ALLEGATO A – OFFERTA TECNICA DEL FORNITORE
ALLEGATO A – OFFERTA TECNICA DEL FORNITORE
Gara a procedura aperta per la conclusione di un accordo quadro, ai sensi del d.lgs. 00/0000 x x.x.x. - Xx 0000 - Lotto 2
GARA A PROCEDURA APERTA PER LA CONCLUSIONE DI UN ACCORDO QUADRO, AI SENSI DEL D.LGS. 50/2016 E S.M.I., SUDDIVISA IN 2 LOTTI E AVENTE AD OGGETTO L’AFFIDAMENTO DI SERVIZI DI SICUREZZA DA REMOTO, DI COMPLIANCE E CONTROLLO PER LE PUBBLICHE AMMINISTRAZIONI – ID 2296 LOTTO 2
Relazione Tecnica
INDICE
1 PREMESSA 1
2 PRESENTAZIONE E DESCRIZIONE OFFERENTE 1
3 STRUTTURAORGANIZZATIVA 2
3.1 MODALITÀ ORGANIZZATIVE ED ORGANIGRAMMA (AQ-ACCORDO QUADRO E CE-CONTRATTI ESECUTIVI) 2
3.2 DISTRIBUZIONE DELLE RESPONSABILITÀE PROCEDURE DI COORDINAMENTO 3
3.3 RUOLI, RISORSE ESTRUTTURE AGGIUNTIVI PROPOSTI PER LAGESTIONE FORNITURA E MODALITà DI INTERAZIONE CON L’AMMINISTRAZIONE 4
4 PROPOSTAPROGETTUALE PER IL SERVIZIO“SECURITY STRATEGY” 5
4.1 PROPOSTADIELABORAZIONE DEL PROGETTO DI SICUREZZAE MODELLOCORRELAZIONE DEI SERVIZI 5
4.2 PROPOSTADIELABORAZIONE DI UN MODELLO DI ANALISI DEI FABBISOGNI DI BENI ESERVIZI DI SICUREZZA 7
4.3 TEAM DI LAVORO 8
5 PROPOSTAPROGETTUALE PER IL SERVIZIO“VULNERABILITY ASSESSMENT” 9
5.1 MODALITA’ DI ESECUZIONE DEL SERVIZIO 9
5.2 PROPOSTADI REMEDIATIONPLAN E REPORTISTICA DI SINTESI E DETTAGLIO 10
5.3 TEAM DI LAVORO 11
6 PROPOSTAPROGETTUALE PER I SERVIZI “TESTING DEL CODICE” 11
6.1 MODALITA’ DI ESECUZIONE DEL SERVIZIO 11
6.2 PROPOSTADI REMEDIATIONPLAN E REPORTISTICA DI SINTESI E DETTAGLIO 13
6.3 MODALITA’ DI INTEGRAZIONE COL REPOSITORY SOFTWARE 13
7 PROPOSTAPROGETTUALE PER IL SERVIZIO“SUPPORTO ALL’ANALISI E GESTIONE DEGLI INCIDENTI” 14
7.1 MODALITÀ DI ESECUZIONE DEL SERVIZIO, MODELLO ORGANIZZATIVO ADOTTATO ESTRUMENTI 14
7.2 PROPOSTADEL DOCUMENTO DI CATENADICUSTODIA 16
7.3 TEAM DI LAVORO 17
8 PROPOSTAPROGETTUALE PER IL SERVIZIO“PENETRATIONTESTING” 17
8.1 MODALITA’ DI ESECUZIONE DEL SERVIZIO E CAUTELE ADOTTATE 17
8.2 PROPOSTADI DELIVERABLE DOCUMENTALI 19
8.3 TEAM DI LAVORO 19
9 PROPOSTAPROGETTUALE PER IL SERVIZIO“COMPLIANCE NORMATIVA” 19
9.1 MODALITA’ DI ESECUZIONE DEL SERVIZIO, AMBITI DI INTERVENTO, MODELLO ORGANIZZATIVO E STRUMENTI 20
9.2 PROPOSTADI RAPPORTO DI COMPLIANCE 22
9.3 TEAM DI LAVORO 22
10 PORTALE DELLAFORNITURA 23
10.1 SOLUZIONI TECNOLOGICHE E FUNZIONALITÀPROPOSTE 23
10.2 STRUMENTI DI ANALISI DEI DATI E REPORTING 24
10.3 SOLUZIONI, PROCESSI ESTRUMENTI DI COMUNICAZIONE E DI COLLABORAZIONEIN CHIAVE “SOCIAL” 25
11 MIGLIORAMENTOSOGLIE INDICATORI DI QUALITA’ – RLFN– Rilievi sulla fornitura 25
12 MIGLIORAMENTOSOGLIE INDICATORI DI QUALITA’ – SLSC– Rispetto diuna scadenza contrattuale 25
13 MIGLIORAMENTOSOGLIE INDICATORI DI QUALITA’ – NAPP– Non approvazione didocumenti 25
14 INNOVAZIONE 25
14.1 SOGGETTI COINVOLTI ELORO PRINCIPALI CARATTERISTICHE 25
14.2 AMBITO DI INTERVENTO E VALORE AGGIUNTO APPORTATO 26
14.3 MODALITÀORGANIZZATIVE DEL COINVOLGIMENTO 27
15 FLESSIBILITA’ DELLE RISORSE 27
15.1 DISPONIBILITÀE TEMPESTIVITÀDIALLOCAZIONE DELLERISORSE PROFESSIONALI 28
15.2 METODOLOGIE E STRUMENTI PROPOSTI PER LAFLESSIBILITÀNELLA GESTIONE DI PIÙ CONTRATTI IN CONTEMPORANEA 28
16 AGGIORNAMENTODELLE RISORSE PROFESSIONALI 29
16.1 SOLUZIONI PROGETTUALI E STRUMENTI PERGARANTIRE LAFORMAZIONE E L’AGGIORNAMENTO CONTINUO 29
16.2 PROPOSTA DI PIANO FORMATIVO 30
17 ASSUNZIONE DELLE RISORSE PROFESSIONALI 30
1 PREMESSA
Il presente documento rappresenta la Relazione Tecnica redatta dal RTI composto da Deloitte Risk Advisory S.r.l., EY Advisory S.p.A. e Teleco, per la “Gara a procedura aperta per laconclusione di un accordoquadro, ai sensi del D.Lgs. 50/2016 e s.m.i., suddivisa in 2 lotti eavente ad oggetto l’affidamento di servizi di sicurezzadaremoto,dicomplianceecontrolloperlepubblicheamministrazioni–ID 2296 –Lotto 2”. LaRelazioneTecnicacapitalizzalaconoscenzadelcontesto pubblico e le molteplici esperienze maturate dal RTI sulle tematiche di servizi di sicurezza da remoto, di compliance e controllo, nonché le esperienze delle aziendedel RTI a supportodella stessa Agenziaperl’Italia Digitale. Per facilitare la lettura, gli Allegati Ae B fornisconorispettivamentele immagini informato sorgente e gli acronimi utilizzati nel presente documento.
2 PRESENTAZIONE E DESCRIZIONEOFFERENTE
Deloitte Risk Advisory S.r.l. (di seguito DRA) fa parte della realtà Deloitte Italia con più di 7.700 dipendenti e 340.000 nel mondo con presenzain oltre 150 Paesi. La divisione Cyber Risk Services conta circa 350 professionisti in Italia. Il portafoglio Cyber Security di Deloitte copre tutti gli aspetti relativi alla riduzione dei rischi informatici dei propri clienti; ciò si compie attraverso servizi di Cyber Strategy, Detect & Respond, Application Security, Cyber Cloud, Infrastructure Security, Industrial & Product Security, Data & Privacy ed Identity. I professionisti di DRA sono distribuiti nelle sedi operative di Bari, Bologna, Firenze, Genova, Milano, Padova, Roma, Torinogarantendo un importantepresidio in tutto il territorio italiano al RTI nel suocomplesso. Il business Cyberdi Deloitteè costruitomediante un Global Network mondiale checonta piùdi 8.600 professionisti dedicati ai servizi di Cyber Risk coadiuvati da ulteriori
10.000+ risorse di altre aree focalizzate sui temi di security. Deloitte vanta inoltre più di 30 Cyber Intelligence Center che forniscono servizi di consulenza sui temi SOC, realizzano soluzioni di sicurezza gestite completamente personalizzabili, tra cui il monitoraggio avanzato della sicurezza, l’analisi e la gestione delle minaccecybere la risposta agli incidenti per le aziende-clienti. Tutti i servizi sono erogati garantendo metodologieed approcci ottimizzati e comuni, profonda attenzione ai livelli di qualità dei deliverable, soluzioni e strumenti operativi in continua evoluzione e un insieme globale di punti di osservazione della trasformazionedigitale della Pubblica Amministrazionesiaitalianacheinternazionale. Deloitteè statanominataLeader trai Cybersecurity Consulting Provider Europei da Forrester Wave, per il terzo trimestre 2021 e, per il decimo anno consecutivo, si è classificata come Leader per Security Consulting Services Worldwide da Gartner (2020).
EY Advisory S.p.A. (di seguito EYA) fa parte della realtà EY Italia con più di 5.000 dipendenti, 312.000 nel modo con presenza in 150 paesi. La
Cybersecurity & Digital Protection, all’interno di EY, conta più di 200 professionisti in Italia a supporto di clienti nazionali ed internazionali sulle tematiche di Cyber Strategy Risk Compliance & Resilience, Data Protection & Privacy, Identity & Access Management, Cyber Architecture Engineering & Emerging Technology e Next Generation Security Operations & Response. Tali professionisti appartengonoalle sedioperative di Bari, Bologna, Milano, Roma, Torino e Treviso, garantendo presenza capillare sul territorio nazionale al RTI nel suocomplesso. Il Network mondiale EY Cybersecurity è costituito da più di
14.000 risorse che si avvalgono di un insieme comune di metodologie, asset e approcci di settore, a garanzia di qualità dei deliverable, strumenti operativi consolidati e visione privilegiata sulle evoluzioni del settore Pubblico anche a livello internazionale. EY vanta inoltre più di 60 Cybersecurity Center e 12 Advanced Security Center che forniscono servizi innovativi di sicurezzaavvalendosi di soluzioni tecnologiche all’avanguardia. EY è stata nominata Leader tra i Cybersecurity Consulting Provider Europei da Forrester Wave(Luglio 2021) e Market Share Analysis Leader per i Security Consulting Services Worldwide da Gartner (Giugno 2021).
TELECO S.r.l. (di seguito TEL) è una PMI Innovativa, registrata in CCIAA Roma al N. 220439/2019 e iscritta al MISE – Ministero dello Sviluppo Economico, che sviluppa attività di Ricerca & Sviluppo in ambito Sicurezza Informatica e Privacy, Vulnerability Assessment, Penetration Test,
Application Security riferito anche ad ambienti ICS, OT, IoT ed utilizzando tecnologie innovative (BigData-Analytics). Dispone di una sede legale e operativa in Roma e un Polo Tecnologico in Cagliari con oltre 50 dipendenti tra quadri e figure operative con competenze trasversali, ai quali si uniscono società partner per il raggiungimento subaseprogettodi una disponibilità di oltre 100 risorse, garantendolapresenzasull’intero territorionazionale. Fondata nel 1999, opera anche come System Integrator confocalizzazione ad unaclientela nel settore della Pubblica Amministrazione Centrale e Locale (Centro-Sud).
Indicazione dei dati identificativi dei soggettimunitidei necessari poteri chesottoscrive l’offerta per il concorrente.
Deloitte Risk Advisory S.r.l.: Xxxxxxx Xxxxxxxxxx, domiciliato per la carica presso la sede societaria in Xxxxxx, Xxx Xxxxxxx x. 00 – CAP 20144, nella suaqualitàdi Procuratore
EY Advisory S.p.A.: Xxxxx Xxxxxxx, n domiciliato per la carica presso la sede societaria in Xxxxxx, Xxx Xxxxxxxxx x. 00 – CAP 20123, nella sua qualitàdi Procuratore Speciale
Teleco S.r.l.: Xxxxxxxx Xxxxx, , domiciliato per la carica presso la sede societaria in Roma, Via Rosazza n.26, nella sua qualità di Presidente del Consiglio di Amministrazione
Organizzazioneadottataperladistribuzionedeiservizi/attivitàtra le xxxxxxxxxxxxxxxxxxx.Xx RTIèstatoideatoconl’intenzionedimetterea disposizionedelle Amministrazionicheaderirannoalpresente Lotto, unpaniereesaustivo e“unico”dicompetenze multidisciplinari ecomplementari. Le stessesonofunzionali ad assicurare una gestione integrata, qualificata e orientata alla frontiera dell’innovazione in ambito Cybersecurity di tutti i servizi oggetto di fornitura, garantendo unelevatopresidiodelle Amministrazioni Centrali e Locali, attraverso i rispettivi ufficiterritoriali, grazieallapresenza dimolteplicisedioperative dislocate sull’intero territorio nazionale. In tale ottica, le aziende del RTI operano nella Fornitura in sinergia con i team specialistici (§3.2). Nel complesso le aziendeassicuranola capacità digovernodell’Accordo Quadroedei Contratti Esecutivi. DRAe EYA hannoperseguitounpercorsodi specializzazionedifferente che ha portato DRA a focalizzarsi maggiormentesugli ambiti Operationse Verifiche tecniche, mentre EYA sugli ambiti Strategy e Compliance. Per tale motivo, DRA avrà maggior prevalenza sulle attività di Vulnerability Assessment, Testing del Codice, Penetration Testing e Supporto Incidenti; mentre EYA sulle attività di Strategy e Compliance. TEL (PMI Innovativa - Aut. MISE 220439), coinvolta nel RTI al fine di valorizzare l’innovazione nell’esecuzione su specifici servizi. Il coinvolgimento sarà nelle attività di ricerca e sviluppo funzionali ad elaborare soluzioni ed approcci metodologici innovativi, in particolare per le attività di Testingdel CodiceePenetration Testinambientitecnologiciemergenti(Cloud Computing, Big Data& Analytics, 3DUser Experience, Internet of Things, Smart
& Intelligent Building). Tali tecnologie potranno trovare applicazione ai servizi del Lotto 2 anche allo scopo di contribuire a qualità e innovazione dei servizi in ambito(§14).
3 STRUTTURAORGANIZZATIVA
1. La comprovata esperienza del RTI su contratti analoghi ha consentito di progettare un modello “ad hoc” per l’erogazione dei servizi verso tipologie di Amministrazioni fortemente eterogenee 2. Governance, flessibilità e specializzazione garantita da una Organizzazione strutturata su 5 livelli con 17 ruoli/figure aggiuntive. 3. Efficace ed efficiente modalità di interazione tra le strutture del RTI, volta a garantire readiness e omogeneità nell’erogazione dei servizi. 4. Processosistematicoedindipendentedi Quality Assurance, dapartediespertinazionaliedinternazionali,agaranziadiunelevatolivellodei servizi e rispettodei più stringenti standarddi qualità.
3.1 MODALITÀ ORGANIZZATIVE ED ORGANIGRAMMA (AQ-ACCORDO QUADRO E CE-CONTRATTI ESECUTIVI). Con l’obiettivo di una più efficiente ed
efficace erogazione dei servizi di fornitura, valorizzandoesperienze su contratti paragonabili, il RTI ha definito un modello operativo ad hoc per la fornitura che rappresenta l’approccio strutturato del RTI all’erogazionedeiservizi. Il modello è costituito da due livelli:
Acceleratori: questo livello è composto da tutti gli strumenti messi a disposizione dal RTI che garantiscono un continuo input ai servizi dei CE in termini di valorizzazione degli esperti tematici e di settore (§ 3.1) e delle strutture preposte all’innovazione (§ 14) e di capitalizzazione delle best practices(§ da 4 a 9). A questo livelloè manutenutala MappaPA (§ 4) chegarantisce, graziea unlavoropreprogettuale diclassificazione delleAmministrazioni
intipologie omogeneesullabasedellecaratteristiche edeiprofili dirischiodelle stesse, di averesemprea disposizionemodellipredefinitidapersonalizzareper ciascun CE. La MappaPA saràpubblicata all’interno del Portale della Fornitura. Servizi: a questolivello il RTI ha definito un modello di interazione tra i servizi (§ da 4 a 9) che ne garantisce le sinergie, valorizzandone i risultati. Tale modello è alimentato dagli input ricevuti a livello di CE sia in termini di competenze e capitalizzazione delle esperienze, sia attraverso la guida fornita dalla MappaPA per la scelta e l’utilizzo di metodologie, tecniche e soluzioni più adatte. In un’ottica di miglioramento continuo i risultati a livello di CE costituiranno input di valore per gli Organismi di Coordinamento e Controllo.
3.1.1 Struttura organizzativa dedicata per la gestione di AQ e CE. L’organizzazione proposta dal RTI è strutturata su 5 livelli per garantire una efficace governance a livello di AQe CE, è arricchita da figure con
competenze tematiche e dominio che assicurano una completa copertura tecnica e funzionale, prevede il coinvolgimento di risorse e strutture innovative con l’obiettivo di garantire un constante allineamento con le trasformazioni del mercato. Le responsabilità sono distribuite tra le unità operative del RTI e sono previste figure/unità aggiuntiveofferte senzaalcunonere() per le Amministrazioni aderentiall’AQ.
GOVERNO AQ: A questo livello risiede la governance, la programmazione e il monitoraggio dell’intero AQ. I ruoli
di questo livello:RUAC AQ figuradirigenziale conesperienzapluriennale nellagovernance di programmi di trasformazione in ambito Cybersecurity. Adempie agli obblighi di cui all’Appendice 1 del CTG (par. 2.2) e assicura la guida dell’AQ garantendo, a Consip e agli Organismi di Coordinamento e Controllo (OCC), un’omogeneità di approccio su ciascun CE; definisce gli indirizzi strategici a livello di AQ e verifica l’aderenza dei singoli CE agli stessi. Presiede il Board del RTI composto da un profilo di vertice di ciascuna componente. Nelle attività il RUAC è coadiuvato dalla struttura Funzioni di Supporto (FdS) che è composta da:
PMOAQ ( ) Pianifica emonitoral’avanzamentocomplessivo dell’AQ, assicurando al contempo omogeneitàdi standard qualitativi (adottati a livello di CE) ediapproccionelladefinizionedeidocumentidipianificazionee statoavanzamentolavori(SAL). Supportaoperativamenteil RUACnelleattivitàdielaborazione dellareportisticadimonitoraggiodell’AQdamettereadisposizionedi ConsipeOCC.Resource Manager RM( )Gestiscecentralmenteilprocessodistaffing dei professionisti del RTI all’interno dei team di intervento sui diversi CE, individuando le professionalità più idonee per soddisfare i fabbisogni di supporto e innovazione. Gestiste a livello di AQ i processi di allocazione, ottimizzando le trasferte dei professionisti del RTI rispetto alle sedi di erogazione dei Servizi.
