L’avvento del CERT-PA (istituito con l’articolo 20 comma 3 del DL 83/12) purtroppo non è molto noto alle PP.AA. e questa ignoranza fa perdere l’opportunità di sfruttare le competenze di un ufficio con ampie competenze specifiche.

La PA che deve adeguarsi al GDPR rischia un fallimento almeno duplice per questi motivi:

  • Mancanza di un modello organizzativo documentale (il manuale ex art 5 DPCM 03/12/13)
  • Mancanza dell’adeguamento alla Circolare 2/2017 AGID, GU SG n.103 del 5.5.17

Del manuale già ho scritto in altri post, ora voglio velocemente soffermarmi sulla Circolare che al primo articolo indica gli obiettivi: le MMS-PA (Misure minime che poi vedremo essere standard).

All’articolo 2 si individuano le PA (concetto allargato) destinatarie ed al 3 si individua il soggetto responsabile, quello che poeticamente già ho definito altrove DIFENSORE CIVICO 2.0, ai sensi dell’articolo 17 del CAD (art 17 comma 1 – ter D.lgs 82/2005).

I livelli di misura di sicurezza sono calcolati adoperando il ABSC (Agid Basic Security Controls) ed avere un Tier o Rating :

  • Minimale (oltre al quale non è consentito scendere)
  • Standard (il valore atteso)
  • Alto (limite superiore di tendenza)

Lo standard utilizzato è il SANS 20 che, sinotticamente, prevede:

  • Inventario hardware classificato per IP
  • Inventario software con versione e licenza ed autorizzazione negata per i non censiti
  • Protezione e cifratura
  • Valutazione continua della vulnerabilità
  • ACL
  • Difesa Malware
  • Policy di DR

Le risultanze del SANS 20 – ABSC vanno inserite in Allegato 2, marcate temporalmente ed inviate al CERT-PA in caso di problemi informatici.

Ecco, ora si può iniziare a parlare di GDPR…ricordando che il correttivo al CAD probabilmente introdurrà nuovamente il piano DR-CO e che l’analisi as is deve considerare per il GDPR ( e mi ripeto come anche per il 196) l’analisi dei processi , l’utilizzo degli indicatori, l’ausilio di una matrice RACI  e l’applicazione dei controlli del Trucker del 1997, in altre parole il DPSS 2.0 sarà frutto dell’applicazione della scienza dell’organizzazione e non di informatici che aggiornano gli antivirus e di copiatori seriali che distribuiscono informative in maniera indiscriminata.

 

Print Friendly, PDF & Email