La semplice spiegazione che ho dato ad un Segretario Comunale che ha tolto ogni dubbio sulle regole dettate da AGID.
E’ martedì 5 dicembre e mi sono tenuto una giornata in sede: devo organizzare un bel piano di digitalizzazione per un comune che vuole avere un’idea precisa prima della fine dell’anno.
Il sole entra dalla finestra del mio ufficio.
Fa caldo per essere inizio dicembre e non si è ancora vista la neve. Meglio, così non ho problemi a spostarmi tra i vari comuni: la neve mi piace solo in montagna durante la settimana bianca!
Sono le 10.30 e sono talmente concentrato che quasi faccio fatica a sentire il telefono quando squilla… no, non adesso!
La mia assistente mi anticipa che è il Segretario di un comune di 1.472 abitanti e che vuole avere informazioni sulle Misure Minime di Sicurezza AGID.
Mi ricordo benissimo quando abbiamo affrontato questo discorso per la prima volta: era l’ultima settimana di giugno.
Quel giorno ho svolto un’analisi preliminare per valutare gli interventi da programmare e da compiere necessariamente proprio per la realizzazione delle Misure Minime di Sicurezza.
Ne avevo parlato con la Responsabile della Segreteria.
Avevo pensato che sarebbe stato uno dei primi comuni a rispettare quanto richiesto da AGID e tra l’altro con largo anticipo ma alla fine, siamo arrivati a dicembre.
Ho chiamato e ripetuto decine di volte l’importanza di agire e soprattutto di farlo per tempo.
Ogni volta mi dicevano che stavano valutando perché avevano altre urgenze, che il comune è piccolo e quindi è difficile gestire tutto e che sicuramente a breve lo avrebbero fatto.
Immaginavo il report della mia analisi e la proposta del progetto accantonati in un angolo della scrivania della Segreteria e sommersi da altre carte nel corso del tempo.
Sono infatti passati 5 mesi e ancora niente.
Fino a quando sono stati rispolverati improvvisamente, forse perché finalmente qualcuno si è reso conto che il tempo era passato ed era diventata ormai una questione urgente.
Il Segretario mi chiede quasi intimorita se posso ri-spiegarle bene cosa devono fare per realizzare le misure minime e in cosa consiste il servizio completo che avevo proposto a giugno.
Ovviamente per me non è un problema anzi, forse è meglio così posso soffermarmi sull’importanza che ha anche a livello normativo.
Come prima cosa il Segretario mi dice che dispone delle risorse necessarie ma vuole prima capire meglio, in maniera chiara, che cosa sono le Misure Minime di Sicurezza AGID.
Ma cosa sono le Misure Minime di Sicurezza?
L’ambiente in cui svolgi il tuo lavoro deve essere sicuro, deve cioè garantire la massima protezione dei dati trattati.
E questo è rafforzato dal fatto che ogni giorno lavori con dati sensibili, crei e consulti atti ufficiali che hanno valore giuridico, operi con dati finanziari che appartengono all’esercizio dell’Ente, gestisci le istanze e i documenti degli utenti.
Pensa se tutto questo andasse perso o, peggio ancora, se ti fosse sottratto: un disastro!
Oltre a perdere tutto ciò che è fondamentale per il tuo lavoro, rischieresti anche sanzioni penali.
Con la digitalizzazione cambia l’ambiente in cui operi, che diventa appunto digitale.
I dati trattati digitalmente devono essere protetti esattamente come adesso proteggi l’archivio cartaceo chiudendolo a chiave.
Devi garantire la giusta cornice di sicurezza in modo che il tuo ambiente di lavoro non venga violato.
Ma chi stabilisce che l’ambiente di lavoro è sicuro? E soprattutto, come lo stabilisco?
AGID ha emanato le Misure Minime di Sicurezza ICT per le Pubbliche Amministrazioni nella Circolare n.2/2017 AGID.
Sono dei requisiti che l’ambiente digitale in cui si opera ogni giorno deve avere necessariamente per contrastare le minacce informatiche più comuni e frequenti.
La prima cosa da fare è capire se la propria struttura li rispetta e quindi è idonea e poi, nel caso non lo sia, bisogna programmare i giusti interventi da compiere per adeguarsi.
Attenzione! Non sono solo delle linee guida.
Sono delle vere e proprie regole da seguire e rispettare obbligatoriamente.
E sono standard MINIMI di prevenzione dei rischi, quindi è davvero un livello minimo e indispensabile dal quale partire e incrementare nel corso del tempo.
AGID inoltre chiede che sia compilato un modulo, allegato alla Circolare stessa, con il quale si dichiara che queste misure minime sono state realizzate (lo puoi scaricare qui).
Una sorta di autocertificazione che attesta che lo standard minimo è rispettato e che riporta con descrizioni dettagliate come lo si è rispettato.
Ho letto ripetutamente la Circolare per capire a fondo come realizzare tutto quanto richiesto. Interpretare la normativa questa volta non poteva bastare!
