Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Cloud Italia: una strategia in 3 fasi per portare l’Italia tra le nuvole.

Redazione RHC : 7 Settembre 2021 13:32

Si sta ancora svolgendo la Conferenza stampa di presentazione della “Strategia Cloud Italia” dove sono intervenuti il ministro per l’Innovazione tecnologica e la Transizione digitale Vittorio Colao, il sottosegretario delegato alla Sicurezza Franco Gabrielli, Roberto Baldoni d.g. Agenzia per la Cybersicurezza Nazionale e Paolo de Rosa, chief Technology Officer del Dipartimento per la Trasformazione digitale, ma alcuni documenti sono già stati pubblicati sul sito del Ministero per l’innovazione.

“L’irreversibile processo di trasformazione digitale della società, accelerato dalla emergenza pandemica ancora in corso, ha reso improcrastinabile un’analoga trasformazione della Pubblica Amministrazione”.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Così inizia il documento “Strategia Cloud Italia”, emesso oggi dal Ministero per l’innovazione tecnologica e la transizione digitale e poi continua nella sintesi:

La digitalizzazione della Pubblica Amministrazione si impone oggi come obiettivo prioritario per garantire ai cittadini e alle imprese servizi pubblici di maggiore qualità, efficienza ed efficacia, oltre che per creare nuove opportunità di sviluppo per l’economia digitale del Paese. In questo processo trasformativo, il ricorso al Cloud Computing, o Cloud, riveste un ruolo centrale in ragione delle sue caratteristiche abilitanti per la semplificazione e ottimizzazione della gestione delle risorse IT, la riduzione dei costi, e l’introduzione di nuove tecnologie digitali.

Attualmente, la maggior parte dei servizi pubblici vengono erogati tramite data center della PA che spesso non possiedono caratteristiche sufficienti per assicurare adeguati standard di affidabilità e resilienza.

La strategia Cloud

Per raggiungere questi standard si richiedono “investimenti e competenze che oggi non sono a disposizione di molte delle pubbliche amministrazioni centrali e locali” viene riportato nel documento.

La Strategia Cloud Italia si pone in questo contesto come metodologia implementativa della policy “Cloud-First”, pilastro del progetto di digitalizzazione della PA enunciato nel PNRR italiano.

Questa policy permetterà di guidare, e favorire l’adozione sicura, controllata e completa delle tecnologie Cloud per la PA, con l’obiettivo, a tendere, che tutti i servizi erogati siano basati su applicazioni “Cloud-native”, sviluppate cioè nativamente sulla base dei paradigmi Cloud.

La strategia Cloud per la PA si declina quindi sulla base delle seguenti linee di indirizzo strategico:

  1. Classificazione dei Dati e dei Servizi: definizione di un processo di classificazione dei dati per guidare e supportare la migrazione dei dati e servizi della PA sul Cloud;
  2. Qualificazione dei Servizi Cloud: realizzazione di un processo sistematico di scrutinio e qualificazione dei servizi Cloud utilizzabili dalla PA;
  3. Polo Strategico Nazionale: creazione di un’infrastruttura nazionale per l’erogazione di servizi Cloud, la cui gestione e controllo siano autonomi da soggetti extra UE.

La classificazione

Inoltre, i servizi Cloud disponibili, devono essere adottati “in modo regolamentato così da mitigare i rischi sistemici dell’adozione del Cloud” pertanto è necessario “individuare un processo sistematico di classificazione dei dati e dei servizi gestiti dalle PA”.

Infatti in tale sistemi le classi dei dati e i servizi verranno identificate sulla base del relativo danno che la loro compromissione potrebbe comportare al paese e quindi la misurazione avverrà sotto le tre consuete direttrici quali confidenzialità, integrità e disponibilità.

Le classi saranno:

  1. Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
  2. Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
  3. Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese

La qualificazione

L’acquisizione di servizi Cloud da parte delle pubbliche amministrazioni avviene mediante procedure di acquisto la cui scarsa flessibilità difficilmente permette di tenere il passo del mercato e, soprattutto, di valutare gli effettivi rischi tecnici e organizzativi connessi all’adozione di uno specifico servizio.

Nella prospettiva di facilitare e guidare l’implementazione della policy “Cloud-First” per la PA, risulta dirimente offrire un servizio di qualificazione ex-ante dei servizi Cloud acquistabili dalla PA.

Tale qualificazione, partendo dall’esperienza maturata da AgID, si pone l’obiettivo di semplificare e regolamentare, sia dal punto di vista tecnico che amministrativo, l’adozione di servizi Cloud.

Alla luce della classificazione proposta e delle sfide poste dall’adozione del Cloud, la qualificazione dei servizi Cloud non potrà prescindere dall’analisi dei seguenti aspetti:

  1. gestione operativa dei servizi Cloud, con dettaglio sugli standard tecnico-organizzativi applicati e sulle misure di controllo sui dati;
  2. requisiti di sicurezza applicati nella gestione dei dati ed erogazione di servizi, quali le modalità di gestione delle chiavi di cifratura e i controlli di sicurezza applicati;
  3. condizioni contrattuali applicate all’erogazione del servizio (Service-Level Agreement, SLA) e alla sua rendicontazione, quali le garanzie di disponibilità e altri strumenti contrattuali a disposizione delle amministrazioni.

