ISCOM: Anteprima sulle nuove linee guida sulla sicurezza e la qualità dei servizi
Inserito da Redazione il Mer, 2006-07-19 13:53
CobiT | ISCOM | Luglio 2006 | Security
060719-Iscom-nuoveguide1
L’ing. Luisa Franchina, Direttore Generale dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCOM),
ci anticipa titoli e contenuti delle sei nuove linee guida in via di
pubblicazione. I temi: outsourcing, analisi dei rischi (in pratica),
gestione delle emergenze, qualità dei servizi nelle reti UMTS,
qualità dei servizi nelle reti ICT per le PMI, Certificazione
della sicurezza ICT. In questa prima parte dell’articolo la
presentazione delle prime tre linee guida.
IsacaRoma: Ancora bentornata Ingegnere. Presto ISCOM renderà pubbliche sei nuove linee guida sulla sicurezza e la qualità dei servizi che si aggiungono alle tre già disponibili (Qualità del servizio nelle reti ICT, Sicurezza delle reti - dall’analisi del rischio alle strategie di protezione, Sicurezza delle reti nelle infrastrutture critiche). Può anticiparci i contenuti dei nuovi documenti?
Luisa Franchina: I titoli (provvisori) delle nuove linee guida sono:
Ricordo che sulla stessa falsariga si è mossa l’iniziativa “Futuro Semplice” : anche qui al centro dei nostri sforzi la necessità di sensibilizzare sul tema della sicurezza.
IR: Sia per “Futuro Semplice” che per le linee guida, ISCOM si è avvalsa della collaborazione e del knowledge di istituzioni private e pubbliche. È importante questa collaborazione?
LF: Credo che sia indispensabile! Le opportunità della nuova società delle informazioni sono enormi così come i rischi che le nuove tecnologie comportano. Se vogliamo che la PA sappia essere al fianco dei cittadini, e che i cittadini stessi siano in grado di utilizzare i nuovi servizi elettronici, occorre garantire la sicurezza del sistema: come è noto la sicurezza è come una catena; è necessario che tutti gli anelli di questa catena (infrastrutture, protocolli, metodi, consapevolezza) siano ben saldi altrimenti essa si spezzerà.
IR: Dunque l’ISCOM continuerà a lavorare sulla sensibilizzazione alla sicurezza degli operatori e degli utilizzatori delle nuove tecnologie?
LF: Sicuramente sì. E dirò di più: tutte le ricerche ed analisi rivelano che moltissimi cittadini, spaventati dalle notizie che quotidianamente arrivano su virus, hacker, truffe telematiche e phishing, evitano di utilizzare Internet proprio per paura di non potersi (o sapersi) difendere dai nuovi criminali informatici. Il rischio è quello di un nuovo “digital divide”. È dunque dovere delle istituzioni, quali ISCOM (ma vorrei ricordare anche ENISA e CNIPA), impegnarsi per ridurre il divario ed eliminare le barriere (qui non fisiche ma mentali) che impediscono di esercitare i propri diritti (digitali in questo caso) e rallentano il progresso del paese.
IR: Torniamo alle nuove linee guida. Cominciamo da quella relativa alla “Sicurezza nella gestione dell’affidamento a terzi dei servizi ICT”. In poche parole parliamo di outsourcing. Quali sono i contributi offerti da ISCOM?
LF: Il fenomeno dell’outsourcing, come viene in gergo indicato l’affidamento di servizi di un’azienda ad un’entità esterna, ha acquisito negli ultimi anni una notevole importanza per due fattori:
Piuttosto che elencare pedissequamente tutte le possibili classi di servizio evidenziando per ognuna di esse le problematiche relative all’outsourcing di tali servizi, abbiamo deciso di raggruppare in macroclassi alcuni tra i servizi oggi di maggior interesse, mettendo insieme quelli che presentano modalità simili nella gestione degli aspetti di sicurezza.
IR: Vi siete ispirati a qualche standard?
LF: La linea guida offre un’ampia panoramica delle principali “best practice” riconosciute per la gestione esterna di servizi:
IR: Ci sono anche suggerimenti pratici?