Knowledge Manager KM ( ) assicura la valorizzazione e il riuso del patrimonio di best practices e “lesson learned” acquisite durante la fornitura anche attraversola formazionee l’aggiornamentocontinuodelle risorsedel RTIdicui èresponsabile (§ 16). IQAM ( ) il RTIprevedeilcoinvolgimentodi unafigura esterna al team (Independent Quality Assurance Manager– IQAM), di profilo internazionale sui progetti più significativi allo scopo di garantire un rigido processo di quality review indipendente (Service Quality Program), che prevede sui singoli progetti previsti dal Lotto, una sistematica revisione delle attività svolte e che ha l’obiettivo di recepire e monitorare il livello di soddisfazione del cliente instaurando una relazione indipendente con esso. In staff al RUAC è prevista una ulteriore struttura di Innovazione e Diffusione (I&D) così composta: Promozione AQ ( ) promuove la diffusione dell’AQ tramite iniziative e seminariperassicurareil massimolivellodi adesionedelle PAinteressatee supportandole nelle fasi operativediadesioneall’AQ.Finanziamenti e PNRR ( ) supporta le Amministrazioni nell’identificazione di fonti di finanziamento (es. PNRR o altri fondi comunitari e nazionali) per i progetti nell’ambio dei CE.
Innovation Leader ( ) ingaggia sul singolo CE le strutture dell’ecosistema interno ed esterno (Innovation Hub) più idonee alle esigenze di ciascun CE per assicurare lamigliore risposta in termini di soluzione innovative contribuendoall’evoluzione continua del sistemadi protezione del comparto.
GOVERNO ED ESECUZIONE CE: questolivello gestisce l’erogazione dei CE in lineacon le strategie definitealivello di AQ. I ruoli di questo livello: Responsabili
dei Servizi (RdS ): per ciascun servizio è individuato un responsabile che supporta i Referenti Tecnici dei CE assicurando omogeneità di approccio trasversalmente alle diverse Amministrazioni e abilitando il riuso delle soluzioni già applicate con successo su altri CE. RUAC CE: figura responsabile dell’attuazionedel CE, rappresentail RTIneiconfrontidellasingola Amministrazione. Referente Tecnico CE(RT)perl’erogazionedeiservizi, referentetecnico per ciascun CE e comunque per ciascuna Amministrazione per tutti i servizi del Lotto 2, assicurando il corretto svolgimento dei servizi ed il relativo livello di qualità di erogazione, nel pieno rispetto degli indicatori condivisi. Ha la responsabilità delle attività di Xxxxx in carico e trasferimento di Know How durante le quali è il riferimento per il fornitore uscente/entrante e coordina le attività dei team di lavoro. Responsabile Attività referente tecnico per ciascuna attività all’interno del CE, coordina e assicura il corretto svolgimento delle attività operative eseguite dal team di lavoro; il ruolo è ricoperto dalla risorsa del team di lavoro con maggiore esperienza professionale. Team di Lavoro (TL), team operativi di intervento impegnati nell’erogazione dei servizi, composti da professionisti con profili previsti dall’Appendice 2 – Profili Professionali.
ESPERTI FUNZIONALI PA(EFPA): questolivello ècomposto dagli esperti di contestodelle Amministrazioni e garantisce un supporto ai teamdi CE in termini di contestualizzazione rispetto ai cluster di Amministrazioni aderenti. I ruoli di questo livello: Esperti funzionali della PA ( ) 4 referenti coadiuvati da figure di supporto, responsabili delle tematiche di sicurezza in rispetto alla MappaPA individuata dal RTI. Le 4 tipologie individuate dal RTI sono: 1) PAC, 2) Enti locali complessi come Regioni e In-house, 3) Altri Enti locali come Comuni, Città metropolitane, 4) Amministrazioni in ambito Sanitario.
RESOURCE POOL CYBER (RPC): Livello composto da un pool di professionisti appartenenti agli operatori economici del RTI e delle società dei rispettivi gruppi di appartenenza, rete di fornitori accreditati e professionisti specializzati, assicurandolanecessariacopertura intermini di competenzee volumi per soddisfare le esigenze delle Amministrazioni, anche rispetto della contemporaneità delle richieste. Le risorse sono allocate dal Resource manager all’interno dei team di lavoro nell’ambito del singolo CE.
INNOVATION HUB (IH): Livello composto dall’insieme di strutture operative coinvolte nel corso della Fornitura attraverso l’Innovation Leader (§ 14). Quest’ultimoseleziona ed ingaggia, sulla base delle tematiche di interesse, le strutture più idoneeper apportarecontributi avalore aggiunto per l’innovazione e la trasformazione in ambito Cybersecurity delle Amministrazioni. La capacitàdi supportare l’innovazione su ogni CE ègarantita dall’utilizzo di un ecosistema dell’Innovazione interno ed esterno (§ 14) basato su: Centri di eccellenza dedicati ai temi di innovazione in ambito ICT tecnologie e digital, Centro di competenza che mettono a disposizione dei Team conoscenze specialistiche, metodologie e soluzioni e tool innovativi – consolidati dai network nazionali ed internazionalidel RTI–ingradodiaumentarelaqualitàel’efficaciadeiservizi,AcceleratorieIncubatori, struttureafferentialRTIchesostengonoeaccelerano lacrescitadi start-upe PMIinnovative, attraversostrumentiadhoc(es. businessmatching enetworking, accessoaopportunitàdifinanziamento, nuovimercati eallafinanzaagevolata), Serviziodinamicodi Osservatorio delle startupsugli acceleratori esullecompetenzeinambitocybersecurityabilitatodanumerose iniziative che presidiano la frontiera dell’innovazione su temi Cyber in particolare.
3.2 DISTRIBUZIONE DELLE RESPONSABILITÀE PROCEDURE XXXXXXXXXXXXXXX.Xx considerazione dellacomplessitàdella Fornitura dei servizi oggetto del Lotto 2 ed allo scopo di strutturare il modello di interazione tra le strutture interne in maniera efficace ed efficiente ai fini dell’erogazione dei servizi verso le amministrazioni, il RTI ha definito: un apposito modello per la distribuzione delle responsabilità tra i componenti del RTI, dei puntuali meccanismi di interazione tra le strutture operative e di governance dell’AQ, delle procedure di coordinamento volte a facilitare la collaborazione tra i team operativi (strutture interne) eleazienderaggruppatee un approccio dipresa in carico per garantire rapidità edefficacia nell’attivazione dei servizi.
MODELLODI DISTRIBUZIONE DELLE RESPONSABILITA’
Il RTI ha definito sin dalla fase di offerta una chiara assegnazione del livello di coinvolgimento di ogni componente del costituendo RTI. DRA e EYA hanno perseguito un percorso di specializzazione differente che ha portato DRA a focalizzarsi maggiormente sugli ambiti Operations e Verifiche tecniche, mentre EYA sugli ambiti Strategy e Compliance. Per tale motivo, DRA avrà maggior prevalenza sulle attività di Vulnerability Assessment, Testing del Codice, Penetration Testing e Supporto Incidenti; mentre EYA sulle attività di Strategy e Compliance. TEL (PMI Innovativa) è coinvolta nel RTI al fine di valorizzare l’innovazione nell’esecuzione su specifici servizi. Il coinvolgimento sarà nelle attività di ricerca e sviluppo funzionali ad elaborare soluzioni ed approcci metodologici innovativi, in particolare per le attività di Testing del Codice e Penetration Test in ambienti tecnologici emergenti (Cloud
Computing, Big Data & Analytics, 3D User Experience, Internet of Things, Smart& Intelligent Building). Tali tecnologie potrannotrovareapplicazione ai servizi del Lotto 2 anche allo scopo di contribuire a qualità e innovazione dei servizi in ambito.
SERVIZI | RIPARTIZIONE PER AZIENDA | ||
DLT | EYA | TEL | |
Security Strategy | O | | |
Vulnerability Assessment | O | O | O |
Testingdel codice | | O | O |
Supporto analisi e gestione incidenti | | O | O |
Penetration Testing | | O | O |
Compliancenormativa | O | | O |
Legenda: Livello di coinvolgimento delleaziendepartecipanti Molto Basso Basso Medio Medio-Alto Alto
Il RTI potrà inoltre coinvolgere nell’ambito di una collaborazione continuativa la Fondazione Xxxxx Xxxxxxx, Ente di Ricerca specializzato in cybersecurity, per lo sviluppo di metodologie ed approcci a fronte di evoluzioni normative, cambiamenti di scenario tecnologico ed evoluzione del sistema di cybersecurity. Si riporta inoltre qui di seguito uno schema sintetico che indica la matrice RACI relativa alle differenti fasi previste a livello di AQ e CE. Tale soluzione è volta ad assicurare efficacia e concretezzadi erogazioneedè pienamentebasatasullapienacollaborazione tra i diversi ruoli e livelli dell’organizzazione.
FASE | RUAC | PMO | RM | KM | IQAM | I&D RUAC | RT | RdS | TL | RPC | EFPA | IH | ||
CE AQ | Indirizzo Strategico Allocazione Risorse Gestione della conoscenza & Best Practice Gestione Pianodella Qualità Generale Gestione Portale Piano Operativo& Orchestrazione Servizi Presa in carico& Trasferimento Know-how | A/R A | I I C | R | A/R A/R C | C I C | I R | C | C | C | C | C C | ||
C A/R C I I | R | I I C A C | I I I R A/R | C C C | C I C | C | C C | C C | ||||||
FASE | RUAC | PMO | RM | KM | IQAM | I&D | RUAC | RT | RdS | TL | RPC | EFPA | IH | ||
Gestione Pianodella Qualità Specifico CE Erogazione Servizi Oggettodellafornitura Monitoraggio KPI e rilievi sulla fornitura | I | C C | R | A/R | R | R | |||||||||
I | I A | A/R R | C | R | C | C | R | ||||||||
MECCANISMI DIINTERAZIONE TRALE STRUTTURE OPERATIVE E DI GOVERNANCE: Per ciascuna delle aeree presidiate, il RTI haconcretamenteidentificato modalità di interazione, attività, risultati immediatamente tangibili emomenti puntuali di confrontoin relazione ai ruoli organizzativi identificati.
FASE | ATTIVITÀDEL RTI RISULTATI/ BENEFICI CONDIVISIONE E RUOLI COINVOLTI | |
CONTRATTO ESECUTIVO GOVERNO AQ | Indirizzo Strategico | Definizione strategia puntuale digestione ed Principi guidacondivisi / Unicità di approccioper Incontri trimestrali di RTI (RUAC, |
erogazione dei servizi le PA/ Framework solido di gestione Board RTI, RT, EFPA) | ||
Allocazione Gestione team ed allocazione risorse, staffing Staffing rapido e puntuale team di lavoro / Staff Meeting Xxxxxxx (Resource& | ||
Risorse figure chiave per Governoed Esecuzione Qualità delle risorse / Alta soddisfazione della PA Knowledge Manager, RUAC, RT) | ||
Gestione della Diffusione della cultura della condivisione, Capitalizzazione know-how / Erogazione di best Staff Meeting Mensili (Resource& conoscenza & Bestgestione dell’informazione ed applicazione di practice nella PA / Riuso eriutilizzo di soluzioni Knowledge Manager, RUAC, RT) Practice best practices | ||
Gestione Piano Redazione e aggiornamentodel Pianodella Conformitàagli impegni / omogeneità dei servizi Condivisione trimestrale tramite | ||
Qualità Generale Qualità Generaleperl’Accordo Quadro / standarddi gestione della qualità Portale (RUAC, RT) | ||
Set upportale ecollegamento coni sistemi Set-up fornituraconmanutenz. Gestione Portale Puntounicodi contattoe reporting dell’Amministrazione. continua (RUAC, RT, TL) | ||
Piano Operativo& Definizione indirizzi specifici per erogazione Framework standard per tutte le PA/Rapiditàdi Avvio Contratto Esecutivo(RUAC CE, Orchestrazione servizi e set-upper deploy e identificazione di predisposizione ed erogazione/Customizzazione RT, RdS) Servizi customizzazioni per le Amministrazioni servizi ad hoc | ||
Presa in carico & Redazione pian dettagliato conattivitàdi Piani coerenti ecustomizzati per le PA/ Rapidità Avvio& chiusura Contratto Esecutivo Trasferimento presain carico, impegnodefinito e strumenti di erogazione servizi / Lineeguida omogenee (RUAC CE, RT, RdS) Know-how per presa in caricoe trasferimento finale | ||
Gestione Piano Redazione e aggiornamentodel Pianodella Framework solido di riferimento/ Presenza di Avvio Contratto Esecutivo(RUAC CE, Qualità Specifico Qualità Specifico personalizzatoper PAe checklist standard RT, RdS) CE caratteristiche funzionali/tecniche fabbisogno | ||
Erogazione Servizi Piani e progetti fabbisogni coerenti e Erogazioneorchestrata dei servizi richiesti Incontri periodici CE Mensili (RUAC Oggetto della customizzati per le PA/ Rapiditàdi erogazione dall’Amministrazione in linea con l’AQ CE, RT, TL, RdS, EFPA) fornitura servizi / Lineeguidaomogenee | ||
Monitoraggio KPI Valutazione continuastatoforniturae qualità Qualità eomogeneità della fornitura , efficienza Incontri periodici CE Mensili (RUAC | ||
e rilievi fornitura erogazione in ottica continuousimprovement e concretezzadell’approccio adottato CE, RT, TL, RdS, EFPA) | ||
PROCEDUREDI COORDINAMENTO: Al finedicoordinarein modoefficienteed efficacele attività ed indirizzare sin dasubito le azionidel RTIversounmodello di funzionamento sinergico abeneficio delle Amministrazioni, è stato definito anche un apposito framework di procedure di coordinamento. Tali procedure contengono principalmente: le regoleper lagestionedelleinformazioninell’ambito del RTI, loscambiodeideliverable, la gestionedella qualitàdellafornitura ed i principali strumenti a supporto utilizzati. In particolare il RTI adotterà: unaprocedura di coordinamento di AQ – Master per l’AQ, contiene tutte le regole strategiche edi alto livello per lagestionecomplessivadell’accordo quadroerappresentail“one sourceoftruth” in relazione allagestione dell’AQgrazie atutte le informazioni in esso contenute; una procedura di coordinamento per ogni CE – Master per il CE, contiene le regole puntuali, customizzate a seconda dell’Amministrazionee del contestodel Fabbisogno oggettodel CE.
PIANO DI PRESA IN CARICO: La soluzione proposta per la gestione della presa in carico mette in campo consolidate esperienze delle aziende del RTI nel subentro in sistemi complessi nell’ambito della Pubblica Amministrazione e si basaprincipalmente sui due seguenti cardini: coinvolgimento delpersonaleche verrà poi impegnato a regime nella fornitura, sia a livello di governo che di erogazione dei servizi e trasparenza sull’andamento del processo di subentro nei confronti di tutti gli attori interessati attraversouna governance operativae focalizzata. In figura si riporta un esemplificativo del Pianodi Presa in carico.
Pianificazione
Predisposizione Strumenti Assessmentdocumentale
Acquisizione competenze Ottimizzazione
Fine presa in carico
Governance
Predisposizione Pianodi Subentro
Predisposizione e aggiornamentostrumenti Analisi AS ISdei progetti incorso
Incontri con il personale dell’Amministrazione edel fornitore uscente, training on the job, self training, workshop
Individuazione delle possibili aree di miglioramento Ricognizione e verifica delle attività svolte
Verifica dello stato delle attività
Legenda: Stipula Contratto Incontri/SAL
Inizio Presa in Carico
Finepresa in Carico/ Inizio attività
-W1 X0 X0 X0 X0
ATTIVITÀ
FASE
3.3 RUOLI, RISORSE E STRUTTURE AGGIUNTIVI PROPOSTI PER LA GESTIONE FORNITURA E MODALITÀ DI INTERAZIONE CON L’AMMINISTRAZIONE. Al
finedirealizzare intotolesinergie proposteinorganizzazione edoffrire imigliori servizialle Amministrazioni, il RTIhaprevistol’integrazionedel TLconiseguenti ruoli, risorsee strutture aggiuntive.
RUOLO EFFICACIA ADERENZA AL CONTESTO COERENZA GENERALE MOD. INTERAZIONE
I&D - Resp. Promozione AQ
I&D - Resp. Finanz. e PNRR
I&D - Innovation Leader
FdS - PMO AQ
FdS - Resource Manager
FdS - IQAM
FdS - Knowledge Manager
EFPA
RdS
Garantisce un coordinamento unificatosu promozione e comunicazione dell’AQ
Assicura lavalorizzazione dei progetti delle PA in termini di finanziabilità con fondi EU
Assicurail governo dell’innovazionee la suaintroduzione nell’ecosistema delle PA
Garantisce la realizzazione di linee guida unichee standard di erogazione
Gestionecentralizzata che garantisce risposteefficaci ai picchi di lavoro Garantisce omogeneitàe standard elevati di qualità per i servizi della fornitura
Assicurail costante allineamento delle skill delle risorse rispetto agli standard del mercato
Guida le PAnellesfide del settore, per una transizione digitale sicura
Garantisconoomogeneità di erogazione e capacitàdi customizzazionedelle soluzioni
Focalizzazione especializzazione sulle caratteristiche dell’AQ
Competenzecross-funzionali su tematiche funding e sui trenddi sicurezzanella PA
Expertise sui trenddi cyberedi sicurezzapiù innovativi del mercato
Conoscenza delle dinamichedi gestione degli AQ Consip
Dimensionamento efficiente dei TL in relazione ai fabbisogni delle PA Capacitàdi garantire i livelli qualitativi richiesti per forniture complesse in PA
Capacitàdi garantire il livello di aggiornamento necessarioper la PA
Profondaconoscenzadei processi e delle tematiche tipichedelle PA
Know-how specialistico settore Cyber security
Puntounico per le attività di marketinge business developmentdell’AQ. Favorisceunincrementodella capacitàproduttivae di spesa delle PAin ambito sicurezza Forteintegrazione con i TL, grazie amodello di gestione interazioni definito
Elemento di coordinamento operativo delle attività di e monitoraggiodelle erogazioni Sicurezzadi presidiodel processo di staffing
Forteintegrazione con i TL, grazie amodello di gestione interazioni definito
Forteintegrazione con i TL, grazie amodello di gestione interazioni definito
Indirizza le attivitàdelle strutture dell’organizzazione in basedelle esigenzedella PA Indirizza le attivitàdei TL sulla basedelle caratteristiche dei servizi
Workshop semestrali sui risultati dell’AQ
Meetingtrimestraledi condivisione delle opportunità PNRR Workshop trimestrali sui trenddi innovazione Reportistica bimestrale sullo stato di avanzamento dell’AQ Reportistica bimestrale sullo staffing
Reporttrimestrale checkpointdi qualità
Reportistica bimestrale sulla formazione delle risorse
Workshop trimestrali sui trenddella PA digitale
Meeting trimestrali di condivisione Best practices
4 PROPOSTAPROGETTUALE PER IL SERVIZIO“SECURITY STRATEGY”
La strategia di sicurezza è l’abilitatore fondamentale che consente di individuare le azioni più appropriate per gestire i rischi di sicurezza in coerenza con le specificità delle Amministrazioni individuando lemodalitàconcuiraggiungereilivellidi sicurezzarichiesti ealcontempoassicurarelaconformitàallenormative vigenti ed alle direttive di settore. La proposta del RTI ècaratterizzatadai seguentielementi distintivi.
1. Approccio concreto di elaborazione del Progetto di Sicurezza (di seguito PdS) tramite modelli di PdS differenziati sulla base della classificazione e della complessità delle Amministrazioni (MappaPA). 2. Disponibilità di benchmark della maturità e dello spending di mercato in ambito Sicurezza ICT acquisiti collezionando i dati provenienti da migliaia di valutazioni effettuate ogni anno nel mondo, ottenendo una vista privilegiata e completa in termini di andamento del settore su base nazionale e internazionale. Tale patrimonio sarà utilizzato come strumento di supporto nell’elaborazione del PdS. 3. In aggiunta, il RTI è disponibile a collezionare e confrontare i valori economici medi dei servizi acquisiti dal Lotto 1, al fine di fornire a Consip ed alle Amministrazioni uno strumento utile a verificare coerenza/omogeneità deiserviziacquisiti rispetto alle necessità identificate nei PdS .
