Affrontare i Rischi Informatici nel Pubblico: Normative, Rivoluzioni e Strategie di Mitigazione – Tavola Rotonda

Tavola Rotonda tenutasi durante la 12a edizione della Cyber Crime Conference il 18 aprile 2024, dove sono intervenuti:

• Thomas Mascioli Colavecchi, Chief Information Security Officer presso Polo Strategico Nazionale
• Alberto Manfredi, Country Leader e Presidente Cloud Security Alliance (CSA) Italy
• Claudio De Paoli, Head of BIP CyberSec, in veste di moderatore

Guarda la registrazione video del panel:

Digitalizzazione della Pubblica Amministrazione

L’incontro ha discusso lo stato attuale della trasformazione digitale nella Pubblica Amministrazione italiana, dove i prossimi obiettivi sono portare il 35% dei servizi digitali su infrastrutture cloud, rendere tutti i servizi più fruibili dalla cittadinanza e garantirne la conformità alle regole sulla classificazione dei dati della P.A.

In apertura, il moderatore Claudio De Paoli ha citato la Determina n. 307/2022 e i nuovi processi di qualificazione e classificazione dei dati ivi previsti, che attualmente si basano su uno schema a quattro livelli (ordinario, critico, strategico, strategico plus).

Ruolo del Polo Strategico Nazionale

A seguire Thomas Mascioli Colavecchi – CISO del Polo Strategico Nazionale – ha citato l’ultima Relazione annuale sulla Politica dell’Informazione per la Sicurezza, in cui si evidenziano gli interventi tecnologici e le riforme strutturali messe in campo dal governo nell’arco dell’anno passato, tra le quali “il supporto alla migrazione al cloud attraverso la creazione di una infrastruttura nazionale”.

Una delle principali novità prevede proprio il supporto alla migrazione al cloud attraverso la creazione di un’infrastruttura nazionale: qui si colloca il ruolo del Polo Strategico, attestato dall’Agenzia per la Cybersicurezza Nazionale come unico ente in Italia al massimo livello (Q*4) previsto per il settore.

Anche in base a questa posizione di leadership, la sua principale sfida strategica sarà quindi accompagnare le Pubbliche Amministrazioni nella migrazione dei loro dati sul cloud, supportando al tempo stesso l’innalzamento dei livelli di sicurezza, in una valida operazione di partenariato tra pubblico e privato.

Risorse della Cloud Security Alliance (CSA)

In qualità di co-fondatore e presidente del suo capitolo italiano, il relatore Alberto Manfredi ha poi presentato Cloud Security Alliance: un’associazione nata a Seattle nel 2009 con l’intento di sviluppare linee guida – ad oggi più di 400, tutte consultabili gratuitamente online – oltre a formazione e certificazioni per la sicurezza cloud.

Nell’intervento sono state citate diverse risorse create da CSA, tra le quali una formazione specifica in ambito di Zero Trust e soprattutto lo schema di certificazione CSA Security Trust Assurance and Risk (STAR), oggi richiesto dalla Determina n. 307/2022 come mandatorio per qualificare i servizi cloud ai due livelli più alti (QC3 e QC4).

Tra gli obiettivi futuri della ricerca CSA, Manfredi ha citato lo sviluppo di linee guida e certificazioni della sicurezza dell’AI, in particolare GenAI, e l’evoluzione del Quantum Computing a partire dall’adozione di algoritmi di crittografia Quantum Resistant. Questi obiettivi richiederanno l’istituzione di tavoli di lavoro allargati con i vari stakeholder, come fornitori di servizi, Pubbliche Amministrazioni, agenzie ed associazioni esperte di settore, per garantire un’adozione delle nuove tecnologie conforme sia alle esigenze di sicurezza a breve termine che agli sviluppi normativi futuri.

Sicurezza del Cloud: una Responsabilità Condivisa

In conclusione del panel i relatori hanno evidenziato la necessità di affrontare anche gli aspetti culturali legati a questa trasformazione, senza illudersi che la migrazione al cloud garantisca automaticamente la sicurezza dei servizi.

È stata inoltre sottolineata l’importanza della ricerca, della formazione continua e della collaborazione tra i differenti attori del settore.

Ciò al fine di sviluppare best practice condivise per la governance del cloud, armonizzando i livelli di robustezza dei diversi soggetti coinvolti e così garantendo a questo ecosistema un’adeguata sicurezza complessiva.

Il programma completo della Cyber Crime Conference 2024 è disponibile al seguente link: https://www.ictsecuritymagazine.com/eventi/cybercrimeconference2024#programma

Iscriviti alla nostra newsletter per rimanere aggiornate sulle nostre iniziative: https://www.ictsecuritymagazine.com/newsletter/