Polo strategico nazionale/cloud di Stato: cosa ci attende e come gestire la trasformazione della PA in un’ottica di tutela dei dati

cloud, assicurazioni informatiche

Polo strategico nazionale/cloud di Stato: cosa ci attende e come gestire la trasformazione della PA in un’ottica di tutela dei dati.

Lo scorso 7 settembre il ministro della Transizione Digitale Vittorio Colao ha presentato la Strategia Cloud Italia, i.e. il documento di indirizzo strategico per l’implementazione e il controllo del cosiddetto cloud di Stato sul quale trasferire in assoluta sicurezza tutti i dati e i servizi strategici della PA. Tale strategia va vista in un’ottica di completamento della trasformazione digitale del settore pubblico e costituisce uno dei principali obiettivi perseguiti dal Piano Nazionale di Ripresa e Resilienza (PNRR). Ciò comporta, altresì, la realizzazione di un Polo Strategico Nazionale (PNS), i.e. un’infrastruttura destinata a tutte le PA – ad alta affidabilità e localizzata sul territorio nazionale – per la razionalizzazione e il consolidamento dei Centri di elaborazione Dati (CED) e dei relativi sistemi informatici.

Il PSN, di fatto, garantirà un’infrastruttura nazionale che erogherà servizi attraverso cinque cloud. Inoltre, grazie al supporto di Agenzia per la Cybersicurezza Nazionale (ACN) e del Dipartimento per la Trasformazione Digitale (DTD) si procederà alla migrazione dei dati e dei servizi della PA, classificando i dati stessi e scegliendo, quindi, la soluzione cloud più adatta. Il nuovo Cloud nazionale richiederà, altresì, che i fornitori siano verificati mediante una modalità precisa di qualificazione al fine di garantire sicurezza, affidabilità e rispetto delle normative.

Tutti auspichiamo che il processo di trasferimento dei dati della PA sul cloud nazionale possa essere portato al 75% di avanzamento entro il 2025 anche se, allo stato attuale, risulta difficile raggiungere tale traguardo. Vediamo di seguito che scenario ci attende.

La Strategia Cloud

È doveroso ricordare che più del 90% dei circa 11 mila data center delle PA italiane risultano non sicuri o non aggiornati e, quindi, a rischio di subire incidenti o attacchi cyber, anche a causa della mancanza di un numero adeguato di esperti di cyber sicurezza da assegnare ad ognuno di essi. È in quest’ottica che è stata realizzata una strategia volta all’accentramento dei dati e dei servizi digitali erogati dalla PA in un’architettura di cloud computing nazionale destinata a rivestire un ruolo centrale nel processo di trasformazione digitale della PA in quanto si propone di:

  • Ridurre la frammentazione dell’architettura IT
  • Aumentare il controllo e la sicurezza dei dati trattati
  • Aumentare la resilienza dei servizi digitali
  • Garantire adeguati livelli di cybersecurity
  • Assicurare l’autonomia tecnologica dell’Italia.

Sono stati considerati cinque tipologie di cloud per rispondere ad una specifica esigenza di suddivisione dei dati (in base al loro rilievo strategico per il nostro Paese e alla criticità degli stessi, in caso di compromissione) e, precisamente:

  • Dati strategici – i.e. dati che possono generare impatti sulla sicurezza nazionale (i.e. dati della Difesa o relativi alle infrastrutture dell’economia)
  • Dati critici – i.e. dati che possono causare l’interruzione di servizi essenziali dello Stato (i.e. dati sanitari o collegati alla sicurezza e benessere economico e sociale)
  • Dati ordinari – i.e. dati che non provocano interruzione dei servizi essenziali dello Stato.

Di seguito declinati i cinque cloud:

  • Cloud Pubblico Criptato – raccoglierà dati, informazioni e infrastrutture con potentissime chiavi di protezione crittografate. I server e dati saranno custoditi in Unione Europea;
  • Cloud per dati misti (sia pubblici sia privati su licenza) con sede in Italia e fornitori che saranno soggetti a vigilanza e monitoraggio pubblico;
  • Cloud destinato ai privati, le cui chiavi saranno custodite in Italia e i fornitori monitorati;
  • Cloud pubblico con fornitori qualificati e dati in Europa;
  • Cloud pubblico non qualificato e i dati potranno risiedere in server anche extra UE.
strategia cloud
Fonte: Strategia Cloud – Ministero Innovazione – https://cloud.italia.it/strategia-cloud-pa/

Di fatto si tratta di erogare servizi digitali a cittadini ed imprese mediante infrastrutture digitali sicure, efficienti e affidabili in modo tale da completare il percorso di digitalizzazione ed innovazione delle PA, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali.

Cloud nazionale per la PA: quali sfide ci attendono

Una domanda ricorrente è se l’Italia – che nel 2020 risultava venticinquesima su 28 posizioni in Europa nel processo di digitalizzazione – sia in grado in quattro anni di raggiungere gli obiettivi stabiliti dalla Strategia Cloud. Inoltre, si palesa dinanzi a noi un’altra sfida che la nostra PA si troverà a gestire nell’attuazione di tale strategia, ovvero: il “mercato delle competenze”.

Come affermato da Roberto Baldoni – direttore dell’ACN – le competenze tecniche del Sistema Paese e quelle del personale dipendente delle PA rappresenteranno un fattore di fondamentale importanza per garantire la sicurezza del cloud nazionale e di tutto il dominio cyber.

Nell’ultimo anno, sono aumentati considerevolmente gli attacchi cyber con violazioni della privacy e tentativi di intrusione andate a buon fine e, in base ai dati analizzati, l’anello debole della catena della sicurezza informatica delle aziende private e delle PA si conferma essere il fattore umano.

