Docs Italia beta

Documenti pubblici, digitali.

Linee guida per la redazione del piano di gestione dei dati (Data Management Plan)
Progetto: ICDP - Piano nazionale di digitalizzazione del patrimonio culturale
Amministrazione: italia
Informazioni
Sorgente
Azioni

7.8. Sicurezza dei dati

La digitalizzazione dei dati semplifica l’accesso e la condivisione degli stessi, ma introduce anche una serie di rischi legati alla sicurezza informatica (o cybersecurity). [24] È infatti possibile che i dati condivisi in rete, se non adeguatamente protetti, subiscano furti, compromissioni o alterazioni da parte di soggetti malintenzionati.

L’Agenzia per l’Italia Digitale ha previsto una serie di misure atte a evitare possibili accessi non autorizzati o violazioni dei privilegi di accesso, valutando periodicamente le possibili vulnerabilità che potrebbero condurre a violazioni della sicurezza dei dati. In particolare, sono previsti tre diversi livelli di attuazione [25]:

  • minimo: è quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme.
  • standard: è il livello, superiore al livello minimo, che ogni amministrazione deve considerare come base di riferimento in termini di sicurezza e rappresenta la maggior parte delle realtà della PA italiana.
  • avanzato: deve essere adottato dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni.

Il MiC consiglia l’adozione delle misure di sicurezza standard, ma è in ogni caso indispensabile raggiungere almeno il livello minimo. Un approfondimento sul tema è fornito dalle misure di sicurezza ICT per le pubbliche amministrazioni indicate dall’AgID. [26]

7.8.1. Disposizioni per la sicurezza dei dati ⓘ

Nella sezione sono descritte le misure che verranno messe in atto per il rispetto delle misure minime di sicurezza ICT per le pubbliche amministrazioni, in base al livello AgID che l’istituto ha deciso di adottare.

Si consiglia inoltre di compilare la checklist per la verifica degli AgID Basic Security Controls – ABSC (si veda il par. 7.8.2) al fine di verificare il rispetto dei requisiti minimi di sicurezza. Gli aspetti che sono da considerare in questa sezione:

  • se sono rispettati o meno i requisiti di sicurezza minimi ABSC
  • se sono rispettati o meno requisiti di sicurezza di livello superiore
  • quali sono le modalità di verifica periodica dei requisiti
  • con che frequenza verranno eseguite queste verifiche
  • chi ha la responsabilità di eseguire queste verifiche.

7.8.2. Standard per la sicurezza dei dati ⓘ

Per garantire la sicurezza dei dati, è opportuno adottare criteri standard di valutazione della sicurezza. Il MiC consiglia di adottare lo standard ABSC (AgID Basic Security Controls) definito dall’Agenzia per l’Italia digitale [27], che è compatibile con il framework FNSC (Framework Nazionale di Sicurezza Cibernetica [28]) e con lo standard internazionale CCSC (CIS Critical Security Controls [29]). Lo standard ABSC prevede la creazione di un inventario dei dispositivi autorizzati e non autorizzati, l’adozione di standard per la protezione dei dispositivi, una valutazione continua delle vulnerabilità per far fronte a nuovi possibili rischi, un uso appropriato dei privilegi di accesso e la protezione da malware. Sono inoltre previste altre due attività molto importanti, ovvero l’esecuzione di copie di backup (cfr. par. Procedure di backup ⓘ ⓓ) e la protezione dei dati soggetti a vincoli di riservatezza (si cfr. par. Sicurezza dei dati personali ⓘ).

In questa sezione del DMP è opportuno riportare:

  • se è stato adottato o meno lo standard ABSC
  • se no, per quale motivo
  • quali altri standard di sicurezza sono stati adottati
  • in che modo è stato verificato il rispetto di tali standard.

7.8.3. Rischi per la sicurezza dei dati ⓘ

Questa sezione delinea sinteticamente i possibili rischi previsti per la sicurezza dei dati, facendo riferimento alla specifica tipologia di dati raccolti nel progetto. In particolare, occorre indicare, se si prevedono:

  • rischi di furto dei dati
  • rischi di riuso improprio o illegale dei dati
  • violazioni delle licenze adottate
  • violazioni delle policy di accesso
  • attacchi informatici all’infrastruttura
  • attacchi informatici all’interfaccia utente
  • qualunque altro rischio per la sicurezza dei dati non elencato sopra.

7.8.4. Sicurezza dei dati personali ⓘ

Nel caso di pubblicazione di dati soggetti al Regolamento sulla protezione dei dati personali, occorre prevedere una regolamentazione degli accessi che potrà fare capo a un sistema di registrazione online dell’utenza mediante SPID, in modo da riconoscere con certezza l’identità del richiedente e informarlo adeguatamente in merito alle regole deontologiche per il trattamento dei dati personali e alle responsabilità derivanti da un utilizzo illegittimo degli stessi. In alcuni casi può essere opportuno prevedere forme di anonimizzazione o pseudonimizzazione dei dati.

In questa sezione del DMP occorre quindi indicare:

  • quali misure vengono adottate nel progetto per garantire la sicurezza dei dati personali
  • quali forme di controllo degli accessi sono previste
  • quali livelli di accesso sono previsti
  • quali modalità di autenticazione sono previste
  • se è stata adottata l’autenticazione tramite SPID
  • se non è stata adottata, indicare per quale motivo
  • se sono previste forme di registrazione online degli utenti
  • se sì, quali modalità di registrazione sono previste e con quali modalità verranno conservati i dati
  • se è stata eseguita una anonimizzazione o pseudonimizzazione dei dati, e se sì di quali dati e con quali modalità.
[24]Jang-Jaccard, J., & Nepal, S. (2014). A survey of emerging threats in cybersecurity. Journal of Computer and System Sciences, 80(5), 973-993.
[25]Cfr. https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict
[26]Agenzia per l’Italia Digitale (2016), Misure minime di sicurezza ICT per le pubbliche amministrazioni (https://www.agid.gov.it/sites/default/files/repository_files/documentazione/misure_minime_di_sicurezza_v.1.0.pdf)
[27]Questo standard è descritto nelle Misure minime di sicurezza ICT per le pubbliche amministrazioni citate in precedenza.
[28]Cfr. https://www.cybersecurityframework.it
[29]Cfr. https://www.cisecurity.org/controls