Articoli

Nuove Linee Guida AgID sul Procurement ICT: la sicurezza ICT passa per la formazione

Sicurezza nel Procurement ICT: quali regole?

Il tema della sicurezza costituisce un tassello imprescindibile per la corretta realizzazione dell’Amministrazione Digitale: la sicurezza informatica rappresenta un elemento necessario per garantire la disponibilità, l’integrità e la riservatezza delle informazioni del Sistema informativo della Pubblica amministrazione; più in generale, occorre realizzare un sistema amministrativo capace di ispirare fiducia nei cittadini, presupposto per la diffusione dei servizi digitali.

Per tali ragioni, l’AgID ha emanato lo scorso 20 maggio le Linee Guida sulla sicurezza nel Procurement ICT, che erano in consultazione dal 14 maggio al 13 giugno 2019, assieme alle “Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali”.

Si tratta di un documento orientativo, destinato in misura prevalente a tutti coloro che all’interno delle pubbliche amministrazioni si occupano a vario titolo di acquisizione di strumenti informatici, come ad esempio dirigenti, funzionari, RUP delle gare pubbliche, responsabili della transizione al digitale, responsabili dell’organizzazione, pianificazione e sicurezza. Purtuttavia, le Linee Guida hanno un respiro molto ampio, offrendo altresì indicazioni utili per gli operatori di mercato che forniscono soluzioni Ict alle Pubbliche Amministrazioni.

Le Linee Guida propongono una serie di azioni per strutturare e formalizzare i futuri procedimenti di acquisizione: l’intento consiste nel minimizzare il rischio di trovarsi in situazioni inaspettate ed inattese, dovendo ricorrere a soluzioni estemporanee e, spesso, non adeguate ad eliminare il problema.

In particolare, il documento ha la finalità di:

  • illustrare in modo semplice la problematica della sicurezza nel procurement ICT;
  • formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
  • presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per migliorarne la qualità.

Dal punto di vista organizzativo, le Linee Guida richiamano la necessità di continua formazione e coordinamento tra le figure maggiormente coinvolte in tali processi, in particolare conseguendo competenze aggiornate di Procurement Management, Gestione Progetti, Asset Management, Change Management, Risk Management, Sicurezza e Protezione dei Dati.

Al contempo, l’AgID ritiene che la promozione della sicurezza costituisca un fattore essenziale: infatti, è essenziale che le amministrazioni mantengano al loro interno un adeguato livello di consapevolezza sulla tematica della sicurezza nel procurement ICT, anche attraverso l’inserimento di sessioni formative nella normale attività di formazione verso i dipendenti (ad esempio, nel calendario della formazione obbligatoria sulla sicurezza dei luoghi di lavoro e sulla privacy).

 

 

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

 

/da

Data Breach Inps, per il Garante costituisce un rischio elevato per i diritti e le libertà dei soggetti coinvolti

Il Data Breach Inps: ancora criticità secondo il Garante?

Il caso di Data breach che ha colpito il portale dell’Inps nel mese di Aprile rappresenta una delle più recenti violazioni che hanno interessato le Pubbliche Amministrazioni. Come evidenziato nel precedente post, il Garante per la protezione dei dati personali ha dichiarato che l’assenza di adeguate misure di sicurezza per la tutela delle banche dati e dei siti delle amministrazioni pubbliche rappresenta una questione critica ricorrente.

Con note del 1° aprile e del 6 aprile 2020, l’Inps ha reso note le violazioni dei dati personali che si sono verificate in occasione dell’avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, notificando all’Autorità, ai sensi dell’art. 33 GDPR, due distinte violazioni dei dati personali. In particolare:

  • L’accesso ai dati personali di utenti del portale “www.inps.it” da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;
  • L’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.

 

L’episodio ha fatto emergere di talune criticità nell’adozione delle più opportune misure di sicurezza, richieste dall’art. 32 GDPR. In ogni caso, l’Istituto ha ritenuto che la violazione non fosse tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche e, pertanto, difettassero i presupposti per la comunicazione della violazione dei dati personali agli interessati coinvolti.

