Contribuire agli investimenti per il rafforzamento delle capacità tecniche nazionali sulla prevenzione e risoluzione di incidenti cyber, attivando squadre di pronto intervento informatico per la gestione degli attacchi. È questo l’obiettivo dell’avviso da 28 milioni di euro per il potenziamento dei Csirt regionali pubblicato dall’Agenzia per la Cybersicurezza nazionale nella sua veste di soggetto attuatore dell’investimento 1.5 del Piano Nazionale di Ripresa e Resilienza.
L’avviso, mediante procedura a sportello – spiega l’Agenzia – è destinato a finanziare, in ordine cronologico di presentazione fino alla concorrenza delle risorse disponibili, i progetti per attivare o potenziare i Computer security incident response team (Csirt) presso le Regioni, come stabilito dalle linee guida per la realizzazione di uno Csirt. Una volta ammessi al finanziamento sarà necessario stipulare gli accordi di collaborazione con l’Agenzia per condividere e collaborare su scambio di informazioni, procedure e linee guida, oltre che per l’accesso a servizi e strumenti offerti dall’Agenzia.
Chi può partecipare
All’avviso possono partecipare le Regioni e le Province autonome di Trento e Bolzano: ogni soggetto potrà presentare un progetto per la creazione o il potenziamento di uno Csirt Regionale che operi sui propri sistemi informativi. La partecipazione è vincolata al possesso delle competenze, risorse e qualifiche professionali richieste, e all’adozione di misure per garantire il rispetto del principio di sana gestione finanziaria e alla creazione del Cup nel caso di progetti da avviare ex novo.
Come partecipare
I soggetti interessati – spiega l’Agenzia – dovranno presentare l’Istanza di partecipazione, corredata da tutti gli allegati richiesti, inviando la richiesta tramite Posta Elettronica Certificata all’indirizzo pnrr@pec.acn.gov.it.
Le linee guida
Per accrescere le capacità di prevenzione e gestione degli incidenti cyber l’Agenzia per la Cybersicurezza Nazionale, nell’ambito della quale è istituito il Csirt Italia, ha definito un documento di Linee Guida per la realizzazione di squadre di pronto intervento informatico (SCARICA QUI IL DOCUMENTO COMPLETO) dedicate al rilevamento, all’analisi e alla risposta degli incidenti di sicurezza informatica, nonché ad attività di prevenzione e mitigazione del rischio cyber.
In un apposito documento anche tutte le indicazioni sulle figure professionali necessarie alla realizzazione. (SCARICA QUI IL DOCUMENTO)
Le Linee Guida, predisposte in coerenza con i principali standard, best practice e framework consolidati a livello nazionale ed internazionale, quali “Csirt And Soc Guideline” di Enisa, “Csirt Service Framework” del First e “Sim3 Model” di Open Csirt Foundation, costituiscono uno strumento operativo a supporto specialmente delle pubbliche amministrazioni che intendono definire il proprio modello di servizio per attivare o potenziare un Csirt, ovvero un team di risposta alle emergenze informatiche.
Processi consolidati per centrare i target di sicurezza
All’interno di un Csirt, il raggiungimento degli obiettivi operativi, nonché il rispetto del proprio mandato, richiede la definizione, l’esecuzione e il monitoraggio di processi consolidati. Al fine di garantire una corretta gestione delle attività e degli obiettivi, è necessario che i processi siano scritti formalmente, approvati dal team management e, successivamente, monitorati per valutarne le performance e poter definire ed attuare dei piani concreti di miglioramento.
Questi i principali processi, ad alto livello, a supporto dell’operatività del Csirt: comunicazione tra Csirt e terze parti; preparazione, gestione e monitoraggio degli eventi di sicurezza; identificazione, gestione e risoluzione degli incidenti; analisi degli artefatti; ricerca e divulgazione responsabile delle vulnerabilità non note; identificazione e gestione delle vulnerabilità della Constituency; acquisizione, aggregazione ed elaborazione delle informazioni; supporto specialistico al fine di eseguire attente valutazioni del rischio; gestione delle riunioni; esecuzione periodica di attività di audit; gestione e monitoraggio delle informazioni e delle fonti per l’identificazione reattiva/proattiva di potenziali minacce; ingaggio formale del team legale per la gestione di eventuali richieste formali pervenute nei confronti dell’organizzazione; formalizzazione delle attività di escalation al fine di eseguire in modo efficace le attività di gestione di un incidente di sicurezza; gestione delle modalità di comunicazione, da e verso il Csirt, durante le attività eseguite fuori orario base; comunicazione con stampa e media; gestione della crisi; ingaggio del Csirt da parte della Constituency attraverso canali sia interni che esterni all’organizzazione; formalizzazione delle modalità di interazione tra il Csirt e potenziali soggetti esterni allo stesso; erogazione di attività di training, awareness ed esercitazioni.
Implementare correttamente un Csirt: il giusto approccio
Un Csirt è una struttura di governo e operativa all’interno di un’organizzazione che si prefigge, come principale obiettivo, l’innalzamento del livello di cyber resilienza di un’organizzazione. Come tale esso necessita di un adeguato ciclo di vita, che ne consenta un’adeguata implementazione e miglioramento continuo. Tale ciclo di vita – rappresentativo principalmente delle fasi di implementazione e miglioramento – prevede varie fasi.
Valutazione della preparazione
Durante questa fase sono valutate le necessità e le ragioni relative all’implementazione di un Csirt. Si dovrà procedere, ad esempio, con la definizione di un mandato preliminare, una struttura di governance, la scelta degli stakeholder con cui doversi interfacciare oltre alla Constituency e l’identificazione del budget necessario alla sua implementazione e mantenimento.
Disegno
In questa fase si definiscono tutti gli aspetti che dovranno poi essere implementati al fine di espletare il mandato definito per il Csirt, in termini di servizi, personale, processi e tecnologie.
Implementazione
In questa fase viene sviluppato e implementato tutto ciò che è stato identificato all’interno della fase di disegno, comprensivo di tutti gli aspetti organizzativi nonché servizi e tecnologie.
Funzionamento
In questa fase il Csirt è operativo a valle dell’implementazione di tutti gli aspetti individuati nella fase di Disegno e poi implementati nella fase di Implementazione.
Miglioramento
Durante questa fase, un Csirt valuta le proprie tecnologie, servizi e processi al fine di identificare i punti di debolezza e di miglioramento che deve prendere in considerazione affinché possano essere implementati e/o migliorati attraverso attività continua di miglioramento continuo.