4.1PROPOSTADIELABORAZIONEDELPROGETTODISICUREZZAEMODELLOCORRELAZIONEDEISERVIZI.4.1.1PROGETTODISICUREZZA. Il RTIsi impegna
ad erogare le attività in ambito nel rispetto dei requisiti tecnico-funzionali specificati nel CTS. Allo scopo di supportare le Amministrazioni nella pianificazione strategica della Sicurezza ICT, il RTI prevede l’utilizzo di uno specifico Modello di Security Strategy, sviluppato sulla base di standard e leading practices riconosciute in ambito Security ICT (es. ISO27001-2, ISO27017-8, ISO27701 ISO31000, ISA62443, NIST800.53 v5, Framework Nazionale, Linee guida ENISA). Tramite tale modello l’Amministrazione sarà in grado di recepire gli indirizzi strategici (a livello nazionale ed europeo) e gli input esogeni ed endogeni, per definire - attraverso l’ausilio di metodologie, approcci operativi e strumenti - il PdS. Il
PdS, coerentemente con il contesto di riferimento e con le esigenze di stakeholder interni ed esterni, avrà lo scopo di attuare la Missione e la derivata Visione dell’Amministrazione (i.e. la trasposizione della Missione in una strategia a lungo termine di evoluzione tecnologica e/o organizzativa mirata al suo soddisfacimento). Con riferimento agli ambiti del PdS, allo scopo di articolare una risposta completa rispetto a tutte le fasi del ciclo di vita della sicurezzadelle informazioni e dei sistemi ICT, il RTI propone di considerare, a titolo indicativo e non esaustivo, i seguenti Ambiti di intervento: Identify: strategia e pianificazione, Governance Assete Processi, gestione del rischio cyber, security assurance (VA, PT, Testing del Codice), sicurezza terze parti e contratti di servizio, Compliance normativa Protect (Management): Information & Data Security, Identity & Access Management, Security by Design e Secure SDLC, Application & System Protection, Network Protection, Data Center Security, Secure
Cloud Computing, Cyber Awareness & Training, Security Operations Detect: Monitoraggio continuo di sicurezza, Incident Detection, Threat intelligence, Threat Hunting; Response: Cyber Incident Response, Investigation and Forensics Recovery: Continuità Operativa and Crisis Management, Disaster Recovery. Il valore aggiunto apportato dal RTI è l’adozione di un approccio flessibile in grado di supportare le Amministrazioni nella elaborazione di PdS concreti, efficaci e sostenibili, che si adatterà alla tipologia, al livello di complessità ed alle esigenze di protezione dell’amministrazione. A tal fine, il RTI ha sviluppato un metodo di classificazione delle Amministrazioni basato sulle tipologie funzionali integrate da una dimensione di complessità, quest’ultima basata su: numerositàdei servizi offertiacittadini, impreseoaltriutentidimensionedell’amministrazione(es. dimensionidei Comuni) criticità deidatidegli utenti trattati (es. Enti Sanitari vs Università) livello di centralità in relazione a tematiche di cooperazione ed interconnessione con le altre Amministrazioni
contestonormativo applicabile. Sulla base di tale metodo e delle esperienze consolidate in ambito Sicurezza ICT, trasversalmente ad entrambi le classi delle
PA, il RTI intende proporre l’utilizzo di specifici modelli (prototipi) di PdS, in termini di obiettivi ed ambiti da indirizzare, sulla base dei profili di rischio associati alle differenti combinazioni di Tipologia e Complessità. (fase 1) Il prototipo è uno strumento, differenziatoin funzionedelle dimensioni sopraconsiderate, finalizzato ad unarapida ricognizione deipresididisicurezzaesistentiintegrando, laddovedisponibili, gli esitidel questionario di autovalutazione del livello di applicazione dei controlli ABSC delle misure minime di sicurezza AGID. (fase 2) Tale ricognizione includerà una serie di fattori determinanti per la definizione di un Progetto efficace e concreto, in particolare: le iniziative in essere e previste in materia di sicurezza informatica e sicurezza delle informazioni il modello IT, gli elementi infrastrutturali, organizzativi, applicativi esistenti e di prossimaintroduzione (es. PSN, evoluzione verso architetture
cloud) Regolamenti e disposizioni organizzative interne specifiche minaccecyber applicabili al contesto e relativi rischi, inclusi quelli legati alla gestione dei contratti di servizio risk appetite in relazioneal profilo di rischio dell’Amministrazione ulteriori elementi, ove disponibili, quali ad esempio risultati di audit, assessment, incidenti di sicurezza. Tale approccio rappresenta un elemento preliminare e facilitatore nel disegno dei Progetti delle singole Amministrazioni e sarà personalizzato sulla base del contesto ed in particolare del livello di digitalizzazione dell’Amministrazione stessa. Nel caso delle Amministrazioni meno complesse, tipicamente contraddistinte da minore strutturazione dei presidi di sicurezza e limitate capacità di investimento, il valore aggiunto di questo approccio èquellodirendereaccessibile lostrumentodipianificazione dellasicurezza ICT(PdS), grazie adunminoreffortrichiesto, alle Amministrazioni stesse nella definizione degli obiettivi e degli ambiti del Progetto. Il RTI dispone dei modelli di base coerenti con le principali tipologie funzionali di Pubblica Amministrazione,conulteriorideclinazionirelativeasettorispecificiedamaggiorecriticità(es.ilmodellosviluppatoperl’ambitospecificodegli Entiospedalieri). Partendo dai modelli di base, durante lo svolgimento delle attività progettuali saranno adattati/sviluppati ulteriori modelli specifici per meglio cogliere le peculiarità di ogni tipologia di amministrazione, favorendo la logica del riuso e l’ottimizzazione conseguente dei costi. Allo scopo di incrementare la consapevolezza delle Amministrazioni, i modelli proposti dal RTI saranno pubblicati nell’“Area Informativa” del Portale, riservata alle Amministrazioni. Sulla base delle informazioni raccolte e del Modello di Security Strategy, l’elaborazione del PdS si concretizzerà in un percorsoanalitico chea partire dalla Missione dell’Amministrazione, (fase 3) definirà la Visione strategica di sicurezza e i relativi driver. Tali driver saranno declinati (fase 4) in Obiettivi strategici, tattici e operativi, per il cui raggiungimento saranno definite (fase 5) specifiche iniziative correlate agli ambiti di intervento del PdS dell’Amministrazione. 4.1.1.1 SUPPORTO ALLA GOVERNANCE E ULTERIORI ATTIVITÀ. Supporto alla Governance Funzionalmente a quanto sopra, il Modello proposto dal RTI prevede il disegno e la realizzazione di una Security Governance dinamica il cui valore aggiunto è quello di: garantire il controllodi quantoindirizzatoalivellostrategico
rivalutare il PdS sulla base dei risultati ottenuti e/o delle nuove esigenze di Sicurezza ICT derivanti da eventuali evoluzioni delle normative, delle architetture, delle tecnologieedelmodelloITdell’Amministrazione. Conriferimento aldisegnodelmodellodigovernance, il RTIsupporteràle Amministrazioninella(Fase 1) formulazione di una strategiae di una architetturadi monitoraggio del contestointernoed esterno(Fase 2) definizione di unadashboard di monitoraggio del PdS dell’Amministrazione che individui e rappresenti KPI, KRI e metriche di sicurezza (Cyber Security Dashboard). La declinazione operativa della governance includerà quindi le seguenti attività: Monitoraggio: attività di verifica dell’andamentodel PdS delle Amministrazioni tramite attività di reporting, analisi dei risultati, tracciatura e supporto nella gestione di eventuali problematiche di progetto Controllo: attività utili a verificare la coerenza delle iniziative del PdS rispetto alle scelte strategiche Gestione del rischio: attività volte a valutare (anche nel continuo attraverso l’utilizzo di KRI) e gestire il livello di esposizionealrischiodi sicurezza garantendoilrispettodeilivellidirischio disicurezza ICTall’internodisoglieditolleranzadefiniteGestionedelleclassificazioni e tassonomie: attività volte ad assicurare uniformità di classificazioni e tassonomie nei processi di sicurezza Lesson learned: attività di rielaborazione delle indicazioni strategiche funzionalmente ai dati provenienti dai singoli servizi Gestione delle risorse: attività volte ad assicurare, un utilizzo efficiente di tutte le risorseeconomiche e tecniche nell’ambitodel PdS dell’Amministrazione in lineaconquantoprevisto nei fabbisogni. Ulteriori Attività a Supporto. Il RTI fornirà inoltre ulteriori attività di supporto consulenziale in ambito Sicurezza ICT a favore dell’Amministrazione, trasversalmente alle attività precedenti, il cui valore aggiunto è rappresentato dall’utilizzo delle migliori capacità ed esperienze similari nella definizione, coordinamentoe monitoraggio di PdS , quali ad esempio:
Predisposizioneanalisi, studie benchmark in materia di sicurezza informatica volti a supportare lescelte di modello IT edi sicurezza dell’Amministrazionein coerenza con il processo di trasformazione digitale (nuovaarchitetture on- premise, cloud, ibrido, PSN, etc.) Consulenzatecnico-specialistica di supporto agli stakeholder delle strutture di vertice ICT dell’Amministrazione con particolare riferimento alle valutazioni e processi decisionali Promozione, affiancamento e partecipazione a gruppi di lavoro, comitati, tavoli di coordinamento, per mettere a fattor comune elementi utili ai PdS delle singole Amministrazioni, la definizione delle strategie, l’analisi delle esigenze, la produzione di documentazione (es. politiche, linee guida) Interfaccia con i provider tecnologici con l’obiettivo di analizzare e indirizzare eventuali elementi di natura tecnologica, garantendo un efficace allineamentoal PdS.
4.1.2 MODELLO CORRELAZIONE SERVIZI. Il PdS potrà inoltre beneficiare di unacorrelazione tra i servizi del Lotto 2 nonché del Lotto 1 e/o di altre iniziative in essere, secondounapropostadi interdipendenzatragli stessi servizi. Tale approccio consentiràdi realizzare unciclo di gestione completa dellasicurezza (Plan,
Do, Check, Act): pianificando le azioni strategiche da attivare in funzione dei risultati attesi dalle singole iniziative e in coerenza con le linee strategiche (Plan, Do)
prioritizzando lesecuzione dei servizi di controllo (in termini di perimetro, tipologia, ecc.) in coerenza con le linee strategiche stesse, misurando l’efficacia degli interventi realizzati (Check) aggiornando la pianificazione delle azioni da svolgere in funzione delle risultanze integrate dei servizi testing (Act). Atale scopoil RTI ha elaborato il Modello Correlazione Servizi esemplificativo delle principali correlazioni, evidenziando le principali fasi del ciclodi vita dei servizi del Lotto 2, dalla
strategia, attraverso leverifiche tecniche e di compliance finoalla risposta in terminidi analisi, progettazione everifica dei processi di gestione incidenti.
4.1.3 DELIVERABLE. Sono previsti i seguenti deliverable, salvo ulteriori concordati con le Amministrazioni.
Deliverable | Contenutiesemplificativi |
PdS | Documento unitario e integrato contenente la descrizione dell’insieme delle iniziative di sicurezza, nello specifico, a titolo esemplificativo e non esaustivo: Analisi del contesto e individuazione delle macro esigenze; Vision e obiettivi strategici, tattici e operativi; Definizione degli ambiti di intervento e dettaglio delle relative iniziative di sicurezza in termini di attività previste e approccio operativo, risultati attesi, roadmap di implementazione e stime dei costi di realizzazione. Il documento potrà avere viste differenti in funzione dei differenti interlocutori (es. DG, ICT). Modello di governance ei relativi processi a supporto degli indirizzi strategici di sicurezzae del relativo progetto |
Reportdelle verifiche | I reportincludonoleevidenzedelleverifichetecnico-economichesui servizi erogatitramite Lotto1e/oaltreiniziativeinessereindicazioni delle potenziali anomalie/non conformità e azioni di remediation completezza del documento di Contesto Tecnologico ed Applicativo elementi costitutivi eraggiungimento dei risultati attesi dei servizi erogati dai fornitori del Lotto 1. |
4.1.4 STRUMENTI E SOLUZIONI TECNOLOGICHE. Di seguito sono riportati i principali strumenti/soluzioni tecnologiche che saranno utilizzati per l’erogazione del servizio. Gli strumenti/tool di analisi riportati di seguito sono da intendersi a titolo non esaustivo. Nel corso delle attività, anche in considerazione dell’evoluzione delle minacce cyber, dell’utilizzo di tecnologie specifiche da parte dell’Amministrazione nonché dell’evoluzione del processo tecnologico potranno essere utilizzati ulteriori strumenti al fine di garantire un livello di qualitàelevatonel corso delle attività.
Ambito di utilizzo | Principali strumenti |
Supporto all’elaborazione del PdS | CSF – Cyber Strategy Framework - strumento proprietario web-based che, sulla base della Mission dell’Amministrazione, supporta la definizione della Vision strategica di cybersecurity. Basandosi su attività di benchmark, alimentate da una banca dati di clienti esistenti coerenti con il perimetro di gara, lo strumento facilita la definizione del “target state” in termini di postura cibernetica, e consente di monitorarnel’incremento di maturitànel tempo. |
IBA – Industry Benchmark Analytics – strumento proprietario che, consolidando i dati e risultati delle attività in ambito (Lotto 1/2), e/o provenienti dai dati di benchmark collezionati dal RTI, avvalendosi dell’ecosistema interno ed esterno per l’Innovazione, formulerà una bancadati nazionale, utile a supportare laproduzione di studi e analisi. Questi studi saranno poi utilizzati come elemento di paragone per aggiungereulteriore valore all’erogazione dei servizi. | |
GISS – Global Information Security Survey – Rilevazione periodica che da oltre 20 anni esplora il panorama globale dell’information security in termini di trend, spending e utilizzo tecnologie innovative. La base dati dello strumento fornisce in particolare viste per tutti i settori aziendali e per la Pubblica Amministrazione in particolare. | |
Supporto alla Security Governance | CPA – Cyber Program Assessment - strumento proprietario web-based che ingegnerizza e permette di eseguire attività di security assessment a 360° comprensive di aspetti organizzativi, processi, e tecnologici basate su standard riconosciuti (ISO 27001, NIST, Framework Nazionale per la Cyber Security e la Data Protection) che possano supportare la definizione e realizzazione del PdS. Lo strumento si basa su attività di benchmarkutili per l’analisi della maturitàcibernetica dell’Amministrazione. |
CRM – Cyber Risk Management - strumento proprietario a supporto delle attività di contestualizzazione, identificazione, analisi, trattamento, monitoraggioe reportistica del rischio cibernetico. Include Risk Appetite Framework (RAF) e il modellodei KRI. | |
TPRM – Third Party Risk Management - strumento proprietario web-based per la gestione della sicurezza delle terze parti a supporto della valutazione del rischio legato ai contratti di fornitura dei servizi erogati. | |
CSD – Cyber Security Dashboard - strumento proprietario web-based per il reporting operativo e direzionale, che sulla base degli input raccolti dalle iniziative di sicurezza (es. monitoraggio sugli incidenti di sicurezza o vulnerabilità emerse), consente di correlare le informazioni, e monitorarnel’andamentoattraversol’analisi di specifici KPI. - |
4.2 PROPOSTA DI ELABORAZIONE DI UN MODELLO DI ANALISI DEI FABBISOGNI DI BENI E SERVIZI DI SICUREZZA. Il RTI propone, tenuto conto di contesto e peculiarità dell’Amministrazione, mutuando l’approccio seguito per la determinazione dei modelli di PdS, l’identificazione di modelli (prototipi) di piano di fabbisogni in base alle differenti combinazioni di Tipologia e Complessità delle Amministrazioni, al fine di indirizzare una corretta gestione delle necessità di benie servizidallacaratterizzazione dell’esigenza allaredazione del Pianodelfabbisogno. Apartiredall’identificazione delfabbisognooriginatodaunaesigenza emersa da unainiziativa del Piano strategico, dagli studi e analisi di mercato, da spunti forniti dal RTI grazie all’ecosistema di innovazione proposto o da eventi
operativi occorsi (ad esempio un incidente, una vulnerabilità), il modello proposto analizzerà le informazioni da prevedere all’interno del Piano del fabbisogno e si compone dei macro-ambiti: (Fase 1) Coerenza strategica: sulla base di obiettivi ed ambiti previsti nel PdS (§3.1.1.1), saranno valutati gli obiettivi, i benefici edi risultati da perseguire tramite la fornitura allo scopo di garantirne il necessarioallineamentoconlelineestrategichedell’Amministrazione;laddoverichiesto, il RTIfornirà supporto anche alla redazione di un businesscasedella fornitura per facilitare il processo di richiesta del budget necessario. (Fase 2) Coerenza operativa: tali analisi saranno necessarie per garantire l’integrazione dei beni e dei servizi oggetto della fornitura nel modello esistente di gestione sia IT sia Sicurezza; saranno in particolare valutati il contesto tecnologico ed applicativo esistente nonché eventuali vincoli organizzativi, tecnico e/o operativo che potrebbero avere un impatto sull’adozione dei beni e/ol’erogazione dei servizi oggettodella fornitura. (Fase 3) Elementiqualitativi: tale analisi fornirà una caratterizzazione completa dei beni e servizi allo scopo di categorizzarli e prevede un supporto da parte del RTI nell’individuazione degli AQ, delle Convenzioni e di altre iniziative esistenti
di cui l’Amministrazione vorrà usufruire,; saranno contestualmente valutate la struttura organizzativa e le figure di riferimento (sia Amministrazione sia Fornitore) da prevedere nella fornitura nonché le eventuali esigenze formative correlate con la realizzazione dell’intervento. (Fase 4) Elementi quantitativi: in tale ambito, il RTI supporterà la definizione delle metriche di riferimento (es. giorni/persona del team ottimale) e della stima economica attesa nonché dei tempi di attivazione ed esecuzione della fornitura, esplicitando le principali milestone attese dall’Amministrazione; saranno inoltre individuati gli indicatori di digitalizzazione da prevede ed i livelli di servizio previsti dagli AQ, convenzioni o altre iniziative individuate nell’ambito qualitativo. Con riferimento all’attività di analisi delle stime quantitative ed economiche dei servizi previsti nell’ambito del Lotto 1, il RTI propone, quale elemento migliorativo utile ad abilitare quel controllo imparziale dei servizi di sicurezza del Lotto 1 dichiarato come obiettivo del Lotto 2, di realizzare un benchmark continuamente aggiornato utile a confrontareivalorieconomicimedideiserviziacquisitidal Lotto 1. Qualeulterioreelemento di valoreaggiuntoeconriferimentoalleulteriori attività richieste in tale ambito, il RTI metterà a disposizione la sua profonda esperienza in ambito di Program e Project Management di iniziative di Sicurezza ICT complesse, applicandol’architetturadi monitoraggiodefinita (§4.1.1.2) per il controlloedil coordinamento dei piani di attuazionedei servizi di sicurezza erogatidaremoto a favore dell’Amministrazione, anche al fine di verificare il raggiungimento dei risultati attesi. il RTI fornirà inoltre supporto all’elaborazione del piano annuale degli acquisti in materia di sicurezza ICT dell’Amministrazione.