LF: Come dicevo uno dei principi che ci ha ispirati nella redazione di questo secondo set di linee guida è stato proprio quello di proporre soluzioni pratiche. Abbiamo così allegato una tavola di sintesi in cui sono identificate, per ognuna delle macroclassi precedentemente individuata, le clausole di uno SLA “prototipo”, clausole che vanno sicuramente incluse nella gestione di un rapporto di outsourcing. Inoltre forniamo un esempio di reale applicazione delle metodologie illustrate prendendo in considerazione l’outsourcing dei servizi di telecomunicazioni.
IR: Passiamo alla seconda linea guida, quello sulla “Analisi dei rischi”. In che si differenzia dalla precedente linea guida sullo stesso argomento?
LF: Il documento nasce dalla condivisione di esperienze reali maturate nell’applicazione dell’analisi dei rischi secondo le metodologie presentate nella precedente linea guida sull’analisi dei rischi. Il documento si compone di due parti:
IR: Terza linea guida?
LF: Questa linea guida concentra la sua attenzione sulla “Gestione delle Emergenze” in ambito Information e Communication Technology (ICT). L’attuale sviluppo delle telecomunicazioni, nel settore pubblico come in quello privato, è caratterizzato da una sempre più stretta convergenza, interdipendenza ed integrazione tra i servizi tradizionali e servizi che utilizzano tecnologie informatiche. Ciò riguarda anche e soprattutto le Infrastrutture Critiche Nazionali (National Critical Infrastructure - NCI) composte da infrastrutture pubbliche e private interessanti settori e servizi critici per il sistema paese, la cui protezione (CIP – Critical Infrastructure Protection) è diventata vitale ed essenziale. La difesa delle NCI implica ovviamente la protezione delle infrastrutture ICT.
IR: La guida affronta il tema della gestione delle emergenze ICT anche dal punto di vista delle realtà locali. Come mai?
LF: Riteniamo che sia necessario che le aziende e le organizzazioni che operano a livello locale e regionale siano in grado di comprendere e valutare quanto la loro attività quotidiana sia caratterizzata da un determinato livello di criticità. Non di rado realtà locali o regionali cooperano e collaborano ad attività nelle quali sono coinvolte organizzazioni nazionali. Ancora più spesso le infrastrutture informatiche e comunicative delle realtà locali e nazionali sono interdipendenti in termini operativi, logici e geografici. Queste considerazioni ed altre presenti nel documento ci hanno spinto ad inserire le realtà locali tra i destinatari fondamentali di questa linea guida per la gestione delle emergenze.
IR: Anche qui sono proposti approcci pratici?
LF: Parlando sempre di realtà che operano sul territorio locale, la guida fornisce uno strumento di self-assessment, sotto forma di mini questionario, per aiutare nella valutazione della criticità delle proprie attività. Più in generale, un paragrafo della linea guida è dedicato alla definizione, costruzione e mantenimento di un vero e proprio “sistema di gestione delle emergenze” utilizzando sia COBIT di ISACA che il framework del NIST, il National Institute of Standards and Technology. In entrambi i casi, il modello di gestione si basa sull’approccio conosciuto come PDCA (Plan, Do Check, Act), caratterizzato dal miglioramento continuo e dalla visione per processi (propri anche dello standard ISO/IEC 27001:2005) e sulla garanzia di allineamento con i requisiti di business.
(Fine prima parte)
IsacaRoma: Ancora bentornata Ingegnere. Presto ISCOM renderà pubbliche sei nuove linee guida sulla sicurezza e la qualità dei servizi che si aggiungono alle tre già disponibili (Qualità del servizio nelle reti ICT, Sicurezza delle reti - dall’analisi del rischio alle strategie di protezione, Sicurezza delle reti nelle infrastrutture critiche). Può anticiparci i contenuti dei nuovi documenti?