Serviva una soluzione che comprendesse tutto e che non si limitasse a dare qualche banale indicazione su come compilare il modulo di autocertificazione.
Come puoi infatti avere la certezza che nel corso del tempo il tuo ambiente di lavoro continua a rimanere protetto e sicuro?
Come puoi renderti conto in tempo reale se c’è qualche problema che può compromettere la sicurezza?
Ma soprattutto, sei davvero sicuro che il modo in cui hai organizzato il tuo lavoro, al di là dell’aspetto puramente informatico, garantisce la sicurezza?
Sei sicuro che proprio lì non ci sono delle mancanze di cui tu stesso forse adesso neanche ti stai preoccupando?
E peggio ancora, può essere che non te ne preoccupi perchè neanche sai che devi farlo.
Ecco come, dopo due settimane di riflessione, ipotesi e, ti confesso, qualche ora di sonno perso, ho interpretato e unito tutto quello che AGID richiede e che tu devi realizzare necessariamente.
Questa è la mia soluzione, pensata apposta per non farti compilare solo il modulo richiesto da AGID (che come ti ho già detto risulta essere fine a sé stesso e con nessuna utilità se non accompagnato da interventi e programmi strutturati) ma per garantirti un piano di lavoro completo.
Comprende infatti:
- L’analisi della tua struttura e dell’organizzazione del tuo lavoro.
Perché davvero non puoi pensare che la sicurezza dei tuoi dati è garantita solo da una serie di accorgimenti tecnici.
Per quanto complessi e completi possono essere non possono bastare.
Ti aiuto quindi a capire quali sono i giusti comportamenti da tenere nello svolgimento del tuo lavoro quotidiano e la giusta organizzazione da dare alla tua struttura.
Perchè solo grazie a un intervento esterno, fatto da me che vedo la tua realtá per la prima volta e la analizzo quindi in modo obiettivo, ti renderai conto di quante cose possono esserti sfuggite fino a adesso. E ti fornisco anche le indicazioni per sistemare tutto quello che non risulta idoneo o che può essere migliorato per aumentare il livello di sicurezza. - il Monitoraggio Assistito: la soluzione tecnica per la realizzazione delle Misure Minime.
Perchè è vero che se non può bastare il solo intervento tecnico, è anche vero che però è assolutamente indispensabile.
Come suggerisce giá il nome, ti garantisco il monitoraggio continuo e costante richiesto da AGID su ogni singola apparecchiatura ICT.
Hai così la certezza di avere sempre sotto controllo, e soprattutto di averlo in tempo reale, il corretto funzionamento, l’affidabilità e l’aggiornamento di ogni singolo elemento.
E’ un lavoro che non puoi svolgere tu da solo, anche solo perchè non puoi controllare 24 ore su 24 il traffico della rete o il corretto funzionamento di un computer o di un programma software, dell’antivirus o del sistema di backup. E questo solo per fare alcuni esempi.
Inoltre la soluzione che ti propongo ti dà la possibilità di verificare in tempo reale eventuali situazioni di pericolo e quindi di agire per cercare di evitare che si trasformino in problemi reali. - Il Documento Misure Minime Sicurezza Informatica.
E’ un report che io stessa, dopo aver svolto l’analisi completa della situazione e dell’organizzazione del tuo Ente, scrivo riportando tutte le eventuali criticità riscontrate e soprattutto fornendoti tutte le soluzioni da adottare.
Ti basterà leggerlo per avere la fotografia della tua struttura (informatica e organizzativa) e per capire cosa devi fare per risolvere i problemi o migliorare certi aspetti o magari continuare a tenere certi comportamenti che garantiscono la sicurezza dei tuoi dati
Uno degli allegati di questo documento è proprio il modulo di implementazione richiesto da AGID, che io ti fornisco giá compilato grazie al censimento informatico realizzato tramite il Monitoraggio Assistito e riportato nel documento che scrivo.
Tu a questo punto non dovrai fare altro che farlo firmare digitalmente dal Responsabile della Transizione al Digitale del tuo Ente, e ti garantisco anche l’aggiornamento del documento così sei sicuro di avere sempre l’analisi giusta della tua realtá, che segue quindi i cambiamenti che possono esserci nel corso del tempo o che sono necessariamente avvenuti proprio perchè hai dovuto sistemare situazioni di potenziale pericolo o inadeguate al fine di garantire la sicurezza dei dati.
E’ stata una lunga telefonata ma alla fine il Segretario mi dice che adesso ha le idee molto piú chiare: ha capito che non basta compilare il modulo richiesto da AGID e che l’adeguamento è molto più articolato.
La normativa può davvero risultare complessa, soprattutto quando tocca aspetti come la digitalizzazione e l’informatica.
Perchè, obiettivamente, è difficile avere competenze complete in entrambi gli ambiti.
Essere quindi seguiti e prevedere un servizio di consulenza può davvero fare la differenza ed essere il passo vincente rispetto a chi invece pensa di risparmiare facendolo in autonomia.