4.2.1 DELIVERABLE. Sono previsti i seguenti deliverable, salvo ulteriori concordati con le Amministrazioni nell’ambito dei CE
Deliverable | Contenutiesemplificativi |
Piano annuale degli acquisti | Piano di investimento annuale a supporto delle iniziative di sicurezza identificate nel PdS. |
Analisi di mercato, studi e benchmark | Documentirelativi adanalisidi mercato, studi ebenchmarkeffettuatidal RTIsullabasedi esperienzecorrenti epregressechesupporteranno le attività previste nell’ambito del servizio di Security Strategy tra cui a titolo esemplificativo e non esaustivo: definizione dei fabbisogni; analisi della postura cibernetica dell’Amministrazione definizione del “target state” dell’Amministrazione, definizione della Vision strategica dell’Amministrazione, stime quantitativee qualitative etc. |
Piano dei fabbisogni | Documento contenente le esigenze di approvvigionamento dell’Amministrazione legate alle iniziative identificate nel PdS, in termini di: indicazione delle macro-esigenze in linea con il PdS; descrizione delle iniziative previste; caraeristiche tecniche del servizio (es. team coinvolto, attività on site o da remoto); modalità e tempi di realizzazione. Il documento conterrà inoltre una scheda di sintesi per ogni iniziativa conindicazione delle fasi progettuali (es. avvio, erogazione, chiusura) e dell’effort previsto per ciascuna di esse. |
4.2.2 STRUMENTI E SOLUZIONI TECNOLOGICHE. Di seguito sono riportati i principali strumenti/soluzioni tecnologiche che saranno utilizzati per l’erogazione del servizio. Gli strumenti/tool di analisi riportati di seguito sono da intendersi a titolo non esaustivo. Nel corso delle attività, anche in considerazione dell’evoluzione delle minacce cyber, dell’utilizzo di tecnologie specifiche da parte dell’Amministrazione nonché dell’evoluzione del processo tecnologico potranno essere utilizzati ulteriori strumenti al fine di garantire un livello di qualitàelevatonel corso delle attività.
IBA– Industry Benchmark Analytics – strumento proprietario che, consolidando i datie risultati delleattività in ambito (Lotto 1/2), e/o provenienti dai dati di benchmark collezionati dal RTI, avvalendosi dell’ecosistema interno ed esterno per l’Innovazione, formulerà una banca dati nazionale, utile a supportare la produzionedi studi e analisi. Questi studi saranno poi utilizzati comeelemento di paragone per aggiungereulteriorevalore all’erogazionedei servizi.
Principali strumenti
4.3 TEAM DI LAVORO. Il team ottimale rispetterà i requisiti specificati nel CTSa cui si aggiungeranno i requisiti migliorativi sintetizzati di seguito.
Profilo | Requisito migliorativo Generale | Requisito migliorativo Specifico |
Security Principal | Nel team sarà inclusa almeno unarisorsacon attestato ITIL Foundation v3/v4 o Prince 2 Foundation/IPMA/PMI | |
Security Solution Architect | ||
Senior Information Security Consultant | Possesso della qualifica di Lead Auditor ISO 27001 aggiornata all’ultima release, per almeno il 70% delle risorse, appartenenti al suddettoprofiloprofessionale, nell'ambitodi ciascun contrattoesecutivo | |
Senior Security Auditor | ||
Data Protection Specialist |
5 PROPOSTA PROGETTUALE PER IL SERVIZIO“VULNERABILITY ASSESSMENT”
Il servizio di Vulnerability Assessmentprevedel’identificazioneinmaniera proattiva, medianteunaverifica dinamica dellasicurezza, delle vulnerabilitàpresenti su dispositivi di rete, software e applicazioni delle Amministrazioni e la mitigazione dei rischi cyber connessi. Il RTI si impegna aderogare le attività in ambito al presenteservizio nel rispetto dei requisiti tecnico-funzionali specificati nel CTS, facendo affidamento sugli elementi distintivi sottoriportati.
1. Standardizzazionedel reporting edei piani di prioritizzazione/remediation attraverso l'utilizzo di una piattaforma centralizzata (denominata Bug Blast) ed indipendente dai motori di scansione (vulnerability scanner), garantendo ripetibilità ed uniformità dei risultati 2. Metodologia per la definizione dei “remediation plan” con approccio risk-based e reportistica in grado di rappresentare le vulnerabilità identificate sia ad interlocutori executive che tecnici, fornendo pratici strumenti operativi per agevolare la risoluzione delle stesse 3. Centri di eccellenza nazionali ed internazionali in ambito Cybersecurity (Roma, Milano, Bari, ed oltre 10 in EU), con lapresenza di laboratori specialistici e con professionalità verticali su attività di Offensive Security. Tali centri supportano i teamnellaraccoltadi informazionirelativeanuovevulnerabilità(es. mediantetecnichedi Cyber Threat Intelligence) etecnicheinnovativeper losfruttamento delle stesse 4. Eterogeneità nella copertura degli ambienti target (IT/OT/IoT/Cloud) attraverso strumenti e tecniche idonee e specifiche a garantire il discovery per ciascunatipologiadi target 5. Ampio supportonel discoverydimisconfiguration e vulnerability specificheper gli ambientidicloud computing (IaaS, PaaS, SaaS), anche inpresenza di CSP differenti (AWS, Azure, Google, ecc.).
5.1 MODALITA’ DI ESECUZIONE DEL SERVIZIO. Le attività di Vulnerability Assessment (VA) forniranno evidenze di dettaglio sulle vulnerabilità riconducibili
all’infrastrutturaICTe IoT/OT(es.dispositiviinterconnessiimpiegatinei diversi contesti di utilizzo - es. smart city, ambito sanitario, progetti open data), funzionali anche adelaborare una baseline iniziale del livello di vulnerabilità e di esposizione del sistema informativo dell’Amministrazione. L’attività sarà svolta sia con strumenti automatici (continuamente aggiornati rispetto alle vulnerabilità di nuova identificazione) sia con strumenti definiti ad-hoc (es. script) sullabasedellatipologiadeltargetoggettodianalisi. Leattività saranno inoltre supportatedall’ecosistema di innovazioneinternoedesterno (§ 14). Il RTI, sulla base della propria esperienza e del contesto di riferimento in cui saranno svoltele analisi disicurezza, proporràglistrumentidi analisi piùadatti per l’esecuzione dei VA (open-source, proprietari e/o di mercato). Le attività di VAeseguite sonobasate sulle metodologie OSSTMM, OWASP, PTES, NIST
800-52/53 e ISA 62443, riconosciute globalmente come standard de-facto. L’applicazione di tali metodologie garantirà risultati coerenti, ripetibili e misurabili. Nell’ambito delle attività di VA terremo in considerazione il sempre più diffuso utilizzo delle tecnologie Cloud da parte delle Amministrazione, in coerenza con quanto definito dalla Strategia Cloud Italia. A tal fine, su specifica richiesta dell’Amministrazione, il RTI è ingradodi integrare all’interno dei servizi offerti anche l’esecuzione di attività di Assessment del livello di sicurezza dei servizi Cloud IaaS e SaaS, verificandone la compliance rispetto a standard, requisiti normativi e best practice di settore, ericercandovulnerabilità celate negli errori diconfigurazionedei diversi ambienti cloud. Il RTI potràeseguirele attività di VAinmaniera periodica ove richiesto e ritenuto opportuno. Le attività saranno eseguite in modalità Black-box, che presuppone la verifica del livello di sicurezza dei target senza alcuna credenziale di accesso(non autenticato), e Gray-box, ovvero verifica del livello di sicurezza dei target simulando un attaccante che possiede una parziale conoscenza dell'infrastruttura oggetto di analisi e credenziali di accesso con privilegi base (autenticato). Per l’esecuzione dei servizi richiesti dall’Amministrazione, la metodologia prevede l’esecuzione di 4 fasi progettuali: Pianificazione delle attività, Esecuzione dei Vulnerability Assessment, Proritizzazione delle vulnerabilità e verifica dei risultati, Re-test delle vulnerabilità a seguito del remediation plan. ll RTI propone l’adozione di una piattaforma specifica per l’esecuzione di attività di Vulnerability Assessment. La Piattaforma Bug Blast ha l’obiettivo di fornire report personalizzati e di tracciare le vulnerabilità dalla fase di discovery e per tutte le fasi di remediation, offrendo sempre un approccio agnostico rispetto ai vendor utilizzati per la scansione. Le informazioni che afferiscono alle attività di VA richieste saranno disponibili nel portale tramite un sistema di autorizzazione granulare e le Amministrazioni potrà accedere atali informazioni sullabase delperiodo di retention che saràconcordato di volta in voltacon le stesse e comunque, salvodiversaindicazione da parte dell’Amministrazione e nel rispetto delle normative vigenti, per un periodo garantito non inferiore a 1 mese dalla fine delle attività. Tale modalità di erogazione è consigliata dal RTI, che tuttavia è disponibile ad adattare la stessa sulla base di eventuali esigenze delle Amministrazioni, concordandole di volta involtaconlestesse.Approcciooperativo.L’approcciooperativopropostodalRTIprevedel’esecuzioneditutteleattivitàtecnicheprevistedal CTS. Si sottolinea che quantoriportato di seguito offre unavistadi alto livello delle attività operative che saranno svolte dal team: Pianificazione: tale faseè fondamentaleper la pianificazione delle attività di VA (tempi e orari) e per la raccolta delle informazioni necessarie all’esecuzione di verifiche di sicurezza efficaci. Nello specifico saranno eseguite le seguenti macro-attività: Identificazione degli stakeholder rilevanti Richiesta e raccolta della documentazione in ambito (es. disegni di rete, analisi funzionale, requisiti di sicurezza), nonché delle informazioni preliminari all’esecuzione dei VA (es. URL, indirizzi IP); ), informazioni necessarie per identificare le normative applicabili (es. GDPR) e degli standard di sicurezza applicati dal cloud provider (es. ISO27001), Condivisione con l’Amministrazione delle metodologie, degli strumenti e delle modalitàdi esecuzione. La propostadi modalitàdi scansione saràcondivisa con l’Amministrazione inbasea: criticità target, rilevanza dei target in ambito GDPR, potenziali impatti su sistemi legacy, bottleneck su alcuni sistemi/segmenti di rete, ecc. Definizione del piano di dettaglio delle attività, comprensivo di data di inizio, fine e orari di esecuzione, per definire le migliori finestre temporali per minimizzare i rischi connessi all’interruzione del servizio e/o al degrado delle performance Comunicazione all’Amministrazione degli IP dellemacchinecheeseguirannoi VA Esecuzione di test di raggiungibilità/accesso del target oggetto di analisi Richiesta di autorizzazione per l’avvio delle attività Esecuzione: in tale fase sono rilevate le vulnerabilità presenti per i target oggetto di analisi mediante tool automatizzati e tecniche manuali. I tool di analisi utilizzati per l’esecuzione delle scansioni automatizzate saranno opportunamente scelti e configurati (es. policy di scansione, credenziali di accesso ai tenant cloud) coerentemente con il contesto
specifico dei target. I relativi risultati saranno analizzati e correlati dal Teamoperativo. Nello specifico nella fasedi Esecuzione sono eseguite le seguenti macro- attività: Discovery: censimento e mappatura dei dispositivi presenti nel segmentodi retedesignato, identificazione del sistema operativo, dei servizi attivi ela loro relativa versione medianteattività di Banner Grabbing e Fingerprint, identificazione degli indirizzi associati ai targetoggettodi analisi e identificazione delle informazioni tecniche in caso di analisi delle reti WiFi (es. SSID) Assessment: scanning automatizzato dei target in ambito per la rilevazione delle principali vulnerabilità esistenti. Per quanto concerne le reti WiFi è effettuata una verifica della tipologia di autenticazione e la tipologia di protocolli di sicurezza implementati (WEP, WPA, WPA2, WPA Enterprise). Nel corso della fase di VA, inoltre, sono effettuate verifiche volte a rilevare la mancanza o non corretta implementazione di tecnologie di prevenzione, riconoscimento e risposta a possibili attacchi (IDS/IPS, log monitoring, ecc.). Ove possibile, per le vulnerabilità rilevate sarà effettuata una verifica manuale al fine di identificare ed eliminare i falsi positivi; tale attività è svolta mediante processi innovativi di controllo, sviluppati nel corso delle esperienze in ambito Offensive Security e tramite il supporto dei Centri di eccellenza del RTI, che consentono di ridurre al minimo la presenza di errori. La modalità si presta anche all’esecuzione di campagne periodiche o ricorrenti sulla base delle effettive esigenze espresse dall’AmministrazionePrioritizzazionedellevulnerabilità everificadei risultati:levulnerabilitàidentificate dagli strumentidi analisi sarannoclassificate(grazie alle opportunamente configurazioni preliminari) inizialmente dagli stessi in maniera automatica in base al sistema di scoring CVSS. Successivamente saranno riviste in maniera critica dagli analisti per escludere i falsi positivi e fornire una migliore contestualizzazione per l’Amministrazione, correlando ulteriori elementi quali:impattodel target (ACR - Asset Criticality Rating), impattorispettoal GDPR, severitàdella vulnerabilità, complessitànello sfruttamento, livello di diffusione delle minacce derivate da attività di Cyber Threat Intelligence (VPR - Vulnerability Priority Rating) Predisposizione Remediation Plan: Per ogni vulnerabilità identificata sarannofornite raccomandazioni sulle azionidaintraprendereperlalororisoluzione omitigazioneconancheindicazionedellepriorità sempre in coerenza con le policy dell’Amministrazione e il livello di criticità/rischio precedentemente determinato. Queste sarannoriportate all’interno di un piano di rientro concreto e applicabile al contesto (con indicazione anche delle tempistiche di risoluzione condivise con l’Amministrazione) in grado di supportarelelineetecnichedell’Amministrazionenellarisoluzione.Irisultatidelleattivitàdi VAeleraccomandazionifornitesarannoriportateinspecificireport: Executive Summary, Technical Report e Remediation Plan (§5.2) Re-test delle vulnerabilità: successivamente all’esecuzione delle azioni di rimedio delle vulnerabilità identificate, riportate all’interno del piano di rientro, potranno essere pianificate e svolte attività di re-test per verificare in maniera efficace la risoluzione delle vulnerabilità sui target analizzati e la mitigazione dei rischi connessi.
5.1.1 STRUMENTI E SOLUZIONI TECNOLOGICHE. Di seguito sono riportati i principali strumenti/soluzioni tecnologiche che saranno utilizzati per l’erogazione del servizio. Gli strumenti/tool di analisi riportati di seguito sono da intendersi a titolo non esaustivo. Nel corso delle attività, anche in considerazione dell’evoluzione delle minacce cyber, dell’utilizzo di tecnologie specifiche da parte dell’Amministrazione nonché dell’evoluzione del processo tecnologico potranno essere utilizzati ulteriori strumenti al fine di garantire un livello di qualitàelevatonel corso delle attività.
Ambito di utilizzo | Principali strumenti |
Vulnerability Assessment | OpenSource:KaliLinux,nmap,netdiscovery,dnsrecon,dig,metasploit, netcat,masscan, Shodan,Zoomeye, Censys, Air-Ngtools, Wifite, Airgeddon, Wireshark. Di Mercato: Nessus, Hak5 WiFi, Burp Proxy Professional. Proprietario: Bug Blast |
Cloud Security Assessment | Di Mercato: Cloud Security Posture Management(CSPM), SaaSSecurity Posture Management(SSPM) |
Vulnerability Assessment IoT | Open Source: Blue Scanner, Blue Sniff, BlueBugger, BTBrowser, BTCrawler, BlueSnarfing, HackRF (HW), ZigDiggity, Proxmark (HW), TLSAssistant. Di Mercato: Burp Proxy Professional |
5.2 PROPOSTA DI REMEDIATION PLAN E REPORTISTICA DI SINTESI E DETTAGLIO. A seguito delle attività svolte in ambito Vulnerability Assessment sarà predisposta la reportistica necessaria a fornire all’Amministrazione una visione Executive, nonché tecnica, dello stato di sicurezza dei target oggetto di analisi. Di seguito sono forniti gli elementi distintivi della nostra reportistica:
Deliverable | Contenutiesemplificativi |
VAExecutive Summary | Report direzionale, con vista Executive, pensato per fornire una visione concreta al Management dello stato di sicurezza del/i target. Tale report conterrà un riepilogo generale delle attività eseguite e sintetizzerà i risultati ottenuti. Nello specifico: Sintesi delle attività svolte e dei sistemi sottoposti ad analisi, con informazioni relative alla lorocriticità per l’Amministrazione nonché dieventuali impattinormativi (es. GDPR); Sintesi dei risultati con indicazione dei sistemi vulnerabili aggregati per tipologia di vulnerabilità e livello di criticità (in termini qualitativi, ovveroillivellodivulnerabilitàcomplessivo- alto, medio, basso– equantitativonumerodivulnerabilitàtotali, criticheedelevate). Saranno inoltre evidenziati gli impatti in ambito RID per l’Amministrazione in caso di ipotetico sfruttamento delle vulnerabilità da parte di unattaccante Cyber eleprincipalicausecheportanoallapresenzadella vulnerabilità sulsistema/applicativo. Inoltre, sintesi deirisultati delle verifiche svolte sui servizi erogati dai Cloud Service Provider con indicazione precisa delle vulnerabilità rilevate, del livello di severità (qualitativo) e delle problematiche di sicurezza legate alla non adeguata configurazione dei servizi; Sintesi delle azioni di rimedio – Classificate/prioritizzate in termini qualitativi (esecuzione nel breve, medio e lungo termine) definite a mitigazione delle vulnerabilità e rappresentazione del remediationplanconevidenza delleazioni prioritarie |
VATechnical Report | Documento tecnico contenente un’analisi dettagliata e completa del livello di sicurezza, insieme a tutte le informazioni sulle vulnerabilità riscontrate (baseline), e relative azioni per mitigare o risolvere tali vulnerabilità. Il Technical Report è formato da resoconti analitici e grafici econtienei seguenti elementiprincipali:Descrizionedideagliodei test disicurezzaeseguitisuitargetinambito(on premises- oncloud); La lista di tue le vulnerabilità riscontrate con indicazione di: nome della vulnerabilità sulla base del CVE (Common Vulnerabilities and Exposures), livello di severità in base alla probabilità di sfruttamento (alto, medio, basso) ed all’impatto legato allo sfruttamento della vulnerabilità (alto, medio, basso per Riservatezza, Integrità e Disponibilità - RID), dettagli tecnici sulla vulnerabilità rilevata ed evidenze documentali (con eventuale supporto di immagini e tabelle) delle attività svolte (comandi eseguiti e risposte dei sistemi). Le informazioni dimensionali per la valutazione delle vulnerabilità e delle relative remediation sono basate sul sistema di scoring delle vulnerabilità CVSS e sono principalmente le seguenti: vettore di attacco, complessità di attacco, privilegi richiesti, tipologia di interazione dell’utente, possibilità di propagazione, impatti su confidenzialità, integrità e disponibilità. Ciascuna delle dimensioni citate sono valorizzate su una scala dimensionaleda 1 a 10, con una sintesi finale di rischiosità che può assumere i seguenti valori qualitativi: critico, alto, medio obasso. |
VA Remediation Plan | Remediation plan comprensivo delle iniziative tecniche da pianificare e svolgere per la mitigazione/risoluzione delle vulnerabilità identificate. Perogni azionedi rimediosonoforniteleseguenti informazionidimensionali didettaglio: attivitàda svolgereper la risoluzione delle vulnerabilità, complessità richiesta, nonchétempistichedell’Amministrazioneper l’esecuzionedella stessa. Ciascuna delle dimensioni citate è valorizzata secondo le seguenti informazioni qualitative: tipologia di remediation (es: R1-risoluzione completa con azione da implementare, R2-soluzione alternativa/compensativa/workaround), complessità per la risoluzione tecnica della vulnerabilità (C1-molto alto, C2-alto, C3-medio o C4-basso), tempistiche di risoluzione stimate (T1-ore, T2-giorni, T3-settimane o T4-mesi con relativa proposta di pianificazione). Tali parametri sonodeterminatisullabasedellacollaborazioneconiprincipaliteamoperatividell’Amministrazioneimpattati dalla vulnerabilità riscontrata edall’azione di rimediodefinitaperla risoluzione. Ladeterminazione di Priorità nell’applicazione delleazioni di rimedio è infine determinata dalla combinazione delle informazioni qualitative descritte e la rischiosità della vulnerabilità. Il parametro di Priorità risultante èespressoin termini di P1-Critica, P2-Alta, P3-Media o P4-Bassa. |
5.3 TEAM DI LAVORO. Il team ottimale rispetterà i requisiti specificati nel CTSa cui si aggiungeranno i requisiti migliorativi sintetizzati di seguito.
