ACCORDO QUADRO PER L’AFFIDAMENTO DI SERVIZI DI SICUREZZA DA REMOTO, DI COMPLIANCE E CONTROLLO PER LE PUBBLICHE AMMINISTRAZIONI

Identificativo: Piano Operativo V1 Data: 21/11/2023

ACCORDO QUADRO PER L’AFFIDAMENTO DI SERVIZI DI SICUREZZA DA REMOTO, DI COMPLIANCE E CONTROLLO PER LE PUBBLICHE AMMINISTRAZIONI

LOTTO 2 – SERVIZI DI COMPLIANCE E CONTROLLO PUBBLICHE AMMINISTRAZIONI LOCALI

Piano Operativo

Azienda Ospedaliera di Rilievo Nazionale

“A. Xxxxxxxxxx”

Costituito

Raggruppamento Temporaneo di Imprese

composto da:

Deloitte Risk Advisory S.r.l. EY Advisory S.p.A.

Teleco S.r.l. Firma

INTRODUZIONE

1.1 Ambito

Nel Settembre 2021 CONSIP ha bandito una procedura aperta, suddivisa in due lotti, per “l’affidamento di servizi di sicurezza da remoto, di compliance e controllo per le Pubbliche Amministrazioni – ID 2296”. Il Lotto 2, inerente ai servizi di compliance e controllo, è stato assegnato come primo aggiudicatario al Raggruppamento Temporaneo di Imprese (RTI), la cui mandataria è Deloitte Risk Advisory S.r.l. e le società mandanti sono EY Advisory S.p.A. e Teleco S.r.l., per la stipula di contratti esecutivi con le Pubbliche Amministrazioni Locali (PAL).

La durata dell’Accordo Quadro è di 23 mesi, decorrenti dalla data di attivazione. Per durata dell’Accordo Quadro si intende il periodo entro il quale le Amministrazioni potranno affidare, a seguito della approvazione del Piano Operativo, contratti esecutivi agli operatori economici aggiudicatari parti dell’Accordo Quadro per l’approvvigionamento dei servizi oggetto dell’Accordo Quadro. Ciascun Contratto esecutivo avrà una durata massima di 48 mesi decorrenti dalla relativa data di conclusione delle attività di presa in carico.

Il presente documento costituisce il “Piano Operativo” nel quale l’RTI intende formulare la proposta tecnico/economica secondo le modalità tecniche ed i listini previsti nell’Accordo Quadro, in risposta al “Piano dei Fabbisogni” redatto dall’Azienda Ospedaliera di Rilievo Nazionale “Xxxxxxx Xxxxxxxxxx”.

1.2 Richieste dell’Amministrazione contraente

L’attuale scenario, caratterizzato dalla sempre più crescente necessità per le persone di interfacciarsi con le strutture ospedaliere in modo efficiente, trasparente e sicuro impone una costante richiesta di innovazione nel fornire i servizi ai cittadini nonché la capacità, da parte delle strutture sanitarie, di rispondere in maniera rapida ed efficace ai cambiamenti imposti anche dall’ambiente esterno. A ciò corrisponde anche la necessità di una maggior attenzione alle tematiche che riguardano la sicurezza delle informazioni e la protezione dei dati.

Difatti, occorre tener presente che le organizzazioni sanitarie sono costantemente esposte a minacce di sicurezza informatica che possono avere un impatto sul loro funzionamento, causare la perdita di informazioni sensibili e aumentare il rischio per la salute dei pazienti, portando ad un impatto negativo anche sul piano reputazionale.

In questo contesto, dunque, le nuove tecnologie assumono un ruolo centrale, dando l'opportunità di coinvolgere gli utenti e le strutture sanitarie in modo proattivo; d'altra parte, le nuove soluzioni sanitarie espongono i pazienti e i loro dati a rischi informatici gravi che mettono a repentaglio la sicurezza dei dati sensibili degli stessi la continuità dei servizi sanitari erogati.

Dunque, l’utilizzo di tecnologie digitali in ogni singolo aspetto produttivo e sociale ha inevitabilmente posto la sicurezza dei sistemi digitali (e delle informazioni che in essi vengono generate, usate, conservate e scambiate) ai primi posti fra le questioni da affrontare per garantire la resilienza dei servizi sanitari erogati al cittadino e dell’ecosistema digitale dell’Azienda Ospedaliera di Rilievo Nazionale “Xxxxxxx Xxxxxxxxxx” (di seguito anche “AORN Xxxxxxxxxx”).

A tal proposito, l’AORN Xxxxxxxxxx intende intraprendere un percorso progettuale, con la finalità di evolvere e consolidare la postura relativa alla sicurezza delle informazioni e dei sistemi aziendali nonché alla compliance allo scenario normativo in materia di protezione dei dati personali. Per perseguire tale obiettivo, si procederà con un programma triennale di interventi mirati e strategici, basato sulla preliminare comprensione dell’attuale livello di postura in ambito cybersecurity e dell’attuale livello di conformità agli aspetti privacy.

Il Progetto di Sicurezza di AORN Xxxxxxxxxx, volto alla definizione e implementazione di un Piano di potenziamento per la Cybersecurity si pone, quindi, l’obiettivo di rafforzare il governo e la maturità di Sicurezza del proprio ecosistema, ossia garantire Riservatezza, Integrità e Disponibilità del patrimonio informativo, nel contesto della digitalizzazione dei servizi dello stesso.

Allo scopo di innovare i servizi ed incrementare la produttività dell’Ente nonché migliorare la qualità della vita dei Cittadini e, dunque, dei Pazienti, la Sicurezza delle informazioni rappresenta il principale elemento abilitante al raggiungimento di tale obiettivo. In quest’ottica, l’eccellenza è il risultato che può essere raggiunto sia migliorando quanto già in essere, sia innovando, al fine di erogare e offrire nuovi servizi. Inoltre, tali risultati possono essere raggiunti attuando un adeguato processo di monitoraggio, misurazione e comunicazione della sicurezza delle informazioni.

Questo modello richiede e prevede l’adozione di un approccio che contempli elementi di novità rispetto al passato così da rispondere alle mutate esigenze di contesto, garantendo al contempo la continuità di quanto avviato. Inoltre, le sfide a cui si è chiamati a rispondere richiedono l’adozione di una visione strategica di lungo periodo e la definizione di piani tattici con risultati a medio-breve termine.

Nell’ambito del contratto quadro per l’affidamento di servizi di sicurezza da remoto, di compliance e controllo per le Pubbliche Amministrazioni, l’Amministrazione ha richiesto, ai fini dello sviluppo del Progetto di Sicurezza, l’esecuzione dei servizi (dettagliati nel seguito del presente documento) afferenti al Lotto 2- Servizi di Compliance e controllo:

• Servizio di Security Strategy (L2.S16);

• Vulnerability Assessment (L2.S17);

• Supporto all’analisi e alla gestione degli incidenti (L2.S21);

• Penetration test (L2.S22);

• Compliance normativa (L2.S123)

Il Progetto di Sicurezza mira a rafforzare il governo e la maturità di Sicurezza e Privacy di AORN Xxxxxxxxxx, nel contesto della digitalizzazione dei propri servizi.

In linea con quanto sopra descritto, sono stati individuati, nell'ambito del dell’Accordo Quadro summenzionato i seguenti obiettivi di sintesi, che rientrano nel più ampio programma di attuazione del Progetto di Sicurezza:

• Obiettivo 1: stabilire il livello di maturità dell’Ente e predisporre una roadmap di iniziative (e la relativa attività di follow-up) volte al consolidamento della stessa maturità dell’Ente, in relazione ai risultati emersi e al livello di maturità futuro atteso. L’obiettivo è perseguito anche mediante l’esecuzione di una serie di azioni, come sopra descritte e meglio specificate nei seguenti paragrafi, finalizzate a mitigare i rischi inerenti all’organizzazione e ai servizi erogati, così come per contrastare eventi di cybercrime (L2.S16);

• Obiettivo 2: identificare lo stato di esposizione alle vulnerabilità (vulnerability assessment e correlate Run di follow-up) mediante la raccolta di informazioni concernente i servizi erogati, le applicazioni, l’architettura e le componenti tecnologiche (L2.S17);

• Obiettivo 3: migliorare la gestione degli incidenti per incrementare efficacia ed efficienza dei processi di Incident Management (L2.S21);

• Obiettivo 4: eseguire, attacchi simulati (Penetration Test e correlate Run di follow-up per verificare concretamente la possibilità di sfruttare vulnerabilità identificate su sistemi/reti/applicazioni/dispositivi (L2.S22);

• Obiettivo 5: migliorare la compliance normativa in ambito privacy al fine di garantire la piena

conformità alla normativa vigente nonché per consentire all’Ente di tutelare i dati personali da esso

trattati in qualità di Titolare del Trattamento e di garantire elevati standard di sicurezza degli stessi

(L2.S123).

