Site icon Ryadel

ICT Procurement e sicurezza: le linee guida AgID

Sicurezza Informatica: Misure minime per la PA

Questo articolo fa parte di una serie di approfondimenti dedicati all'ICT procurement, ovvero l'insieme di procedure che determinano l'acquisto e la vendita di forniture informatiche da parte di aziende pubbliche e private.

In questo contributo ci dedicheremo ad analizzare uno dei più recenti e autorevoli contributi sul tema realizzati negli ultimi anni: le linee guida di Agenzia per l'Italia Digitale per la sicurezza delle procedure di ICT Procurement svolte dalla Pubblica Amministrazione, adottate il 17 Maggio 2020 (con Determinazione n. 220/2020) e pubblicate in via definitiva il 19 Maggio 2020.

Introduzione

Il documento realizzato da AgID è stato prodotto da un tavolo di lavoro promosso dal Nucleo per la Sicurezza Cibernetica (NSC) del Dipartimento Informazioni per la Sicurezza presso la
Presidenza del Consiglio dei Ministri: il tavolo ha operato dal novembre 2018 al febbraio 2019 e ha visto la partecipazione di una serie di pubbliche amministrazioni competenti sul tema, tra cui il Dipartimento Informazioni per la Sicurezza e il Dipartimento della Protezione Civile della Presidenza del Consiglio dei Ministri, nonché i Ministeri degli Affari Esteri, Interno, Giustizia, Difesa, Economia e Finanze e Sviluppo Economico, oltre ovviamente all'Agenzia dell'Italia Digitale. Al tavolo è stata invitata anche la società Consip, stante il suo ruolo di committenza principale delle pubbliche amministrazioni.

L'obiettivo dichiarato del tavolo di lavoro era quello di fornire indicazioni tecniche ed amministrative volte a garantire la piena rispondenza delle procedure di Procurement ICT a una serie di livelli di sicurezza, al fine di evitare che i fornitori - a cui non di rado è consentito l'accesso al patrimonio informativo del committente - possano esporre la pubblica amministrazione a rischi informatici che impattino sulla riservatezza, integrità, disponibilità e autenticità dei dati.

A dettare l'agenda delle linee guida è stata dunque una imprescindibile esigenza di tutela del patrimonio informativo pubblico, cogliendo l'occasione per aggiornare le politiche di sicurezza ad oggi in vigore presso le pubbliche amministrazioni che si troveranno nella necessità di effettuare acquisti di beni o servizi informatici; il documento è rivolto dunque ai dirigenti e ai funzionari delle suddette PA, nonché ai responsabili della transizione al digitale da loro incaricati ovvero previsti dal Codice dell'Amministrazione Digitale (CAD).

Le indicazioni fornite all'interno del documento si suddividono in tre macro-categorie, ciascuna delle quali è definita da un preciso criterio temporale:

  • azioni da svolgere prima dell’acquisizione;
  • azioni da svolgere nel corso del procedimento di acquisizione;
  • azioni da svolgere dopo la stipula del contratto.

E' importante sottolineare come il documento non abbia una valenza normativa, bensì di indirizzo, con la sola eccezione delle forniture ritenute critiche dall'amministrazione committente: per quanto concerne le forniture non critiche i contenuti vanno dunque intesi in termini di suggerimenti, best practices e procedure consigliate che i responsabili dell’organizzazione, pianificazione e sicurezza dovrebbero adottare al fine di ridurre i rischi connessi ad attività di approvvigionamento svolte in modo incauto, ovvero senza essere a conoscenza delle molteplici problematiche legate alla sicurezza di tali operazioni. Il tutto, come si avrà modo di vedere, con l'obiettivo di verificare e (ove possibile) migliorare il livello di sicurezza dei processi di acquisizione già in essere senza aumentare in modo eccessivo la loro complessità.

Standard di riferimento

Le linee guida sono state realizzate prendendo a modello diversi standard di riferimento italiani ed europei, tra cui:

Relativamente all'ultimo punto consigliamo la lettura del nostro approfondimento Sicurezza Informatica - Misure minime per la PA, che contiene un'analisi dettagliata delle misure minime di sicurezza ICT per le pubbliche amministrazioni previste da Agenzia per l'Italia Digitale (AgID).