Profilo | Requisito migliorativo generale |
Security Principal. Senior Penetration Tester, Junior Penetration Tester | Nel team sarà inserita almeno una figura in possesso di una delle seguenti certificazioni aggiuntive: eCPPT, GPEN, OSCP, eCPTX, OSWP, eCTHP, CRTP, OSWE, eWPT |
6 PROPOSTA PROGETTUALE PER ISERVIZI “TESTING DELCODICE”
Il servizio di Testing del Codice prevede la rilevazione in maniera proattiva delle vulnerabilità presenti nel codice degli applicativi oggetto di analisi. Il RTI si impegna aderogare le attività nel rispetto dei requisiti tecnico-funzionali specificati nel CTS, facendo affidamento sugli elementi distintivi sotto riportati:
1. Adozione di una piattaforma SAST proprietaria, specifica per l’acquisizione del codice e l’interazione con gli utenti finali, assicurando la generazione di reportstandardizzati, confrontabiliesoprattuttoagnosticirispettoaisoftwarediscansioneadottati(motori discansione) 2.Metodologiaperladefinizione dei“remediationplan” conapproccio risk-basedereportisticaingradodirappresentarelevulnerabilitàidentificate siaadinterlocutoriexecutivechetecnici, fornendo pratici strumenti operativi per agevolare la risoluzione delle stesse 3. Molteplici Centri di eccellenza sulla Sicurezza Applicativa e DevSecOps, con la presenza di laboratori specialistici sulleattivitàdi analisi statica (SAST) e dinamica(DAST) cheanalizzanocostantementele nuovetecniche di sfruttamento delle vulnerabilità con accesso ai più aggiornati dati di riferimento sulle stesse (es. Cyber Threat Intelligence e database con TTP utilizzate negli attacchi, segnalazione di API/librerie di terze parti vulnerabili) 4. Alleanze strategiche con i principali produttorimondiali di tecnologia per l’analisi statica/dinamica delcodice assicurandol’accesso privilegiato alle risorse tecniche degli stessi.
6.1 MODALITA’ DI ESECUZIONE DEL SERVIZIO. La metodologia utilizzata per l’esecuzione delle attività richieste prevede la combinazione di strumenti
automaticieverifichemanualiedhacomeobiettivol’identificazione di vulnerabilitànel codice sorgentedelle applicazioni analizzate. Lamodalitàdiesecuzione è concepita per garantire risultati consistenti rispetto ad esecuzionimultiple successivesullo stesso applicativo, fornendo dettagli specifici sulle vulnerabilità fino alla specifica sezione/linea di codice. Talemodalità rendeil servizio efficace anche su analisi incrementali, adattandosi anche acontesti di sviluppo agile in cui si intende reiterare le analisi. Coerentemente, il servizio di testing del codice prevede sempre una fase iniziale di ispezione ed una seconda fase che ha l’obiettivo di verificare che le azioni di rimedio siano state implementate e risolutive. Le attività di Testing del Codice saranno eseguite mediante strumenti softwareopensource, proprietarie/odimercato, messiadisposizionedal RTI. Persoddisfarei requisiti indicati dall’Amministrazioneprocederemo, incoerenza conquantodefinitodaiprincipali standarddi settore, all’esecuzionedelleseguenti attività: Analisi staticadelcodice (SAST),Analisi dinamicadelcodice(DAST), Mobile Testing. Poiché, durante l’esecuzione delle attività (in particolare DAST e Mobile), il team potrebbe accedere a dati personali o sensibili dell’Amministrazione e dei cittadini, tali attività saranno costantemente monitorate per garantire l’impossibilità di esportare all’esterno tali dati. Tutte le evidenzedelleattività (es. log) saranno conservate dal RTIper un periodo garantito non inferiore a 1 mese dalla fine delle attività e saranno rese disponibili, surichiesta, al personale autorizzato, a garanzia di trasparenzaoperativa. Tutte le informazioni, compresi i reporttecnici, sarannoinviate mediante protocolli di cifratura e modalità condivise durante la fase di “Analisi del contesto”. L’esecuzione delle attività di Testing del codice richiede un coinvolgimento diretto dell’Amministrazione, chefornirà supporto per quantoconcerne le fasi preliminari delle attività. Nello specificol’Amministrazione supporterà la raccolta delle informazioni, nonché ladocumentazione tecnica necessariaper l’esecuzionedei test di sicurezza, tramite le seguenti attività: pianificazione e organizzazione di workshop operativi con gli stakeholder di riferimento (es. Applicativi, ICT) per la raccolta di informazioni utili all’esecuzione dei test raccolta della documentazioneper l’esecuzione delle verifiche in white-boxcreazionedi utenzedi testconprivilegi baseper le verifiche di sicurezza(modalitàgray-box) per le attività di analisi statica del codice, supporto per l’integrazione degli strumenti di analisi con i repository di progetto. Ove non possibile, invio, secondo
modalità sicure e concordate, del codice sorgente/binario che sarà oggetto di analisi. Per l’esecuzione delle attività da parte delle Amministrazioni, sulla base delle numerose progettualità eseguite in tale ambito, stimiamo un impegno medio di 2-3 gg/u ad esecuzione. Tale stima può variare sulla base della complessità dei target in scopenonché della complessità dell’Amministrazione stessa.
Analisi statica del codice (SAST). L’analisi statica del codice (SAST) mira ad identificare le vulnerabilità presenti nel codice sorgente. Tale attività è svolta in modalità white-box, richiedendo all’Amministrazione sia il codice sorgente dell’applicazione che la documentazione tecnica della stessa. Le attività sono eseguite principalmente sulla basedellostandard OWASPTop 10etramiteleseguentitrefasi progettuali:FASE 1 - Analisidelcontesto:intalefase siprocede con la richiesta, raccolta e analisi della documentazione tecnica dell’applicazione (analisi funzionale, workflow dell’applicazione, lista funzionalità, librerie terze parti utilizzate, architettura tecnica, ecc.) e con l’acquisizione del codice sorgente FASE 2 – Secure Code Review: esecuzione dell’analisi statica del codice sorgentedell’applicazione, ovvero: Configurazione dei tooldianalisi necessariper l’esecuzione delle attività sullabasedellecaratteristiche del codicesorgente inambito(es. linguaggiodiprogrammazione) Code Scanningmediantel’utilizzodi toolmessi adisposizionedal RTIe selezionati sullabasedellecaratteristiche dell’applicazione (es: linguaggio) ed in considerazione della complessità/criticità degli asset in oggetto. Gli strumenti che saranno messi a disposizione garantiranno la copertura di più di 20 linguaggi di programmazione e copriranno le vulnerabilità attualmente conosciute; Verifica manuale delle evidenze fornite dai tool di scansione (manual code review) per la rilevazione ed eliminazione efficace dei falsi positivi ed identificazione di vulnerabilità di sicurezza per lefunzionalitàcritiche; Assegnazionedel livellodicriticitàallevulnerabilitàrilevateinbaseallaprobabilitàdisfruttamentoedelrelativoimpatto. L’assegnazione del livello di severità è fornita in primo luogo in maniera automatica dagli strumenti di analisi e rivisto dagli analisti di sicurezza. Il livello di severità è assegnato sullabase delleleadingpractice, delle policydi sicurezzadell’Amministrazioneediulteriorifattoririlevanti(es. criticitàdell’asset, rilevanzaassetinambito GDPR, facilità di sfruttamento dellavulnerabilità, impatto della vulnerabilità, informazioni di CTI provenienti daicentridi eccellenza); Correlazione delle informazioni, identificazione azioni di rimedio, prioritizzazione e definizione del remediation plan. Le attività SAST di scansione periodica seguiranno un piano di verifica concordato con l’Amministrazione secondo modalità e tempistiche definite, come ad esempio a seguito di major-change e/o mediante integrazione con i repository dell’Amministrazione (integrazione con pipeline CI/CD). L’esecuzione periodica delle attività consente il monitoraggio efficace dello stato di risoluzione delle vulnerabilità FASE 3 – Reporting: predisposizione di report e dashboard con l’obiettivo di fornire una chiara visione sui risultati SAST e focalizzare l’attenzione sulla prioritizzazione delle vulnerabilità tecniche rilevate. Nello specifico saràpredisposto un Executive Summary e un Technical Report persingolaesecuzione, evidenziandoin maniera puntuale anche le aree di miglioramento.
Analisi dinamica del codice (DAST). L’analisi dinamica del codice (DAST) mira ad identificare le vulnerabilità delle applicazioni in runtime. Le attività sono eseguite sulla base dei principali standard OWASP Top 10 e OSSTMM, in modalità black-box e secondo tre macro-fasi tenendo conto del profilo dell’applicazione concordato(Bronze, Silver, Gold): FASE 1 - Analisidelcontesto: raccoltadelle informazioni necessarie all’esecuzione dell’attività (e.g. nome applicazione, URLs) FASE 2 – Dynamic Security Testing: esecuzione dell’analisi dinamica del codice sorgente dell’applicazione, ovvero: Configurazione dei tool di analisi necessari per l’esecuzione delle attività sulla base delle caratteristiche dell’applicazione in scope Vulnerability Scan dell’applicazione tramite strumenti open-source, proprietari e di mercato (ove necessario e su base periodica). Gli strumenti, opportunamente configurati sulla base delle leading practice e delle policy di sicurezza dell’Amministrazione, forniranno una valutazione automatica, in termini di severità/priorità, della vulnerabilità. Gli strumenti messiadisposizione garantirannolacoperturadi piùdi 20 linguaggi ecoprirannole vulnerabilità attualmenteconosciute; Esecuzionedi un’analisidi dettaglio delle evidenze fornite dai tool di scansione per la rilevazione ed eliminazione dei falsi positivi ed esecuzione di un’analisi tecnica manuale per le funzionalità critiche; saranno eseguite verifichedi sicurezza specifiche sullabase delprofilo assegnato all’applicazione in scope (Bronze, Silver, Gold). Nello specifico, a titolo non esaustivo, sarannoeseguititestdi autenticazione(inclusimultilivello), autorizzazione, gestionedella sessione, validazionedegli inputemanipolazionedella logica applicativa, verifica dei messaggi di errore, protocolli utilizzati per le comunicazioni, meccanismi di logging e verifiche di compliance PCI-DSS; PoC Development(profiloGold): serichiestoenecessario, verrannodimostratelelimitazionidisicurezzaelevulnerabilitàidentificateattraversolosviluppodi“Proof of Concept” in grado di far comprendere le modalitàdi realizzazione di uno scenario d’attacco daparte di un agentedi minaccia specifico; Correlazione delle informazioni, identificazione azioni di rimedio, prioritizzazione e definizione del remediation plan FASE 3 – Reporting: predisposizione di report edashboard con l’obiettivo di fornire una chiara visione sui risultati DAST e focalizzare l’attenzione sulla prioritizzazione delle vulnerabilità tecniche rilevate. Nello specifico saràpredispostoun Executive Summarye un Technical Report per singola esecuzione, evidenziandoinmanierapuntuale anchele aree di miglioramento.
MobileTesting.Leattivitàdi testing delle appmobile(Android, iOS, altri OSeventualmenterichiesti) presuppongonol’esecuzionediattività siadi analisi statica che dinamica del codice. Rispetto alle attività identificate e descritte nei paragrafi precedenti, inoltre, le attività di testing delle app mobile presentano alcune peculiaritàdovuteallanaturadelleappstesse(es. linguaggioutilizzato, libreriediterzeparti, permessirichiestialdevice), nonchéaidevicesuiqualil’applicazione è installata (es. device con diritti di root/ jailbreak). Per l’esecuzione dell’attività sarà richiesto di condividere il pacchetto eseguibile dell’applicazione (es.. apk – Android, .ipa– iOS) edicreare credenziali diaccesso per il testing. Le attività sono svolte sulla base dei principali standard, ad esempio OWASPMobile Security Testing Guide, OWASPMobileTop 10, OWASPMASVS 1.1.3(Level 2), OWASPAPISecurity Top 10eOSSTMM. L’attivitàprevede le seguenti tre fasiprogettuali:
FASE 1 - Analisi del contesto: analisi delle informazioni necessarie per l’esecuzione delle attività. Nello specifico richiesta, raccolta e analisi della documentazione tecnica dell’applicazione da analizzare (analisi funzionale, workflow dell’applicazione, lista funzionalità, librerie terze parti utilizzate, architettura tecnica, ecc.) e richiesta di creazione di un’utenza digitale per l’accesso all’app FASE 2 – Mobile Security Testing: esecuzione del Securitytesting dell’app, ovvero: Configurazione dei tool di analisi per l’esecuzione dell’attività (es. emulatori, tooldi scanning); Application Mapping e manual vulnerability testing: mappatura dellecomponenti dell’applicazione, verifica del corretto offuscamentodel codice, analisi staticae dinamica del codice sorgente, delle API e delle interfacce verso altri sistemi mediante strumenti automatizzati. In tale fase sono inoltre svolti test di manipolazione della logica applicativa ed un’analisi delle policy di accesso ai dati ed alle funzioni del dispositivo da parte dell’applicazione. Esecuzione di un’analisi di dettaglio delle evidenze fornite dai tool di scansione per la rilevazione edeliminazione dei falsi positivi ed esecuzione diun’analisi tecnica manuale per le funzionalità critiche. Le verifiche terranno conto inoltre delle informazioni provenienti dai centri di eccellenza del RTI relative a nuovevulnerabilitàe librerie di terzeparti vulnerabili; Assegnazione di un livello di criticità alle vulnerabilità in base alla probabilità di sfruttamento e del relativo impatto. L’assegnazione del livello di severità sarà fornita in primo luogo in
maniera automatica dagli strumenti di analisi opportunamente configurati e successivamente rivisto dagli analisti di sicurezza. Il livello di severità è assegnato sulla base delle leading practice e delle policy di sicurezza dell’Amministrazione; Correlazione delle informazioni, identificazione azioni di rimedio, prioritizzazione e definizione del remediation plan FASE 3 – Reporting: predisposizione di report e dashboard con l’obiettivo di fornire una chiara visione sui risultati del Mobile Testing e focalizzare l’attenzione sulla prioritizzazione delle vulnerabilità tecniche rilevate. Nello specifico sarà predisposto un Executive Summary e un Technical Report per singola esecuzione, evidenziando in manierapuntuale anche le areedi miglioramento.
6.1.1 STRUMENTI E SOLUZIONI TECNOLOGICHE. Di seguito sono riportati i principali strumenti/soluzioni tecnologiche che saranno utilizzati per l’erogazione del servizio. Gli strumenti/tool di analisi riportati di seguito sono da intendersi a titolo non esaustivo. Nel corso delle attività, anche in considerazione dell’evoluzione delle minacce cyber, dell’utilizzo di tecnologie specifiche da parte dell’Amministrazione nonché dell’evoluzione del processo tecnologico potranno essere utilizzati ulteriori strumenti al fine di garantire un livello di qualitàelevatonel corso delle attività.
Ambito di utilizzo | Principali strumenti |
Analisi staticadel codice | Open Source: SonarQube Community Edition, HCL Appscan Source Edition. Di Mercato: Fortify, Checkmarx CxSAST. Proprietario: XXXX |
Analisi dinamica del codice | OpenSource:HCLAppscan, Nikto, SQLMap,Ysoserial, CMSMap, WPScan, Dirbuster, Xxxxxxx.xx, SSLScan, Fiddler, Commix, FuzzDB. Di Mercato: Microfocus WebInspect, Burp Suite Professional. Proprietario: XXXX |
Mobile Testing (Android, iOS) | Android Application PT (Open source): Frida, Objection, MobSf, Apktool, Jadx, JD-GUI, Drozer, SWLite Browser, Android Studio e Platform Tools, Jar signer, Nox Emulator, Pidcat, Byte code viewer, Fri-dump, Dex2jar. iOS Application PT (Open Source): Class- dump, Frida, Objection, Radare2, Ghidra, FileDP, Filza, Passion Fruit, Needle, House, Clutch, Fri-dump, Xcode, Cycrit, dump_keychain, Otool. Dynamic Analysis: Burp Suite Professional (Di Mercato) |
6.2 PROPOSTA DI REMEDIATION PLAN E REPORTISTICADI SINTESI EDETTAGLIO. Aseguitodelleattività svolte in ambito Testing del codice saràpredisposta la reportistica necessariaa fornire all’Amministrazione una visione dialto livello e tecnica, dellostato di sicurezza delle applicazioni e delle vulnerabilità rilevate.