1.3 Riferimenti

IDENTIFICATIVO TITOLO/DESCRIZIONE
ID 2296 - Gara Sicurezza da remoto - Allegato 1 - Capitolato Tecnico Generale	Capitolato Tecnico Generale della GARA A PROCEDURA APERTA PER LA CONCLUSIONE DI UN ACCORDO QUADRO, AI SENSI DEL D.LGS. 50/2016 E S.M.I., SUDDIVISA IN 2 LOTTI E AVENTE AD OGGETTO L’AFFIDAMENTO DI SERVIZI DI SICUREZZA DA REMOTO, DI COMPLIANCE E CONTROLLO PER LE PUBBLICHE AMMINISTRAZIONI
ID 2296 - Gara Sicurezza da remoto - Allegato 2B - Capitolato Tecnico Speciale Lotto 2	Capitolato Tecnico Speciale della GARA A PROCEDURA APERTA PER LA CONCLUSIONE DI UN ACCORDO QUADRO, AI SENSI DEL D.LGS. 50/2016 E S.M.I., SUDDIVISA IN 2 LOTTI E AVENTE AD OGGETTO L’AFFIDAMENTO DI SERVIZI DI SICUREZZA DA REMOTO, DI COMPLIANCE E CONTROLLO PER LE PUBBLICHE AMMINISTRAZIONI
ID 2296 - Gara Sicurezza da remoto - Capitolato Oneri	Capitolato d'Oneri della GARA A PROCEDURA APERTA PER LA CONCLUSIONE DI UN ACCORDO QUADRO, AI SENSI DEL D.LGS. 50/2016 E S.M.I., SUDDIVISA IN 2 LOTTI E AVENTE AD OGGETTO L’AFFIDAMENTO DI SERVIZI DI SICUREZZA DA REMOTO, DI COMPLIANCE E CONTROLLO PER LE PUBBLICHE AMMINISTRAZIONI
ID 2296 - Gara Sicurezza da remoto - Bando GURI	Bando GURI della GARA A PROCEDURA APERTA PER LA CONCLUSIONE DI UN ACCORDO QUADRO, AI SENSI DEL D.LGS. 50/2016 E S.M.I., SUDDIVISA IN 2 LOTTI E AVENTE AD OGGETTO L’AFFIDAMENTO DI SERVIZI DI SICUREZZA DA REMOTO, DI COMPLIANCE E CONTROLLO PER LE PUBBLICHE AMMINISTRAZIONI

1.4 Acronimi e glossario

DEFINIZIONE/ACRONNIMO	DESCRIZIONE
RTI	Raggruppamento Temporaneo di Impresa
AQ	Accordo Quadro
CE	Contratto Esecutivo
PAL	Pubblica Amministrazione Locale

PA	Pubblica Amministrazione
PAC	Pubblica Amministrazione Centrale
S.I.	Sistema Informativo
AGID	Agenzia per l’Italia Digitale
ICT	Information and Communications Technology
DLT R.A.	Deloitte Risk Advisory Srl
EY	EY Advisory SpA
Teleco	Teleco Srl

Anagrafica dell’amministrazione

DATI ANAGRAFICI DELL’AMMINISTRAZIONE
Ragione sociale Amministrazione	Azienda Ospedaliera di Rilievo Nazionale Xxxxxxx Xxxxxxxxxx
Indirizzo	Xxx X. Xxxxxxxxxx, 0
XXX	00000
Xxxxxx	Xxxxxx
Xxxxxxxxx	Xxxxxx
Regione	Campania
Codice Fiscale	06853240635
Indirizzo mail	xxx@xxxxxxxxxxxx.xx
PEC	xxxxxxxxxxxx@xxx.xx
Codice PA	aorn_063
Comparto di Appartenenza (PAL/PAC)	PAL

DATI ANAGRAFICI REFERENTE DELL’AMMINISTRAZIONE
Nome	Xxxxxxxxx
Cognome	Xxxxxxx
Telefono	0000000000
Indirizzo mail	xxxxxxxx.xxxxxxxxxxx@xxxxxxxxxxxx.xx
PEC	xxxxxxxxxxxxxxxxxxx.xxxxxxxxxxxx@xxx.xx

CATEGORIZZAZIONE DELL’INTERVENTO

3.1 Categorizzazione di I livello

AMBITO I LIVELLO (LAYER)		OBIETTIVI PIANO TRIENNALE
	SERVIZI	Servizi al cittadino
		Servizi a imprese e professionisti
		Servizi interni alla propria PA
		Servizi verso altre PA
	DATI	Favorire la condivisione e il riutilizzo dei dati tra le PA e il riutilizzo da parte di cittadini e imprese
		Aumentare la qualità dei dati e dei metadati
		Aumentare la consapevolezza sulle politiche di valorizzazione del patrimonio informativo pubblico e su una moderna economia dei dati
	PIATTAFORME	Favorire l’evoluzione delle piattaforme esistenti per migliorare i servizi offerti a cittadini ed imprese semplificando l’azione amministrativa
		Aumentare il grado di adozione ed utilizzo delle piattaforme abilitanti esistenti da parte delle PA
		Incrementare e razionalizzare il numero di piattaforme per le amministrazioni al fine di semplificare i servizi ai cittadini
		Migliorare la qualità e la sicurezza dei servizi digitali erogati dalle amministrazioni locali favorendone l’aggregazione e la migrazione sul territorio (Riduzione Data Center sul territorio)
		Migliorare la qualità e la sicurezza dei servizi digitali erogati dalle amministrazioni centrali favorendone l’aggregazione e la migrazione su infrastrutture sicure ed affidabili (Migrazione infrastrutture interne verso il paradigma cloud)
		Migliorare la fruizione dei servizi digitali per cittadini ed imprese tramite il potenziamento della connettività per le PA
	INTEROPERABILITÀ	Favorire l’applicazione della Linea guida sul Modello di Interoperabilità da parte degli erogatori di API
		Adottare API conformi al Modello di Interoperabilità
X	SICUREZZA INFORMATICA	Aumentare la consapevolezza del rischio cyber (Cyber Security Awareness) nelle PA
		Aumentare il livello di sicurezza informatica dei portali istituzionali della Pubblica Amministrazione

3.2 Categorizzazione di II livello

I LIVELLO (LAYER) II LIVELLO
SERVIZI		Servizi al cittadino
		Servizi a imprese e professionisti
		Servizi interni alla propria PA
		Servizi verso altre PA
PIATTAFORME		Sanità digitale (FSE e CUP)
		Identità Digitale
		Pagamenti digitali
		App IO
		ANPR
		NoiPA
		INAD
		Musei
		Siope+
DATI		Agricoltura, pesca, silvicoltura e prodotti alimentari
		Economia e finanze
		Istruzione, cultura e sport
		Energia
		Ambiente
		Governo e Settore pubblico
		Salute
		Tematiche internazionali
		Giustizia e sicurezza pubblica
		Regioni e città
		Popolazione e società
		Scienza e tecnologia
		Trasporti
INTEROPERABILITA		Agricoltura, pesca, silvicoltura e prodotti alimentari
		Economia e finanze
		Istruzione, cultura e sport
		Energia
		Ambiente
		Governo e Settore pubblico
		Salute
		Tematiche internazionali
		Giustizia e sicurezza pubblica
		Regioni e città
		Popolazione e società
		Scienza e tecnologia
		Trasporti
INFRASTRUTTURE		Data center e Cloud
INFRASTRUTTURE		Connettività
SICUREZZA INFORMATICA	X	Portali istituzionali e CMS
SICUREZZA INFORMATICA	X	Sensibilizzazione del rischio cyber

Servizi richiesti e ambito di intervento

4.1 Ambiti di intervento

Il Progetto di Sicurezza di AORN Xxxxxxxxxx, volto alla definizione e implementazione di un Piano di potenziamento per la Cybersecurity si pone l’obiettivo di rafforzare il governo e la maturità di Sicurezza del proprio ecosistema, ossia garantire Riservatezza, Integrità e Disponibilità del patrimonio informativo, nel contesto della digitalizzazione dei servizi dello stesso.

A monte, il progetto prevede un’attività propedeutica di assessment sulla postura cyber dell’Ente, per cui saranno tenute in considerazione eventuali attività di assessment già condotti, finalizzata a stabilire il livello di maturità dell’ente e a predisporre una roadmap di iniziative volte al consolidamento della stessa maturità dell’ente, in relazione ai risultati emersi e al livello di maturità futuro atteso.

Nello specifico, l’assessment verrà condotto su tre livelli (coinvolgendo, a tal proposito, sia i servizi di Security Strategy che di VA/PT messi a disposizione dal presente Accordo Quadro), ossia:

• Cyber posture assessment: sarà condotto sulla base del “Framework Nazionale per la Cyber Security e la Data Protection” e sarà volto ad integrare eventuali attività di assessment precedentemente condotte con focus sulla gestione dei principali processi in ambito sicurezza delle informazioni.

• Cyber Testing: Esecuzione di Vulnerability Assessment e Penetration Test su un perimetro selezionato di sistemi IT dell’Ente, a seguito della definizione di un piano di test cadenzato e che tenga conto della criticità dei sistemi. L’attività comprenderà il supporto all’organizzazione del piano di rimedio delle vulnerabilità che emergeranno.

• Cyber Awareness: Esecuzione di attività di Threat Intelligence per la verifica del grado di esposizione di un sotto insieme della popolazione dell’Ente.

A valle delle suddette attività, lo svolgimento di un Assessment di ricognizione sarà fondamentale per verificare l’adeguata implementazione delle iniziative emerse a seguito del primo Assessment e valutare nuovamente il livello di maturità del sistema di sicurezza.

Inoltre, sono state già identificate le iniziative che verranno implementate a valle dell’assessment al fine di mitigare i rischi inerenti all’organizzazione e ai servizi erogati, così come per contrastare eventi di cybercrime. Tali azioni contribuiranno a migliorare complessivamente non solo la postura di sicurezza dell’Ente ma anche il livello di protezione dei dati e delle informazioni. Tali attività, le quali verranno dettagliate nelle sezioni successive, si concretizzano in:

• Processi e corpo documentale: Sulla base dei risultati dell’Assessment, saranno revisionati e consolidati i processi riguardanti gli aspetti della cybersecurity e della protezione dei dati personali, in accordo con i principali standard settoriali. Gli stessi saranno formalizzati attraverso la revisione e/o sviluppo del relativo corpo documentale. In particolare, verrà svolta una attività di revisione di policy e procedure esistenti che documentano i processi e/o la redazione ex novo di policy e procedure customizzate sulla base delle specifiche esigenze dell’Ente.

• Business Continuity – Risposta agli incidenti: Verrà predisposta una mappatura di processi, sistemi e risorse con impatto critico e verranno identificati RTO/RPO. Inoltre, si procederà alla definizione di una strategia di BC e di un piano di risposta agli incidenti, come di seguito dettagliato al paragrafo 5 e seguenti.