Sulla base dell’analisi delle soluzioni tecnologiche e organizzative disponibili sul mercato, i tre aspetti di analisi permettono di individuare a priori la qualificazione dei servizi Cloud riportata di seguito.

  1. I servizi di Cloud Pubblico non qualificato (extra UE/UE), ovvero quei servizi che non rispondono ai criteri tecnico-organizzativi e normativi individuati in precedenza.
  2. I servizi di Cloud Pubblico qualificato (UE) compatibili con legislazioni rilevanti in materia (es. GDPR e NIS) che consento la localizzazione dei dati in UE e il rispetto di requisiti di sicurezza tecnicoorganizzativi, tipicamente sulla base di sistemi di cifratura granulare gestiti dal fornitore CSP10.
  3. I servizi di Cloud pubblico con controllo on-premise dei meccanismi di sicurezza, c.d. Cloud Pubblico Criptato (IT), che consentono di incrementare significativamente il livello di controllo sui dati e servizi, introducendo un maggior livello di autonomia dai CSP extra-UE nella gestione operativa e il controllo delle infrastrutture tecnologiche
  4. Soluzioni di Cloud privato e ibrido, infine, permettono la localizzazione dei dati in Italia e maggior isolamento dalle region pubbliche dei principali CSP. Tali garanzie di autonomia sono ottenute mediante la gestione operativa da parte di un fornitore soggetto a vigilanza e monitoraggio pubblico. Queste implementazioni si possono distinguere tra:
  5. soluzioni basate su tecnologia hyperscaler licenziata da uno o più CSP, c.d. Cloud privato/ibrido “su licenza” (IT), oppure
  6. soluzioni basate su tecnologie commerciali qualificate mediante procedure di scrutinio e certificazione tecnologica, c.d. Cloud Privato Qualificato (IT).

Il polo strategico nazionale

I piani di migrazione saranno definiti in accordo con il risultato della classificazione dei dati e dei servizi. La classificazione e la redazione del piano di migrazione saranno definiti e supportati, per i rispettivi profili di competenza, dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Dipartimento per la Trasformazione Digitale (DTD).

Questo processo non potrà prescindere dalla responsabilizzazione del soggetto pubblico e permetterà di individuare e catalogare i dati e i servizi gestiti, applicando poi una categorizzazione rispetto agli impatti di eventuali compromissioni, dei vincoli normativi e di sicurezza.

L’esito della classificazione dei dati e servizi da migrare sul Cloud (ovvero dati strategici, critici o ordinari) permetterà di individuare i piani di migrazione al Cloud più idonei. Tali piani saranno validati e confermati dal Dipartimento e dall’Agenzia al fi ne di assicurare la congruità e il rispetto delle linee strategiche

Le Fasi della strategia Cloud.

La Strategia Cloud Italia si articolerà in fasi successive secondo la scansione temporale di seguito proposta:

  • FASE 1 – Pubblicazione del bando di gara per la realizzazione del PSN: al più tardi entro la fine del 2021 si procederà a pubblicare il bando di gara per la realizzazione del PSN.
  • FASE 2 – Aggiudicazione e Realizzazione del PSN: al più tardi entro la fine del 2022 dovrà avvenire l’aggiudicazione del bando di gara.
  • FASE 3 – Migrazione delle amministrazioni: a partire dalla fine del 2022 dovrà iniziare la migrazione della PA verso il PSN, da concludersi entro la fine del 2025. Nella fase di migrazione verrà data precedenza alle PAC che attualmente operano con data center propri classificati, secondo il censimento AgID del patrimonio ICT della PA, in Categoria B (con carenze strutturali e/o organizzative o che non garantiscono la continuità dei servizi).

Fonte

https://www.redhotcyber.com/wp-content/uploads/attachments/1631016873-strategiaclouditalia2021ita.pdf

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

RHC Conference 2025: 2 giorni di sicurezza informatica tra panel, workshop e Capture The Flag

Sabato 9 maggio, al Teatro Italia di Roma, si è chiusa la Red Hot Cyber Conference 2025, l’appuntamento annuale gratuito creato dalla community di RHC dedicato alla sicurezza informatica, ...

Gli hacker criminali di Nova rivendicano un attacco informatico al Comune di Pisa

La banda di criminali informatici di NOVA rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico al Comune di Pisa. Disclaimer: Questo rapporto include screenshot e/o tes...

Attacco informatico all’Università Roma Tre: intervengono ACN e Polizia Postale

Un grave attacco informatico ha colpito l’infrastruttura digitale dell’Università nella notte tra l’8 e il 9 maggio, causando l’interruzione improvvisa dei servizi onl...

Sei Davvero Umano? Shock su Reddit: migliaia di utenti hanno discusso con dei bot senza saperlo

Per anni, Reddit è rimasto uno dei pochi angoli di Internet in cui era possibile discutere in tutta sicurezza di qualsiasi argomento, dai videogiochi alle criptovalute, dalla politica alle teorie...

GPU sotto sorveglianza! l’America vuole sapere dove finiscono le sue GPU e soprattutto se sono in Cina

Le autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006