Centro di formazione dei dipendenti della PA nel campo della sicurezza ICT

0511-CentroPAL'ingegner Luisa Franchina [1], Direttore di ISCOM [2], ci presenta il nuovo Centro di formazione e sensibilizzazione sulla sicurezza ICT per la Pubblica Amministrazione [3]. Novità anche per le linee guida sulla sicurezza, al qualità e l’analisi del rischio.

IsacaRoma: Grazie per aver accettato ancora una volta di rispondere alla nostre domande. Cos’è il Centro di formazione?
Luisa Franchina: Il Centro ha l'obiettivo di sviluppare una cultura diffusa della sicurezza ICT a tutti i livelli delle organizzazioni della P.A., cultura che incide concretamente sui comportamenti e sugli schemi mentali delle persone nonché sulla loro operatività, orientandole verso un "agire sicuro".
Nella formazione di tale cultura sarà previsto, in sede di prima erogazione dei corsi, il trasferimento, a vari livelli di approfondimento, di nozioni aggiornate alla data dell'erogazione stessa. Saranno utilizzati efficienti strumenti che permetteranno di mantenere costantemente aggiornate le conoscenze acquisite.

IR: A chi sono destinati i corsi?
LF: Il piano di formazione e sensibilizzazione del personale della P.A. in tema di sicurezza ICT, si rivolgerà, con corsi differenziati, a tre tipologie funzionali del personale della P.A.:

soggetti preposti all'approvazione e finanziamento delle misure di sicurezza da adottare nell'amministrazione di competenza;
soggetti che hanno il compito di amministrare sistemi ICT;
utenti di sistemi ICT.

IR: Quando inizieranno i corsi?
LF: Entro i primi mesi del 2006 inizieranno i seminari rivolti ai Dirigenti Generali preposti all'approvazione e finanziamento delle misure di sicurezza da adottare nell'amministrazione di competenza. Per gli altri soggetti è stata assegnata la gara l'acquisto di un servizio di progettazione di un intervento di formazione e sensibilizzazione dei dipendenti della Pubblica Amministrazione in materia di sicurezza ICT.

IR: Quali saranno gli argomenti ed i programmi dei corsi?
LF: I contenuti saranno modulati secondo le tipologie funzionali precedentemente descritte. Per quanto riguarda la prima tipologia funzionale, soggetti preposti all'approvazione e finanziamento delle misure di sicurezza, i contenuti saranno volti a:

incrementare la "sensibilità" al tema della sicurezza attraverso lo sviluppo di un'adeguata consapevolezza relativamente a minacce, vulnerabilità e rischi che possono gravare sul patrimonio informativo della P.A.;
generare la conoscenza di base per comprendere i fabbisogni di sicurezza e relativi accorgimenti di prevenzione/protezione in termini organizzativi, giuridico/normativi, operativi e tecnologici;
sviluppare la capacità di gestire i processi base della sicurezza, promuovendo, tra l'altro, l'utilizzo di adeguate metodologie e strumenti relativamente alla gestione dei processi fondamentali della sicurezza.

IR: E per le altre tipologie?
LF: I contenuti che riguardano la seconda tipologia funzionale, gli amministratori di sistemi ICT, i programmi sono volti a:

sviluppare la capacità di progettare, attuare e gestire politiche di sicurezza ICT;
sviluppare la capacità di monitorare adeguatamente i sistemi ICT dal punto di vista della sicurezza;
acquisire nozioni relative alla legislazione vigente in materia di sicurezza che possono avere impatto sulle funzioni svolte.

IR: E per la terza tipologia funzionale, gli utenti dei sistemi?
LF: Gli obiettivi sono

sviluppare la capacità di utilizzare adeguatamente gli strumenti di protezione messi a disposizione dai sistemi operativi e dagli applicativi maggiormente diffusi;
sensibilizzare sulla necessità di rispettare i dettami della politica di sicurezza anche dal punto di vista comportamentale;
acquisire nozioni relative alla legislazione vigente in materia di sicurezza che possono avere impatto sulle funzioni svolte.

IR: Chi sono i docenti dei corsi? Sono previste testimonianze "estere" o da parte di professionisti provenienti da aziende?
LF: Per la tipologia funzionale 1 sono stati individuati i docenti appartenenti all'Università , alla Fondazione Ugo Bordoni [4], al settore privato ed alla Pubblica Amministrazione.
Per le altre due tipologie funzionali si deciderà dopo la definizione di dettaglio del progetto.
Ci saranno comunque testimonianze sia estere che di professionisti provenienti dal settore privato.

IR: Il Centro si rivolge solo alla PA centrale? Quali saranno i requisiti per l'accesso?
LF: Il Centro si rivolgerà in primis alla PA centrale ma in seguito , se ci saranno i fondi , si cercherà di coinvolgere anche le altre PA. Per i corsi rivolti alla tipologia funzionale 2 si chiederà il requisito di essere amministratore di sistemi ICT e/o responsabili di Sicurezza ICT.

IR: Si tratta di una formazione teorica, pratica o entrambe? Sono previsti strumenti di formazione a distanza, e-elearning o similia?
LF: Per la tipologia funzionale 1 saranno soprattutto seminari di sensibilizzazione alla sicurezza ICT. Per la tipologia funzionale 2 ci saranno corsi teorici con esercitazioni pratiche. Per la tipologia funzionale 3 ci saranno corsi di base sulla sicurezza ICT e sono previsti anche corsi di formazione a distanza con l’utilizzo di strumenti di E-Learning.

IR: Nei mesi scorsi l’ISCOM e Ministero delle Comunicazioni hanno pubblicato una serie di linee guida sulla sicurezza, la qualità e l’analisi dei rischi [5]. Ci sono novità a riguardo?
LF: Sì, adesso le linee guida sono disponibili sia in italiano che in inglese. In particolare:

la qualità del servizio nelle reti ICT, versione italiana [6] (PDF, 509 K), ed English version [7] (PDF,621 KB);
la sicurezza delle reti - dall'analisi del rischio alle strategie di protezione, versione italiana [8] (PDF, 1.45 MB) ed English version [9], (PDF, 1.13 MB);
la qualità del servizio nelle reti ICT, versione italiana [10] (PDF, 1.93 MB) ed English version [11], (PDF: 1.23 MB).

IR: Grazie e a presto ingegnere
LF: Grazie a voi e buon lavoro