• Integrazione al Piano di formazione: Al fine di accrescere la conoscenza e la consapevolezza interna sui temi di Cybersecurity e Privacy, verrà predisposto di un piano di formazione cui seguirà l’erogazione workshop dedicati ai dirigenti nonché ai dipendenti dell’Ente sulla base di cluster di popolazione che verranno identificati.

• Gestione di Terze Parti: si procederà, infine, alla predisposizione di un modello di gestione delle terze parti e a correlate campagne di assessment/audit che saranno oggetto di successive attività di follow- up. La definizione di una metodologia di gestione delle terze parti consentirà, dunque, di valutare e gestire opportunamente i rischi cyber associati ai contratti tramite un approccio risk-based con metodologie e deliverable standardizzati e replicabili. Tale iniziativa prevede:

o La predisposizione di un modello per la gestione delle terze parti ICT volto a valutare e gestire i rischi cyber associati a servizi e sistemi gestiti in outsourcing.

o Sulla base del modello definito, esecuzione di campagne di Assessment/Audit volte a verificare l’aderenza dei fornitori alle misure di sicurezza definite e individuare eventuali carenze che potrebbero contribuire a rendere meno sicuro il patrimonio informatico dell’Ente.

• Attività di supporto per la privacy: In riferimento all’attività di rafforzamento della compliance normativa in ambito privacy è prevista una attività di ampliamento del Corpo Documentale, in accordo con i principali standard settoriali, attraverso la Redazione di nuove policy e procedure customizzate per disciplinare ruoli e responsabilità interni all’organizzazione (e.g. redazione/revisione della Privacy policy o delle procedure in ambito Privacy by Design e by Default, Data Breach, Gestione Amministratori di Sistema, Gestione degli interessati). Inoltre, sono state indentificate una serie di ulteriori attività, atte a consolidare il governo della conformità privacy a tutto tondo (ossia, Analisi dei rischi, Baseline misure di sicurezza, Aggiornamento Registro dei Trattamenti e ulteriori attività di supporto on-demand di tipo multidisciplinare, ivi comprese attività di Training in materia Privacy)

4.2 Servizi richiesti

SERVIZI RICHIESTI
ID	NOME SERVIZIO	VOCE DI COSTO	QUANTITA’	IMPORTO
L2.S16	Security Strategy	L2.S16 - gg/p Team ottimale	1036	€ 259.000,00
L2.S17	Vulnerability Assessment	L2.S17 - gg/p Team ottimale	527	€ 87.000,00
L2.S21	Supporto all’analisi e gestione degli incidenti	L2.S21 - gg/p Team ottimale	147	€ 25.000, 00
L2.S22	Penetration Testing	L2.S22 - gg/p Team ottimale	735	€ 121.200,00
L2.S123	Compliance Normativa	L2.S123 - gg/p Team ottimale	526	€ 89.500,00
			TOTALE	€ 581.700,00

4.3 Dettaglio dei servizi richiesti

4.3.1 L2.S16 - Security Strategy

4.3.1.1. Descrizione e caratteristiche del servizio

Si riporta di seguito, a titolo esemplificativo e non esaustivo, una descrizione delle attività e dei deliverable richiesti all’interno del servizio. Il dettaglio degli interventi verrà di volta in volta definito con il Fornitore, in funzione del supporto richiesto dall’Amministrazione in considerazione delle azioni da attuare per la realizzazione del Progetto di Sicurezza, con conseguente revisione e/o integrazione dei deliverable.

Macro-attività Attività Deliverable

Anno I

Analisi maturità e Piano strategico

• Cyber Assessment trasversale sulla base del framework nazionale della Cyber Security e Data Protection unitamente;

• Fino a 2 deep dive di servizio (processi critici

dell’organizzazione o ambito, es. IAM) in linea con gli ambiti definiti al punto sopra;

• Studio della effettiva applicabilità e la conseguente scelta e valorizzazione ex-ante ed ex-post degli indicatori di digitalizzazione, come specificato in sezione 4.4

• Cyber Assessment (Executive summary)

• Piano delle iniziative tattiche di sicurezza

Macro-attività Attività Deliverable

• Consolidamento del piano strategico delle iniziative tattiche.

Anno I

Awareness

Anno I

Processi e corpo documentale

Anno I

Continuità operativa

Anno I

Piano di Formazione

Anno I

Gestione delle Terze Parti

Xxxx XX e III

Run di follow-up Assessment e Gestione delle Terze Parti

• Threat Intelligence su un perimetro selezionato di persone (fino a n.10) identificate come VIP e fino a 3 domini target concordati.

• Revisione/redazione delle politiche di sicurezza di alto livello (fino a n.7), ad es. Sicurezza delle Informazioni, Uso dei controlli crittografici, Politica di smartworking, Gestione dei Log, Security by Design, Hardening dei sistemi;

• Revisione/redazione delle procedure operative di alto livello (fino a n.4), da redigere coerentemente con le politiche sviluppate al punto precedente.

• Esecuzione Business Impact Analysis su un perimetro selezionato di processi/servizi critici (fino a n.5);

• Modello di gestione della crisi Cyber con identificazione di un workflow operativo di alto livello ed identificazione di ruoli e responsabilità;

• Recovery capabilities assessment (fino a 5 servizi critici);

• Definizione strategia di continuità Cyber di alto livello alla luce dei risultati della BIA;

• Redazione PCO, definito come una sintesi delle attività ai punti precedenti.

Integrazione al programma di formazione (sincrona):

• Direttori: formazione sincrona in aula fisica e/o virtuale in ambito cyber (1 sessione).

• Linee guida/processo per la gestione sicura e valutazione delle Terze Parti e della criticità Cyber dei beni/servizi ICT;

• Audit su fino a 3 fornitori svolti da remoto, sulla base del processo disegnato al punto precedente.

• Follow-Up Assessment trasversale condotto durante il I anno;

• Follow-Up Piano Strategico delle iniziative tattiche;

• Rivalutazione e aggiornamento della valorizzazione ex-ante ed ex-post degli indicatori di digitalizzazione, come specificato in sezione 4.4;

• Follow up dei 3 audit sulle terze parti condotti l'anno precedente, inteso come aggiornamento delle risultanze alla luce della potenziale adozione di azioni di rimedio da parte delle terze parti (solo per Anno II).

• Executive summary

• Politiche di Sicurezza

• Procedure operative

• BIA

• Crisis management

• Recovery capabilities Assessment

• Strategie di continuità ICT

• Piano Cont. Operativa

• Erogazione n. 1 sessione di formazione

• Modello di Gestione delle Terze Parti

• Audit/Assessm ent Summary

• Cyber Assessment (Executive summary)

• Follow-up Piano delle iniziative tattiche di sicurezza

Macro-attività Attività Deliverable

4.3.1.2 Modalità di erogazione e consuntivazione

Coerentemente a quanto previsto nel “CAPITOLATO TECNICO SPECIALE SERVIZI DI COMPLIANCE E CONTROLLO”, si precisa che la modalità di remunerazione di tali servizi è di tipologia “progettuale (a corpo)” e che la metrica di misurazione è “giorni/persona del team ottimale”.

Saranno definiti di concerto con l’Amministrazione i task progettuali e i deliverable delle attività, dimensionati e valorizzati economicamente. La avverrà sulla base dello stato dell’avanzamento lavori mensile, determinato coerentemente con il piano di lavoro definito, e sarà riconosciuta bimestralmente.

Il team di lavoro per la realizzazione delle attività sopraccitate prevede il coinvolgimento delle seguenti figure professionali:

• Security Principal

• Security Solution Architect

• Senior Information Security Consultant

• Senior Security Auditor

• Data Protection Specialist

Le attività saranno erogate presso le sedi dell’Amministrazione Contraente e da remoto (es: presso le sedi

del RTI).

4.3.1.3 Attivazione e durata

Si prevede l’avvio del servizio a Gennaio 2024 per una durata di 36 mesi.

4.3.1.4 Modalità di configurazione

N.A.

4.3.1.5 Specifiche di collaudo

N.A.

4.3.2 L2.S17 - Vulnerability assessment

4.3.2.1 Descrizione e caratteristiche del servizio

Macro-attività Attività Deliverable

Anno I

Vulnerability Assessment

Attività di valutazione della robustezza dei controlli tecnici a presidio della sicurezza per un perimetro definito di sistemi infrastrutturali tradizionali ovvero IT, critici e non,

• VA Executive Summary

Macro-attività Attività Deliverable

Anno II e III

Run di Follow-Up (VA)

riconducibili ad AORN Xxxxxxxxxx, seguendo framework internazionali e standard di settore.

Si richiede al RTI l’esecuzione di VA infrastrutturale max 5000 IP (2 run – fino a 2500 IP/run). L’attività di VA prevederà le seguenti fasi progettuali a titolo esemplificativo:

o Identificazione del perimetro di sistemi, con rilevazione dei servizi e delle applicazioni critiche.

o Definizione delle modalità operative di esecuzione delle analisi.

o Esecuzione degli assessment, nello specifico considerando una serie di sistemi target che potranno comprendere applicazioni, host, sistemi, apparati, database, tutti identificabili mediante un IP address. Le tipologie di Vulnerability Assessment Interno richieste sono, a titolo esemplificativo e non esaustivo:

• assessment sulle vulnerabilità nella rete (Network- based vulnerability assessment)

• assessment sulle vulnerabilità nelle applicazioni individuate (Web Application Assessment)

• assessment sulle vulnerabilità nei computer: postazioni di lavoro definite sensibili (Host-based vulnerability assessment).

o Analisi risultati e reportistica a livello executive e tecnica.

o Definizione del piano di rimedio da attuare per eliminare le vulnerabilità riscontrate.

Follow-up delle attività di VA infrastrutturale eseguita negli anni precedenti.

Si richiede al RTI l’esecuzione di VA infrastrutturale max

5000 IP (2 run – fino a 2500 IP/run).

Tali attività verranno scelte e svolte secondo quanto

descritto per l’Anno I.

