Se siete un fornitore di una PA e vi è stato richiesto di adottare le misure minime di sicurezza ICT dell’AgID, questo è l’articolo che fa per voi. Ma andiamo con ordine.
IL CONTESTO
L’Agenzia per l’Italia Digitale è l’agenzia tecnica della Presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi dell’Agenda digitale italiana e contribuire alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione, favorendo l’innovazione e la crescita economica. Fu creata nel 2012 dal governo Monti e dalla sua nascita a oggi ha avuto 5 diversi direttori.
L’Agenda Digitale italiana è la strategia nazionale per raggiungere gli obiettivi indicati dall’Agenda Digitale Europea, varata nel 2010 e integrata negli obiettivi del framework Europa 2020, che fissa obiettivi per lo sviluppo dell’Unione europea (UE) da raggiungere entro il 2020.
Uno degli obiettivi dell’Agenda è quello di contrastare la diffusione della criminalità informatica e di prevenire il rischio di un calo della fiducia nelle reti, comprese quelle gestite dalla PA. Di conseguenza, nel 2015, il Presidente del Consiglio Renzi ha affidato all’AgID il compito di individuare gli standard minimi di prevenzione e reazione agli eventi cibernetici.
Gli standard vengono individuati nel 2017 e viene richiesto a tutte le Pubbliche Amministrazioni di adottare almeno le “misure minime di sicurezza” entro il 31 dicembre dello stesso anno. Esistono poi anche misure “Standard” e misure “Avanzate”, che devono essere adottate dalle PA maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati).
LO SCENARIO
Ma se queste misure sono state ideate esclusivamente per le PA, perché la tua azienda dovrebbe occuparsi di questo argomento?
Dal momento che molte aziende forniscono alle pubbliche amministrazioni servizi strategici ed essenziali al funzionamento delle loro reti (es. hardware, software, piattaforme cloud, servizi di manutenzione), sta aumentando la pressione verso le PA a rifornirsi esclusivamente presso fornitori che rispondono a standard sempre più elevati.
Per esempio, a partire dal 1° aprile 2019 le PA possono acquisire esclusivamente servizi cloud qualificati da AgID. Per ottenere tale certificazione da parte di AgID, le misure minime dell’Agenzia non potranno essere ignorate.
Entrando maggiormente nel dettaglio, le misure minime sono 45, quelle standard 44 e quelle avanzate 32 e sono divise nei seguenti macro-gruppi:
- INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AUTORIZZATI
- INVENTARIO DEI SOFTWARE AUTORIZZATI E NON AUTORIZZATI
- PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER
- VALUTAZIONE E CORREZIONE CONTINUA DELLA VULNERABILITÀ
- USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE
- DIFESE CONTRO I MALWARE
- COPIE DI SICUREZZA
- PROTEZIONE DEI DATI
Ma quali sono queste misure minime? L’elenco completo lo trovate a questo link: https://www.cert-pa.it/documents/10184/27607/MM.doc/7cc62146-2fb4-4d8d-bfcf-135e368e8c74
IL SUPPORTO DI ARGO
Applicare le misure minime è uno sforzo non da poco per una PMI e, per questo motivo, spesso conviene affidarsi a professionisti esperti che possano supportare l’azienda nel percorso verso la conformità dei requisiti AgID.
Argo può aiutare la tua azienda ad applicare correttamente le misure richieste, aiutandoti a raggiungere standard di qualità che ti permetteranno non solo di presentarti come partner affidabile per una PA, ma anche e soprattutto per ridurre esponenzialmente i rischi di data breach (forieri di sanzioni e danni per la reputazione).
La consulenza di Argo sarà inoltre molto utile in ambito di GDPR, dal momento che, secondo il Framework Nazionale per la Cyber Security e la Data Protection 2.0 a cui ha lavorato anche il Garante per la Protezione dei Dati Personali, ben 21 misure di sicurezza AgID si sovrappongono ai requisiti del Regolamento UE. Di conseguenza, intervenendo in maniera mirata, la tua azienda potrà, nello stesso tempo, raggiungere i requisiti AgID e la conformità al GDPR.