantire ai nuovi archivi digitali durata e immutabilit nel tempo. Lassociazione promuove attivit di studio e formazione sulle tematiche del digitale e sostiene un dialogo attivo con le istituzioni centrali (www.anorc.it). Silvia Riezzo: Responsabile comunicazione del D&L Department dallautunno del 2011. Laureata in Conserva- zione dei Beni Culturali ha conseguito il diploma di Master in Media Relations alla Business School del Sole 24 Ore a Roma. iscritta come pubblicista allAlbo dei giornalisti. Andrea Lisi, Presidente di ANORC Silvia Riezzo, Responsabile comunicazione Digital&Law Department Andrea Lisi: Avvocato esperto in diritto delle nuove tecnologie, Presidente ANORC e ANORC Professioni, Se- gretario Generale AIFAG e Coordinatore del Digital & Law Department dello Studio Legale Lisi. Docente pres- so la Document Management Academy e la MIS Academy della SDA Bocconi.
Marzo 2016 ICT Security 23 menti informatici senza un approccio at- tento alla sicurezza e alla conservazione (che devono procedere a braccetto). Pensiamo ad esempio alla ricetta elettro- nica, di cui molto si parla in questi giorni. Paradossalmente nel DPCM 14 novembre 2015 mancano proprio precise disposizio- ni sulle regole in base alle quali procedere alla conservazione delle prescrizioni far- maceutiche in formato digitale e sul sog- getto che deve occuparsene, esponendo questi documenti a dei rischi concreti, no- nostante il Codice dellAmministrazione di- gitale, agli articoli 43 e 44, imponga ri- spettivamente: la conservazione perma- nente in modalit digitale dei documenti informatici di cui 竪 prescritta la conserva- zione per legge o regolamento, da effet- tuarsi in modo da garantire il rispetto delle regole tecniche stabilite ai sensi dellart. 71 dello stesso CAD e delle misure di sicurez- za previste dagli articoli da 31 a 36 del Co- dice Privacy (D.Lgs. n. 196/2003) e dal di- sciplinare tecnico di cui allAllegato B dello stesso. Ad oggi, invece, chi si sta preoccupando di conservare a norma di legge e in sicurezza le nostre prescrizioni mediche? E con quali modalit? Segnali non incoraggianti vengono anche dallo schema di decreto che dovrebbe modificare il Codice dellAmministrazione Digitale e che ha suscitato non poche per- plessit, alcune delle quali strettamente legate alla sicurezza dei dati. Come sostie- ne lamico Carlo Mochi Sismondi1 (Forum- PA), sembra si voglia togliere di netto dal CAD tutto quello che non si 竪 riusciti ad at- tuare finora, senza chiedersi se alcune norme non potrebbero, magari, ancora essere utili e applicabili con qualche picco- la revisione dettata dal buon senso. questo il caso dellart. 50bis, che prevede- va lobbligo per tutte le amministrazioni di predisporre un piano di continuit opera- tiva contenente anche lo studio sul disa- ster recovery sul quale avrebbe dovuto esprimersi AgID (allepoca DigitPA) con un suo parere tecnico. Il rispetto puntuale di questa norma (gi pienamente in vigore, ma sostanzialmente ignorata dalla stra- grande maggioranza delle P.A.) avrebbe per嘆 fatto s狸 che AgID venisse sepolta da una mole enorme di piani e studi, inviati da tutte le amministrazioni italiane, ai quali avrebbe dovuto fare fronte fornendo per ognuno di essi un parere tecnico. Di fronte alla sua effettiva inattuabilit per come era stata concepita, si sta preferendo eli- minare tout court una norma - che ha in- vece un valore per la sicurezza dei dati ge- stiti dalle PA - piuttosto che prevederne unapplicazione selettiva (solo per alcuni enti maggiori, ad esempio) o pi湛 graduale nel tempo. Sempre nellottica di offrire unadeguata sicurezza ai dati detenuti da- gli enti pubblici, come non mettere in evi- denza che le uniche regole tecniche a mancare tuttora allappello sono proprio le Regole tecniche previste dallart. 51 del Codice dellAmministrazione Digitale, che dovrebbero stabilire le modalit atte a garantire lesattezza, la disponibilit, lac- cessibilit, lintegrit e la riservatezza dei dati, dei sistemi e delle infrastrutture delle amministrazioni pubbliche e che risultano imprescindibili per garantire la sicurezza informatica sia delle infrastrutture, sia del crescente patrimonio informativo digitale, soprattutto degli enti che gestiscono dati e documenti di natura pubblicistica. Sulla loro pubblicazione tutto tace, mentre in- tanto si continua a utilizzare come riferi- mento normativo lAllegato B al Codice privacy. Questo dovrebbe destare parti- colare preoccupazione, ma si preferisce pensare di risolvere tutto affidandosi a nomine di super esperti deputati alla cy- bersicurezza nazionale. Purtroppo non so- no questi gli strumenti reali per presidiare i processi e modelli organizzativi che ser- vono davvero per