E' disponibile la registrazione integrale del convegno su FPAtv

I sistemi informativi sono divenuti chiave anche nella gestione di infrastrutture fisiche come reti elettriche, sistemi industriali, sistemi di trasporto, ecc. Tuttavia il cyberspace e le sue componenti essenziali sono esposti a numerosi rischi. Gli attacchi informatici, cresciuti negli ultimi anni in modo esponenziale per complessità e risorse utilizzate, non possono essere fermati dalle singole organizzazioni, ma hanno bisogno di una risposta dal sistema paese.

Il convegno, sulla base del report recentemente presentato dal CIS-Sapienza, presenta e discute un Framework Nazionale di cyber security il cui scopo è quello di offrire alle organizzazioni un approccio volontario e omogeneo per affrontare la cyber security al fine di ridurre il rischio legato alla minaccia cyber. Nel convegno sarà presentato lo stato dell’arte delle tecnologie per la sicurezza e le soluzioni di eccellenza per una azione integrata e coordinata da parte delle PA.

Il regolamento Europeo in materia di protezione dei dati personali (regolamento 2016/679), approvato in data 14 aprile 2016, dà tempo alle amministrazioni pubbliche per mettersi in regola sino al 25 maggio 2018. Sembrano tanti due anni, ma la trasformazione necessaria è importante. Da un atteggiamento reattivo ad un atteggiamento proattivo nei riguardi della privacy vuol dire prevedere la complioance rispetto alla protezione dei dati personali by default, nativa nei provvedimenti e nei processi. Le amministrazioni sono poi obbligate ad un “privacy impact assessment”, ossia ad una vera e propria valutazione d’impatto.

A fronte anche d’importanti semplificazioni si impone un obbligo di accountability rispetto alle regole della protezione e la nomina di un “data protection officer” (responsabile della protezione dei dati personali) che le pubbliche amministrazioni hanno l’obbligo di individuare al proprio interno e deve sempre essere “coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

Il data protection officer (DPO) deve essere in possesso di specifici requisiti: competenza, esperienza, indipendenza e autonomia di risorse, assenza di conflitti di interesse.

Tutto questo per tutte le amministrazioni italiane, anche se le più piccole saranno obbligate ad agire in forma associata.

Il convegno si propone di spiegare chiaramente gli obblighi, le regole e gli adempimenti e il cambiamento organizzativo connessi alla nuova normativa, con una particolare attenzione ai piccoli comuni.

Ripercorrendo i principali trend ed iniziative che stanno caratterizzando la trasformazione del digitale della PA italiana (e.g. CAD, l’Agenda Digitale Italiana, Open data, IoT e nuovi media, fatturazione elettronica) sono rappresentati i principali rischi e carenze di sicurezza (e.g. assenza di modelli di riferimento per la gestione della sicurezza, interruzione dei servizi primari, risposta non tempestiva alle minacce/incidenti, violazione delle normative esistenti), che possono rallentare e/o ostacolare il percorso di trasformazione in atto, riducendo la competività complessiva del sistema Paese.

Inoltre sarà effettuata una panoramica:

• dei principali requisiti e principi introdotti dalle recenti normative nazionali e comunitarie (e.g Direttiva NIS, GDPR, Misure minime di sicurezza Agid), che introducono per la PA nuove e complesse sfide per l’attuazione di quanto richiesto;
• della strategia di sicurezza a livello nazionale, mediante le novità introdotte dal Decreto Gentiloni e dalla revisione in corso del Quadro Stategico Nazionale e degli Obiettivi Operativi per la sicurezza del cyber space, identificando le relazioni tra le sfide presentate e la strategia di risposta a livello nazionale.

L’approccio Sogei alla gestione integrata dei rischi di sicurezza in ottica multi-complaince: “FOURSec Framework to Organizzation Under Rules Security) - Framework Multicompliance” realizzato da Sogei per le PA che permette di valutare il proprio livello di sicurezza rispetto alla normativa di riferimento, ai rischi sulla cybersecurity e sulla sicurezza delle informazioni attraverso attività di self-assessment, indirizzando gli investimenti, supportando il miglioramento continuo del livello di sicurezza e aumentando la consapevolezza sui rischi.