• VA Technical Report

• Remediation Plan

• VA Executive Summary

• VA Technical Report

• Remediation Plan

4.3.2.2 Modalità di erogazione e consuntivazione

Coerentemente a quanto previsto nel “CAPITOLATO TECNICO SPECIALE SERVIZI DI COMPLIANCE E CONTROLLO” si precisa che la modalità di remunerazione di tali servizi è di tipologia “progettuale (a corpo)” e che la metrica di misurazione è “giorni/persona del team ottimale”.

Saranno definiti di concerto con l’Amministrazione i task progettuali e i deliverable delle attività, dimensionati e valorizzati economicamente. La consuntivazione avverrà sulla base dello stato dell’avanzamento lavori mensile, determinato coerentemente con il piano di lavoro definito, e sarà riconosciuta bimestralmente.

Il team di lavoro per la realizzazione delle attività sopraccitate prevede il coinvolgimento delle seguenti figure professionali:

• Security Principal

• Senior Penetration tester

• Junior Penetration tester

Le attività saranno erogate presso le sedi dell’Amministrazione Contraente e da remoto (es: presso le sedi del RTI).

4.3.2.3 Attivazione e durata

Si prevede l’avvio del servizio a Gennaio 2024 per una durata di 36 mesi.

4.3.2.4 Modalità di configurazione

N.A

4.3.2.5. Specifiche di collaudo

N.A.

4.3.3 L2.S21 - Supporto all’analisi e gestione degli incidenti

4.3.3.1 Descrizione e caratteristiche del servizio

Macro-attività Attività Deliverable

Anno I Miglioramento del processo di Incident Management

Redazione del piano di risposta agli incidenti consistente in:

• Procedura di Incident Management;

• Template Incident response Report;

• Incident response Playbooks (n. 4 playbooks).

• Procedura di Incident Management

• Template Incident response Report;

• Incident response playbooks (n. 4 Playbooks)

4.3.3.2 Modalità di erogazione e consuntivazione

Saranno definiti di concerto con l’Amministrazione i task progettuali e i deliverable delle attività, dimensionati e valorizzati economicamente. La fatturazione avverrà sulla base dello stato dell’avanzamento lavori mensile, determinato coerentemente con il piano di lavoro definito, e sarà riconosciuta bimestralmente.

Il team di lavoro per la realizzazione delle attività sopraccitate prevede il coinvolgimento delle seguenti figure professionali:

• Security Principal

• Senior Security Analyst

• Junior Security Analyst

• Forensic Expert

Le attività saranno erogate presso le sedi dell’Amministrazione Contraente e da remoto (es: presso le sedi del RTI).

4.3.3.3 Attivazione e durata

Si prevede l’avvio del servizio a Gennaio 2024 per una durata di 12 mesi.

4.3.3.4. Modalità di configurazione

N.A

4.3.3.5 Specifiche di collaudo

N.A.

4.3.4 L2.S22 – Penetration Testing

4.3.4.1. Descrizione e caratteristiche del servizio

Macro-attività Attività Deliverable

Anno I

Penetration Test su Infrastrutture e Applicazioni

Attività di sfruttamento manuale delle vulnerabilità note afferenti a sistemi infrastrutturali tradizionali ovvero IT, critici e non, riconducibili ad AORN Xxxxxxxxxx, seguendo framework internazionali e standard di settore quali OWASP e OSSTMM.

Le tecniche seguite mirano a coprire uno spettro di metodologie e di scenari quanto più possibile ampio e differenziato, al fine di individuare tutte le possibili tecniche di attacco e di intrusione a cui i target potrebbero essere soggetti.

Si richiede al l’esecuzione di attività di WAPT Greybox (6 webapp target: 1 alta complessità, 3 media complessità, 2 bassa complessità).

• PT Executive Summary

• PT Technical Report

• Remediation Plan

Macro-attività Attività Deliverable

Ognuna di queste attività di PT prevederà le seguenti fasi progettuali.

• Identificazione del perimetro di sistemi, con rilevazione dei servizi e delle applicazioni critiche.

• Definizione delle modalità operative di esecuzione delle analisi (es.: black box, grey box, white box) e dei profili utente eventualmente da verificare (es: Profilo “guest”, Profilo “Admin”, ecc).

• Esecuzione degli assessment, nello specifico considerando target sia applicativi che infrastrutturali, individuati in fase di definizione dei singoli sotto- progetti di PT.

• Analisi risultati e reportistica a livello executive e tecnica.

• Definizione del piano di rimedio da attuare per eliminare le vulnerabilità riscontrate.

La scelta delle applicazioni da sottoporre a PT sarà guidata dai seguenti fattori chiave:

• Esistenza di portali esposti su Internet;

• Distribuzione degli asset su Cloud oltre che on- premises;

• Tipologia di dati trattati (sensibili, sanitari, giudiziari, ecc);

• Funzione di business esposta (es. B2B come il portale per le gare telematiche, B2C come il fascicolo sanitario);

Complessità intrinseca dell’applicazione e suo livello di rischio

cyber.

Anno II e III

Run di Follow-Up (PT)

• Follow-up delle attività di Penetration Test su infrastrutture e applicazioni.

Si richiede al l’esecuzione di attività di WAPT Greybox (3 webapp target: 1 alta complessità, 1 media complessità, 1 bassa complessità).

Tali attività verranno scelte e svolte secondo quanto

descritto per l’Anno I

• PT Executive Summary

• PT Technical Report

• Remediation Plan

4.3.4.2 Modalità di erogazione e consuntivazione

Saranno definiti di concerto con l’Amministrazione i task progettuali e i deliverable delle attività, dimensionati e valorizzati economicamente. La fatturazione avverrà sulla base dello stato dell’avanzamento lavori mensile determinato coerentemente con il piano di lavoro definito e sarà riconosciuta bimestralmente.

Il team di lavoro per la realizzazione delle attività sopraccitate prevede il coinvolgimento delle seguenti figure professionali:

• Security Principal

• Senior Penetration tester

• Junior Penetration tester

• Forensic Expert

Le attività saranno erogate presso le sedi dell’Amministrazione Contraente e da remoto (es: presso le sedi del RTI).

4.3.4.3 Attivazione e durata

Si prevede l’avvio del servizio a Gennaio 2024 per una durata di 36 mesi.

4.3.4.4 Modalità di configurazione

N.A.

4.3.4.5 Specifiche di collaudo

N.A.

4.3.5 L2.S23 – Compliance normativa

4.3.5.1 Descrizione e caratteristiche del servizio

Si riporta di seguito, a titolo esemplificativo e non esaustivo, una descrizione delle attività e dei deliverable richieste all’interno del servizio. Il dettaglio degli interventi verrà di volta in volta definito con il Fornitore, in funzione del supporto richiesto dall’Amministrazione in considerazione delle azioni da attuare per la realizzazione del Progetto di Sicurezza, con conseguente revisione e/o integrazione dei deliverable.

Macro-attività Attività Deliverable

Anno I

Governo della Conformità Privacy: Processi e corpo documentale

Consolidamento del livello di compliance normativa in ambito Privacy mediante la revisione/redazione del corpo documentale, nello specifico:

• Procedura Privacy by Design e by Default (compreso registro);

• Procedura per la gestione e la notifica di Data Breach;

• Procedura per la gestione Amministratori di sistema;

• Privacy Policy;

• Procedura per la gestione delle richieste di esercizio dei diritti degli interessati.

• Policy e procedure in ambito privacy

Macro-attività Attività Deliverable

Anno I

Governo della Conformità Privacy: Analisi dei rischi

Anno I

Governo della Conformità Privacy: Baseline misure di sicurezza

Anno I

Governo della Conformità Privacy: Aggiornamento Registro dei Trattamenti

Anno I

Governo della Conformità Privacy: Supporto on- demand

Supporto operativo per la predisposizione di una metodologia per l’individuazione dei trattamenti ad alto rischio e supporto DPIA, tramite:

• Supporto operativo per il follow up dei piani di rimedio precedenti e aggiornamento delle svolte precedentemente

• Predisposizione di una nuova metodologia per l’esecuzione della DPIA

• Esecuzione DPIA

Supporto operativo per la predisposizione di un set di misure di sicurezza applicabili ai trattamenti svolti dall’Ente in qualità di Titolare del Trattamento e ad eventuali fornitori (Responsabili del Trattamento)

Consolidamento del livello di compliance normativa in ambito Privacy mediante attività di aggiornamento del Registro dei Trattamenti

Ulteriori attività di supporto multidisciplinare, ivi comprese attività di Training in materia Privacy; assessment in ambito Videosorveglianza e altre da concordare in funzione delle esigenze emerse in corso di progetto

• Metodologia per l’individuazione dei trattamenti ad alto rischio

• Aggiornamento precedenti DPIA

• Esecuzione nuove DPIA

• Predisposizione tool metodologia esecuzione DPIA

• Set misure di sicurezza

• Aggiornamento Registro Trattamenti

• Supporto operativo multidisciplinare

4.3.5.2 Modalità di erogazione e consuntivazione

Saranno definiti di concerto con l’Amministrazione i task progettuali e i deliverable delle attività, dimensionati e valorizzati economicamente. La fatturazione avverrà sulla base dello stato dell’avanzamento lavori mensile determinato coerentemente con il piano di lavoro definito e sarà riconosciuta bimestralmente.

Il team di lavoro per la realizzazione delle attività sopraccitate prevede il coinvolgimento delle seguenti figure professionali:

• Security Principal

• Senior Information Security Consultant

• Junior Information Security Consultant

• Senior Security Auditor

• Data Protection Specialist

Le attività saranno erogate presso le sedi dell’Amministrazione Contraente e da remoto (es: presso le sedi

del RTI).

4.3.5.3 Attivazione e durata

Si prevede l’avvio del servizio entro Gennaio 2024 per una durata di 12 mesi.

4.3.5.4 Modalità di configurazione

N.A.

4.3.5.5 Specifiche di collaudo

N.A.

