Azione PT PRS02 Pianificazione, implementazione e auditing della sicurezza
Sistema TRASVERSALE REGIONE EE.LL. SANITÀ RETE ERMES Sviluppo Gestione Rilevanza finanziaria
X X X Alta
Descrizione Coerentemente con le metodologie per il miglioramento continuo, in questo ambito di azione vanno previste iniziative inerenti la continua implementazione delle misure di sicurezza volte a ridurre direttamente i rischi sui dati e i sistemi informatici. Intervento migliorativo del livello di sicurezza dei canali di comunicazione, specialmente verso la Server Farm regionale intesa come punto di erogazione di servizi tecnologici fondamentali per gli Enti regionali. Sono inoltre incluse le azioni volte a garantire i rapporti con gli stakeholder interni (Enti del SIIR) ed esterni (es. AgID, CERT-PA), nonché l’aderenza agli obblighi normativi (normativa data protection, misure minime AgID)
Obiettivi Mantenimento di elevati standard di conoscenza sulla sicurezza, pianificazione e
realizzazione degli interventi evolutivi di sicurezza sui sistemi regionali, aumento del livello di sensibilizzazione e cultura della sicurezza.
Benefici attesi Miglioramento dei livelli di sicurezza presenti, miglioramento della sensibilità sulla sicurezza. Riduzione dei rischi connessi al trattamento delle informazioni.
Destinatari Insiel, Uffici regionali, enti locali, aziende ospedaliere e sanitarie Interazione con
altre azioni PT
CDC01 - Data Center regionale CDC02 - Servizi Cloud
RET02 - Gestione e manutenzione della infrastruttura di rete SEF01 - Gestione infrastruttura end user
Risultati primo anno
Monitoraggio delle basi Informative ai fini del GDPR.
Supporto all’analisi dello sviluppo software secure by design.
Supporto alla valutazione di nuovi sistemi di sicurezza.
Adeguamento al (CAP6.PA.LA02) Piano PA
OB.6.1 - Aumentare la consapevolezza del rischio cyber (Cyber Security Awareness) nelle PA
• Da novembre 2020 - Le PA devono fare riferimento al documento tecnico Cipher Suite protocolli TLS minimi per la comunicazione tra le PA e verso i cittadini - CAP6.PA.LA02
• Entro dicembre 2021 - Le PA valutano l’utilizzo del tool di Cyber Risk Assessment per l’analisi del rischio e la redazione del Piano dei trattamenti - CAP6.PA.LA04
• Entro giugno 2022 - Le PA si adeguano alle Misure minime di sicurezza ICT per le pubbliche amministrazioni aggiornate - CAP6.PA.LA06
Azione PT PRS03 Servizi a supporto degli adempimenti GDPR
Sistema TRASVERSALE REGIONE EE.LL. SANITÀ RETE ERMES Sviluppo Gestione Rilevanza finanziaria
X X X Alta
Descrizione Dal 25 maggio 2018 ha avuto definitiva applicazione il GDPR. Scopo della presente azione è introdurre un ciclo virtuoso per gli Enti Locali che possa portare, nelle varie realtà, alla creazione di un “sistema” di protezione dei dati personali incentrato sulla valutazione concreta dei rischi. Fondamentale per la riuscita è la creazione di una consapevolezza diffusa sui possibili rischi, sulle misure giuridiche, organizzative, amministrative e tecniche, sulle responsabilità e ruoli per obblighi e adempimenti. Altro tassello importante è la messa a disposizione degli Enti Locali di un sistema informativo che faciliti l’adempimento degli obblighi previsti dal GDPR collegato ove possibile ai Master Data regionali.
Obiettivi Omogeneizzazione processi.
Formazione sui processi.
Implementazione di un sistema informativo nel Cloud EELL che consenta di gestire la conformità al GDPR e che fornisca le funzionalità di registro dei trattamenti e di tracciamento delle DPIA
Benefici attesi Miglioramento dei livelli di sicurezza presenti Conformità al dettato del GDPR
Destinatari Enti locali Interazione con
altre azioni PT
CDC01 - Data Center regionale CDC02 - Servizi Cloud
RET02 - Gestione e manutenzione della infrastruttura di rete SEF01 - Gestione infrastruttura end user
SEF04 - ICT Managed Services per gli Enti Locali Risultati primo
anno
Proseguono gli interventi formativi e di sensibilizzazione a beneficio del Comparto e degli utenti del SIIR .
Consulenza agli Enti Locali in materia di GDPR.
Consolidamento ed evoluzione del sistema informativo a supporto del GDPR, con almeno la funzionalità del Registro dei Trattamenti.
Realizzazione Seminari di sensibilizzazione a favore dei ruoli manageriali degli EELL.
Piano PA
Azione PT PRS04 CERT-RAFVG come centro di competenza regionale sulla cybersecurity Sistema TRASVERSALE REGIONE EE.LL. SANITÀ RETE ERMES Sviluppo Gestione Rilevanza finanziaria
X X X Alta
Descrizione In questo ambito di azione vengono previsti gli interventi specifici volti ad adeguare la funzionalità del CERT-RAFVG per essere un centro di competenza regionale sulla
cybersecurity allineato alle best practice internazionali ed alle linee guida emesse a livello nazionale, ad esempio dall’AgID (linee guida CERT regionali, altre linee guida sulla security) Obiettivi Consituency del CERT-RAFVG estesa a supporto degli Enti FVG.
Servizi coerenti con la mission dei cert regionali:
• supporto ed assistenza specialistica alla constituency
• agevolare la diffusione di informazioni relative alla sicurezza
• incentivare l’applicazione dei processi di gestione della sicurezza
• facilitare le attività di prevenzione e monitoraggio degli eventi cibernetici sul territorio
• collaborare e cooperare con le altre organizzazioni nazionali ed internazionali nel potenziamento e miglioramento della capacità difensiva delle organizzazioni in materia di cyber security;
• accrescere le competenze specialistiche degli addetti alla sicurezza cibernetica e migliorare le attività di sensibilizzazione su questi temi a livello locale.
Centro competenza regionale sulla cybersecurity a supporto della PA.
Benefici attesi Miglioramento dei livelli di sicurezza presenti, miglioramento della sensibilità sulla sicurezza. Riduzione dei rischi connessi al trattamento delle informazioni.
Destinatari Enti del SIIR Interazione con
altre azioni PT PRS02 Pianificazione, implementazione e auditing della sicurezza
Risultati primo anno
Verifiche di sicurezza.
Estensione fonti dati per monitoraggio eventi di sicurezza.
Procedura concordata di segnalazione allo CSIRT nazionale.
Sensibilizzazione sulla sicurezza per gli EELL.
Adeguamento alle linee guida (CAP06.PA.LA03) Piano PA
OB.6.1 - Aumentare la consapevolezza del rischio cyber (Cyber Security Awareness) nelle PA
• Da luglio 2021 - Le PA che intendono istituire i CERT di prossimità devono far riferimento alle Linee guida per lo sviluppo e la definizione del modello di riferimento per i CERT di prossimit
à
-CAP6.PA.LA03
• Entro marzo 2022 - Le PA definiscono, sulla base di quanto proposto dal RTD, all’interno dei piani di formazione del personale, interventi sulle tematiche di Cyber Security Awareness - CAP6.PA.LA05 OB.6.2 - Aumentare il livello di sicurezza informatica dei portali istituzionali della Pubblica Amministrazione
• Da gennaio 2021 - Le PA devono consultare la piattaforma Infosec aggiornata per rilevare le vulnerabilità (CVE) dei propri asset - CAP6.PA.LA07