Report | Descrizione |
Testing Codice Executive Summary | Reportdirezionale, convista Executive, pensatoper fornire unavisioneconcreta al Managementdello statodi sicurezza delle applicazioni. Talereportincluderàunriepilogogenerale delle attivitàeseguiteesintetizzeràirisultati ottenuti. Nello specifico: Sintesidelleattività svolte e dei sistemi sottoposti ad analisi, con informazioni relative alla loro criticità per l’Amministrazione nonché di eventuali impatti normativi come GDPR; Sintesideirisultaticon indicazione dimensionali relative a applicazioni vulnerabili, numero di debolezze/vulnerabilità totali, numero di debolezze/vulnerabilità differenziato per linguaggi, tipologie e stato (attivo, gestito, corretto ,accettato, certificato, dismesso), aggregate per livelli di criticità (alto, medio, basso, informativo). Sintesi delle azioni di rimedio definite a mitigazione delle vulnerabilità e rappresentazione del remediation plan con evidenza delle azioni prioritarie e delle tempistiche necessarie per l’implementazione delle stesse. L’Executive Summarypotràconsentire al Management di acquisire informazioni utili per la revisione del PdS. |
Testing Codice Technical Report | Documento tecnico contenente un’analisi dettagliata e completa del livello di sicurezza, insieme a tutte le informazioni sulle debolezze/vulnerabilità riscontrate, sulle modalità di sfruttamento e relative azioni per mitigare e, ove possibile, per eliminare tali debolezze/vulnerabilità. Il Technical Report è formato da resoconti analitici e grafici econtiene i seguenti elementi principali: Descrizione di dettaglio dei test di sicurezza eseguiti sulle applicazioni in ambito; Lalistaditueledebolezze/vulnerabilitàriscontrate con indicazione di: nomedelladebolezza/vulnerabilità sullabase del CWE (Common Weakness Enumeration), descrizione estesa, conseguenza legataallo sfruttamento in termini di confidenzialità, integrità e disponibilità, riferimento alla linea di codice e raccomandazioni per la mitigazione o risoluzione. Le informazioni dimensionali per la valutazione delle vulnerabilità e delle relative remediation sono basate sul sistema di scoring delle vulnerabilità CVSS esonoprincipalmenteleseguenti: vettorediattacco, complessità diattacco, privilegi richiesti, tipologia di interazione dell’utente, possibilità di propagazione, impatti su confidenzialità, integrità e disponibilità. Ciascuna delle dimensioni citate sono valorizzate su una scala dimensionale da 1 a 10, con una sintesi finale di rischiosità che può assumere i seguenti valori qualitativi: critico, alto, medio obasso. |
Testing Codice Remediation Plan | Remediation plan comprensivodelleazioni di rimedio da pianificare e svolgere per lamitigazione/risoluzione delle debolezze(Weakness), vulnerabilità, configurazioni (con particolare riferimento al mobile testing) identificate. Per ogni azione di rimedio sono fornite le seguenti informazionidimensionali di dettaglio: attivitàda svolgere per la risoluzione delle debolezze/vulnerabilitàe complessitàrichiesta. Ciascuna delle dimensioni citateèvalorizzatasecondoleseguenti informazioniqualitative: tipologia di remediation(es: R1-risoluzionecompleta con azione da implementare, R2-soluzione alternativa/compensativa/workaround), complessità per la risoluzione tecnica della debolezza/vulnerabilità (C1-molto alto, C2-alto, C3-medio o C4-basso). La determinazione di Priorità nell’applicazione delle azioni di rimedio è infine determinata dalla combinazione delle informazioni qualitative descritte e la rischiosità della debolezza/vulnerabilità. Il parametro di Priorità risultante è espressointermini di P1-Critica, P2-Alta, P3-Media o P4-Bassa. |
PoC vulnerabilità | Sviluppo di PoC delle vulnerabilità identificate per le applicazioni di profilo Gold a seguito delle attivitàdi analisi dinamicadel codice. Le PoC mostreranno unoscenariod’attaccodapartedi un agente di minacciaspecifico |
6.3 MODALITA’ DI INTEGRAZIONE COL REPOSITORY SOFTWARE. Il RTI propone l’adozione di una piattaforma proprietaria specifica per l’acquisizione del codice e l’interazione con il cliente. La Piattaforma XXXX - Global Application Security Testing (§6.1.1) ha l’obiettivo di centralizzare le attività di SAST, fornire report personalizzabili e in formati indipendenti dal software di scansione utilizzato, governare scansioni incrementali e migliorare le modalità di rappresentazioneediinterazioneconl’Amministrazione. Lapiattaforma GASTconsenteun’integrazioneottimale conilciclodivitadelcodice, comprendendo i relativi repository SVN- Subversion, CVS - Concurrent Versions System, Git, TFVC - Team Foundation Version Control, mantenendo un approccio “agnostico” rispetto ai vendor utilizzati per la scansione. Tale modalità consente di utilizzare il miglior software di scansione a seconda di fattori quali caratteristiche delle
applicazioni,complessitàelinguaggidisviluppo,iltuttoinmodalitàtrasparenteperl’utentefinale.TalemodalitàdierogazioneèconsigliatadalRTI,chetuttavia è disponibile ad adattare la stessa sullabase di eventuali esigenzedelle Amministrazioni, concordandole di voltain voltaconle stesse.
7 PROPOSTA PROGETTUALE PER IL SERVIZIO“SUPPORTO ALL’ANALISI E GESTIONE DEGLI INCIDENTI”
Il servizio di supporto all’analisi e gestione degli incidenti prevede lo svolgimento da parte del RTI di attività consulenziali volte a incrementare efficacia ed efficienza dei processi di Forensic e Incident Management, nelle fasi di analisi, progettazione e verifica (post-mortem) di tali processi, nonché di supporto alla divulgazione delle informazioni. Il RTI si impegna ad erogare le attività in ambito nel rispetto dei requisiti tecnico-funzionali specificati nel CTS, facendo affidamento sugli elementidistintivi elencati di seguito:
1. Coinvolgimento di risorse con ampia e riconosciuta esperienza nella realizzazione di CERT e SOC – strutture per le quali analisi e gestione degli incidenti sono servizi essenziali – in Italia e nel mondo per organizzazioni pubbliche e private di primaria importanza. Il RTI ha inoltre supportato 7 delle 11 organizzazioni italiane che hanno accreditato i loro CERT alla community internazionale FIRST 2. Coinvolgimento di risorse che hanno contribuito direttamente allo sviluppo delle pratiche di Incident Readiness come dimostrato dalle pubblicazione di numerosi studi nazionali e internazionali, quali New Generation CERT: from Response to Readiness - Strategy and Guidelines (NATO, xxxxx://xxx.xxxx.xxx/xxx/xx/xxxxxx/xxxx_000000.xxx), Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali (AgID, xxxxx://xxxx.xxxxxx.xx/XxXX/xxxxxxxxx-xx-xxxxxxxxxxxxx/xx-xxxx- regionali/it/bozza/index.html) 3. Disponibilità di una libreria proprietaria composta da oltre 350 Use Casedi monitoraggio costantemente aggiornata sulla base delle esperienze acquisite presso i clienti del network a livello globale, evoluzioni tecnologiche, trasformazioni nelle tattiche, tecniche e procedure (TTP) utilizzate dagli attori di minaccia in diverse tipologie di ambienti (es. cloud SaaS, PaaS e IaaS, Mobile, IoT, ecc.) 4. Disponibilità di framework proprietari, sviluppati internamentedalRTIeaggiornati inmanieracontinuativa sullabasedelleesperienze acquisite edi report specialisticidi settore, per lavalutazione del livello di maturità di CERT e SOC e l’identificazione delle tecnologie di sicurezza a supporto delle attività di gestione degli incidenti 5. Team di lavoro multidisciplinare altamente qualificato e certificato in ambito Forensic, Security Defense e Offense.
7.1 MODALITÀ DI ESECUZIONE DEL SERVIZIO, MODELLO ORGANIZZATIVO ADOTTATO E STRUMENTI. 7.1.1 MODALITÀ DI ESECUZIONE DEL SERVIZIO Il
servizio di supporto all’analisi e gestione degli incidenti proposto affronta la tematica in modo olistico e multidisciplinare, in modo da promuovere il miglioramento continuo della Incident Readiness dell’Amministrazione attraverso elementi quali la corretta definizione dei processi, un’adeguata formazionedel personale el’ingegnerizzazione delle tecnologiedi sicurezza, fondamentali per garantire nel tempo efficacia, efficienza e tempestività al servizio remoto di Incident Management erogato dal fornitore del Lotto 1 (laddove attivato) o da altre terze parti coinvolte e far fronte alla costante evoluzione degli attacchi informatici e all’incremento delle tipologie degli ambienti in perimetro (es. servizi cloud, dispositivi mobile, IoT, ecc.). Al fine di raggiungere tali obiettivi, il RTI si candida a supportare l’Amministrazione al fine di (A) abilitare il corretto svolgimento di ciascuna delle fasi di gestione
degli incidenti attraverso attività consulenziali da svolgersi in maniera preventiva come supporto all’intero processo (analisi e progettazione) e (B) definire un processo strutturato di Forensic e verificarne l’efficacia (verifica). Tali attività saranno svolte in linea con i principali standard (es. ISO/IEC 27035, ISO/IEC 27002, NIST 800.61sp2), normative elineeguidadi settore (es. XX 00/0000, XX 81/2021, Framework Nazionaleper la CybersecurityelaDataProtection), integrandosi inoltre con gli altri servizi del presente Lotto 2 e del Lotto 1, secondo quanto riportato all’interno del “Modello Correlazione Servizi”, descritto all’interno del capitoloProposta progettuale per il servizio “Security Strategy”.
A. Incident Management. Il RTI propone un approccio strutturato al supporto in ambito gestione incidenti, che prevede l’esecuzione di attività di natura consulenziale da svolgersi preventivamente per guidare il corretto svolgimento del servizio di Incident Management da parte dell’Amministrazione (direttamente, tramiteservizi del Lotto 1 oaltri fornitori). Ciascuna delle attività proposteconsentirà di abilitare lo svolgimento eincrementare l’efficacia di una diversa fase del processo di Incident Management, come di seguito riportato: A.1 Pianificazione e preparazione: una fase di preparazione correttamente eseguita e personalizzata sulla base del contesto permette di minimizzare gli impatti degli incidenti, facendo leva su un’adeguata infrastruttura tecnologica di sicurezza e personale specializzato. [Attività proposte] Supporto metodologicogestione degli incidenti: sviluppo e/o revisione di modelli operativi e processi strutturati di Incident Management, rispettivamente volti a guidare gli analisti di sicurezza nelle relative attività quotidiane, e definire ruoli, responsabilità, principi e attività operative che regolano il processo stesso, in linea con quanto prescritto dal CSIRT-Italia. Tale formalizzazione del processo prevede anche la definizione di obiettivi, modello organizzativo, criteri di classificazione di un incidente – sulla base della criticità intrinseca della minaccia e della rilevanza dell’asset – criteri di escalation (lista di contatti degli attori da coinvolgere e relativa modalità di notifica in base alla criticità dell’evento), input, output e interrelazioni delle varie attività, metriche di riferimento (KPI) per la misurazione dell’efficacia, oltre all’integrazione con processi esterni (es. gestione di data breach, gestione delle crisi, ecc.) ealle modalitàdicomunicazione/aggiornamentoversoentitàinterneed esterne(ivi incluseescalation verso Amministrazione centrale/periferica, altre amministrazioni, CSIRT-Italia, Organi di Polizia, richiesta di approfondimenti presso il fornitore del servizio di Threat intelligence e Vulnerability data feed, laddove attivato, ecc.); Supporto metodologico Forensic: sviluppo e/o revisionedi processi strutturati di analisi forense volti aguidare gli specialisti nelle relative attività, come dettagliato all’interno del paragrafo successivo “B. Forensic”; Supporto metodologico Log Management: sviluppo e/o revisione di una policy strutturata di Log Management al fine di standardizzare la raccolta e centralizzazione dei log da parte dell’amministrazione, definendounlivellostandarddilogging perciascunafonte, al finedisupportareleattivitàdi analisi deglieventi; SimulazioneProcessreadiness & effectiveness: svolgimento di simulazioni interattive (es. table-top) diattacchi cyber realistici basati sugli scenari di minaccia più frequenti al finedi verificare la conoscenza del
processo in ambito e la capacità degli attori coinvolti di gestire tali eventi. A supporto di queste attività il RTI mette a disposizione dell’Amministrazione spazi innovativi che renderanno possibile, mediante l'utilizzo di tecnologia di avanguardia, la realizzazione di laboratori esperienziali di simulazione “reale” (es. EY Wavespace); Red Teaming& Ransomware Readiness: svolgimento, insinergiaconil servizio di “Penetration Testing” (vedicapitoloProposta progettualeper il servizio “Penetration Testing”), di attività di Red Teaming e Ransomware Readiness al fine di testare, rispettivamente, l’efficacia dei processi di rilevazione e rispostaalleminaccecybereil livellodi resilienza dell’Amministrazione neiconfronti delleminacce di tiporansomwareidentificandoeventuali gap di sicurezza, incrementando la postura di sicurezza complessiva e le capacità di risposta a tali incidenti. A.2 Identificazione e analisi: la fase di identificazione e analisi di un incidente ha l’obiettivo di monitorare in modo centralizzato gli eventi di sicurezza provenienti da fonti strutturate (es. SIEM) e non strutturate (es. e-mail da utenti) per rilevare minacce miranti agli asset e ai servizi della PA, analizzarli per comprendere se si tratti di unfalso positivo che necessita diazioni correttive o di un incidente con potenziale impatto sul perimetro e classificare e prioritizzarne la gestione sulla base di criteri definiti. [Attività proposte] SIEM detection assessment:valutazionedellecapacitàdirilevazione delleminaccesullabase dellavisibilitàofferta daregolee Use Casedimonitoraggioimplementatierelative sorgenti, sulla base di framework di settore (es. MITRE ATT&CK), in presenza diuna piattaforma SIEM già esistente o nel caso di attivazione di un servizio SOC esterno; Evoluzione SIEM: definizionedi Use Casedi monitoraggio volti a incrementare la capacità di rilevazione di potenziali incidenti, sulla basedeirisultati dell’assessment di cui al punto precedente e di una vasta libreria di Use Case; Guide tecniche di analisi: sviluppo e/o revisione di guide step-by-step (practitioner guide) che orientino leattività di analisi dei log e degli eventi avalle dell’identificazione di un potenziale incidente di sicurezza e di ricerca proattiva delle minacce (Threat Hunting), al fine di incrementare l’efficienza del processo di monitoraggioe la visibilità sugli scenari di minaccia di interesse; Supporto al processo di escalation: supporto all’Amministrazione nel coordinamento della comunicazione e dell’invio di notifiche/aggiornamenti circa incidenti verso le autorità competenti (es. Organi di Polizia) laddove necessario, ivi incluse la segnalazione di potenziali data breach, in ottemperanza a quanto previsto dalla normativa GDPR, e la notifica degli incidenti aventi un impatto rilevante sui servizi essenziali e digitali verso il CSIRT-Italia, nelle modalità previste dal D.lgs 65/2018 (attuazione Direttiva NIS) e dal decreto n. 81/2021. A.3 Risposta e ripristino: tale fase prevede l’identificazione e l’implementazione delle azioni di contenimento a breve termine dell’incidente, eradicazione della minaccia e ripristino dei sistemi impattati, con l’obiettivo di limitare le conseguenze dell’incidente e ripristinare la normale operatività in maniera tempestiva ed efficace. [Attività proposte] Supporto specialistico nellelaborazione e nel coordinamento dell’implementazione di una strategia di risposta e ripristino per la corretta gestione degli incidenti. L’approccio prevede: Guide tecniche di risposta: definizione di guide step-by-step (practitioner guide) per la gestione degli incidenti noti a bassa criticità, che consentano di uniformare e semplificare la gestione di casistiche simili da parte del team di Incident Management (interno o esterno all’Amministrazione), abilitando l’eventuale implementazione di automatismi utili a focalizzare le proprie risorse sulle attività a valore aggiunto e di incrementare l’efficienza dei task più ripetitivi; Incident Response Plan: definizione di linee guida e strumenti operativi (template) per la gestione di incidenti complessi ad alta criticità da parte del team di Incident Management (internooesternoall’Amministrazione), al finedimitigare gli impatti causati dagli stessi. Tale templateconsentiràdiprioritizzareleattivitàdirispostaeripristino in base alla natura dell’incidente (concluso oppure in corso con persistenza dell’attaccante), utilizzando come input le valutazioni sulla riduzione del rischio e l’effort di implementazione richiesto. A.4 Lesson learnede miglioramento continuo: tale faseprevede, immediatamente avalle dellagestionedi unincidente, una valutazione ex-post della stessa per verificare che le attività siano state condotte in conformità con quanto previsto dal processo, e un’attività periodica volta a identificare eventuali punti di miglioramento nelle attività svolte attraverso l’elaborazione di reportistica, lo svolgimento di meeting ricorrenti per condividereeventualigaperelativeazioni di rimedio.[Attivitàproposte]Detectionfinetuning:supportoalprocessodifinetuning dellacapacitàdirilevazione delle minacce al finedi ridurre il numero di falsi positivi individuati, definendo anche le eventuali azioni di remediation utili aridurrela probabilitàdi occorrenza attraverso modifiche: agli Use Case di monitoraggio in termini di logica e soglie di allarme alle ulteriori tecnologie interessate, qualora le cause siano indipendentidallapiattaformadimonitoraggio(es. correzionedelleconfigurazionierratedellesorgenti); Revisioneemiglioramentodeiprocessiepractitioner guide: sulla base delle risultanze delle lesson learned e delle ulteriori attività del Lotto 2 (es. Vulnerability Assessment, Penetration Testing, ecc.), oltre che delle informazioni contenute all’interno dei bollettini ricevuti dal CSIRT-Italia; Forensic quality assurance: svolgimentodi attività di quality assurance del processo di Forensic, come dettagliatoall’interno del paragrafo successivo “B. Forensic”; Early Warningqualityassurance: definizione di unachecklistche consenta di svolgere attività diqualityassurance sul processodi ricezione e verifica dibollettini einformazioni inmerito arischie incidentiemessi dal CSIRT-Italia; Incident Management quality assurance: governo (organizzazione, pianificazione, coordinamento, controllo) delle attività di verifica tecnica dei servizi di Incident Management erogati tramite il Lotto 1 oda altri fornitori. Il RTI, grazie alle proprie competenze in tema di assurance di servizi di sicurezza, potrà supportare le attività di verifica dei risultati attesi. B. Forensic. Le attività di supporto all’Amministrazione nella gestione di incidenti di sicurezza prevedono un approccio sinergico, finalizzato a incrementare l’efficienza delle modalità di intervento e dei tempi di reazione da parte dell’Amministrazione, in particolare nell’analisi forensepost-mortem degli incidenti. Le attività di supportoerogate nei confronti dell’Amministrazione prevedrannounacostanteverificadi quality assurance da parte di profili esperti, al fine di garantire un elevato livello qualitativo dell’esecuzione del processo di Forensic. [Attività proposte] Definizione di un templatecatena di custodiaper supportare i teamdi Forensic nel tracciamento delle attività eseguite sulle evidenze acquisite; Definizione di unprocesso di Forensic secondo best practice volto a definire ruoli, responsabilità, principi e attività operative che regolano il processo stesso; Governo (organizzazione, pianificazione, coordinamento, controllo) delleattivitàdiverifica tecnica(qualityassurance) del processodi Forensic. Il processodi Forensic, inviagenerale, può astrattamenteessere declinato nei seguenti step, perciascunodei qualisonoriportate le attività principali il cui corretto svolgimentoverràverificatoe valutato dal RTI, sulla base del processo definito: Assessment iniziale, rilevazione preliminare del contesto specifico, necessaria a identificare la strategia di intervento più idonea ed efficiente in baseallatipologia di incidente rilevato. Durante tale step, sono dinormaraccolte tutte le informazioni immediatamente disponibili e necessarie ad ottenere unaricostruzione sommaria del caso(es. inquadramentocronologico della vicenda). Nel corso di tale step sonoaltresì individuate le risorse con competenze specifiche da includere nella composizione di un team dedicato interdisciplinare, che può includere, a titolo esemplificativo, profili tecnici, legali e esperti di data protection. Infine, deve essere identificato il perimetro dei sistemi potenzialmente rilevanti su cui condurre i successivi approfondimenti tecnici (es. endpointutente, server e apparati direte, server, log applicativi, copie di caselle e-mail, ecc.), target dello step di data collection; Data collection acquisizioni di evidenze informatiche (“ESI”), svolte preservando l’integrità delle fonti dati originali e garantendo allo stesso tempo la validità
probatoriadeidati acquisiti(copie forensi) attraversol’usodi procedureestrumenticertificati secondolebestpractice internazionali di Forensic. Leacquisizioni inparoladevonoessereaccompagnatedallaproduzionediidoneadocumentazione, necessariaadocumentareiprocessioperatiduranteleacquisizionistesse, oltre che atracciare lacatenadicustodia(chainofcustody) delle evidenzeacquisite. Tale attività viene condottamedianteuna precisadescrizionedel processo di trasferimento delle evidenze, dettagliando il materiale raccolto, gli attori coinvolti, i riferimenti temporali e i luoghi dei trasferimenti. Investigazione, svolgimentodianalisi tecniche sulle evidenzeinformatiche acquisite, diversificate inbaseallapeculiaritàdel casodi specie. In considerazionedellavarietà delle tipologiedi incidenti di sicurezza, oltre chedella specificità dei sistemi coinvolti, possono essereeseguiteattività di (i) analisi dei loge degli eventi, finalizzate alla comprensione della natura dell’incidente e delle Tattiche, Tecniche e Procedure (TTP) adottate dal potenziale agente di minaccia e alla rilevazione degli Indicatori diCompromissione(IoC) necessariperunaricostruzionedellatimelinedell’incidente, individuareeventualiesfiltrazionididatiecomprendereleroot- causedell’accaduto;(ii) Malware Analysis& Forensic, volte a estrarre Indicatori di Compromissione(IoC) unici e non precedentemente noti da malware e altri software malevoli attraverso attività di reverseengineering del codice e analisi statiche edinamiche; (iii) threat hunting e threat actorcyberintelligence, aventi l’obiettivo di anticipareproattivamente le operazioni malevoledi eventuali agenti di minaccia ereperire informazioni su di essi.