4.4 Indicatori di digitalizzazione

Nell’ambito delle attività di governance ed in particolare della valutazione del livello di efficacia degli interventi operati dalle Amministrazioni attraverso l’utilizzo di contratti esecutivi afferenti alle Gare Strategiche in ambito Sicurezza ICT, si intendono definite due tipologie di indicatori:

• Indicatori Generali, che mappano il macro-obiettivo dell’intervento rispetto ai principali obiettivi

strategici del Piano Triennale;

• Indicatori Specifici, che definiscono, sulla base delle specificità della Gara Strategica, le misure di digitalizzazione applicabili allo specifico contratto esecutivo, in funzione dei prodotti/servizi acquisiti. In tale contesto, è definito un indicatore (cd. “indicatore di progresso” in seguito descritto) che indica il livello di maturità della infrastruttura di sicurezza ICT delle Amministrazioni, sulla base del grado di mappatura degli interventi effettuati con le misure minime di sicurezza AGID (Circolare 18 aprile 2017, n. 2/2017, Sostituzione della circolare n. 1/2017 del 17 marzo 2017, recante «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)»).

Gli indicatori saranno utilizzati per il monitoraggio dei contratti e del raggiungimento dei relativi obiettivi. Nel contesto AORN, per la tipologia di interventi previsti, si considerano gli indicatori presentati nei prossimi

due paragrafi e che saranno oggetto di monitoraggio nell’intero arco temporale dell’incarico presentato in

questo Piano Operativo.

4.4.1 Indicatori generali di digitalizzazione

Di seguito si riportano gli indicatori Generali di digitalizzazione previsti per la presente fornitura:

INDICATORI DI COLLABORAZIONE E

RIUSO

VALORE EX ANTE

VALORE EX POST

Riuso di processi per erogazione servizi digitali

Nessuno

Dato da valorizzare ogni 12 mesi

Obiettivi CAD raggiunti con

l’intervento

Dato da valorizzare all’inizio dell’incarico

Dato da valorizzare ogni 12 mesi

Per ciascuno dei sopra riportati indicatori, verrà effettuata una valutazione in fase di avvio degli interventi progettuali e a valle (ogni 12 mesi), così da misurare il livello di digitalizzazione raggiunto per ciascuno di essi.

4.4.2 Indicatori di progresso

Per ogni classe di controlli ABSC (Agid Basic Security Control) previsti dalle misure minime di sicurezza AGID, ove successivamente modificate ed integrate, sarà calcolato il valore del relativo Indicatore di Progresso (Ip) dell’intervento ottenuto attraverso la realizzazione dell’Ordinativo di Fornitura (acquisto di servizi previsti nell’Ordinativo), che sarà determinato come da schema seguente:

Lo studio della effettiva applicabilità e la conseguente scelta e valorizzazione ex-ante ed ex-post degli indicatori di progresso è una delle attività previste in questo Piano Operativo all’interno dei servizi di General Purpose.

Organizzazione e modalità di erogazione del contratto esecutivo

5.1 Attività in carico alle aziende del RTI

Nell’ambito della specifica fornitura le attività saranno svolte dalle aziende secondo la ripartizione seguente:

SERVIZIO Deloitte Risk Advisory EY Advisory Teleco (%) (%) (0%)
L2.S16	100%	00,00%	00,00%
L2.S17	100%	00,00%	00,00%
L2.S21	00,00%	100%	00,00%
L2.S22	00,00%	100%	00,00%
L2.S123	00,00%	100%	00,00%
TOTALE	59,48%	40,52%	0 %

5.2 Modalità di ricorso al subappalto da parte del fornitore

SERVIZIO	AZIENDA RTI	QUOTA SUBAPPALTABILE	SUBAPPALTATORE
L2.S16, L2.S17,,	DLT R.A.- EY-	50%	DA DEFINIRE
L2.S21, L2.S22	TELECO

Si precisa che la quota di subappalto della singola Società non potrà mai essere superiore alla quota massima subappaltabile fatta salva espressa deroga concessa dal Committente.

5.3 Organizzazione e figure di riferimento del fornitore

In relazione all’organizzazione e alle figure di riferimento del Fornitore per la conduzione del progetto, si prevede la presenza di un RUAC con una struttura di Governance a supporto per le attività di PMO. In particolare, il RUAC del CE collabora con il RUAC di AQ ed è responsabile dei servizi del singolo CE.

Per l’erogazione dei servizi è prevista la presenza del referente tecnico per ciascun CE e comunque per ciascuna Amministrazione per tutti i servizi del Lotto 2 - Referente Tecnico CE (RT) - che assicura il corretto svolgimento dei servizi ed il relativo livello di qualità di erogazione, nel pieno rispetto degli indicatori condivisi. Per ciascun servizio oggetto del presente Piano Operativo, l’organizzazione prevede la composizione di un gruppo dedicato composto da un Responsabile Attività e da un gruppo di lavoro di supporto.

RUOLO	NOMINATIVI
RUAC CE	Xxxxxxx Xxxxx
Referente Tecnico CE (RT)	Xxxxx Xxxxxx
Responsabile Attività L2.S16	Xxxxxx Xxxxxxx
Responsabile Attività L2.S17	Michele Dell’Uomo
Responsabile Attività L2.S21	Xxxxxxx Xxxxxxx
Responsabile Attività L2.S22	Xxxxxxx Xxxxxxx
Responsabile Attività L2.S123	Xxxxxxx Xxxxxxx

5.4 Modalità di esecuzione dei servizi

Le attività relative all’esecuzione dei servizi saranno svolte presso gli uffici del Fornitore e, ove necessario e/o

richiesto per l’espletamento delle attività contrattuali, presso l’Amministrazione richiedente.

Piano di lavoro

6.1 Piano di Presa in carico

Il piano di presa in carico si basa sul coinvolgimento del personale che verrà poi impegnato a regime nella fornitura, sia a livello di governo che di erogazione dei servizi e trasparenza sull’andamento del processo di subentro nei confronti di tutti gli attori interessati attraverso una governance operativa e focalizzata.

FASE	ATTIVITÀ	X0	X0	X0	X0	X0
Pianificazione	Pianificazione delle attività
Predisposizione Strumenti	Predisposizione e aggiornamento strumenti
Assessment documentale	Analisi AS IS dei progetti in corso
Acquisizione competenze	Incontri con il personale dell’Amministrazione e del fornitore uscente, training on the job, self training, workshop
Ottimizzazione	Individuazione delle possibili aree di miglioramento
Fine presa in carico	Ricognizione e verifica delle attività svolte
Governance	Verifica dello stato delle attività

6.2 Cronoprogramma, copia pianificazione

Di seguito si riporta la pianificazione di massima dei servizi previsti:

Mese 1

Mese 2

Mese 3

Mese 4

Mese 5

Mese 6

Mese 7

Mese 8

Mese 9

Mese 10

Mese 11

Mese 12

Mese 13

Mese 14

Mese 15

Mese 16

Mese 17

Mese 18

Mese 19

Mese 20

Mese 21

Mese 22

Mese 23

Mese 24

Mese 25

Mese 26

Mese 27

Mese 28

Mese 29

Mese 30

Mese 31

Mese 32

Mese 33

Mese 34

Mese 35

Mese 36

L2.S16

L2.S17

L2.S21

L2.S22

L2.S123

Le milestone e i deliverable specifici relativi a ciascuna delle attività verranno preventivamente concordate

con l’amministrazione.

6.3 Data di attivazione e durata del servizio

Il contratto esecutivo avrà i suoi effetti dalla data di stipula e avrà una durata complessiva di 36 mesi dalla data di attivazione dei servizi, compatibilmente con il vincolo definito dall’Accordo quadro, ovvero che i Contratti Esecutivi abbiano una durata massima pari alla durata residua, al momento della sua stipula, dell’Accordo Quadro.

Piano della qualità specifico

7.1 Organizzazione dei Servizi

A Livello di gestione del contratto esecutivo sono state identificate le seguenti figure con le relative responsabilità:

• Responsabili dei Servizi (RdS): per ciascun servizio è individuato un responsabile che supporta i Referenti Tecnici dei CE assicurando omogeneità di approccio trasversalmente alle diverse Amministrazioni e abilitando il riuso delle soluzioni già applicate con successo su altri CE.

• RUAC CE: figura responsabile dell’attuazione del CE, rappresenta il RTI nei confronti della singola

Amministrazione.

• Referente Tecnico CE (RT) per l’erogazione dei servizi, assicura il corretto svolgimento dei servizi ed il relativo livello di qualità di erogazione, nel pieno rispetto degli indicatori condivisi. Ha la responsabilità delle attività di Xxxxx in carico e trasferimento di Know How durante le quali è il riferimento per il fornitore uscente/entrante e coordina le attività dei team di lavoro.

• Responsabile Attività è referente tecnico per ciascuna attività all’interno del CE, coordina e assicura

il corretto svolgimento delle attività operative eseguite dal team di lavoro.

• Team di Lavoro (TL), team operativi di intervento impegnati nell’erogazione dei servizi, composti da professionisti con profili previsti.

Nei successivi paragrafi sono declinate le figure previste all’interno del Team di Lavoro di ciascun servizio.

