Contenuto principale

Continua a prendere forma il Piano triennale per l’informatizzazione della pubblica amministrazione che nelle scorse settimane ha visto realizzarsi un altro dei tasselli fondamentali del proprio “Modello strategico di evoluzione del sistema informatico nella Pa”, pensato dal Governo per essere uno strumento sistemico, diffuso e condiviso, di gestione e di utilizzo delle tecnologie digitali più innovative, improntato a uno stile di management agile ed evolutivo, basato su una chiara governance dei diversi livelli della Pa.

L’obiettivo delle linee guida

In particolare, l’Agenzia per l’Italia digitale ha pubblicato sul proprio portale istituzionale le linee guida per lo sviluppo del software sicuro nella pubblica amministrazione, con l’intento di guidare gli enti centrali e locali verso quattro risultati fondamentali, quali l’adozione di un processo strutturato di realizzazione del software, l’applicazione di tecniche standard di scrittura del codice, la corretta configurazione delle applicazioni di base e la modellazione delle minacce e delle azioni di mitigazione conformi ai principi del cosiddetto Secure/Privacy by Design, così come richiesto, tra l’altro, dal Regolamento Ue 2016/679, meglio conosciuto come Regolamento generale sulla protezione dei dati (Gdpr, General data protection regulation). Le linee guida si pongono nel solco tracciato da Agid e orientato dal Piano triennale, che mira a garantire al sistema Paese un più efficace sfruttamento dei benefici delle nuove tecnologie assicurando ai cittadini un vantaggio in termini di semplicità di accesso e miglioramento dei servizi digitali esistenti.

Un primo approccio sistematico alla sicurezza

Si tratta di un passo estremamente importante perché per la prima volta viene trattata in maniera organica, completa e sistematica una tematica fondamentale come la sicurezza, cui è direttamente riconnessa la necessità di garantire la disponibilità, l’integrità e la riservatezza delle informazioni proprie del Sistema informativo della Pa, oltre ai principi di privacy previsti dall’ordinamento giuridico nazionale ed europeo. Le Linee guida definiscono un’architettura della sicurezza per tutti i servizi fondata su quattro macro-temi, sulla base di indicazioni relative al modello architetturale di gestione dei servizi, declinato rispetto al cluster dei dati gestiti. Per ogni argomento è stato realizzato e reso disponibile un documento distinto e specializzato rispetto alla tematica di riferimento.

Le quattro aree delle linee guida

In particolare, lo scopo delle linee guida per l’adozione di un ciclo di sviluppo di software sicuro è fornire le best practices per intraprendere un processo di sviluppo del software “sicuro”, applicabile attraverso l’identificazione e l’implementazione di opportune azioni di sicurezza nel corso di tutte le fasi del ciclo di sviluppo software. La gestione della sicurezza delle applicazioni di base richiede, invece, di stabilire un processo volto a identificare rischi e contromisure di sicurezza a ogni livello (fisico, logico e organizzativo) del contesto in cui tali software operano e sono utilizzati. Scopo delle linee guida per lo sviluppo sicuro di codice è, inoltre, quello di fornire un insieme di pratiche maggiormente utilizzate nei contesti specialistici e negli standard internazionali, che permettono di prevenire eventuali problematiche di sicurezza nel codice e individuare possibili debolezze insieme alle relative contromisure da applicare, così da mitigare i principali attacchi che sono spesso focalizzati nello sfruttamento di “vulnerabilità standard” celate all’interno delle applicazioni software. Le linee guida per la modellazione delle minacce e individuazione delle azioni di mitigazione conformi ai principi del “Secure/Privacy by Design”, infine, analizzano processi, metodi e modelli utilizzati nella progettazione di applicazioni sicure con l’obiettivo di integrare il processo di modellazione delle minacce e conseguente individuazione di azioni di mitigazione con quello di determinazione preventiva dei requisiti di sicurezza e privacy, creando una connessione con il Regolamento europeo sulla privacy la cui entrata in vigore, fissata a maggio 2018, è ormai imminente.

È possibile scaricare tutte le linee guida ai seguenti indirizzi:


Fonte: Il Sole 24 Ore del 17/01/2018

Autore: Giuseppe Arcidiacono