la digitalizzazione del Paese. Ma possiamo digitalizzare la PA la- sciando nella normativa un buco proprio riguardo alla sicurezza dei dati del cittadi- no? La domanda 竪 ovviamente retorica, dal momento che la sicurezza di dati e do- cumenti 竪 il primo, ineludibile principio, su cui basare la loro conservazione digitale: senza sicurezza, quindi, non c竪 digitalizza- zione. Non rischiamo di minare il delicato rapporto PA-cittadino con insidie che lo rendano un rapporto complesso, arzigo- golato, pieno di vicoli ciechi, come nel film di Nanni Loy, ma cerchiamo di farne una relazione sana, bidirezionale, funzionante: ne trarremo tutti vantaggio. I 1 Il CAD che ho letto e il CAD che sognavo, Carlo Mochi Sismondi, http://www.forumpa.it/pa-digi- tale/il-cad-che-ho-letto-e-il-cad-che-sognavo

More Related Content

ICT Security - PA digitale e sicurezza

  • 2. 22 Marzo 2016 ICT Security I n uno degli episodi del film Made in Italy di Nanni Loy (mirabile affresco satirico dei difetti nostrani), un cittadi- no qualunque, interpretato da Nino Man- fredi, recatosi allanagrafe per un certifi- cato di residenza, viene risucchiato in un surreale gorgo di file, sportelli, bolli man- canti e documenti sbagliati che sembrano, alla fine, mettere in discussione la sua stessa esistenza e identit. Una situazione volutamente esasperata che coglie nel segno, evidenziando alcuni aspetti della burocrazia italiana che tor- nano a riproporsi anche oggi, nella fase di passaggio dalla vecchia pubblica ammi- nistrazione, fatta di carte bollate e file allo sportello, alla nuova, pi湛 trasparente e pi湛 funzionale (almeno cos狸 dovrebbe essere) amministrazione digitale. Ma molti degli ostacoli e delle complicazio- ni che il cittadino si trova a dover superare per esercitare i propri diritti (ma anche per adempiere i propri doveri), e con i quali guardando le cose da un altro punto di vi- sta - gli stessi operatori della PA devono fare faticosamente i conti, sono il frutto di una confusione organizzativa e di una nor- mativa troppo complicata, ridondante per certi aspetti, lacunosa per altri. Che la digitalizzazione in Italia manchi di una governance solida e precisa non 竪 un mistero, visto che negli ultimi anni abbia- mo accumulato, in questo settore, pi湛 in- carichi che risultati: un Digital Champion nazionale, un Consigliere per linnovazione a Palazzo Chigi, un direttore dellAgID e un Commissario di governo per il digitale a cui si aggiungono il Tavolo di indirizzo di AgID, il Tavolo permanente per linnovazione e lagenda digitale italiana, il Tavolo di coor- dinamento dellAgenda digitale fra le Re- gioni. A destare perplessit, sia chiaro, non sono le persone chiamate a ricoprire que- sti ruoli, n辿 la loro indiscutibile professio- nalit, ma la mancanza di una definizione puntuale delle responsabilit e di una ro- busta strategia a lungo termine per i deli- cati processi di digitalizzazione del nostro Paese, che, magari, dia pi湛 nerbo al ruolo direttivo dellAgID, senza spezzettare fun- zioni e poteri in un nugolo di incarichi, di fatto depotenziandoli. La confusione dominante si riversa anche sulla normativa, producendo delle incon- gruenze non da poco e delle ricadute an- che per la corretta conservazione e la si- curezza dei nostri dati e documenti. E non possiamo non ricordare che non si pu嘆 parlare di corretta formazione e di pun- tuale gestione di dati, informazioni e docu- innovazionE DELLa Pa: non ci Pu嘆 EssErEDiGitaLizzazionEsEnzasicurEzza conservazione, Protezione e sicurezza dei Dati ANORC: Associazione Nazionale per Operatori e Responsabili della Conservazione digi- tale dei documenti) dal 2007 mette in comunicazione conoscenze e bisogni di aziende, enti pubblici, professionisti ed esperti che operano nella Dematerializzazione e Conser- vazione digitale, con lo scopo di garantire ai nuovi archivi digitali durata e immutabilit nel tempo. Lassociazione promuove attivit di studio e formazione sulle tematiche del digitale e sostiene un dialogo attivo con le istituzioni centrali (www.anorc.it). Silvia Riezzo: Responsabile comunicazione del D&L Department dallautunno del 2011. Laureata in Conserva- zione dei Beni Culturali ha conseguito il diploma di Master in Media Relations alla Business School del Sole 24 Ore a Roma. iscritta come pubblicista allAlbo dei giornalisti. Andrea Lisi, Presidente di ANORC Silvia Riezzo, Responsabile comunicazione Digital&Law Department Andrea Lisi: Avvocato esperto in diritto delle nuove tecnologie, Presidente ANORC e ANORC Professioni, Se- gretario Generale AIFAG e Coordinatore del Digital & Law Department dello Studio Legale Lisi. Docente pres- so la Document Management Academy e la MIS Academy della SDA Bocconi.