Security Strategy (L2.S16)

Il team ottimale sarà composto dalle seguenti figure con le relative responsabilità assegnate:

Profilo	Responsabilità
Security Principal	Project Manager, ha lo scopo di definire e gestire il progetto dal concepimento iniziale alla consegna finale. Responsabile dell’ottenimento di risultati ottimali, conformi agli standard di qualità, sicurezza e sostenibilità nonché coerenti con gli obiettivi, le performance, i costi ed i tempi definiti.
Security Solution Architect	Figura professionale dedicata al mantenimento della sicurezza del sistema informatico di un’organizzazione. Sarà responsabile dell’analisi dell'infrastruttura IT e delle relazioni tra i differenti sistemi e componenti infrastrutturali volta all’individuazione di problematiche architetturali che ne potrebbero compromettere la xxxxxxxxx. Xx occuperà, inoltre, dell’analisi delle configurazioni e delle regole tecniche delle principali soluzioni di sicurezza utilizzate per proteggere l’infrastruttura e i servizi (Firewall, IPS/IDS, SIEM, soluzioni anti-malware, Web Application Firewall, Database Monitoring, servizi Anti-DDoS, servizi cloud oriented per la sicurezza).
Senior Information Security Consultant	Presidia l’attuazione della strategia definita all’interno del suo ambito di responsabilità (sia questo un progetto, un processo, una location) coordinando attivamente le eventuali figure operative a lui assegnate per tale scopo, rappresentando il naturale raccordo tra la struttura di

governance della cyber security e il resto del personale operativo. Controlla il rispetto alle regole definite e del cogente in materia di sicurezza delle informazioni.

Pianifica ed attua misure di sicurezza per proteggere le reti e i sistemi

informatici di un'organizzazione.

Senior Security Auditor

Garantisce la conformità con le procedure di controllo interno stabilite esaminando i registri, i rapporti, le pratiche operative e la documentazione. Completa i giornali di audit documentando test e risultati dell'audit. Individua i possibili punti vulnerabili di un sistema

informativo.

Data Protection Specialist

Esperto nella protezione dei dati personali e dotato di competenze giuridiche e informatiche specifiche, verifica il rispetto di quanto previsto nelle normative italiane ed europee in termini di protezione dei dati nonché delle politiche applicate dal titolare del trattamento o dal

responsabile del trattamento in materia di protezione dei dati personali.

Il RTI si impegna a modificare o ampliare la composizione del team di progetto in funzione dell’operatività e

dei deliverable richiesti, garantendo la disponibilità dei profili professionali e delle competenze previste.

Vulnerability Assessment (L2.S17)

Il team ottimale sarà composto dalle seguenti figure con le relative responsabilità assegnate:

Profilo	Responsabilità
Security Principal	Project Manager, ha lo scopo di definire e gestire il progetto dal concepimento iniziale alla consegna finale. Responsabile dell’ottenimento di risultati ottimali, conformi agli standard di qualità, sicurezza e sostenibilità nonché coerenti con gli obiettivi, le performance, i costi ed i tempi definiti.
Senior Penetration tester	Definito anche ethical hacker, tenta di penetrare in un sistema informatico allo scopo di verificarne la relativa sicurezza rispettando opportune regole concordate in fase di ingaggio. Responsabile del coordinamento delle figure più Junior.
Junior Penetration tester	Definito anche ethical hacker, tenta di penetrare in un sistema informatico allo scopo di verificarne la relativa sicurezza rispettando opportune regole concordate in fase di ingaggio.

Il RTI si impegna a modificare o ampliare la composizione del team di progetto in funzione dell’operatività e

dei deliverable richiesti, garantendo la disponibilità dei profili professionali e delle competenze previste.

Supporto all’analisi e gestione degli incidenti (L2.S21)

Il team ottimale sarà composto dalle seguenti figure con le relative responsabilità assegnate:

Profilo

Responsabilità

Security Principal

Project Manager, ha lo scopo di definire e gestire il progetto dal concepimento iniziale alla consegna finale. Responsabile

dell’ottenimento di risultati ottimali, conformi agli standard di qualità,

	sicurezza e sostenibilità nonché coerenti con gli obiettivi, le performance, i costi ed i tempi definiti.
Senior Security Analyst	Gestisce l’esame periodico della sicurezza di sistemi, reti e applicazioni evidenziando le vulnerabilità tecniche nonché gli eventuali scostamenti rilevati rispetto e regole interne, normative esterne e best practices internazionali in materia Responsabile del coordinamento delle figure più Junior.
Junior Security Analyst	Gestisce l’esame periodico della sicurezza di sistemi, reti e applicazioni evidenziando le vulnerabilità tecniche nonché gli eventuali scostamenti rilevati rispetto e regole interne, normative esterne e best practices internazionali in materia.
Forensic Expert	E’ chiamato a gestire la raccolta di evidenze e l’analisi delle stesse in concomitanza di un incidente relativo alla sicurezza delle informazioni documentando il tutto in modo che sia correttamente presentabile in sede processuale.

Il RTI si impegna a modificare o ampliare la composizione del team di progetto in funzione dell’operatività e

dei deliverable richiesti, garantendo la disponibilità dei profili professionali e delle competenze previste.

Penetration Testing (L2.S22)

Il team ottimale sarà composto dalle seguenti figure con le relative responsabilità assegnate:

Profilo	Responsabilità
Security Principal	Project Manager, ha lo scopo di definire e gestire il progetto dal concepimento iniziale alla consegna finale. Responsabile dell’ottenimento di risultati ottimali, conformi agli standard di qualità, sicurezza e sostenibilità nonché coerenti con gli obiettivi, le performance, i costi ed i tempi definiti.
Senior Penetration tester	Definito anche ethical hacker, tenta di penetrare in un sistema informatico allo scopo di verificarne la relativa sicurezza rispettando opportune regole concordate in fase di ingaggio. Responsabile del coordinamento delle figure più Junior.
Junior Penetration tester	Definito anche ethical hacker, tenta di penetrare in un sistema informatico allo scopo di verificarne la relativa sicurezza rispettando opportune regole concordate in fase di ingaggio.
Forensic Expert	E’ chiamato a gestire la raccolta di evidenze e l’analisi delle stesse in concomitanza di un incidente relativo alla sicurezza delle informazioni documentando il tutto in modo che sia correttamente presentabile in sede processuale.

Il RTI si impegna a modificare o ampliare la composizione del team di progetto in funzione dell’operatività e

dei deliverable richiesti, garantendo la disponibilità dei profili professionali e delle competenze previste.

Compliance normativa (L2.S23)

Il team ottimale sarà composto dalle seguenti figure con le relative responsabilità assegnate:

Profilo	Responsabilità
Security Principal	Project Manager, ha lo scopo di definire e gestire il progetto dal concepimento iniziale alla consegna finale. Responsabile dell’ottenimento di risultati ottimali, conformi agli standard di qualità, sicurezza e sostenibilità nonché coerenti con gli obiettivi, le performance, i costi ed i tempi definiti.
Senior Information Security Consultant	Presidia l’attuazione della strategia definita all’interno del suo ambito di responsabilità (sia questo un progetto, un processo, una location) coordinando attivamente le eventuali figure operative a lui assegnate per tale scopo, rappresentando il naturale raccordo tra la struttura di governance della cyber security e il resto del personale operativo. Controlla il rispetto alle regole definite e del cogente in materia di sicurezza delle informazioni. Pianifica ed attua misure di sicurezza per proteggere le reti e i sistemi informatici di un'organizzazione.
Junior Information Security Consultant	Contribuisce nell’attuazione della strategia definita all’interno del suo ambito di responsabilità (sia questo un progetto, un processo, una location) partecipando al ruolo di raccordo tra la struttura di governance della Cyber security e il resto del personale operativo. Controlla il rispetto alle regole definite e del cogente in materia di sicurezza delle informazioni.
Senior Security Auditor	Garantisce la conformità con le procedure di controllo interno stabilite esaminando i registri, i rapporti, le pratiche operative e la documentazione. Completa i giornali di audit documentando test e risultati dell'audit. Individua i possibili punti vulnerabili di un sistema informativo.
Data Protection Specialist	Esperto nella protezione dei dati personali e dotato di competenze giuridiche e informatiche specifiche, verifica il rispetto di quanto previsto nelle normative italiane ed europee in termini di protezione dei dati nonché delle politiche applicate dal titolare del trattamento o dal responsabile del trattamento in materia di protezione dei dati personali

Il RTI si impegna a modificare o ampliare la composizione del team di progetto in funzione dell’operatività e

dei deliverable richiesti, garantendo la disponibilità dei profili professionali e delle competenze previste.

7.2 Metodologie e Tecniche

Security Strategy (L2.S16)

La strategia di sicurezza è l’abilitatore fondamentale che consente di individuare le azioni più appropriate per gestire i rischi di sicurezza in coerenza con le specificità delle Amministrazioni individuando le modalità con cui raggiungere i livelli di sicurezza richiesti e al contempo assicurare la conformità alle normative vigenti ed alle direttive di settore.

L’approccio concreto di elaborazione del Progetto di Sicurezza (di seguito PdS) avviene tramite modelli di PdS differenziati sulla base della classificazione e della complessità delle Amministrazioni (MappaPA).

Allo scopo di supportare le Amministrazioni nella pianificazione strategica della Sicurezza ICT, il RTI prevede l’utilizzo di uno specifico Modello di Security Strategy, sviluppato sulla base di standard e leading practices riconosciute in ambito Security ICT (es. ISO27001-2, ISO27017-8, ISO27701 ISO31000, ISA62443, NIST800.53 v5, Framework Nazionale, Linee guida ENISA).

Tramite tale modello l’Amministrazione sarà in grado di recepire gli indirizzi strategici (a livello nazionale ed europeo) e gli input esogeni ed endogeni, per definire -

attraverso l’ausilio di metodologie, approcci operativi e strumenti - il PdS. Il PdS, coerentemente con il contesto di riferimento e con le esigenze di stakeholder interni ed esterni, avrà lo scopo di attuare la Missione e la derivata Visione dell’Amministrazione (i.e. la trasposizione della Missione in una strategia a lungo termine di evoluzione tecnologica e/o organizzativa mirata al suo soddisfacimento). Con riferimento agli ambiti del PdS, allo scopo di articolare una risposta completa rispetto a tutte le fasi del ciclo di vita della sicurezza delle informazioni e dei sistemi ICT, il RTI propone di

considerare, a titolo indicativo e non esaustivo, i seguenti Ambiti di intervento:

• Identify: strategia e pianificazione, Governance Asset e Processi, gestione del rischio cyber, security assurance (VA, PT, Testing del Codice), sicurezza terze parti e contratti di servizio, Compliance normativa;

• Protect (Management): Information & Data Security, Identity & Access Management, Security by Design e Secure SDLC, Application & System Protection, Network Protection, Data Center Security, Secure Cloud Computing, Cyber Awareness & Training, Security Operations;

• Detect: Monitoraggio continuo di sicurezza, Incident Detection, Threat intelligence, Threat Hunting;

• Response: Cyber Incident Response, Investigation and Forensics

• Recovery: Continuità Operativa and Crisis Management, Disaster Recovery.