7.1.1.1 DELIVERABLE. Considerata la natura delle attività consulenziali previste, sono riportati di seguito esclusivamente a titolo esemplificativo e non esaustivo alcuni dei deliverable previsti comerisultanza del servizio.
Deliverable | Contenutiesemplificativi |
Processodi Incident Management | Documento che ha l’obiettivo di descrivere tutte le attività del processo. Esso si compone, al minimo, delle seguenti sezioni: obiettivo e ambito di applicazione, workflow di processo, descrizione attività e attivazione processi esterni, matrice di escalation e modalità di comunicazione, matricediclassificazione, matrice RACI per identificazione di ruoli e responsabilità e metrichee KPI di processo. |
Processo di analisi forense | Documento che ha l’obiettivo di descrivere tutte le attività del processo. Esso si compone, al minimo, delle seguenti sezioni: obiettivo e ambitodi applicazione, workflow di processo, descrizione attività e attivazione processi esterni, modalità di comunicazione, matrice RACI per identificazione di ruoli e responsabilità emetrichee KPI di processo. |
SIEM detection assessment | Presentazione di dettaglio delle analisi svolte per valutare le capacità di detection di una piattaforma SIEM, composta da un’analisi AS-IS degli Use Case implementati, rappresentata all’interno di una heatmap basata sul framework MITRE ATT&CK, e da una roadmap che consenta di incrementare la visibilità e le capacità di rilevazione delle minacce, attraverso nuovi Use Case da implementare ed eventuali nuove sorgenti daintegrarecon il SIEM. |
Practitioner guide gestione incidenti e Incident Response Plan(IRP) | Sviluppodi procedure tecniche di dettaglioutili aguidarele attività del teamoperativoin casodiincidentinoti noncritici adaltafrequenza, alfine diridurre i tempidi rispostae dilimitare glierrorinellalorogestione, individuandolo scenario dell’incidente, una strategia di risposta sutre livelli (strategico, tattico, operativo)eunadescrizionedelleazioni dasvolgereperciascunlivello, conidentificazionedeiruolicoinvolti, e di un template utile a guidare la definizione delle attività di risposta al verificarsi di un incidente ad alta criticità, comprendente informazioni sullo stato di avanzamento, la struttura accountable e l’attore responsible per ciascuna attività, e la priorità associata con relativa due date. |
7.1.2 MODELLO ORGANIZZATIVO ADOTTATO E STRUMENTI. 7.1.2.1 MODELLO ORGANIZZATIVO. Il modello prevede un team di progetto guidato da un Project Manager (Security Principal) che avrà lo scopo di definire, in accordo con l’Amministrazione, le tempistiche e le milestone progettuali. Tale risorsa coordineràlosvolgimentodelledifferentiattività, garantendoil raggiungimentodegliobiettivie assicurandoinparticolarmodochelecompetenzedel Forensic Expert siano pienamente integrate nello svolgimento delle attività, a supporto delle ulteriori figure individuate. Senior e Junior Security Analyst, figure con un background tecnico, e con ampia esperienza in attività consulenziali in ambito Incident Management e Forensic, consentiranno di assicurare un alto livello di qualità dei deliverable relativi alle fasi di analisi, progettazione e verifica dei processi, avvalendosi del supporto specialistico del Forensic Expert in particolare durante le attività di quality assurance del processo di Forensic. Ove necessario il RTI potrà accedere a competenze e risorse ulteriori disponibili all’interno del proprio network per attività che richiedano professionalità differenti da quelle incluse all’interno del team di lavoro. 7.1.2.2 STRUMENTI IN AMBITO ANALISI FORENSE Nel corso delle attività il RTI utilizzerà la propria Knowledge Base di processi e practitioner guide, sviluppati nell’ambito di numerose progettualità, utili a fornire una baseline di riferimento per i deliverable corrispondenti. Considerata la tipologia di attività in ambito al servizio, non risultano necessari strumenti e soluzioni tecnologiche per lo svolgimento delle stesse. Ciononostante, il RTI ha comprovata esperienza nell’utilizzo dei seguenti strumenti/soluzioni tecnologiche: Datacollection:OpenText EnCase, AccessData FTK, Cellebrite UFED, Sumuri Paladin, Tableau Write Blocker, Duplicator; Analisi dei Log edegli eventi: DeepBlue, Yara, EvtxParser, Autopsy; Malware Analysis& Forensic: Ida Pro, x96dbg, PE Studio, Sandboxproprietarie del RTI; Threat Actor Cyber Intelligence: piattaforme proprietarie del RTI, TheHive, MISP, MineMeld; Threat Hunting: Wazuh, Wireshark, Kape, Redline, agenti EDR (es. CrowdStrike, Cybereason, etc.).
7.2 PROPOSTA DEL DOCUMENTO DI CATENA DI CUSTODIA Il documento catena di custodia permette all’Amministrazione di tracciare cronologicamente tutte le attività eseguite sui diversi elementi di prova raccolti e gli attori che hannoportato a termine tali attività. All’interno di questo template, in linea con lo standard ISO/IEC 27037, è inclusa una descrizione di dettaglio dei dispositivi oggettodi custodia euna serie di informazioni relative alle operazioni eseguite su di essi da unoo più attori (es. riferimenti temporali, identificativo dell’attore, operazioni tecniche eseguite), in un formato standardizzato al fine di facilitarne la compilazione. Il documento catena di custodia è costituitoda una sezione iniziale dedicataalla descrizionepuntuale e dettagliata dei device/evidenzeoggetto di custodia (es. quantità, marca, modello, s/n, eventuali altri ID, tag, custodian assegnatario) e da una sezione dedicata ai vari passaggi di custodia dei device/evidenze di cui al punto precedente nella quale saranno documentate l’insieme delle informazioni dimensionali e qualitative di seguito riportate: [i] tutti i riferimenti dei soggetti coinvolti (es. nome, cognome, società e ruolo), [ii] la firma autografa da parte degli stessi, [iii] i riferimenti temporali (data e ora) e dei luoghi (indirizzoedescrizione) deipassaggi,[iv]lemotivazionisottostantilemovimentazioni(es. presa incaricoperacquisizione), [v] lapresenzadieventuali sigilli, oltre che [vi] eventuali ulteriori note edinfine[vii] una sezione dedicata alla sigladi unaterza parte per Quality Control. Al momento della cristallizzazione di unaevidenza digitale viene inoltre creato unmodulodenominato Evidenceacquisitiondove sonomemorizzate tutte le informazioni relative al processo di
cristallizzazione, quali: i beni cristallizzati, gli strumenti utilizzati (marca, modello, versione, configurazione), i dati di processo (data e ora inizio e fine attività, luogo, operatore, hashdelle evidenze, eventuali anomalie) e i supporti sucui vengonoimmagazzinate le informazioni (target e backup).
7.3 TEAM DI LAVORO. Il team ottimale rispetterà i requisiti specificati nel CTSa cui si aggiungeranno i requisiti migliorativi sintetizzati di seguito.
Profilo | Requisito migliorativo generale |
Security Principal, Senior Security Analyst, Junior Security Analyst, Forensic Expert | Nel team sarà inclusa almenounarisorsacon certificazione CISSPo CISM o Lead Auditor ISO 27001. |
8 PROPOSTA PROGETTUALE PER IL SERVIZIO“PENETRATION TESTING”
Il servizio di Penetration Test prevede l’esecuzione di attacchi simulati per verificare concretamente la possibilità di sfruttare vulnerabilità identificate su sistemi/reti/applicazioni/dispositivi delle Amministrazioni. L’approccio offensivo consente di ottenere una chiara percezione degli effettivi livelli di esposizione/compromissione dei target analizzati, determinando la capacità di difesa e resilienza rispetto agli attacchi Cyber e fornendo conseguentemente elementi concreti per adeguare lemisure di contrasto e protezione. Il servizio proposto è fondato sugli elementi distintivi sotto riportati:
1. Eccellenza del team di Ethical Hacking dimostrata dalla pubblicazione regolare di Common Vulnerabilities and Exposures (CVE) elenco di vulnerabilità divulgate pubblicamente e Zero Day, condiviseattraverso i metodi di "Responsible Disclosure” (oltre 17 negli ultimi due anni, ad esempio CVE-2020-15307, CVE-2020-7049, CVE-2020-0962, CVE-2020-0784); 2. Copertura completa dei principali vettori di attacco per ogni singola sessione e tipologia di target, acquisita mediante l’aggiornamento continuo di un archivio centralizzato contenente il Threat Modelling e relative Tactics, Techniques and Procedures (TTP), alimentato dal teamdi Pen Tester coinvolti a livello globale nell’erogazione di tali servizi (oltre 17.000 test effettuati annualmenteda oltre 1.300 Pen tester); 3. Utilizzo estensivo di fonti Cyber Threat Intelligence (OSINT e CLOSINT) con copertura geografica mondiale, derivante dai servizi di sicurezza gestista (SOC) del RTI, checonsentonoal Pen Tester diottenereunquadropiùampiodell’effettivolivellodiesposizionedeitargetinanalisi, come adesempio compromissioni/vulnerabilità/tecniche pubblicate nel dark web o in community specifiche, potenzialmente accessibili anche agli attaccanti e sfruttabili per realizzare una reale compromissione. Inoltre, tale capacità consente di stabilire se i target oggettodi analisi siano stati precedentemente compromessi o attenzionati da organizzazioni e/o singoli attaccanti; 4. Molteplicità di laboratori a livello nazionale ed internazionale (oltre 10 in Europa) con personale, strumentiedinfrastrutture dedicatealle attività di offensive security, conpossibilitàdi verificarecostantementeivettori e letecnichedi attacco inambienti simulati e su dispositivi di test (IoT, Mobile, sistemi Embedded, riproduzione di sistemi ICS/OT); tali laboratori sono impiegati anche per addestramento, formazione ed aggiornamento continuo dei Pen Tester.
8.1 MODALITA’ DI ESECUZIONE DEL SERVIZIO E CAUTELE ADOTTATE. Le attività di PT sono basate principalmente sulle metodologie OSSTMM, OWASP e
PTES, riconosciute globalmente come standard de-facto, che guideranno la conduzione dell’analisi in termini di fasi da rispettare e test da effettuare. L’applicazione di tali metodologie garantirà test condotti accuratamente sui Target e risultati consistenti, ripetibili e misurabili. Il servizio può assumere tre diverse declinazioniin relazione alla combinazione di diversi fattori come la tipologia dei target, risultati delle analisi pregresse condotte sugli stessi, i vettori di attacco e le modalità di esecuzione (white, gray, black box) impiegabili,: PT su Infrastrutture: si analizzano ad esempio componenti di rete come router, switch, servizi di rete (Domain Controller, SSH Server, FTP Server,
Web Server,….), infrastrutture wireless (Wi-Fi); PT su Applicazioni:
analisi svolte su applicazioni ad esempio Web, API, Mobile e Thin Client; PT su Dispositivi:analisi svolteadesempiosu dispositivi IoT, sistemi “embedded”, dispositivi industriali. Le attività di PT saranno eseguite in modalità Black-box (verifica del livello di sicurezza dei target senza alcuna credenziale di accesso – test non autenticato), Gray-box (verifica del livello di sicurezza dei target simulando un attaccante che possiede una parziale conoscenza dell'infrastruttura oggetto di analisi e credenziali di accesso con privilegi base – test autenticato) e White-box (verifica del livello di sicurezza dei target
con conoscenze dettagliate sull’infrastruttura/applicazione oggettodi analisi e credenziali con privilegi avanzati). Lametodologiaadottata per l’esecuzione dei PT prevede 6 fasi: Planning and Preparation, Information Gathering, Service Scanning, Exploitation, Post-exploitation, Reporting. Le attività di PT potranno essere eseguite come singole campagne o in modalità ricorrente sulla base delle necessità espresse e concordate con le Amministrazioni. Il RTI è in grado di erogareancheservizi diRed Teamingcheaffiancanoaitestsullecomponenti IT - utilizzando tecnicheanalogheal PT-, testdellacomponentefisica epersonale, mediante tecniche di Social Engineering. Questa tipologia di servizio impiega un approccio a scenari utilizzando una serie di tecniche che mirano a rendere invisibili e “silenziosi” gli attacchi. Ciò permette di verificare l’efficacia delle soluzioni di protezione posta a difesa del target oggetto del servizio e allo stesso tempo dei livelli di difesa messi in atto dal team di sicurezza dell’Amministrazione (Blue Team). In alcuni scenari è contemplatala possibilità di coordinamento trateamdidifesa(Blue Team) ediattacco(RedTeam)percostituireun PurpleTeamche,daunlatosupportail RedTeamneisuoiattacchi, edall'altrosuggerisce strategie difensive al Blue Team. Le attività di Red Teaming rappresenta un’attività addizionale e migliorativa rispetto a quanto previsto dal CTS di gara. A supporto inoltre del miglioramento della sicurezza del patrimonio informativo aziendale, potranno essere svolte simulazioni di Phishing, eseguite singolarmente o in combinazioni con altre attività/servizi. Le attività consistono nella simulazione di invio mail fraudolente con lo scopo di verificare la preparazionedegliutentieaumentarnelaconsapevolezzarispettoalleminaccePhishing. Puòesserealtresìutilizzatoinmanieraavanzataper simulareattacchi client-side più complessi che prevedono di veicolare un malware all’ interno dell’azienda. CAUTELE ADOTTATE NELL’ESECUZIONE DEL SERVIZIO: Il team di verifica - durante l’esecuzione delle attività - potrebbe ottenere l’accesso a dati personali o sensibili delle Amministrazioni e dei cittadini. In ragione di questo le attivitàsarannocostantemente monitorate per garantire l’impossibilitàdi esportare all’esterno tali dati. Inoltre, leattivitàditestsarannotracciate attraverso
un sistema di registrazione delle sessioni dei tester (i.e. Key logging o recording sessioni RDP) a garanzia di trasparenza operativa. Tale tracciamento potrà essere reso disponibile all’Amministrazione su richiesta o conservato dal RTI sulla base del periodo di Retention che sarà concordato di volta in volta con le singole Amministrazioniecomunque- salvodiversaindicazionedapartedell’Amministrazionee nelrispettodelle normative vigenti - perunperiodogarantito non inferiore a 1 mese dalla fine delle attività. Tutte le informazioni, compresi i report tecnici, saranno condivise con le Amministrazioni secondo modalità e protocolli atti a garantire la confidenzialità eintegrità delle informazioni scambiate (con impiegoad esempio di tecniche di firmadigitale ecrittografia dei dati), secondomodalitàconcordatedurante la fase 1 di “Planninge Preparation”, anche a salvaguardia dei requisiti dettati dal GDPR.
Approccio operativo. Il RTI si impegna ad erogare le attività in ambito nel rispetto dei requisiti tecnico-funzionali specificati nel CTS. Si sottolinea che le attività operative riportate di seguito offrono una sintesi di alto livello delle attività che saranno svolte dal team: Planning and Preparation: a seguito della richiesta dell’Amministrazione per esecuzionedi PT saràpianificatoed eseguito un Kick Off meeting doveverrannodiscussi gli aspetti preliminari per l’esecuzione delle attività, con particolare focus su perimetro dell’attività (target in scope e criticità degli stessi), vincoli operativi e regole d’ingaggio. Inoltre, saranno concordate lemetriche di valutazione/prioritizzazione delle vulnerabilità (CVSS, Vulnerability Priority Rating, Asset Criticality Rating, Change Criticality Rating) e sarà fornita una proposta dipianificazionedelle attività comprensiva didate eorari di inizioe fine. Lapresente fase infine prevede l’installazione e/o la configurazionedegli strumenti hardware e software necessari per l’esecuzione delle analisi. All’avvio delle attività il RTI, sulla base della propria esperienza e del contesto di riferimento in cui saranno svolte le analisi di sicurezza, proporrà gli strumenti di analisi più adatti per l’esecuzione dei PT; tale lista di strumenti (open-source, proprietari e/o di mercato) potrà essere rivista, se strettamente opportuno, con l’Amministrazione e adattata sulla base delle esigenze specifiche e della complessità dell’Amministrazione stessa. Information Gathering: sarà effettuata l’acquisizione delle informazioni espostedagli applicativi e dai sistemi che li ospitano al fine di contestualizzare gli attacchi da portare a termine. Tipicamente nel corso di questa fase si procede a: Identificare e classificare i target in domini di analisi in base alle informazioni enumerate o dedotte anche attraverso attività di Intelligence (fonti OSINT); Identificare i servizi attraverso le informazioni acquisite precedentementeconl’obiettivodidisporre del maggiornumero dielementiriguardoall’architetturaedelementidell’infrastrutturadel servizio ed ai software impiegati; Identificare i vettori d’attacco sfruttabili per il sistema. La corretta identificazione dei vettori d’attacco è funzionale sia al PT che alla identificazione delle contromisure; Ricercare potenziali vulnerabilità specifiche per la tipologia di target attraverso fonti di Intelligence. Service scanning: in questafase saràeffettuataunascansioneautomaticadelle vulnerabilità. I risultati sarannorevisionati manualmente per individuare i servizi sucui effettuare attacchi mirati e contestualmente si procederà all’eventuale personalizzazione degli exploit necessari allo sfruttamento delle vulnerabilità. Exploitation: in base alla tipologia di PT (Infrastrutturale, Applicativo e su Dispositivi), saranno eseguiti una serie di attacchi finalizzati allo sfruttamento delle possibili vulnerabilità identificate. In questa fase potranno emergere anche ulteriori vulnerabilità non note o ulteriori rispetto a quelle identificate durante la fase di Service Scanning. CAUTELE ADOTTATE NELLA FASE DI EXPLOITATION: Il RTI adotterà le seguenti misure e accorgimenti operativi al fine di evitare il sovraccarico e/o indisponibilità dei target oggetto di test: esecuzione ove applicabile dei test in ambienti di pre-produzione o Staging escludendo impatti sugli ambienti di esercizio per limitare indisponibilità e/o accesso ai dati di produzione che potrebbero determinare impatti in termini di GDPR esecuzione fuori dall’orario lavorativo esclusione di impiego di tecniche di Denial of Service condivisione e richiesta preventiva di autorizzazione da parte dell’Amministrazione per procedere all’effettivo Exploiting di vulnerabilità che possano determinare impatti critici sui Target oggetto di test impostazione conservativa degli strumenti automatici al fine di ridurre eventuali congestioni di rete o sovraccarico/indisponibilità dei sistemi. Per tutte le vulnerabilità con classificazione alta e critica, salvo diversi accordi, sarà cura del team operativo la segnalazione tempestiva ai referenti designati, nel rispetto dei vincoli di confidenzialità e integrità del dato. Analoga prassi sarà adottata se le vulnerabilità riscontrate dovessero riguardare dati personali con impatti GDPR Post- Exploitation: una volta ottenuto l’accesso al sistema target si proseguirà all’individuazione ed acquisizione delle informazioni reperibili localmente al fine di porre le basi per l’elevazione dei privilegi o l’attacco di sistemi adiacenti (Privilege Escalation, Discovery, Credential Access, Lateral Movement). Nello specifico:
Identificare le vulnerabilità locali: il sistema viene analizzato dall’interno per individuare le vulnerabilità locali note o le configurazioni errate che consentono l’elevazione dei privilegi; Identificare i file/dati interessanti: vengonocercati sul sistemafile utili (es. backup, dump del database, script, password hardcoded) per elevare i privilegi, impersonare altri utenti ed acquisire dati confidenziali; Identificare le relazioni di fiducia: vengono individuate le relazioni di fiducia con i sistemi o componenti adiacenti al fine di portare a termine degli attacchi strutturati sull’intero insieme dei sistemi oggetto di verifica; Privilege escalation: vengono portati a termine attacchi per elevare il livello di privilegi sul sistema/applicazione attaccata; Rimozione strumenti di attacco: in questa fase viene eseguita una rimozione di tutti gli strumenti utilizzati nel corso delle attività legate al Penetration Test; Proof of Concept: durante tale faseper le vulnerabilità alte e critiche potranno essere dimostrate le limitazioni di sicurezza e le vulnerabilità identificate attraverso lo sviluppo di “Proof of Concept”. Nel caso in cui durante la fase di Exploiting, il tester identifichi l’evidenza di un attacco o compromissione del target in corso o già avvenuta, si procederà con tempestiva notifica all’Amministrazione e l’attività sarà interrotta. Questo approccio evita il potenziale inquinamento di eventuali evidenze presenti sui target, salvaguardando un potenziale intervento di analisi forense Reporting: concluse le attività di analisi sarà predisposta la reportistica dettagliata di quanto effettuato per fornire indicazioni sull’andamento dello stato di sicurezza dei target. La reportistica, prodotta e consegnata al termine di ogni sessione di PT, prevedràundocumento di executive summarye untechnical report.