Azioni da svolgere prima dell'acquisizione

Le attività da svolgere prima della fase di procurement suggerite dalle linee guida sono in gran parte prassi organizzative che le pubbliche amministrazioni dovrebbero già svolgere nel corso della loro attività ordinaria: si tratta di azioni di carattere generale e strategico, dunque non legate a uno specifico processo di acquisizione.

Tra queste, le più importanti sono:

  • Promuovere competenza e consapevolezza. Le amministrazioni dovrebbero disporre di competenze aggiornate di Procurement Management, Gestione Progetti, Asset
    Management, Change Management, Risk Management, Sicurezza e Protezione dei Dati; nel caso in cui tali competenze siano garantite da personale interno, è necessario che gli incaricati svolgano un percorso di formazione e aggiornamento adeguato; nel caso in cui si scelga di acquisire tali competenze dal mercato, ovvero facendo ricorso a società di supporto e
    consulenza, il testo raccomanda di non "delegare troppo", ovvero di mantenere comunque un adeguato livello di "consapevolezza interna" sulle tematiche in oggetto.
  • Raccogliere buone prassi ed esperienze. Questa raccomandazione riguarda il cosiddetto "storico acquisti", ovvero i casi di successo/insuccesso che costituiscono la "letteratura" lasciata in eredità dalle precedenti acquisizioni ICT; inutile dire che questo "database" va anche alimentato con le acquisizioni successive, adottando le opportune procedure di documentazione (idealmente a cura di un soggetto centrale).
  • Stabilire ruoli e responsabilità. E' necessario che le amministrazioni pubbliche definiscano formalmente un organico funzionale, assegnando a ciascuna risorsa i ruoli e le responsabilità connesse alle attività che dovrà svolgere nell'ambito del procurement ICT, con particolare riguardo al profilo della sicurezza (trattamento dei dati, hardening dell'infrastruttura a livello fisico e logico, etc.).
  • Effettuare una ricognizione dei beni informatici e dei servizi. Questa raccomandazione si traduce nella necessità, da parte dell'amministrazione, di disporre di un inventario aggiornato dei propri beni (asset) informatici: nel caso in cui questo inventario non sia disponibile o non sia aggiornato, si evidenzia l'importanza di effettuare una ricognizione (assessment) di tutti gli asset hardware e software (con particolare riguardo alle licenze d'uso).
  • Classificazione di beni e servizi sotto il profilo della sicurezza. In questa sezione si entra nell'ambito del Risk Assessment e della Business Impact Analysis, ben rappresentate dalla necessità di classificare i beni e i servizi individuati in termini di criticità, rischi, minacce, vulnerabilità.
  • Definire una metodologia di audit e valutazione del fornitore in materia di sicurezza. Le amministrazioni devono organizzarsi in modo da poter svolgere efficaci azioni di audit nei confronti dei propri fornitori, anche individuando al loro interno competenze e responsabilità; le linee guida precisano che le modalità di svolgimento di tali audit devono essere esplicitate nei capitolati di gara o nei contratti di fornitura, avendo cura di stabilire:
    • gli obiettivi, come ad es. la verifica delle misure di sicurezza adottate dal fornitore);
    • la periodicità degli audit;
    • gli indicatori che saranno utilizzati per valutare i risultati dell'audit, nonché la rispondenza del fornitore ai requisiti di sicurezza richiesti.
  • Definire una metodologia di audit interno in materia di sicurezza. Coerentemente a quanto svolto per i fornitori, le amministrazioni devono organizzarsi anche per effettuare audit
    interni, con l'obiettivo di verificare la corretta adozione di tutte le misure di sicurezza e la conformità alle normative vigenti in materia (ad esempio il GDPR) da parte del personale.

