La cybersecurity italiana ed europea è entrata in una nuova fase con il recepimento della direttiva Ue NIS. Il “perimetro” punta a garantire un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle PA nonché degli enti e degli operatori nazionali, pubblici e privati. Csirt e Cert sono gli enti deputati al raggiungimento di tale obiettivo.
In base alla direttiva, i due CERT (Computer Emergency Response Team) ovvero il CERT-N nazionale italiano (presso il MISE) e quello della Pubblica Amministrazione (CERT-PA presso AGID) rafforzeranno sempre di più la loro collaborazione, per svolgere congiuntamente il ruolo e le funzioni dello CSIRT.
Le funzioni dello CSIRT italiano vedono una ripartizione di ruoli e responsabilità secondo le attuali suddivisioni: Pubblica Amministrazione per il CERT-PA, e settore privato per il CERT-N; e con l’introduzione di uno scambio informativo rafforzato e di specifiche procedure di gestione delle notifiche; il CERT-N garantisce la cooperazione a livello europeo, anche nell’ambito della rete di CSIRT, in stretto raccordo con il CERT-PA.
Tutti i paesi europei, chi più chi meno, hanno provveduto all’implementazione di CERT nazionali affiancati a CERT privati in linea appunto con la direttiva NIS. Nella figura un elenco di CERT europei pubblicato dal sito di ENISA l’European Union Agency for Cybersecurity unitamente all’inventario delle differenti tipologie di CERT nei differenti settori economici (PA e Difesa, Utilities, Energia, Finanza, Industria, Trasporti ecc.).
La Fondazione GCSEC di Poste Italiane è stata la prima in Italia a muoversi nell’ottica di implementare un maturity model per CERT/CSIRT e ha di recente sviluppato una applicazione Web Based ad uso gratuito, che estende il concetto di maturità del CERT/CSIRT ai singoli servizi e funzioni aziendali in contesti Cyber che nella fattispecie possono essere cosi riepilogati:
L’applicazione Web Based di riferimento prende il nome di CERTrating Maturity Evaluation Tool e sarà disponibile gratuitamente all’indirizzo https://certrating.it/
Semplici domande a risposta multipla valutano il livello di maturità del CERT ispirandosi appunto al Maturity Model sviluppato dall’ENISA che offre la postura di un CERT rispetto a quattro livelli di maturità: NOT BASIC, BASIC, MEDIUM, ADVANCED.
La piattaforma valuta il livello di maturità non solo del CERT/CSIRT ma anche di ognuno dei suoi servizi attribuendo a ciascuno di essi il livello di importanza. In particolare, il tool calcola il livello di maturità di ogni singolo servizio. I servizi sono categorizzati secondo le 14 tipologie definite da ENISA. La piattaforma suggerisce per ognuno degli ambiti Organizzazione, Risorse, Tool e Processi le azioni minime da mettere in campo per raggiungere il livello di maturità successivo a livello CERT.
CERTrating offre inoltre una grafica semplice ed una reportistica completa della maturità del CERT e dei suoi Servizi, che comprende il posizionamento rispetto ad altri CERT italiani misurati, l’andamento della maturità nel tempo rispetto ad obiettivi da raggiungere e le distanze, nonché lo storico di tutte le valutazioni effettuate per il CERT/CSIRT e per i suoi servizi.
Per l’articolo completo https://www.agendadigitale.eu/sicurezza/cert-pa-ecco-come-funziona-la-piattaforma-cyber-nazionale/
Per maggiori dettagli su CERTrating https://certrating.it/
