Docs Italia beta

Documenti pubblici, digitali.

Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali
Progetto: Documenti in consultazione
Amministrazione: AGID
Informazioni
Sorgente
Azioni

7. Modello amministrativo

Da un punto di vista amministrativo, i CERT possono adottare assetti differenti a seconda del fatto che:

  • siano un’articolazione interna all’organizzazione ospitante, ovvero una funzione o un dipartimento, preposta a tale fine oppure cui vengono affidate responsabilità ulteriori;
  • siano inseriti in una società in-house, già esistente o costituita ad-hoc, nella forma di soggetto giuridico il cui capitale è detenuto in toto o in parte, direttamente o indirettamente, da un’organizzazione che affida l’erogazione dei servizi.
  • ci si affidi ad un’organizzazione esterna per la fornitura del servizio CERT, anche attraverso meccanismi di outsourcing.

Il primo scenario è caratterizzato da una minore complessità amministrativa in fase di start-up (adempimenti societari, gestione del personale, ecc.), dalla possibile riduzione dei tempi di avvio, legata al punto precedente, e da una maggiore efficienza operativa derivante dalle possibili sinergie con il resto dell’organizzazione. Di contro si evidenzia tuttavia che tale assetto può comportare la necessità di istituire pratiche e processi definiti a garanzia della separazione dei ruoli e delle responsabilità e volti ad impedire una possibile sovrapposizione degli stessi rispetto alle attività caratteristiche dell’ente che ospita il CERT.

Il ricorso ad un soggetto giuridico distinto rappresenterebbe, da un lato, una garanzia di unicità di scopo ed autonomia gestionale intrinseca, ma comporterebbe dall’altro una maggiore complessità amministrativa, soprattutto in fase di start-up, con evidenti tempi di avvio più lunghi nonché costi di gestione più elevati con potenziale duplicazione degli incarichi apicali.

Una soluzione percorribile per i CERT di una rete nazionale, e già percorsa ad esempio da alcune realtà territoriali nel nostro Paese, è quella di costituire dei gruppi di lavoro estesi ai quali potrebbero partecipare i diversi rappresentanti della constituency (imprese, enti territoriali, società in-house, ecc.) e i rappresentati dei settori di interesse.

I vantaggi di questo approccio sono molteplici:

  • il coinvolgimento di ulteriori soggetti riduce la quota parte di costi fissi a carico di ogni ente con un incremento minimo dei costi variabili dovuti alla gestione di categorie di soggetti eterogenee;
  • le competenze presenti sul territorio – o costituite secondo necessità – diventano un patrimonio comune di tutti i soggetti interessati, scoraggiando anche un potenziale turn over delle stesse tra i diversi CERT;
  • il patrimonio informativo di conoscenze viene condiviso tra tutti i soggetti, favorendo una più pronta risposta ad eventuali incidenti grazie anche alla possibilità di coordinare i vari soggetti da un un’unica regia.

Un’ulteriore possibilità per implementare le capacità necessarie a garantire l’operatività della struttura, consiste nel ricorrere a competenze esterne reperibili nel settore privato per interi ambiti di servizio o per singole aree di intervento ad elevato tasso di specializzazione. I CERT dovrebbero poter disporre di staff con competenze ed esperienze su tutti i sistemi, le piattaforme e le infrastrutture informatiche impiegate dalla comunità servita.

Nell’ambito del contesto nazionale, in considerazione della ampia e variegata constituency identificata, e in assenza di un censimento completo degli asset tecnologici in uso presso gli utenti coinvolti, risulta tuttavia poco realistico e difficilmente percorribile nell’immediato poter disporre all’interno del singolo CERT di tutte le esperienze, conoscenze e competenze necessarie.

Alcuni dei principali benefici che possono portare un’organizzazione ad acquisire risorse e competenze esterne possono essere:

  • riduzione dei costi e vantaggio economico conseguibile a fronte dell’affidamento ad un soggetto esterno caratterizzato da una maggiore specializzazione, ovviando dunque alla carenza di alcune professionalità o tecnologie abilitanti;
  • possibilità di rispondere in tempi rapidi all’innovazione tecnologica, in determinati ambiti, spesso inattuabile a livello di singole organizzazioni locali che potrebbero operare in condizioni di risorse limitate;
  • definizione di un corrispettivo contrattuale verso il service provider, vincolato ad un risultato o alle prestazioni;
  • raccolta di indicazioni che emergono attraverso il confronto ed il benchmarking con altre esperienze e la scelta di riprodurre all’interno del CERT buone pratiche e casi di successo.