Per tenere traccia delle singole attività da svolgere, nonché del corretto svolgimento delle stesse, AgID consiglia di utilizzare lo strumento operativo delle checklist, ovvero tabelle contenenti l'elenco delle operazioni sotto forma di un questionario con domande a risposta secca (SI/NO); oltre alla loro funzione primaria di tracciamento, le checklist possono essere utili anche per verificare il livello di preparazione raggiunto dalla pubblica amministrazione.

Azioni da svolgere durante l'acquisizione

Le attività da svolgere nel corso del processo di procurement riguardano in massima parte la scrittura della documentazione di gara: si tratta quindi di indicazioni di carattere prettamente operativo e direttamente connesse alle caratteristiche proprie della singola acquisizione. Come si avrà modo di vedere, per svolgere le operazioni indicate sarà necessario poter disporre degli output di ordine generale descritti nel paragrafo precedente.

  • Analizzare la fornitura e classificarla in base a criteri di sicurezza. In altre parole, è necessario determinare il livello di criticità connesso all'intenzione (o necessità) di acquisire beni o servizi ICT: in altre parole, occorre calcolare l'impatto dell'acquisizione in termini di rischio. Appare evidente come, per svolgere questo compito, sia necessario poter disporre della documentazione relativa alle acquisizioni pregresse e, soprattutto, alla classificazione, di cui abbiamo parlato nel paragrafo precedente.
  • Scegliere lo strumento di acquisizione più adeguato, tenendo conto della sicurezza. Questo è un punto centrale del processo di acquisizione, nonché una delle attività che richiede maggiore esperienza alle risorse incaricate, non soltanto in ambito ICT ma anche in materia amministrativa (codice degli appalti, contenimento della spesa, etc.): la scelta dello strumento di acquisizione di cui avvalersi va infatti fatta tra quelli disponibili, in accordo con le normative applicabili e con una serie di altri requisiti che non di rado possono risultare stringenti. La faccenda si complica ulteriormente per le acquisizioni classificate come "ad alta criticità", per le quali strumenti come il MEPA (il Mercato Elettronico di Consip) potrebbero non essere adeguati: in quel caso la scelta preferibile è quella di procedere con un bando di gara che consenta di determinare un fornitore adeguato direttamente dal mercato.
  • Scegliere i requisiti di sicurezza da inserire nel capitolato. Nel caso in cui l'amministrazione abbia scelto di procedere con un gara pubblica, dovrà inserire nel capitolato gli opportuni requisiti di sicurezza, avendo cura di differenziare quelli obbligatori, la cui assenza determina l'esclusione, da quelli opzionali, la cui presenza può determinare un punteggio tecnico più elevato. I requisiti individuati per la stesura del capitolato potranno (e dovrebbero) essere utilizzati anche per determinare gli indicatori di qualità, nonché gli SLA e le eventuali penali da inserire nel contratto. E' importante notare come le linee guida effettuino una distinzione tra i requisiti di sicurezza indipendenti dalla tipologia di acquisizione (modalità di trattamento dei dati personali; rispetto delle normative vigenti; monitoraggio e audit; etc.) e quelli intrinsecamente connessi al bene o prestazione da acquisire, che variano di volta in volta. In questo ultimo caso risulta fondamentale il ricorso alla "letteratura" degli acquisti storici, nonché la consultazione degli elenchi realizzati da AgID che individuano i principali requisiti di sicurezza per la maggior parte delle forniture pubbliche.
  • Garantire competenze di sicurezza nella commissione di valutazione. Nel caso in cui l'amministrazione abbia scelto di procedere con un gara pubblica, dovrà tenere conto - nella scelta delle commissioni giudicatrici - dell’esigenza che almeno uno dei commissari abbia competenze in tema di sicurezza. Questa raccomandazione può essere mitigata solo se i requisiti di sicurezza vengono scritti in modo oltremodo chiaro, oggettivo e "chiuso", ovvero senza lasciare spazio a possibili interpretazioni e/o valutazioni soggettive del fornitore ovvero della commissione.

Anche per questo tipo di attività AgID consiglia di utilizzare una checklist, così da tenere traccia del lavoro svolto e misurare il livello di preparazione raggiunto.