Con provvedimento del 14 maggio 2020, il Garante per la protezione dei dati personali ha invece rilevato la sussistenza di rischi elevati per i diritti e le libertà degli interessati.

Di conseguenza, ha ravvisato la necessità e l’urgenza di ingiungere all’Inps, ai sensi dell’art. 58, par. 2, lett. e) GDPR. In particolare:

  • Di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse;
  • Di fornire i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni;
  • Di indicare agli interessati le specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni.

 

Come assicurare la collaborazione tra le varie figure professionali? Hedya propone un percorso formativo innovativo sulle “Nuove Professioni Digitali”

 

Le posizioni del Garante evidenziano la necessità, per le Pubbliche Amministrazioni, di percorsi formativi:

  • integrati, che coinvolgano le varie figure professionali;
  • mirati ad assicurare la sicurezza del trattamento;
  • aggiornati su tutte le principali questioni connesse al GDPR.

 

Per tali ragioni, Hedya propone il percorso formativo innovativoLe Nuove Professioni Digitali”. Se il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005 o semplicemente CAD) e la normativa collegata (Linee Guida AgID) ci presentano il Responsabile Transizione al Digitale e Responsabile della Conservazione Documentale, il Regolamento Europeo 2016/679 (GDPR) schiera in campo il Responsabile per la protezione dei dati personali e l’Amministratore di sistema.  Si tratta di nuove figure professionali, la cui formazione deve necessariamente essere di natura trasversale, che convivono della nuova P.A. Digitale e che ne guidano il cambiamento.

 

Hedya propone inoltre un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

 

 

/da

Pirateria Ransomware, nuove minacce: se paghi, ti costerà meno delle sanzioni GDPR

Nuove frontiere per la pirateria ransomware

 

Come visto nel precedente post, il ransomware è un programma informatico molto dannoso, perché capace di infettare un dispositivo o un server, impedendone di fatto l’operatività. La maggior parte dei pirati informatici, ormai, non si limita a crittografare i dati sui sistemi delle vittime, ma ne effettua una copia precisando che, in caso di mancato pagamento, tutti i dati e le informazioni rubate sarebbero stati venduti o resi pubblici.

 È questo, ad esempio, il caso di Sodinokibi, che in principio sfruttava una vulnerabilità in Oracle WebLogic per installarsi silente nei computer delle vittime, mentre ora il codice malevolo è inviato con email spam, relative a presunte comunicazioni legali con archivi compressi allegati.

 

Per rendere le minacce più serie, così da ottenere più efficacemente congrui riscatti, uno degli elementi utilizzati è quello di agitare il rischio di una multa ai sensi del nuovo GDPR.

La novità, in questo caso, è che la minaccia di diffondere e rendere pubblici i dati non fa leva sul timore di un danno reputazionale che potrebbe subire l’azienda o la PA: in questi casi, infatti, il cyber – criminale paventa l’attivazione del meccanismo sanzionatorio previsto dal GDPR, in caso di mancato pagamento del riscatto richiesto.

Con questa nuova tecnica, la vittima potrebbe preferire il pagamento del riscatto, piuttosto che incorrere in un eventuale procedimento di accertamento dell’Autorità Garante, che lo esporrebbe all’irrogazione di misure correttive, ma soprattutto di sanzioni amministrative pecuniarie.

 

 

L’importanza della formazione come fattore di prevenzione

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si suggeriscono, i seguenti percorsi formativi e di aggiornamento:

 

/da

PMI e Ransomware al bivio: in aumento del 200% i costi causati dagli attacchi

Perché il ransomware è così dannoso per le PMI?

Il ransomware è un programma informatico molto dannoso, perché è capace di infettare un dispositivo o un server, impedendone di fatto l’operatività: il programma, infatti, può bloccare l’accesso a molteplici contenuti (non solo file di testo, ma anche foto o video), imponendo all’utente il pagamento di un riscatto (attraverso Bitcoin o carta di credito) entro pochi giorni, prima che il blocco dei dati diventi definitivo.

