Blog

Inail Biotecnologie e sicurezza digitale

Posted by:

Inail Biotecnologie e sicurezza digitale
(Last Updated On: 1 gennaio 2023)

Sicurezza Digitale – La sicurezza dei dati prima di tutto

L’Istituto Nazionale Assicurazione Infortuni sul Lavoro si era già occupata delle Applicazioni biotecnologiche, dandone una nuova lettura per gli aspetti normativi e i propri progetti. Ha esteso i suoi obiettivi di sicurezza alla classica triade RID – Riservatezza, Integrità e Disponibilità – mettendo al centro altri aspetti, come la resilienza, l’autenticità e il non ripudio. Una strategia dinamica, la cui parola chiave è: “consapevolezza di tutti”.

L’INAIL, dal punto di vista della sicurezza delle informazioni, opera nella complessità tipica di una grossa amministrazione centrale, caratterizzata da un corposo parco applicativo, distribuito tra architetture on site, in cloud o anche ibride, che servono milioni di cittadini/aziende/professionisti, la cui gestione delle autorizzazioni di accesso ai dati è molto complessa.

Dal punto di vista dell’organizzazione interna poi, si è evoluto e radicato il lavoro da remoto, frutto di evoluzioni organizzative accelerate dalla pandemia, accompagnate dalla dovuta evoluzione tecnologica. I numeri sono molto significativi, in termini di utenti e tecnologie e il tutto insiste su un patrimonio dati corposo e critico, perché intriso di informazioni sanitarie. Ovvia quindi l’associazione con tutta la materia di privacy e protezione dei dati personali.

Il tema dell’autenticità, ad esempio, è da considerarsi imprescindibile e può essere declinato in contromisure di sicurezza, ormai assestate ma ancora poco usate all’interno delle PA. Tra queste la “multi factor authentication” o autenticazione forte, che l’Istituto ha scelto di utilizzare a livello globale, con significativo innalzamento della postura di cyber sicurezza. Da un lato l’autenticazione a 2 fattori consente di associare, in maniera forte, le identità digitali alle operazioni sui dati, dall’altro protegge da classiche minacce di sicurezza, come il furto d’identità e le azioni di “path traversal”, spesso al centro degli attacchi informatici.

Relativamente all’approccio organizzativo, è ormai indiscutibile che l’analisi del rischio debba essere il punto di partenza, la miccia che innesca il processo sicurezza e che necessariamente deve pervadere le varie componenti organizzative. Ognuna, nell’ambito dello step processuale nel quale si inserisce, deve avere la capacità di analizzare i rischi, indirizzando le strategie a medio e lungo termine, ma anche le attività quotidiane.

È importante che le componenti dedicate (l’area di governo, la componente operativa e l’attività di controllo) sappiano governare le due grandezze principali su cui ruota il processo sicurezza, ovvero rischio e impatto. La maturità in questo senso si sostanzia proprio nella ricerca e capacità di individuazione di un punto di equilibrio, tra limitarsi alla mitigazione dei rischi o saper guardare agli impatti, anche senza i condizionamenti della statistica e in considerazione del business che, nel caso di INAIL, riguarda dati di carattere sanitario di milioni di cittadini italiani, quindi informazioni personali “sensibili” su larga scala.

La strategia, in linea con la dinamicità del contesto ICT, deve saper essere dinamica, in funzione del mutevole scenario dei rischi e delle minacce di sicurezza. Si tratta in pratica di darsi dei principi di carattere generale, saperli contestualizzare e applicare nei micro e macro-scenari che un’organizzazione deve affrontare. Tali principi, che costituiscono la traccia della sicurezza, vanno ricercati:

ü  nell’analisi del rischio, che deve essere costante e continua, ma soprattutto pervadere le attività ed essere, appunto, “embedded”;

ü  nella competenza del personale addetto alla sicurezza: alla componente tecnologica vanno affiancate squadre di professionisti preparati;

ü  nei processi orientati al miglioramento continuo: tra i cardini di tutte le best practice e gli standard di settore, c’è la ISO 27001, che  ha ricevuto un importante e atteso aggiornamento. Il principio è quello del miglioramento continuo, che può e deve sicuramente essere esteso anche agli strumenti di sicurezza, scelti per la capacità di evolversi e di integrarsi con le altre componenti infrastrutturali;

ü  negli standard, che devono supportare chi fa governance e sicurezza, soprattutto nel rapporto con le altre componenti IT dell’organizzazione (sviluppo, sistemi, ma anche impianti ed altro);

