È oggi tema noto che la supply chain, se non correttamente gestita, può portare notevoli problemi di sicurezza. Processi di acquisizione condotti senza attenzione agli aspetti di sicurezza possono vanificare, o rendere meno efficaci, le misure che enti pubblici e privati hanno avviato per tutelare il proprio patrimonio informativo.
Allo scopo di fornire indicazioni concrete sul tema, l’AGID ha posto in consultazione pubblica (dal 14 maggio al 13 giugno 2019) le “Linee guida sicurezza nel procurement ICT”, un documento che è il prodotto delle attività di un tavolo di lavoro promosso dal Nucleo per la Sicurezza Cibernetica (NSC) del Dipartimento Informazioni per la Sicurezza presso la Presidenza del Consiglio dei Ministri. Al tavolo di lavoro, attivo da novembre 2018 a febbraio 2019, hanno partecipato le PA centrali: DIS; Protezione Civile; Affari Esteri; Interni; Giustizia; Difesa; Economia; Sviluppo Economico; AGID; Consip. Obiettivo del tavolo di lavoro era definire indicazioni tecnico-amministrative per garantire, all’interno delle procedure per l’approvvigionamento di beni e servizi informatici delle PA, la rispondenza di questi ad adeguati livelli di sicurezza.
Le finalità del documento sono state quindi:
- illustrare in maniera semplice e immediatamente fruibile la problematica della sicurezza nel procurement ICT;
- mettere a sistema (tramite opportuni glossari e classificazioni), formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
- presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per alzare tale livello senza per questo aumentare in modo eccessivo la complessità dei processi e l’impegno necessario a condurli.
L’iniziativa nasce dalla considerazione che – durante i processi di acquisizione – i fornitori, in relazione alla natura dei servizi offerti, possano accedere al patrimonio informativo delle PA committenti, introducendo potenziali rischi informatici, con impatto in particolare su riservatezza, integrità, disponibilità, autenticità e non ripudio dei dati pubblici. Di contro, la necessità di formalizzare e strutturare il rapporto con i fornitori può rappresentare, per le amministrazioni, un’opportunità per aggiornare o rivedere le proprie politiche di sicurezza, anche contando sulle competenze del fornitore stesso, che può contribuire in modo positivo a elevare le misure di protezione dell’amministrazione.
L’ambito del documento è circoscritto alla sicurezza nell’approvvigionamento di beni e servizi informatici, attività indicata nel seguito del testo con “procurement ICT”. Nel documento si ricorda che la maggioranza dei contratti pubblici che riguardano l’ICT:
- derivano da una gara o rappresentano appalti specifici di accordi quadro;
- sono pluriennali (per cui un certo grado di avvicendamento del personale del fornitore è inevitabile);
- comprendono più di un’iniziativa progettuale, in genere numerosi progetti distinti, che vengono condotti in parte sequenzialmente, in parte in parallelo, non necessariamente dallo stesso gruppo di lavoro del fornitore.
Il documento (rivolto in primis a dirigenti e ai funzionari delle pubbliche amministrazioni, ma non esclusivamente a questi) non costituisce un manuale tecnico, un compendio o uno studio accademico sulla tematica della sicurezza. Al contrario, nel testo si rimanda, per gli eventuali approfondimenti specialistici sulla materia, alla letteratura tecnica: riferimenti puntuali a studi, articoli e standard sono presenti nei paragrafi che seguono.