  • 3. Marzo 2016 ICT Security 23 menti informatici senza un approccio at- tento alla sicurezza e alla conservazione (che devono procedere a braccetto). Pensiamo ad esempio alla ricetta elettro- nica, di cui molto si parla in questi giorni. Paradossalmente nel DPCM 14 novembre 2015 mancano proprio precise disposizio- ni sulle regole in base alle quali procedere alla conservazione delle prescrizioni far- maceutiche in formato digitale e sul sog- getto che deve occuparsene, esponendo questi documenti a dei rischi concreti, no- nostante il Codice dellAmministrazione di- gitale, agli articoli 43 e 44, imponga ri- spettivamente: la conservazione perma- nente in modalit digitale dei documenti informatici di cui 竪 prescritta la conserva- zione per legge o regolamento, da effet- tuarsi in modo da garantire il rispetto delle regole tecniche stabilite ai sensi dellart. 71 dello stesso CAD e delle misure di sicurez- za previste dagli articoli da 31 a 36 del Co- dice Privacy (D.Lgs. n. 196/2003) e dal di- sciplinare tecnico di cui allAllegato B dello stesso. Ad oggi, invece, chi si sta preoccupando di conservare a norma di legge e in sicurezza le nostre prescrizioni mediche? E con quali modalit? Segnali non incoraggianti vengono anche dallo schema di decreto che dovrebbe modificare il Codice dellAmministrazione Digitale e che ha suscitato non poche per- plessit, alcune delle quali strettamente legate alla sicurezza dei dati. Come sostie- ne lamico Carlo Mochi Sismondi1 (Forum- PA), sembra si voglia togliere di netto dal CAD tutto quello che non si 竪 riusciti ad at- tuare finora, senza chiedersi se alcune norme non potrebbero, magari, ancora essere utili e applicabili con qualche picco- la revisione dettata dal buon senso. questo il caso dellart. 50bis, che prevede- va lobbligo per tutte le amministrazioni di predisporre un piano di continuit opera- tiva contenente anche lo studio sul disa- ster recovery sul quale avrebbe dovuto esprimersi AgID (allepoca DigitPA) con un suo parere tecnico. Il rispetto puntuale di questa norma (gi pienamente in vigore, ma sostanzialmente ignorata dalla stra- grande maggioranza delle P.A.) avrebbe per嘆 fatto s狸 che AgID venisse sepolta da una mole enorme di piani e studi, inviati da tutte le amministrazioni italiane, ai quali avrebbe dovuto fare fronte fornendo per ognuno di essi un parere tecnico. Di fronte alla sua effettiva inattuabilit per come era stata concepita, si sta preferendo eli- minare tout court una norma - che ha in- vece un valore per la sicurezza dei dati ge- stiti dalle PA - piuttosto che prevederne unapplicazione selettiva (solo per alcuni enti maggiori, ad esempio) o pi湛 graduale nel tempo. Sempre nellottica di offrire unadeguata sicurezza ai dati detenuti da- gli enti pubblici, come non mettere in evi- denza che le uniche regole tecniche a mancare tuttora allappello sono proprio le Regole tecniche previste dallart. 51 del Codice dellAmministrazione Digitale, che dovrebbero stabilire le modalit atte a garantire lesattezza, la disponibilit, lac- cessibilit, lintegrit e la riservatezza dei dati, dei sistemi e delle infrastrutture delle amministrazioni pubbliche e che risultano imprescindibili per garantire la sicurezza informatica sia delle infrastrutture, sia del crescente patrimonio informativo digitale, soprattutto degli enti che gestiscono dati e documenti di natura pubblicistica. Sulla loro pubblicazione tutto tace, mentre in- tanto si continua a utilizzare come riferi- mento normativo lAllegato B al Codice privacy. Questo dovrebbe destare parti- colare preoccupazione, ma si preferisce pensare di risolvere tutto affidandosi a nomine di super esperti deputati alla cy- bersicurezza nazionale. Purtroppo non so- no questi gli strumenti reali per presidiare i processi e modelli organizzativi che ser- vono davvero per la digitalizzazione del Paese. Ma possiamo digitalizzare la PA la- sciando nella normativa un buco proprio riguardo alla sicurezza dei dati del cittadi- no? La domanda 竪 ovviamente retorica, dal momento che la sicurezza di dati e do- cumenti 竪 il primo, ineludibile principio, su cui basare la loro conservazione digitale: senza sicurezza, quindi, non c竪 digitalizza- zione. Non rischiamo di minare il delicato rapporto PA-cittadino con insidie che lo rendano un rapporto complesso, arzigo- golato, pieno di vicoli ciechi, come nel film di Nanni Loy, ma cerchiamo di farne una relazione sana, bidirezionale, funzionante: ne trarremo tutti vantaggio. I 1 Il CAD che ho letto e il CAD che sognavo, Carlo Mochi Sismondi, http://www.forumpa.it/pa-digi- tale/il-cad-che-ho-letto-e-il-cad-che-sognavo