Luisa Franchina: I titoli (provvisori) delle nuove linee guida sono:
- Sicurezza nella gestione dell’affidamento a terzi dei servizi ICT;
- Analisi dei rischi in pratica;
- Gestione delle emergenze;
- Qualità dei servizi nelle reti UMTS;
- Qualità dei servizi nelle reti ICT per le PMI;
- Certificazione della sicurezza ICT.
Ricordo che sulla stessa falsariga si è mossa l’iniziativa “Futuro Semplice” : anche qui al centro dei nostri sforzi la necessità di sensibilizzare sul tema della sicurezza.
IR: Sia per “Futuro Semplice” che per le linee guida, ISCOM si è avvalsa della collaborazione e del knowledge di istituzioni private e pubbliche. È importante questa collaborazione?
LF: Credo che sia indispensabile! Le opportunità della nuova società delle informazioni sono enormi così come i rischi che le nuove tecnologie comportano. Se vogliamo che la PA sappia essere al fianco dei cittadini, e che i cittadini stessi siano in grado di utilizzare i nuovi servizi elettronici, occorre garantire la sicurezza del sistema: come è noto la sicurezza è come una catena; è necessario che tutti gli anelli di questa catena (infrastrutture, protocolli, metodi, consapevolezza) siano ben saldi altrimenti essa si spezzerà.
IR: Dunque l’ISCOM continuerà a lavorare sulla sensibilizzazione alla sicurezza degli operatori e degli utilizzatori delle nuove tecnologie?
LF: Sicuramente sì. E dirò di più: tutte le ricerche ed analisi rivelano che moltissimi cittadini, spaventati dalle notizie che quotidianamente arrivano su virus, hacker, truffe telematiche e phishing, evitano di utilizzare Internet proprio per paura di non potersi (o sapersi) difendere dai nuovi criminali informatici. Il rischio è quello di un nuovo “digital divide”. È dunque dovere delle istituzioni, quali ISCOM (ma vorrei ricordare anche ENISA e CNIPA), impegnarsi per ridurre il divario ed eliminare le barriere (qui non fisiche ma mentali) che impediscono di esercitare i propri diritti (digitali in questo caso) e rallentano il progresso del paese.
IR: Torniamo alle nuove linee guida. Cominciamo da quella relativa alla “Sicurezza nella gestione dell’affidamento a terzi dei servizi ICT”. In poche parole parliamo di outsourcing. Quali sono i contributi offerti da ISCOM?
LF: Il fenomeno dell’outsourcing, come viene in gergo indicato l’affidamento di servizi di un’azienda ad un’entità esterna, ha acquisito negli ultimi anni una notevole importanza per due fattori:
- da una parte alcune tipologie di servizi, tipicamente quelli ICT, costituiscono un bene primario anche per quelle aziende il cui core business non è propriamente legato a quel mondo;
- d’altra parte, per aziende il cui core business non sia quello dei servizi in oggetto è sconveniente, nonché inefficiente, tenere personale ed infrastrutture per la messa in opera, la gestione e la manutenzione di tali servizi.
Piuttosto che elencare pedissequamente tutte le possibili classi di servizio evidenziando per ognuna di esse le problematiche relative all’outsourcing di tali servizi, abbiamo deciso di raggruppare in macroclassi alcuni tra i servizi oggi di maggior interesse, mettendo insieme quelli che presentano modalità simili nella gestione degli aspetti di sicurezza.
IR: Vi siete ispirati a qualche standard?
LF: La linea guida offre un’ampia panoramica delle principali “best practice” riconosciute per la gestione esterna di servizi:
- ISO27001 e ISO17799
- ITIL
- COBIT
IR: Ci sono anche suggerimenti pratici?
LF: Come dicevo uno dei principi che ci ha ispirati nella redazione di questo secondo set di linee guida è stato proprio quello di proporre soluzioni pratiche. Abbiamo così allegato una tavola di sintesi in cui sono identificate, per ognuna delle macroclassi precedentemente individuata, le clausole di uno SLA “prototipo”, clausole che vanno sicuramente incluse nella gestione di un rapporto di outsourcing. Inoltre forniamo un esempio di reale applicazione delle metodologie illustrate prendendo in considerazione l’outsourcing dei servizi di telecomunicazioni.