Secondo la quarta edizione Global State of the Channel Ransomware Report, il rapporto tra PMI e ransomware sta diventando sempre più problematico: gli attacchi sono sempre più frequenti, e la mancata predisposizione di misure di protezione adeguate mina le risorse aziendali, dilatando i tempi di fermo e inattività.  Secondo i risultati della ricerca, infatti, il costo dell’interruzione di servizio causato da attacchi ransomware è addirittura 23 volte superiore alla stessa somma di riscatto richiesta, che in media è pari a 5.900 dollari.

In sintesi, l’incapacità di fronteggiare questi attacchi – divenuti ormai sempre più frequenti – genera notevoli perdite in termini di:

  • Costi;
  • Produttività;
  • Non da ultimo, di reputazione.

 

Quali sono le cause di questi attacchi? L’assenza di formazione adeguata

 

Il Report evidenzia una forte discrepanza rispetto alla percezione del ransomware come minaccia: in effetti, ben l’89% degli Manage Service Provider (MSP) afferma che il ransomware dovrebbe mettere le PMI in una posizione di allerta; tuttavia, solo il 28% degli MSP dichiara l’esistenza di consapevolezza e preoccupazione da parte delle PMI.

Tali dati, assieme a quelli sui recenti attacchi, confermano che il “fattore umano” costituisce l’anello più debole nella catena della sicurezza informatica di tutte le aziende.

Pertanto, nella predisposizione di una strategia complessiva di sicurezza, la formazione costituisce l’azione più efficace per ridurre il rischio di infezioni da Ransomware. È utile attivare un programma periodico che educhi tutti i soggetti a riconoscere mail e comportamenti sospetti e a diffidare dall’aprire messaggi inattesi, provenienti da mittenti non conosciuti.

 

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

/da

Il ruolo dell’Amministratore di Sistema dopo il GDPR: Hedya presenta il percorso formativo “Amministratore di Sistema”

Chi è l’Amministratore di Sistema?

L’Amministratore di Sistema è una figura professionale istituita nel 2008 con un Provvedimento Generale dell’Autorità Garante per la tutela dei dati personali, che deve essere obbligatoriamente nominata all’interno di ciascun contesto aziendale pubblico e privato ove si compie trattamento di dati personali con strumenti elettronici.

L’attribuzione delle funzioni, tuttavia, deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato.

L’Amministratore di Sistema, in sintesi, deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Con l’introduzione del Regolamento Europeo sulla protezione dati, l’Amministratore di sistema rappresenta uno strumento ancora più importante, sul quale il titolare del trattamento può fare affidamento per garantire che vengano rispettati i principi fondamentali in materia di protezione dati. È compito dell’amministratore di sistema monitorare costantemente lo stato di sicurezza di tutti i processi di elaborazione dati, anche comunicando al titolare le attività da porre in essere al fine di garantire un adeguato livello di sicurezza: in tal modo, si garantisce l’accountability, il rispetto della privacy by design e by default, ma soprattutto i diritti degli interessati. 

Tuttavia, l’Amministratore di Sistema è una figura tecnica qualificata che non può coincidere con analoghe figure di controllo, come quella del Data Protection Officer.

 

Quali competenze? Il percorso formativo proposto da Hedya

 

L’Amministratore di Sistema è dunque una figura dotato di competenze trasversali.

Per un verso, l’Amministratore di Sistema deve possedere competenze di natura tecnico – informatica per:

  • la gestione e manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali;
  • l’implementazione di misure di sicurezza per il trattamento dei dati;
  • la comprensione dei livelli di sicurezza informatica e di sicurezza di rete, nonché di tutti gli aspetti sociali, etici e legali connessi.

Per altro verso, tale figura deve possedere adeguata conoscenza della disciplina normativa in materia di protezione dati, nonché delle ulteriori questioni giuridiche rilevanti, connesse ai reati informatici.

Per tali motivi, Hedya propone il percorso formativoAmministratore di Sistema”. I contenuti del corso rappresentano la base formativa di per tutti coloro che vogliano intraprendere un percorso professionale di elevata specializzazione per svolgere le funzioni tipiche dell’Amministratore di Sistema. Il percorso formativo, pertanto, è finalizzato all’acquisizione delle conoscenze tecnico – giuridiche necessarie per lo svolgimento della funzione.

Ulteriori informazioni sono disponibili qui.

/da