Più di uno (cito Pierfrancesco Maistrello di Vecomp, ma anche la mailing list di sikurezza.org e Franco Ferrari di DNV GL) mi hanno segnalato la pubblicazione delle "Misure minime per la sicurezza ICT delle pubbliche amministrazioni" dell'AgID:
- http://www.agid.gov.it/notizie/2016/09/26/misure-minime-sicurezza-informatica-pubbliche-amministrazioni.
Le ho lette e non mi sono piaciute. Innanzi tutto perché sono ricavate dal Cyber Security Framework (CSF) del NIST, su cui ho già espresso delle perplessità. Poi perché ritengo che queste "misure minime" siano un riassunto mal fatto dei controlli del CSF.
Infatti, come mi dice Pierfrancesco:
1- queste misure minime non sono veramente "minime" e contengono cose oggi irrealizzabili (e, aggiungo io, forse inutili) come il DLP;
2- propone una valutazione delle misure per un livello "minimo", "standard" e "alto" senza indicare esattamente come stabilirlo.
Infine io aggiungo una cosa già detta tempo fa: negli anni, con fatica, la Pubblica amministrazione si è avvicinata alla ISO/IEC 27001; non capisco che senso abbia aggiungere un altro schema.
Nessun commento:
Posta un commento