ü  nella condivisione delle informazioni, sia verso l’interno, sia con altri Enti e organizzazioni, cercando sempre scambi bidirezionali, orientati alla crescita e non limitati alla condivisione di bollettini o alert a senso unico;

ü  nella giusta attenzione al mercato: se è essenziale l’adozione di prodotti leader, lo è altrettanto la modalità con cui vengono gestiti e utilizzati. Ottimizzare l’uso di un prodotto all’interno del proprio business, integrandolo con gli altri strumenti e processi esistenti, costituisce la vera differenza, il reale valore aggiunto. Un prodotto, può essere sostituito per una serie di motivi (economici, di comodità di utilizzo) ma difficilmente, se non opportunamente gestito, da questa sostituzione ne scaturirà un miglioramento della posture di sicurezza;

ü  nella difesa in profondità, costruita grazie a barriere di sicurezza posizionate su vari livelli, a copertura completa di molteplici scenari di rischio;

ü  nel by design, ovvero nel pensare alla sicurezza sempre, dall’inizio e nelle evoluzioni di tutte le iniziative progettuali, nei cambi architetturali, nelle nuove idee come nei cambiamenti organizzativi. Il beneficio che se ne trae è inestimabile: basterebbe confrontarlo con tutti quei casi, presenti in ogni organizzazione, in cui si è dovuto correre ai ripari con degli interventi e investimenti “a posteriori”.

La governance della sicurezza ha in carico la definizione e diffusione di politiche, linee guida e procedure di tutela informatica, all’interno dell’Istituto, curando in modo sistematico anche la materia di protezione dei dati personali. In questa funzione c’è anche il miglioramento continuo del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), attraverso il quale INAIL ha conseguito la certificazione allo standard ISO/IEC 27001 già dal novembre 2017, estendendola poi, nel marzo 2022, alla ISO/IEC 27017, costituendo una eccezione nel contesto della Pubblica Amministrazione.

Elenchiamo, dal punto di vista pratico, le funzioni essenziali costituite in seno alla direzione ICT dell’Istituto:

SOC. Security Operation Center, il punto nevralgico per il controllo operativo della sicurezza. È il luogo in cui convergono tutte le informazioni di sicurezza provenienti dall’infrastruttura, necessarie a monitorare proattivamente e gestire la sicurezza in modo centralizzato e globale. Il SOC eroga numerosi servizi, tra cui la protezione perimetrale (NW Firewall, DNS Firewall, Advanced Threat Protection – ATP, Web Application Firewall – WAF, Reverse proxy, Network Intrusion Prevention System – NIPS), la sicurezza di PDL e sistemi (DB Firewall, Endpoint security, certificati digitali, cassaforte elettronica, web gateway) e la security intelligence (analisi malware e sandboxing, vulnerability assessment, network forensics);

CERT – Computer Emergency Response Team. Rappresenta il sistema Incaricato di raccogliere le segnalazioni di incidenti informatici e potenziali vulnerabilità, provenienti dalla comunità interna ed esterna, segnalando eventuali data breach. In collaborazione col SOC, si occupa di gestire gli eventi critici di tipo Cyber (incidenti) e svolge anche importanti attività istituzionali e di cooperazione nazionale e internazionale mediante la condivisione, con lo CSIRT, di strumenti per l’info sharing e la partecipazione al Perimetro di Sicurezza Nazionale Cibernetico (PSNC). Il CERT rappresenta il punto di contatto e supporto con gli utenti in merito alla sicurezza;

Servizi di identificazione, autenticazione e accesso. La funzione deputata a tale gestione si occupa di implementare i meccanismi di accesso Internet/Intranet, tramite SPID, CNS, CIE e MFA (Multi Factor Authentication). Vengono seguiti anche i meccanismi di profilazione, in grado di gestire e organizzare le categorie eterogenee di utenti, arricchendone e verificandone le caratteristiche, in maniera coerente, attraverso il sistema centralizzato, per consentire una fruizione facile e veloce dei servizi, delle piattaforme e dei sistemi;

La funzione di verifica delle applicazioni, testa e certifica il rispetto dei requisiti di qualità e sicurezza definiti nelle fasi di progettazione e realizzazione, supportando il ciclo produttivo delle soluzioni applicative, in coerenza con le metodologie e gli standard di mercato. Funzione che coordina il processo di transizione dallo sviluppo alla produzione ed esegue attività di certificazione del software mediante test di sicurezza;

