14. Ipotesi di piano di attuazione¶
In questa sezione del documento viene rappresentato un possibile piano di attuazione di un CERT regionale, fornendo indicazione delle fasi da seguire, le macro-azioni necessarie e un’ipotesi di tempistiche. Tale piano è da ritenersi puramente indicativo e basato sull’esperienza pregressa di AGID e sul confronto con analoghe organizzazione. In tal senso, deve essere considerato come un’ipotesi a partire dalla quale costruire un piano di attuazione effettivo basato su una puntuale analisi del contesto in cui agirà il CERT regionale e degli specifici fabbisogni della constituency e degli ulteriori stakeholder.
Pianificazione
Fase 1: Identificazione degli stakeholder e degli attori coinvolti nel piano
- Stabilire quali soggetti/entità devono essere coinvolte nelle diverse fasi di pianificazione, disegno, implementazione ed esercizio
- Identificare la constituency del CERT regionale
- Identificare soggetti/interni ed esterni con cui il CERT dovrà interagire
- Individuare uno sponsor per l’attuazione dell’iniziativa ed ottenerne il supporto
Fase 2: Ottenere la sponsorship dell’iniziativa
- Individuare uno sponsor per l’attuazione dell’iniziativa
- Definire un business case sui benefici derivanti dall’avvio del CERT regionale
- Presentare il business case allo sponsor dell’iniziativa ed ottenerne il supporto
Fase 3: Sviluppare il piano di progetto operativo
- Definire il team di progetto
- Assegnare ruoli e responsabilità
- Definire il macro-piano di progetto
- Definire il piano di progetto di dettaglio, incluso il piano di comunicazione finale
Progettazione
Fase 4: Definizione della constituency
- Raccogliere informazioni sul contesto (operativo, tecnologico, normativo, ecc.) in cui agisce la constituency
- Identificare le aspettative della constituency e degli altri stakeholder
- Definire l’approccio comunicativo verso la constituency
- Determinare la constituency (iniziale) di riferimento per il CERT regionale
Fase 5: Dichiarare la missione del CERT regionale
- Definire la missione del CERT regionale, ovvero la sua funzione di base
- Comunicare la missione alla constituency e al resto della community di riferimento
Fase 6: Determinare il modello finanziario
- Definire il modello dei costi di avvio ed esercizio
- Determinare il modello di finanziamento/ricavo
- Ottenere il finanziamento iniziale
Fase 7: Definizione del catalogo dei servizi
- Identificare quali servizi offrire ai vari componenti della constituency di riferimento (effettuare uno studio di fattibilità iniziale basato su analisi costi/benefici)
- Determinare le modalità di erogazione dei servizi ai membri della constituency
- Definire i livelli di servizio
Fase 8: Definizione del modello organizzativo
- Determinare i livelli di autorità e la struttura di reporting
- Determinare la struttura amministrativa
- Determinare l’assetto organizzativo e il sistema di ruoli e reponsabilità
Fase 9: Definizione dei fabbisogni (personale, tecnologie, facilities)
- Determinare il fabbisogno di risorse:
- Personale: definire le job description
- Tecnologie: definire l’infrastruttura di rete ed e le applicazioni a supporto dei servizi
- Facilities: individuare gli spazi fisici (uffici, data center, ecc.)
Fase 10: Definire il modello di information sharing con la constituency
- Definizione dei livelli di interazione e le interfacce con i diversi membri della constituency e gli altri stakeholder interni/esterni
- Definire i flussi informativi da gestire e i metodi di collaborazione e comunicazione con tutte le parti coinvolte
Fase 11: Definire policy, processi e procedure
- Formalizzare le policy interne al CERT
- Documentare i flussi di lavoro e relativi ruoli e responsabilità
- Formalizzare le procedure operative a supporto dei processi
Fase 12: Definizione dei modelli di valutazione delle prestazioni del CERT
- Individuare metriche per misurare le prestazioni
- Definire i livelli target/obiettivo
- Costruire gli indicatori
- Definire modalità di rilevazione e misurazione
Implementazione
Fase 13: Avviare il processo di acquisizione/potenziamento delle risorse individuate
- Acquisire le risorse identificate
- Personale: avviare i processi di selezione interni/esterni
- Tecnologie: acquisire le componenti infrastrutturali e applicative
- Facilities: installare gli equipaggiamenti presso gli spazi fisici individuati
Fase 14: Rendere operativo il CERT regionale
- Creare operativamente i flussi di lavoro
- Formare il personale
- Implementare gli strumenti tecnologici presso i locali del CERT
Fase 15: Promuovere l’operatività del CERT presso la community
- Attuare il piano di comunicazione per l’avvio del CERT (promozione online, organizzazione di eventi, workshop, ecc.)