I saggi su InterLex

Sicurezza significa organizzazione e coordinamento

InterLex n° 339, 27 gennaio 2006

Il recente convegno del CNIPA su "La sicurezza ICT nella pubblica amministrazione: strategie ed azioni", cui purtroppo non ho avuto modo di assistere ma del quale ho studiato le relazioni, mi offre lo spunto per alcune riflessioni "allargate" sul rapporto tra PA e sicurezza.

Occupandomi da tempi non sospetti della divulgazione della cultura della sicurezza, ed essendo fermamente convinto che la prima arma di difesa è l'informazione, vedo ovviamente con piacere ogni evento che miri a sensibilizzare il pubblico generale sui temi connessi alla tutela delle infrastrutture ICT e dei patrimoni informativi nella società dell'informazione, soprattutto se l'attore principale è lo Stato.

D'altro canto vedo con una certa preoccupazione il proliferare di molteplici iniziative in materia, spesso scoordinate se non addirittura in conflitto tra loro, ad opera dei soggetti pubblici più disparati. È singolare tutto questo fervore ultimamente sbandierato dalla PA, a quasi ogni livello, verso i temi della sicurezza ICT. La mia sensazione, che mi piacerebbe vedere smentita dai fatti futuri, è che tale committment sia spesso più di facciata che di sostanza. Diciamocelo francamente: la sicurezza al giorno d'oggi va di moda, e spesso basta invocarla per vedersi magicamente aprire opportunità (leggi: budget) che altrimenti sarebbero rimaste precluse. Da questo punto di vista, forse, la sicurezza ha preso quel posto che negli anni '80 e '90 è stato dell'informatica in generale, quando la "vecchia" PA bruciò miliardi e miliardi in una tanto frenetica quanto disordinata "corsa all'informatizzazione" che sfociò in progetti solo in parte efficaci in quanto poco armonizzati, male strutturati e peggio gestiti.

D'altronde i fatti parlano chiaro quantomeno nel ridimensionare, se non proprio nello smentire, taluni dei proclami che a più riprese questa a quella PA hanno fatto nel corso degli anni. Basta vedere il faticoso e lento procedere dell'innovazione all'interno dei labirintici meandri dell'Amministrazione dello Stato per rendersi conto che, in buona sostanza, a tanto parlare spesso non seguono azioni concrete. Il protocollo digitale e la PEC, strumenti nati per snellire i rapporti tra le Pubbliche Amministrazioni, e che avrebbero dovuto essere in peno esercizio da tempo, sembrano appena usciti dalla sperimentazione ed iniziano ora a muovere per davvero i loro primi incerti passi tra lo scetticismo dei più. L'Indice delle Pubbliche Amministrazioni che, istituito nel lontano 2000, avrebbe dovuto costituire il repository centralizzato delle informazioni di interfaccia tra cittadini e PA, è popolato quasi solo da volenterose comunità montane e ardite agenzie in vena di sperimentazione, ma brilla per l'assenza di ministeri e regioni (in compenso c'è una interessante amministrazione che si chiama "Test"…). Per non parlare del fatto che, a due anni dall'entrata in vigore della "legge sulla privacy", si è reso necessario promulgare l'ennesima proroga della proroga dei tempi di adeguamento proprio per venire incontro alle tante PAC e PAL che ancora non hanno fatto pressoché nulla per ottemperare alle tutto sommato semplici, e perfino intelligenti, richieste della legge.

Tutto ciò stride alquanto con taluni proclami trionfalistici che, una volta abbassatosi il polverone, rivelano scenari piuttosto desolanti. Quali quello di un GOV-CERT che, a tre anni dalla sua istituzione, non ha ancora un proprio sito Web, continua ad operare con un organico di quattro persone (più il direttore…), è riuscito a coagulare solo 31 amministrazioni su 59 e produce quale servizio di punta un bollettino mensile sulle nuove vulnerabilità della Rete…

In tutto ciò il CNIPA ha, onestamente, compiuto un lavoro egregio, anche se spesso paragonabile alla fatica di Sisifo, cercando di porre ordine in una giungla di iniziative tecniche e legislative che rischiano di intrecciarsi creando una giungla inestricabile. Purtroppo però la normazione la fanno i comitati, e come si sa in Italia un comitato non lo si nega a nessuno. Da qui la proliferazione di comitati più o meno estesi, afferenti a questo o quell'altro dicastero, con compiti spesso sovrapposti, contro cui nemmeno il CNIPA, oltretutto degradato da autorità a centro tecnico, può più di tanto.

Tutto ciò non fa il bene del Paese e nemmeno quello della sicurezza. La sicurezza è, soprattutto, organizzazione e coordinamento: laddove non vi è né l'uno né l'altra non si può ragionevolmente pensare di fare sicurezza. Come mettere ordine in questa situazione confusa e, anche invocando la perfetta buona fede di tutti, quantomeno inefficiente? Chissà, forse una cura omeopatica potrebbe servire: se venisse davvero fatta la tanto invocata Agenzia Nazionale per la Sicurezza delle tecnologie informatiche pubbliche, e le fossero conferiti sul serio i poteri di indirizzo e coordinamento che dovrebbe avere, la situazione potrebbe modificarsi. A patto che questa volta vi sia davvero buona volontà e voglia di fare, perché non abbiamo affatto bisogno dell'ennesima Agenzia ingessata ed impotente, specie quando si parla di sicurezza.

Saggio pubblicato su InterLex n° 339 del 27 gennaio 2006 (Anno X)
Copyright © 2006, Corrado Giustozzi. Tutti i diritti riservati.

Ultima modifica: 31 maggio 2009
Visitatori dal 6 maggio 2003: 115,670

Torna alla Pagina dei saggi pubblicati su InterLex
Vai alla Pagina dei Commenti

Copyright © 1995-2012 Corrado Giustozzi