Sicurezza e informatizzazione della PA

Posted on May 14, 2008 by claudio

Il tema è caldissimo: il ministro Brunetta in questi giorni ripete di voler eliminare la carta dalla PA in diciotto mesi. Al di là degli entusiasmi da inizio legislatura e della necessità di fare dichiarazioni che mostrino voglia di fare (l’obbiettivo è più che ambizioso, in particolare per i tempi), si può sperare che a queste affermazioni segua effettivamente almeno un forte impulso all’informatizzazione della PA. Specialmente se l’attività è accompagnata da altre azioni, di cui si è parimenti parlato in questi giorni, che potrebbero sbloccare alcune inerzie e “resistenze all’innovazione” tipiche della PA. Quanto lontano possa arrivare, trattandosi di un ministero senza portafoglio in un contesto che probabilmente continuerà ad essere di “tagli generalizzati” e dovendosi scontrare ad esempio con l’autonomia degli enti locali, è tutto da vedere, ma certamente a queste dichiarazioni qualcosa seguirà. C’è un punto però molto importante in un contesto come questo, che è quello della sicurezza. Si moltiplicano i casi in cui i sistemi della PA vengono violati anche dagli addetti stessi per le più varie ragioni, dalla raccolta abusiva di informazioni alla cancellazione di imposte. Se l’informatizzazione procederà in modo rapido, allora il rischio che la sicurezza passi in secondo piano rispetto ad altri criteri diventa molto alto. È importante invece che le problematiche di sicurezza siano affrontate da subito in ogni fase del processo, perché si tratta di un tipico caso in cui inserire la sicurezza da subito può avere costi limitati, mentre cercare di aggiungerla dopo sarà costosissimo e inefficace. E naturalmente, sicurezza non vuole dire mettere firewall qui e là, cifrare traffico o definire profili utente. Sicurezza vuole dire partire dalla definizione dei processi, in modo che le procedure stesse prima di tutto offrano pochi appigli per attività illecite e incontrollate, proseguendo poi attraverso tutte le fasi della progettazione e dell’implementazione. Si tratta ovviamente di uno sforzo enorme, che non può essere affrontato da qualche consulente più o meno bravo, ma richiede di sfruttare il più possibile tutte le risorse disponibili, proprio per l’ampiezza e la difficoltà dell’intervento. Io naturalmente cercherò di affrontare il problema nei contesti in cui mi è possibile, ma spero che tutti quelli che vedono lo stesso problema si adoperino per metterlo in evidenza, dato che l’informatizzazione efficiente e sicura della PA è un interesse di tutti.

Posted in ict, Sicurezza, Varie | Tagged , , | 1 Comment

Finalmente un browser sicuro

Posted on May 14, 2008 by claudio

Il titolo non è mio, è una traduzione approssimativa di quello di questo post di Spafford. Anche se in questi giorni sono molto impegnato e non ho tempo per scrivere, non potevo non metterlo in evidenza, dato che concorda con quanto dicevo in questo post. Quindi, non solo persone enormemente più autorevoli di me la pensano allo stesso modo (il browser è ormai come un sistema operativo e servono meccanismi di segregazione), ma addirittura qualcuno lo ha anche implementato. Naturalmente ci vorrà del tempo per vedere questi concetti in un browser mainstream, ma che si ragioni su modifiche all’architettura è già un buon inizio. Sia chiaro che questa non è una critica allo sviluppo di Internet Explorer o Firefox o altro: sono browser nati quando il problema dell’interazione fra i siti attraverso il browser non c’era, e si sono sviluppati quando il problema sembrava più semplice e gestibile con concetti come la Same Origin Policy. Adesso il problema è abbastanza rilevante da giustificare modifiche radicali all’architettura, ma nello stesso tempo non si tratta di una strada semplice da seguire per prodotti complessi come gli attuali browser; il che, naturalmente, è anche il loro difetto.

Posted in ict, Sicurezza | Tagged , , , , , | Comments Off on Finalmente un browser sicuro

Attività sulle PMI

Posted on April 29, 2008 by claudio

Come sa chi segue questo blog, ultimamente mi sto dedicando alle problematiche di sicurezza delle PMI, delle piccole imprese e delle microimprese in particolare. Si tratta di un settore molto importante, dato che buona parte del tessuto produttivo europeo è costituito da questo tipo di imprese. Due settimane fa ho partecipato alla prima riunione del gruppo di lavoro di ENISA sulle microimprese (Ad Hoc Working Group: Analysing microenterprises’ needs and expectations). Maggiori informazioni al riguardo sul blog del CLUSIT. I problemi di insicurezza delle PMI sono sostanzialmente gli stessi in tutta Europa, e in questo l’iniziativa che sto seguendo con il CLUSIT potrebbe essere realmente innovativa come metodologia. A questo proposito, il modello di intervento sembra ormai pronto per la sperimentazione. Prossimamente vi darò maggiori informazioni al riguardo, anche nel caso siate interessati a partecipare.

Posted in ict, Sicurezza, Varie | Tagged , , | Comments Off on Attività sulle PMI