Vulnerability Assessment (L2.S17)

Il servizio di Vulnerability Assessment prevede l’identificazione in maniera proattiva, mediante una verifica dinamica della sicurezza, delle vulnerabilità presenti su dispositivi di rete, software e applicazioni delle Amministrazioni e la mitigazione dei rischi cyber connessi. Il RTI eroga le attività in ambito al presente servizio facendo affidamento sugli elementi distintivi sotto riportati.

1. Standardizzazione del reporting e dei piani di prioritizzazione/remediation attraverso l'utilizzo di una piattaforma centralizzata (denominata Bug Blast) ed indipendente dai motori di scansione (vulnerability scanner), garantendo ripetibilità ed uniformità dei risultati;

2. Metodologia per la definizione dei “remediation plan” con approccio risk-based e reportistica in grado di rappresentare le vulnerabilità identificate sia ad interlocutori executive che tecnici, fornendo pratici strumenti operativi per agevolare la risoluzione delle stesse;

3. Centri di eccellenza nazionali ed internazionali in ambito Cybersecurity (Roma, Milano, Bari, ed oltre 10 in EU), con la presenza di laboratori specialistici e con professionalità verticali su attività di Offensive Security. Tali centri supportano i team nella raccolta di informazioni relative a nuove vulnerabilità (es. mediante tecniche di Cyber Threat Intelligence) e tecniche innovative per lo sfruttamento delle stesse;

4. Eterogeneità nella copertura degli ambienti target (IT/OT/IoT/Cloud) attraverso strumenti e tecniche idonee e specifiche a garantire il discovery per ciascuna tipologia di target;

5. Ampio supporto nel discovery di misconfiguration e vulnerability specifiche per gli ambienti di cloud computing (IaaS, PaaS, SaaS), anche in presenza di CSP differenti (AWS, Azure, Google, ecc.).

Le attività di Vulnerability Assessment (VA) forniranno evidenze di dettaglio sulle vulnerabilità riconducibili

all’infrastruttura ICT e IoT/OT, funzionali anche ad elaborare una baseline iniziale del livello di vulnerabilità e di esposizione del sistema informativo dell’Amministrazione. L’attività sarà svolta sia con strumenti automatici sia con strumenti definiti ad-hoc sulla base della tipologia del target oggetto di analisi. Il RTI, sulla base della propria esperienza e del contesto di riferimento in cui saranno svolte le analisi di sicurezza, proporrà gli strumenti di analisi più adatti per l’esecuzione dei VA. Le attività di VA eseguite sono basate sulle metodologie OSSTMM,

OWASP, PTES, NIST 800-52/53 e ISA 62443, riconosciute globalmente come standard de-facto. L’applicazione di tali metodologie garantirà risultati coerenti, ripetibili e misurabili. Nell’ambito delle attività di VA terremo in considerazione il sempre più diffuso utilizzo delle tecnologie Cloud da parte delle Amministrazione, in coerenza con quanto definito dalla Strategia Cloud Italia. A tal fine, su specifica richiesta dell’Amministrazione, il RTI è in grado di integrare all’interno dei servizi offerti anche l’esecuzione di attività di Assessment del livello di sicurezza dei servizi Cloud IaaS e SaaS, verificandone la compliance rispetto a standard, requisiti normativi e best practice di settore, e ricercando vulnerabilità celate negli errori di configurazione dei diversi ambienti cloud. Il RTI potrà eseguire le attività di VA in maniera periodica ove richiesto e ritenuto opportuno.

Per l’esecuzione dei servizi richiesti dall’Amministrazione, la metodologia prevede l’esecuzione di 4 fasi

progettuali:

• Pianificazione delle attività,

• Esecuzione dei Vulnerability Assessment,

• Proritizzazione delle vulnerabilità e verifica dei risultati,

• Re-test delle vulnerabilità a seguito del remediation plan.

ll RTI propone l’adozione di una piattaforma specifica per l’esecuzione di attività di Vulnerability Assessment. La Piattaforma Bug Blast ha l’obiettivo di fornire report personalizzati e di tracciare le vulnerabilità dalla fase di discovery e per tutte le fasi di remediation. Le informazioni che afferiscono alle attività di VA richieste saranno disponibili nel portale tramite un sistema di autorizzazione granulare e le Amministrazioni potrà accedere a tali informazioni sulla base del periodo di retention che sarà concordato di volta in volta con le stesse e comunque, salvo diversa indicazione da parte dell’Amministrazione e nel rispetto delle normative vigenti, per un periodo garantito non inferiore a 1 mese dalla fine delle attività. Tale modalità di erogazione è consigliata dal RTI, che tuttavia è disponibile ad adattare la stessa sulla base di eventuali esigenze delle Amministrazioni, concordandole di volta in volta con le stesse. Approccio operativo. L’approccio operativo proposto dal RTI prevede l’esecuzione di tutte le attività tecniche previste dal CTS. I relativi risultati saranno analizzati e correlati dal Team operativo. Ove possibile, per le vulnerabilità rilevate sarà effettuata una verifica manuale al fine di identificare ed eliminare i falsi positivi; tale attività è svolta mediante processi innovativi di controllo, sviluppati nel corso delle esperienze in ambito Offensive Security e tramite il supporto dei Centri di eccellenza del RTI, che consentono di ridurre al minimo la presenza di errori.

Di seguito sono riportati i principali strumenti/soluzioni tecnologiche che saranno utilizzati per l’erogazione

del servizio:

Ambito di

utilizzo

Principali strumenti

Vulnerability Assessment

● Open Source: Kali Linux, nmap, netdiscovery, dnsrecon, dig, metasploit, netcat, masscan, Shodan, Zoomeye, Censys, Air-Ng tools, Wifite, Airgeddon, Wireshark. ● Di Mercato: Nessus, Hak5 WiFi, Burp Proxy

Professional. ● Proprietario: Bug Blast

Cloud Security

Assessment

● Di Mercato: Cloud Security Posture Management (CSPM), SaaS Security Posture Management (SSPM)

Vulnerability

Assessment IoT

● Open Source: Blue Scanner, Blue Sniff, BlueBugger, BTBrowser, BTCrawler, BlueSnarfing, HackRF (HW),

ZigDiggity, Proxmark (HW), TLSAssistant. ● Di Mercato: Burp Proxy Professional

Supporto all’analisi e gestione degli incidenti (L2.S21)

Il servizio di supporto all’analisi e gestione degli incidenti prevede lo svolgimento da parte del RTI di attività consulenziali volte a incrementare efficacia ed efficienza dei processi di Forensic e Incident Management, nelle fasi di analisi, progettazione e verifica (post-mortem) di tali processi, nonché di supporto alla divulgazione delle informazioni. Il RTI si impegna ad erogare le attività in ambito nel rispetto dei requisiti tecnico-funzionali specificati nel CTS, facendo affidamento sugli elementi distintivi elencati di seguito:

1. Coinvolgimento di risorse con ampia e riconosciuta esperienza nella realizzazione di CERT e SOC in Italia e nel mondo per organizzazioni pubbliche e private di primaria importanza. Il RTI ha inoltre supportato 7 delle 11 organizzazioni italiane che hanno accreditato i loro CERT alla community internazionale FIRST

2. Coinvolgimento di risorse che hanno contribuito direttamente allo sviluppo delle pratiche di Incident Readiness come dimostrato dalla pubblicazione di numerosi studi nazionali e

internazionali.

3. Disponibilità di una libreria proprietaria composta da oltre 350 Use Case di monitoraggio costantemente aggiornata sulla base delle esperienze acquisite presso i clienti del network a livello globale, evoluzioni tecnologiche, trasformazioni nelle tattiche, tecniche e procedure (TTP) utilizzate dagli attori di minaccia in diverse tipologie di ambienti (es. cloud SaaS, PaaS e IaaS, Mobile, IoT, ecc.)

4. Disponibilità di framework proprietari, sviluppati internamente dal RTI e aggiornati in maniera continuativa sulla base delle esperienze acquisite e di report specialistici di settore, per la valutazione del livello di maturità di CERT e SOC e l’identificazione delle tecnologie di sicurezza a supporto delle attività di gestione degli incidenti

5. Team di lavoro multidisciplinare altamente qualificato e certificato in ambito Forensic, Security Defense e Offense.

Il servizio di supporto all’analisi e gestione degli incidenti proposto affronta la tematica in modo olistico e multidisciplinare. Al fine di raggiungere tali obiettivi, il RTI supporta l’Amministrazione al fine di abilitare il corretto svolgimento di ciascuna delle fasi di gestione degli incidenti attraverso attività consulenziali da svolgersi in maniera preventiva come supporto all’intero processo (analisi e progettazione) e definire un processo strutturato di Forensic e verificarne l’efficacia (verifica).

A) Incident Management

Il RTI propone un approccio strutturato al supporto in ambito gestione incidenti, che prevede l’esecuzione di attività di natura consulenziale da svolgersi preventivamente per guidare il corretto svolgimento del servizio di Incident Management da parte dell’Amministrazione. Ciascuna delle attività proposte consentirà di abilitare lo svolgimento e incrementare l’efficacia di una diversa fase del processo di Incident Management, come di seguito riportato:

• A.1 Pianificazione e preparazione: una fase di preparazione correttamente eseguita e personalizzata sulla base del contesto permette di minimizzare gli impatti degli incidenti, facendo leva su un’adeguata infrastruttura tecnologica di sicurezza e personale specializzato.