Azioni da svolgere dopo l'acquisizione

Veniamo infine alle attività da svolgere dopo la stipula del contratto (in esecuzione e/o a posteriori). Anche in questo caso ci troviamo di fronte ad azioni generalmente di tipo operativo e che dipendono dalla tipologia di fornitura: di conseguenza, si tratta di attività che non potranno essere svolte in modo efficace se non sono state eseguite le azioni ad esse propedeutiche descritte nei paragrafi precedenti.

  • Gestire le utenze dei fornitori. Qualora il fornitore (nella persona dei suoi dipendenti) avrà necessità di accedere alle infrastrutture dell’amministrazione, quest'ultima dovrà dotarlo delle utenze nominative in accordo con le politiche di sicurezza definite: in altre parole, si tratta di una tematica di Account Management, che prevederà con tutta probabilità una serie di accorgimenti di sicurezza (ad es. il tracciamento degli accessi del fornitore).
  • Gestire l’utilizzo di dispositivi di proprietà del fornitore. Nel caso in cui il servizio acquistato preveda l'utilizzo di beni o servizi di proprietà del fornitore, questi ultimi dovranno rispettare le medesime caratteristiche di sicurezza previste per la rete della PA; poiché il rispetto di questo punto comporterà quasi certamente dei costi di adeguamento da parte del fornitore, è buona norma che tali requisiti siano specificati nel capitolato tecnico. Se questo è stato fatto correttamente, questa attività si riduce alla verifica puntuale dei dispositivi forniti rispetto a quanto richiesto nel capitolato.
  • Gestire l’accesso alla rete dell’amministrazione. L’accesso alla rete locale dell’amministrazione da parte del fornitore deve essere configurato con le abilitazioni strettamente necessarie alla realizzazione di quanto contrattualizzato, vale a dire consentendo l’accesso esclusivamente alle risorse necessarie. Particolarmente importante è l'accesso dall’esterno, che va consentito solo quando strettamente necessario e unicamente mediante strumenti di connessione sicuri e dotati di credenziali rilasciate a livello personale (es. Virtual Private Network).
  • Gestire l’accesso ai server/database. Questa azione consiste nel gestire l’accesso ai server e ai database in modo da rispettare la regola generale prevista da tutti i contratti di fornitura, che prevede per il fornitore il divieto di accesso ai database di produzione e il permesso di utilizzare soltanto un subset di dati strettamente necessari per gli scopi del progetto, da caricare su appositi database di sviluppo. Anche in questo caso, nel probabile caso in cui tali requisiti siano specificati nel capitolato tecnico, questa attività si riduce alla verifica puntuale del rispetto di quanto dichiarato.
  • Stipulare accordi di autorizzazione, riservatezza e confidenzialità. Si tratta di una attività prettamente amministrativa, che consiste nella gestione documentale degli accordi contrattuali tipicamente previsti nei casi di forniture pluriennali alla pubblica amministrazione. Anche in questo caso sarà molto utile poter disporre della "letteratura" prodotta dallo storico degli acquisti passati, che nei casi più virtuosi potrebbe portare (o aver già portato) alla definizione di modelli standard per questo tipo di accordi.
  • Verificare il rispetto delle prescrizioni di sicurezza nello sviluppo applicativo. Anche in questo caso si tratta di verifiche rispetto a quanto richiesto in sede di documentazione di gara.
  • Monitorare le utenze e gli accessi dei fornitori. Nel caso di contratti pluriennali che prevedono lo sviluppo di più progetti e sia consentito il turn-over del personale dei fornitori, l’amministrazione deve creare e mantenere costantemente aggiornata un elenco degli accessi che consenta di tenere traccia del sistema di credenziali (utenze e ruoli): si tratta ancora una volta di Account Management, che in questo caso va svolto per il personale autorizzato del fornitore e quindi prevederà anche la necessità di rimuovere i permessi (deprovisioning) nei casi in cui si renderà necessario, come ad esempio l'avvicendamento di un fornitore o l'allontanamento di un suo dipendente autorizzato.