Pertanto, la cosiddetta human awareness resta, di fatto, un fattore fondamentale per la sicurezza di ogni organizzazione sia privata sia pubblica. Ne consegue che il personale dovrà essere formato in modo tale da acquisire le best practices per mantenere le proprie reti e i propri dispositivi in sicurezza.

Le competenze sono difficili da reperire nel nostro Paese, in quanto si formano con: anni di esperienza nel settore; studi approfonditi; sviluppo di programmi di ricerca ambiziosi; adozione e l’uso di tecnologie “on the edge”; creazione di centri di ricerca e confronti con altri professionisti a livello internazionale.  Inoltre, nonostante si parli molto della promozione e dell’avvio di corsi di formazione per specialisti, è necessario ricordare che per formare persone effettivamente competenti e competitive, non sono sufficienti 5/7 anni e ciò influirà significativamente sul risultato della Strategia Cloud sia in termini qualitativi sia quantitativi. Pertanto, fondamentale nel conseguimento degli obiettivi prefissati il supporto e gli incentivi dell’ACN che presuppongono, come conditio sine qua non, una PA digitalmente competente mediate l’attuazione di azioni strategiche, quali::

  • Diffusione dell’identità digitale, assicurando che venga utilizzata dal 70% della popolazione
  • Copertura del gap di competenze digitali, in modo tale che il 70% della popolazione risulti digitalmente abile. Pertanto, sarà necessario e fondamentale garantire programmi di acculturamento digitale per rendere possibile il cambio di paradigma atto ad avvicinare e incentivare l’uso corretto delle tecnologie da parte dei cittadini.
  • Utilizzo dei servizi Cloud da parte del 75% delle PA
  • Erogazione on-line dell’80% dei servizi pubblici essenziali
  • Raggiungimento dell’100% delle famiglie e delle imprese italiane tramite reti a banda ultra-larga.

I principi di Risk Management, Business Continuity e Cyber security: il “dream team” per una implementazione efficace ed efficiente della Strategia Cloud

Qualsiasi organizzazione, quando decide di implementare un cloud, deve ragionevolmente intraprendere un percorso di conoscenza delle interconnessioni tra business e sistemi informativi, nonché di controllo dei propri rischi, in modo tale da acquisire un livello significativo di maturità sugli aspetti di resilienza. Grazie all’implementazione dei principi di Risk Management, Business Continuity Management e Cyber Security Management è possibile supportare le organizzazioni in questo percorso. Pertanto, riteniamo fondamentale e strategico che i professionisti di tali discipline e le Associazioni nazionali che li rappresentino supportino la PA nell’attuare la Strategia Cloud e completare, così, il processo accelerato di digitalizzazione e innovazione in atto.

Inoltre, nell’ottica di resilienza della PA e in termini di processo di selezione del cloud provider, sarà altresì necessario accertare che venga garantita la resilienza dell’organizzazione, indipendentemente dal verificarsi di qualsiasi evento dirompente. Ovvero, occorrerà verificare l’implementazione dei principi di Risk Management, Business Continuity e Cyber Security anche da parte del Cloud Provider che dovrà: dimostrare l’esistenza dei piani di continuità sia propri sia dei sub-fornitori; garantire i servizi di connettività e l’alimentazione nei data center in caso di disastro/disruption; gestire efficientemente i guasti hardware (a tal proposito è auspicabile inserire contrattualmente la loro modalità di risoluzione); fornire le specifiche del data center utilizzato; garantire un rapporto in termini di programmazione di test di ripristino e di emergenza; garantire la sicurezza dei dati.

Conclusioni

Come ribadito dal Ministro dell’innovazione Colao e anche dal direttore di ACN Baldoni, il cloud nazionale rappresenterà una “casa flessibile, moderna e sicura per i dati degli italiani”. Solo con competenze adeguate sarà possibile svolgere il compito complesso della gestione della “nostra casa sicura” e, pertanto, sarà fondamentale investire nella formazione tecnologica non solo all’interno della PA, ma anche nelle organizzazioni, in modo tale da avviare un approccio virtuoso in tutto il Paese e garantire un ecosistema vero e proprio.

Si tratta, di fatto, di portare a termine quella che si definisce innovazione armonica, i.e. un’innovazione che ponga al centro le risorse umane, dotate delle necessarie competenze in modo da attuare i cambi di paradigma necessari per completare il processo in atto, acquisire una consapevolezza del proprio contesto interno ed esterno e garantire la resilienza operativa ed organizzativa della PA.

Grazie alla realizzazione della Strategia Cloud la PA potrà conseguire importanti benefici in termini di flessibilità e risparmio, oltre ad un significativo incremento di qualità, sicurezza e affidabilità dei servizi dei servizi offerti per cittadini ed imprese, convertendosi in settore anti-fragile.

Federica Maria Rita Livelli

ANRA Comitato Direttivo

Business Continuity & Risk Management Consultant

Seguici sui nostri canali social: Facebook Twitter 

Leggi tutte le nostre notizie cliccando QUI

The following two tabs change content below.

ANRA

ANRA è l'associazione che dal 1972 raggruppa i risk manager e i responsabili delle assicurazioni aziendali. È il punto di riferimento in Italia per la diffusione della cultura del risk management in azienda, ed organizza attivamente incontri e corsi per la formazione dei professionisti della gestione del rischio, tra cui quello volto ad ottenere la certificazione europea RIMAP. L’Associazione conta ad oggi un network di oltre 600 Soci, che operano quotidianamente nella professione in aziende pubbliche e private che rappresentano circa il 25% del PIL italiano.

Lascia un commento