IR: Passiamo alla seconda linea guida, quello sulla “Analisi dei rischi”. In che si differenzia dalla precedente linea guida sullo stesso argomento?
LF: Il documento nasce dalla condivisione di esperienze reali maturate nell’applicazione dell’analisi dei rischi secondo le metodologie presentate nella precedente linea guida sull’analisi dei rischi. Il documento si compone di due parti:
- la prima parte contiene le indicazioni generali emerse dalle attività sopradescritte e si pone l’obiettivo di fornire elementi utili a chi volesse avvicinarsi all’analisi dei rischi in ambito ICT, sia fornendo una panoramica generale della materia, sia esponendo alcune nozioni di base e indicazioni pratiche derivanti dall’esperienza nell’applicazione delle metodologie di analisi;
- la seconda parte, composta da schede che descrivono le metodologie e gli strumenti considerati, vuole invece porsi come punto iniziale di approfondimento di alcune tra le diverse alternative disponibili per l’attuazione di una analisi dei rischi.
IR: Terza linea guida?
LF: Questa linea guida concentra la sua attenzione sulla “Gestione delle Emergenze” in ambito Information e Communication Technology (ICT). L’attuale sviluppo delle telecomunicazioni, nel settore pubblico come in quello privato, è caratterizzato da una sempre più stretta convergenza, interdipendenza ed integrazione tra i servizi tradizionali e servizi che utilizzano tecnologie informatiche. Ciò riguarda anche e soprattutto le Infrastrutture Critiche Nazionali (National Critical Infrastructure - NCI) composte da infrastrutture pubbliche e private interessanti settori e servizi critici per il sistema paese, la cui protezione (CIP – Critical Infrastructure Protection) è diventata vitale ed essenziale. La difesa delle NCI implica ovviamente la protezione delle infrastrutture ICT.
IR: La guida affronta il tema della gestione delle emergenze ICT anche dal punto di vista delle realtà locali. Come mai?
LF: Riteniamo che sia necessario che le aziende e le organizzazioni che operano a livello locale e regionale siano in grado di comprendere e valutare quanto la loro attività quotidiana sia caratterizzata da un determinato livello di criticità. Non di rado realtà locali o regionali cooperano e collaborano ad attività nelle quali sono coinvolte organizzazioni nazionali. Ancora più spesso le infrastrutture informatiche e comunicative delle realtà locali e nazionali sono interdipendenti in termini operativi, logici e geografici. Queste considerazioni ed altre presenti nel documento ci hanno spinto ad inserire le realtà locali tra i destinatari fondamentali di questa linea guida per la gestione delle emergenze.
IR: Anche qui sono proposti approcci pratici?
LF: Parlando sempre di realtà che operano sul territorio locale, la guida fornisce uno strumento di self-assessment, sotto forma di mini questionario, per aiutare nella valutazione della criticità delle proprie attività. Più in generale, un paragrafo della linea guida è dedicato alla definizione, costruzione e mantenimento di un vero e proprio “sistema di gestione delle emergenze” utilizzando sia COBIT di ISACA che il framework del NIST, il National Institute of Standards and Technology. In entrambi i casi, il modello di gestione si basa sull’approccio conosciuto come PDCA (Plan, Do Check, Act), caratterizzato dal miglioramento continuo e dalla visione per processi (propri anche dello standard ISO/IEC 27001:2005) e sulla garanzia di allineamento con i requisiti di business.
(Fine prima parte)
IsacaRoma link
- Intervista a Luisa Franchina Direttore Generale dell’Istituto Superiore delle Comunicazioni e della Tecnologia dell’Informazione
- Centro di formazione dei dipendenti della PA nel campo della sicurezza ICT
- ISCOM - L'analisi e la gestione del rischio: principi e metodi
- "Futuro Semplice": una nuova iniziativa di ISCOM
- L’OCSI e la certificazione della sicurezza ICT
- Fattori critici per lo sviluppo delle certificazioni di sicurezza secondo i Common Criteria
» email this story | printer friendly version | 2688 reads