Security Risk, Audit e certificazione ISO. La funzione è responsabile delle attività di monitoraggio e controllo delle performance della Direzione e delle forniture. Effettua le verifiche di conformità IT e governa le attività di gestione dei rischi. Tale funzione è responsabile delle attività connesse alla gestione della Certificazione di Sicurezza ISO 27001 e ISO 27017, di Qualità ISO 9001 e del Servizio ISO 20000. E’ altresì responsabile della attuazione e del miglioramento dei Sistemi di Gestione della Qualità, del Servizio e dell’integrazione di tutti i Sistemi.

Le funzioni del “processo sicurezza” risultano distribuite nell’organizzazione IT e ogni componente ha un ruolo legato alla sicurezza, in ogni funzione. Nessuno può fare a meno di confrontarsi con le politiche e le linee guida. Ciascuno, compreso chi non è strettamente associato alla sicurezza IT, ha una sua responsabilità, tra cui quella di essere consapevole del proprio ruolo, degli impatti delle proprie azioni e delle singole scelte, comprese quelle organizzative e di business, sviluppando una propria maturità di sicurezza.

Chi invece è direttamente coinvolto (governance, SOC, CERT, audit) deve essere profondo conoscitore del contesto di business in cui opera e, tra le altre cose, deve conoscere nel dettaglio la criticità insita nel tipo di dati che l’organizzazione tratta, proprio per poter realizzare al meglio le mitigazioni dei rischi.

Del resto, la “consapevolezza di tutti” è una espressione chiave: quello della sicurezza è un lavoro spesso nascosto, dietro le quinte, che opera sempre nel limbo e nel rischio di bloccare un’azione lecita o di non bloccare un’azione non lecita, nel difficile equilibrio tra appesantire un servizio e garantirne la sicurezza. Tutti giorni le attività di rilascio, installazione, aperture e chiusure di porte e di protocolli, sono fondamentali e avvengono tramite lo scambio di informazioni e la fiducia reciproca, tra i team e le persone. Nessuno deve poter eludere i parametri della sicurezza o bloccare attività necessarie o utili, per motivi inerenti la stessa.

La via è tracciata!

BIBLIOWEB:

INAIL : Applicazioni biotecnologiche. Gli aspetti normativi e i progetti INAIL – 202, ISBN 978-88-7484-711-2 (in PDF allegato)
BiTData Inail Progetto BiTData (innsite.it)
“INNsite” Strumento per il trasferimento e la diffusione dell’Innovazione tecnico scientifica nel settore della sicurezza agroalimentare e delle Biotecnologie Home (innsite.it)
TOOLKIT realizzato da Ministero della Salute e INAIL per la replicabilità del progetto SPAIC https://www.innsite.it/biotecnologie-e-sicurezza/i-progetti
Cybersecurity la miglior difesa è l’attacco https://newmicro.altervista.org/?p=9660
Spid ai minori https://newmicro.altervista.org/?p=9526
Software insoddisfacenti https://newmicro.altervista.org/?p=9506
Privacy, trasparenza PA e dati sanitari https://newmicro.altervista.org/?p=9472
Giornata mondiale sicureza dei pazienti https://newmicro.altervista.org/?p=9396
Sicurezza sul lavoro Formaldeide e linee d’indirizzo https://newmicro.altervista.org/?p=9388
Le criticità di Eurachem/CITAC https://newmicro.altervista.org/?p=9382
Sostanze pericolose sul lavoro serve revisione https://newmicro.altervista.org/?p=9311
Correzioni PNRR per il piano triennale AGID 2021-23 https://newmicro.altervista.org/?p=9232
PArliamo https://newmicro.altervista.org/?p=9116
Ri-formare la PA https://newmicro.altervista.org/?p=9043
Il nuovo servizio dell’anagrafe digitale https://newmicro.altervista.org/?p=9009

 INAIL : Applicazioni biotecnologiche. Gli aspetti normativi e i progetti INAIL – 2022, ISBN 978-88-7484-711-2 (PDF)

Un Click per Leggere

Print Friendly, PDF & Email


Articoli correlati:

0
Marco Pradella

About the Author

sito web e modulo per contatto: www.labmedico.it
Go To Top
AVVERTENZA: Questo sito web utilizza i Cookies al fine di offrire un servizio migliore agli Utenti Maggiori informazioni