  • Verificare la documentazione finale di progetto. Alla fine di ogni singolo progetto è necessario realizzare (o verificare che il fornitore rilasci, se esiste un accordo contrattuale in tal senso) la documentazione finale e completa del progetto, comprensiva di:
    • manuale di installazione/configurazione;
    • report degli Assessment di Sicurezza eseguiti con indicazione delle vulnerabilità riscontrate e le azioni di risoluzione/mitigazione apportate;
    • libretto di manutenzione del prodotto (ove richiesto/necessario)), con l’indicazione delle attività da eseguire per mantenere un adeguato livello di sicurezza;
  • Effettuare la rimozione dei permessi (deprovisioning) al termine di ogni progetto. Altra attività connessa all'Account Management: al  termine di ogni progetto sarà necessario svolgere le opportune attività di deprovisioning delle utenze logiche del fornitore (accessi fisici e logici, utenze VPN, regole Firewall), nonché richiedere la cancellazione dei dati sui dispositivi utilizzati.
  • Aggiornare l’inventario dei beni. Nel caso in cui il progetto preveda l'acquisizione ovvero la dismissione di beni, sarà ovviamente necessario aggiornare l'inventario degli asset di conseguenza, comprensivo degli eventuali controlli (uptime monitoring) da aggiungere o rimuovere.
  • Distruzione del contenuto logico (wiping) dei dispositivi che vengono sostituiti. Nel caso in cui il progetto preveda la dismissione di beni, oltre all'aggiornamento dell'inventario degli asset e all'eventuale rimozione dei controlli ad esso relativi, occorrerà anche verificare che l’hardware dismesso venga cancellato e distrutto in modo sicuro, in modo da evitare il rischio che dati potenzialmente critici vengano dismessi in modo "leggibile" (eventualità che porterebbe quasi certamente a un data breach). Trattandosi di una procedura particolarmente delicata le linee guida suggeriscono di definire un processo di dismissione strutturato, comprensivo di verbale di avvenuta distruzione firmato dal fornitore ovvero dell'azienda terza incaricata dell'attività.
  • Manutenzione - aggiornamento dei prodotti. Per mantenere un adeguato livello di sicurezza, i prodotti software/hardware acquistati o realizzati devono essere correttamente manutenuti in base alle indicazioni del fornitore nel libretto di manutenzione nonché agli aggiornamenti previsti tramite i canali ufficiali del prodotto stesso (es. a seguito del rilascio di patch e correzioni per problemi di vulnerabilità).
  • Vulnerability Assessment. Questa attività prevede l'esecuzione, sui beni e sui servizi classificati critici ed esposti sul web, un Vulnerability Assessment. La periodicità e la tipologia di assessment dipende dal grado di criticità del bene e servizio, ma le inee guida suggeriscono di svolgerli con cadenza almeno annuale, nonché ogni volta che si apportano modifiche alla configurazione software/hardware, conformandosi in tal modo a quanto previsto dalla norma ISO 27001.

Poiché le attività da svolgere a seguito della stipula del contratto sono molto complesse, in questo caso AgID consiglia di sostituire la checklist con uno strumento più preciso: una matrice di tracciabilità, ovvero una tabella contenente una colonna relativa a ciascuna delle azioni da svolgere, e una serie di checkbox (o caselle a testo libero) nelle quali si annotano i requisiti di volta in volta soddisfatti. A questa prima matrice, cui dà il nome di matrice di applicabilità azione-requisito, il testo AgID suggerisce inoltre di affiancarne un'altra, denominata matrice applicabilità azione - tipologia fornitura, nella quale annotare - seguendo il medesimo criterio - le varie tipologie di fornitura connesse a ciascuna azione.

Conclusioni

Per il momento è tutto: ci auguriamo che questo approfondimento abbia fornito un quadro esaustivo sulle linee guida AgID e che possa essere utile a tutti i tecnici, project manager, responsabili IT e amministratori di sistema coinvolti a vario titolo nelle attività di procurement ICT per aziende pubbliche o private: alla prossima!

 

Exit mobile version