• A.2 Identificazione e analisi: la fase di identificazione e analisi di un incidente ha l’obiettivo di monitorare in modo centralizzato gli eventi di sicurezza provenienti da fonti strutturate (es. SIEM) e non strutturate (es. e-mail da utenti) per rilevare minacce miranti agli asset e ai servizi della PA, analizzarli per comprendere se si tratti di un falso positivo che necessita di azioni correttive o di un incidente con potenziale impatto sul perimetro e classificare e prioritizzarne la gestione sulla base di criteri definiti.

• A.3 Risposta e ripristino: tale fase prevede l’identificazione e l’implementazione delle azioni di contenimento a breve termine dell’incidente, con l’obiettivo di limitare le conseguenze dell’incidente e ripristinare la normale operatività in maniera tempestiva ed efficace.

• A.4 Lesson learned e miglioramento continuo: tale fase prevede, immediatamente a valle della gestione di un incidente, una valutazione ex-post della stessa per verificare che le attività siano state condotte in conformità con quanto previsto dal processo, e un’attività periodica volta a identificare eventuali punti di miglioramento nelle attività svolte attraverso l’elaborazione di reportistica, lo svolgimento di meeting ricorrenti per condividere eventuali gap e relative azioni di rimedio.

B) Forensic

Le attività di supporto all’Amministrazione nella gestione di incidenti di sicurezza prevedono un approccio sinergico, finalizzato a incrementare l’efficienza delle modalità di intervento e dei tempi di reazione da parte dell’Amministrazione, in particolare nell’analisi forense post-mortem degli incidenti.

Le attività di supporto erogate nei confronti dell’Amministrazione prevedranno una costante verifica di quality assurance da parte di profili esperti, al fine di garantire un elevato livello qualitativo dell’esecuzione del processo di Forensic.

● Definizione di un template di catena di custodia per supportare i team di Forensic nel tracciamento

delle attività eseguite sulle evidenze acquisite;

● Definizione di un processo di Forensic secondo best practice volto a definire ruoli, responsabilità, principi e attività operative che regolano il processo stesso;

● Governo (organizzazione, pianificazione, coordinamento, controllo) delle attività di verifica tecnica

(quality assurance) del processo di Forensic.

Penetration Testing (L2.S22)

Il servizio di Penetration Test prevede l’esecuzione di attacchi simulati per verificare concretamente la possibilità di sfruttare vulnerabilità identificate su sistemi/reti/applicazioni/dispositivi delle Amministrazioni. L’approccio offensivo consente di ottenere una chiara percezione degli effettivi livelli di esposizione/compromissione dei target analizzati, determinando la capacità di difesa e resilienza rispetto agli attacchi Cyber e fornendo conseguentemente elementi concreti per adeguare le misure di contrasto e protezione. Il servizio proposto è fondato sugli elementi distintivi sotto riportati:

1. Eccellenza del team di Ethical Hacking dimostrata dalla pubblicazione regolare di Common Vulnerabilities and Exposures (CVE) elenco di vulnerabilità divulgate pubblicamente e Zero Day, condivise attraverso i metodi di "Responsible Disclosure”;

2. Copertura completa dei principali vettori di attacco per ogni singola sessione e tipologia di target, acquisita mediante l’aggiornamento continuo di un archivio centralizzato contenente il Threat Modelling e relative Tactics,

Techniques and Procedures (TTP), alimentato dal team di Pen Tester coinvolti a livello globale nell’erogazione di tali servizi;

3. Utilizzo estensivo di fonti Cyber Threat Intelligence (OSINT e CLOSINT) con copertura geografica mondiale, derivante dai servizi di sicurezza gestista (SOC) del RTI, che consentono al

Pen Tester di ottenere un quadro più ampio dell’effettivo livello di esposizione dei target in analisi, come ad esempio compromissioni/vulnerabilità/tecniche pubblicate nel dark web o in community specifiche, potenzialmente accessibili anche agli attaccanti e sfruttabili per realizzare una reale compromissione,;

4. Molteplicità di laboratori a livello nazionale ed internazionale con personale, strumenti ed infrastrutture dedicate alle attività di offensive security, con possibilità di verificare costantemente i vettori e le tecniche di attacco in ambienti simulati e su dispositivi di test; tali laboratori sono impiegati anche per addestramento, formazione ed aggiornamento continuo dei Pen Tester.

Di seguito sono riportati i principali strumenti/soluzioni tecnologiche che saranno utilizzati per l’erogazione del servizio.

Ambito di utilizzo	Principali strumenti
PT Infrastrutturale	● Open Source: nmap, netdiscovery, dnsrecon, dig, metasploit, netcat, masscan,scapy,hping, CrackMapExec, Air-Ng tools, Wifite, Airgeddon, Wireshark; ● Di Mercato: Acrylic WIFI , Hak5 Wifi (HW e SW), Nessus
PTApplicativo	● Open Source: Objection, Xxxxx ,Apktool, Dex2jar, Xxxxxx, Drozer, MobSF, Clang Static Analyzer, Andrubis, Flawfinder, ApkAnalyser, Androwarn, Ghidra, Radare; ● Di Mercato: Nessus, Burp Proxy Professional
PTDevice IOT	● Open Source: Burp Proxy Professional, Blue Scanner, Blue Sniff, BlueBugger, BTBrowser, BTCrawler, BlueSnarfing, ZigDiggity; ● Di Mercato: HackRF, Proxmark
Red Team	● Open Source: Social Engineering Toolkit (SET) , Gophish , Invoke-Obfuscation, Veil Framework, Empire Project, DNSExfiltrator, Cloakify Factory; ● Di Mercato: Cobalt Strike, Metasploit Pro

Compliance normativa (L2.S23)

Il servizio di Compliance normativa prevede la definizione di un Sistema di gestione della Privacy in grado di governare in un’ottica di lungo periodo tutti gli adempimenti GDPR impattanti sui sistemi IT. Il RTI si impegna ad erogare le attività in ambito nel rispetto dei requisiti tecnico-funzionali specificati nel CTS, facendo affidamento sugli elementi distintivi elencati di seguito:

• Multidisciplinarietà delle competenze (IT, legali, operative e organizzative) integrate in team strutturati.

• Utilizzo del GDPR Compliance Framework (GDPR CF), che include la metodologia per lo svolgimento delle attività, modelli, processi, questionari, baseline di requisiti, strumenti automatizzati, in grado efficientare le attività progettuali

• Costante aggiornamento normativo realizzato attraverso l’Osservatorio Privacy del RTI

• DRA ed EYA si possono avvalere della collaborazione dei propri Studi Legali Associati.

Il Sistema di gestione della Privacy ha necessità di essere disegnato, analizzato, implementato, monitorato e continuamente migliorato in un’ottica anche di lungo periodo, al fine di trasformare la privacy in un fattore abilitante per il trattamento dei dati da parte dell’Amministrazione e garantire agli interessati la protezione dei dati personali. A tale scopo, il RTI utilizzerà, per guidare lo svolgimento delle attività, il GDPR Compliance Framework (GDPR CF). Tale strumento propone una metodologia per la definizione e mantenimento del sistema privacy ed è caratterizzato da un ciclo di 4 fasi: a) Analisi; b) Implementazione; c) Verifica; d) Continuous Improvement. Quest’ultima fase è abilitata dal Privacy Maturity Model (PMM), ovvero uno strumento in grado di intercettare nel continuo, i punti di forza e di miglioramento del Sistema di gestione della privacy esprimendo lo stato di maturità e identificando in modo dinamico le aree di intervento. L’utilizzo del GDPR CF, oltre a mettere a disposizione un set esaustivo di strumenti automatici, potrà, essere supportato da un prodotto software integrato che consente di gestire il Sistema Privacy in modalità condivisa e collaborativa tra tutti i soggetti interessati (es. DPO, Privacy Officer, IT, Sicurezza, Risorse Umane, Acquisti). Analisi: la fase di analisi prevede lo svolgimento di un assessment per verificare lo stato di conformità alla normativa applicabile da parte delle Amministrazioni al fine di comprendere le aree maggiormente a rischio e identificare gli eventuali interventi di rimedio necessari per garantire conformità e allo stesso tempo automatizzare i processi privacy.

Implementazione. tale fase consentirà di indirizzare le azioni di rimedio emerse a seguito dell’Assessment ed incluse nel Piano degli interventi o già previste dai piani di conformità dell’Amministrazione. Allo scopo di massimizzare l’efficacia degli interventi e la logica del riuso, le attività di implementazione sono eseguite secondo un modello operativo che prevede la messa a disposizione di template consolidati per le componenti del framework documentale (es. politiche, procedure, metodologie, nomine a responsabile, informative, data processing agreement, materiale formativo) che saranno condivisi con l’Amministrazione e personalizzati sulla base delle specifiche necessità

Verifica: tale fase consente di misurare l’effettiva implementazione dei requisiti normativi a cui è soggetta l’Amministrazione, valutare il rischio derivante dai gap ed il livello di maturità raggiunto, proponendo eventuali punti di miglioramento, attraverso piani di azione costantemente monitorati.

Continuous Improvement: al fine di trasformare la privacy da adempimento di legge ad abilitatore “mandatorio” e cogliere tempestivamente i rischi normativi/sanzionatori/IT, si prevede l’adozione del PMM (o in alternativa il Data Protection Maturity Self-Assessment Model rilasciato dal CNIL).

Compliance normativa (L2.S23)

• Multidisciplinarietà delle competenze (IT, legali, operative e organizzative) integrate in team strutturati.

• Costante aggiornamento normativo realizzato attraverso l’Osservatorio Privacy del RTI

• DRA ed EYA si possono avvalere della collaborazione dei propri Studi Legali Associati.

Document Metadata

Table of Contents

ACCORDO QUADRO PER L’AFFIDAMENTO DI SERVIZI DI SICUREZZA DA REMOTO, DI COMPLIANCE E CONTROLLO PER LE PUBBLICHE AMMINISTRAZIONI

Document Metadata