8.1.1 STRUMENTI E SOLUZIONI TECNOLOGICHE. Di seguito sono riportati i principali strumenti/soluzioni tecnologiche che saranno utilizzati per l’erogazione del servizio. Gli strumenti/tool di analisi riportati di seguito sono da intendersi a titolo non esaustivo. Nel corso delle attività, anche in considerazione dell’evoluzione delle minacce cyber, dell’utilizzo di tecnologie specifiche da parte dell’Amministrazione nonché dell’evoluzione del processo tecnologico potranno essere utilizzati ulteriori strumenti al fine di garantire un livello di qualitàelevatonel corso delle attività.
Ambito di utilizzo | Principali strumenti |
PT Infrastrutturale | Open Source: nmap, netdiscovery, dnsrecon, dig, metasploit, netcat, masscan,scapy,hping, CrackMapExec, Air-Ng tools, Wifite, Airgeddon, Wireshark; Di Mercato: Acrylic WIFI , Hak5 Wifi (HW e SW), Nessus |
PT Applicativo | Open Source: Objection, Xxxxx ,Apktool, Dex2jar, Xxxxxx, Drozer, MobSF, Clang Static Analyzer, Andrubis, Flawfinder, ApkAnalyser, Androwarn, Ghidra, Radare; Di Mercato: Nessus, Burp Proxy Professional |
Ambito di utilizzo | Principali strumenti |
PT Device IOT | Open Source: Burp Proxy Professional, Blue Scanner, Blue Sniff, BlueBugger, BTBrowser, BTCrawler, BlueSnarfing, ZigDiggity; Di Mercato: HackRF, Proxmark |
Red Team | Open Source: Social Engineering Toolkit (SET), Gophish, Invoke-Obfuscation, VeilFramework, Empire Project, DNSExfiltrator, Cloakify Factory; Di Mercato: Cobalt Strike, Metasploit Pro |
8.2 PROPOSTA DIDELIVERABLE DOCUMENTALI. A seguito delle attività svolte in ambito Penetration Test sono proposti i seguenti deliverable documentali
necessaria afornire all’Amministrazione una visione di alto livello, nonchétecnica, dello stato di sicurezza dei target oggettodelle analisi:
Deliverable | Contenutiesemplificativi |
PT Executive Summary | Report direzionale, con vista Executive, pensato per fornire una visione concreta al Management dello stato di sicurezza del patrimonio informativo. Talereport includeràun riepilogo generale delle attività eseguite e sintetizzerà i risultati ottenuti. Nello specifico: Sintesi delle attività svolte e dei sistemi sottoposti ad analisi, con informazioni relative alla loro criticità per l’Amministrazione nonchédi eventuali impatti normativi come GDPR; Sintesi dei risultaticon indicazionedei sistemi vulnerabili, aggregati per tipologia di vulnerabilità e livello di criticità (intermini qualitativi , ovvero il livello di vulnerabilità complessivo - alto, medio, basso – e quantitativonumerodi vulnerabilità totali, critiche eelevate). Sarannoinoltre evidenziatigli impatti qualitativi (secondoilivellialto, medioebassoincoerenzaconquantodefinito dal CVSSv.3), in caso di ipotetico sfruttamento delle vulnerabilità da parte di un attaccante Cyber, in termini di perdita di confidenzialità, integrità e disponibilità dei dati dell’Amministrazione e le principali cause che portano alla presenza e potenziale sfruttamento della vulnerabilità sui target in ambito. Sintesi delle principali azioni di rimedio – Classificate/prioritizzate in termini qualitativi (esecuzione nel breve, medio e lungo termine) definitea mitigazionedelle vulnerabilitàe rappresentazione del remediationplancon evidenzadelle azioni prioritarie edelle tempistiche necessarie per l’implementazionedelle stesse. |
PT Technical Report | Documento tecnico contenente un’analisi dettagliata e completa del livello di sicurezza, insieme a tutte le informazioni sulle vulnerabilità riscontrate, sullemodalità di sfruttamento erelative azioni per mitigare e, ove possibile, per eliminare tali vulnerabilità. Il Technical Report è formato da resoconti analitici e grafici e contiene i seguenti elementi principali: Descrizione di deaglio dei test di sicurezza eseguiti sui target in ambito(onpremises- oncloud); Lalistaditue levulnerabilità riscontrate con indicazione di: nome della vulnerabilità sullabase del CVE (Common Vulnerabilitiesand Exposures), livello diseverità inbasealla probabilitàdi sfruttamento(alto, medio, basso) ed all’impatto legato allo sfruttamento della vulnerabilità (alto, medio, basso per Riservatezza, Integrità e Disponibilità - RID), dettagli tecnici sulla vulnerabilità rilevata ed evidenze documentali (con eventuale supporto di immagini e tabelle) delle attività svolte (comandi eseguiti e risposte dei sistemi).Le informazionidimensionaliper la valutazionedelle vulnerabilitàe delle relative remediation, sonobasatesul sistema di scoring delle vulnerabilità CVSS e sono principalmente le seguenti: vettore di attacco, complessità di attacco, privilegirichiesti, tipologia di interazione dell’utente, possibilità dipropagazione, impattisu confidenzialità, integrità edisponibilità. Ciascuna delle dimensionicitate sonovalorizzate suunascaladimensionaleda1a 10, conunasintesifinaledi rischiosità chepuòassumerei seguentivaloriqualitativi:critico, alto, medio obasso. |
PT Remediation Plan | Remediation plan comprensivo delle iniziative tecniche da pianificare e svolgere per la mitigazione/risoluzione delle vulnerabilità identificate. Per ogni azionedi rimedio sono fornite le seguenti informazionidimensionali di dettaglio: attività da svolgere per la risoluzione delle vulnerabilità, complessità richiesta, nonché tempistiche dell’Amministrazione per l’esecuzione della stessa. Ciascuna delle dimensioni citate è valorizzata secondo le seguenti informazioni qualitative: tipologia di remediation (es: R1-risoluzione completa con azione da implementare, R2-soluzione alternativa/compensativa/workaround), complessità per la risoluzione tecnica della vulnerabilità (C1-molto alto, C2-alto, C3-medio o C4-basso), tempistiche di risoluzione stimate (T1-ore, T2-giorni, T3-settimane o T4-mesi con relativa proposta di pianificazione). Tali parametri sono determinati sulla basedella collaborazioneconiprincipali teamoperatividell’Amministrazione impattati dalla vulnerabilità riscontrata e dall’azione di rimedio definita per la risoluzione. La determinazione di Priorità nell’applicazione delle azioni dirimedio èinfine determinatadalla combinazione delle informazioni qualitative descritte elarischiosità dellavulnerabilità. Il parametrodi Priorità risultante èespresso intermini di P1-Critica, P2-Alta, P3-Media o P4-Bassa. |
8.3 TEAM DI LAVORO. Il team ottimale rispetterà i requisiti specificati nel CTSa cui si aggiungeranno i requisiti migliorativi sintetizzati di seguito.
Profilo | Requisito migliorativo generale |
Security Principal | Nelcasodiesecuzionedi PTdi tipo mobilenelteamsaràinserita almeno una figura con in possessolacertificazione eMAPT NelcasodiesecuzionediPTdi tipo infrastruuralenelteam sarà inserita almeno una figura inpossesso di almeno una delle seguenti certificazioni: eCPPT, GPEN, OSCP , eCPTX, OSWP,eCXD,eCTHP,CRTP,eJPT Nel casodi esecuzionedi PT di tipo applicativo nel team sarà inserita almeno una figura con in di almenounadelle seguenti certificazioni: OSWE, eWPTx, eCTHP, CRTP, eJPT |
Senior Penetration Tester | |
Junior Penetration Tester | |
Forensic Expert |
9 PROPOSTA PROGETTUALE PER IL SERVIZIO“COMPLIANCE NORMATIVA”
Il servizio di Compliance normativa prevede la definizione di un Sistema di gestione della Privacy in grado di governare in un’ottica di lungo periodo tutti gli adempimenti GDPR impattanti sui sistemi IT. Il RTI si impegna ad erogare le attività in ambito nel rispetto dei requisiti tecnico-funzionali specificati nel CTS, facendo affidamento sugli elementidistintivi elencati di seguito:
1. Multidisciplinarietà delle competenze (IT, legali, operative e organizzative) integrate in team strutturati, dimostrata nel corso di oltre 500 esperienze progettuali realizzate a livello nazionale negli ultimi 4 anni per più di 150 clienti. Utilizzo del GDPR Compliance Framework (GDPR CF), strumento per l’automazione ed il governo dei processi, che include la metodologia per lo svolgimento delle attività, modelli (differenziati per tipologia e complessità delle
amministrazioni considerate), processi, questionari, baseline di requisiti, strumenti automatizzati, in grado efficientare le attività progettuali 3. Costante aggiornamento normativo realizzato attraverso l’Osservatorio Privacy del RTI che si avvale anche della collaborazione con l’Università Statale di Milano, POLIMI, Università Luiss ed associazioni in ambito privacy e security come IAPP e ISACA, dimostrato anche dalle molteplici pubblicazioni (oltre 20) relative ai servizi di compliance GDPR 4. DRA ed EYA si possono avvalere della collaborazione dei propri Studi Legali Associati. Il team legale italiano EY è stato insignito, a conferma delle capacità e competenza in ambito privacy, per il quarto anno consecutivo del Corporate Intl Magazine Global Award e del Global Law Experts (GLE), nella categoria“Data Privacy Law” in Italia, premio di rilevanza internazionale.
9.1 MODALITA’ DIESECUZIONE DEL SERVIZIO, AMBITIDIINTERVENTO, MODELLO ORGANIZZATIVOE STRUMENTI.
9.1.1 MODALITA’ DIESECUZIONE DEL SERVIZIOE AMBITIDI INTERVENTO
Il Sistema di gestione della Privacy ha necessità di essere disegnato, analizzato, implementato, monitorato e continuamentemiglioratoin un’ottica anchedilungo periodo, al fine di trasformare la privacy in un fattore abilitante per il trattamento dei dati da parte dell’Amministrazione e garantire agli interessati (es. cittadini, utenti, dipendenti dell’Amministrazione) laprotezionedeidati personali. Atale scopo, il RTI utilizzerà, perguidarelosvolgimentodelleattività, ilGDPRCompliance Framework(GDPRCF).Talestrumentoproponeunametodologiaperladefinizioneemantenimento del sistema privacy ed è caratterizzato da un ciclo di 4 fasi: a) Analisi; b) Implementazione; c) Verifica; d) Continuous Improvement. Quest’ultima fase è abilitata dal Privacy Maturity Model (PMM), ovvero uno strumento in grado di intercettare nel continuo, i punti di forza e di miglioramento del Sistema di gestione della privacy esprimendo lo stato di
maturitàeidentificandoinmododinamicoleareediintervento. L’utilizzodel GDPRCF, oltrea mettereadisposizioneunsetesaustivodistrumentiautomatici, potrà, in funzione delle esigenze progettuali, essere supportato da un prodotto software integrato che consente di gestire il Sistema Privacy in modalità condivisa e collaborativa tra tutti i soggetti interessati (es. DPO, Privacy Officer, IT, Sicurezza, Risorse Umane, Acquisti). In entrambi i casi saranno garantite tutte le funzionalità sotto descritte. Con particolare riferimento agli strumenti di analisi e template, in analogia al servizio di Security strategy, il framework prevede modelli differenziati per tipologia e complessità delle amministrazioni considerate (in tal modo, considerando la completa copertura dei requisiti privacy, i template/checklist sarannopiù omenoarticolati asecondachesiconsideriunagrande ounapiccolaamministrazione).
Legenda: funzionalità automatizzata. a) Analisi: La fase di analisi prevede lo svolgimento di un assessment () per verificare lo stato di conformità alla normativa applicabile da parte delle Amministrazioni al fine di comprendere le aree maggiormente a rischio e identificare gli eventuali interventi di rimedio necessari per garantire conformitàe allo stesso tempoautomatizzare i processi privacy. Abeneficiodi tale attività e delle successive, il RTI potrà avvalersi di un “Osservatorio Privacy” il cui scopo è quello di recepire ed analizzare tempestivamente le evoluzioni normative (normativa, regolamenti, standard, provvedimenti del Garante Privacy). All’avvio delle attività di assessment il RTI individuerà e formalizzerà un Compendio contenente norme, regole e principi rilevanti per l’Amministrazione (es. provvedimenti del Garante Privacy, LLGG in tema di FSE e DS, opinion del EDPB). Sulla base della tipologia di amministrazioneedinparticolaredellatipologiadi dati trattati, il GDPRCFconsentiràdi definireunaGDPRRequirements Checklist contenenteirequisiti GDPR applicabili ai diversi macro ambiti (es. struttura del registro dei trattamenti, misure di sicurezza in funzione dei livelli di rischio, gestione delle richieste degli interessati enotifiche dei data breach). IlGDPRRequirements Checklist èunostrumentoparametrizzabilecheconsente diottenere check-list di analisi (basati su standard quali ISO27701, linee guida ICO, ENISA, CNIL) sulla base della tipologia dell’amministrazione e dei dati trattati e attraverso domande specifiche e punteggi assegnati automaticamente ad ogni risposta (la maggior parte a risposta chiusa), la definizione dell’attuale livello di conformità e la rilevazione dei Gap. Sulla scorta di tale strumento, il RTI raccoglieràedanalizzerà ladocumentazionedisponibile in ambito(ad esempio, ove esistenti, politiche eprocedure, registro dei trattamenti, classificazione dei dati, esiti della valutazione dei rischi e di verifiche/audit); svolgerà i necessari approfondimenti tramite intervista con i referenti dell’Amministrazione, ad esempio DPO, referenti IT e Sicurezza, HR, principali outsourcer; identificherà il perimetro dei sistemi IT contenenti dati personali, le misure tecniche di sicurezza e le soluzioni tecnologiche in essere, nonché i sistemi che raccolgono i consensi al trattamento dati di soggetti esterni edinterni; predisporràecompileràle schede per il censimento deitrattamentie sulla base di queste provvederà alla redazione/aggiornamentodel registro dei trattamenti attraversol’utilizzodel Record of Processing Activities (ROPA) Template che permettono di ridurre, fino ad eliminare, scambi di email egarantire unagovernancecentraledeitrattamenti; laddoverichiestoeffettuerà, propedeuticamenteallacompilazionedelregistro, la discoveryautomatica delle informazioni strutturate e destrutturate presenti sugli asset informativi (Hawk Discovery); classificherà i dati attraverso la definizione del livello di criticità delle tipologie di dati trattati (es.: dato sanitario)dall’Amministrazione (Data Classification). Sulla scorta delle informazioni raccolte, in particolare sulla natura dei trattamenti, il RTI personalizzeràla GDPR Requirements Checklist ed eseguirà una Gap Analysis dei presidi esistenti per l’individuazione dell’attuale livello di conformità. A titolo di esempio e con riferimento alle misure tecniche IT/Sicurezza saranno analizzate: le modalità di accesso dei dati da remoto, le modalità tecnichedi attuazione delle richieste da parte degli interessati di cancellazione e/o modifica e/o accesso, la nomina e verifica degli amministratori di sistema, la gestione dei log, la cifratura delle basi dati, ecc. Il risultato di tale attività sarà un Report di Compliance che evidenzierà i gap per una piena conformità al Regolamento. Tale Report includerà la proposta del Piano degli interventi che include gli interventi utili a mitigare il rischio di non conformità, espressi in termini di attività previste e approccio operativo, risultati attesi, roadmap di implementazione e stime dei costi di realizzazione. Il piano prevederà interventi di tipo organizzativo, di processootecnologicoed in particolare, l’adozione di tecnologie IT/Sicurezza utili almiglioramento della protezionedei dati personali (es. dispositivi per gestire i cookies, sistemi di encryption/mascheramento, modalità sicure di autenticazione – es. strong authentication). Report e Piano sarannocondivisitramite specifici workshopconl’Amministrazionee, ove possibile, in sinergiaconle attività di supportoagli stakeholder delle strutture di verticedell’Amministrazione propostenel servizio di Security Strategy (§ 4.1.1.3).
b) Implementazione (): Tale fase consentirà di indirizzare le azioni di rimedio emerse a seguito dell’Assessment ed incluse nel Piano degli interventi - o già previste dai piani di conformitàdell’Amministrazione. Allo scopo di massimizzare l’efficacia degli interventi e la logica del riuso, le attività di implementazione sonoeseguitesecondoun modellooperativo che prevede lamessaadisposizione ditemplate consolidati per le componentidel framework documentale (es.
politiche, procedure, metodologie, nomine a responsabile, informative, data processing agreement, materiale formativo) che saranno condivisi con
l’Amministrazione e personalizzati sulla basedelle specifiche necessità. Per tali attività l’approccio proposto sarà: comprensione del contesto eraccolta delle informazioni per quantonon giàemersoinfasedi Analisi; predisposizione di unaproposta dei componenti del framework documentale a partire damodelli coerenti per tipologia e complessità dell’Amministrazione, customizzati sulla base delle informazioni raccolte; condivisione con l’Amministrazione fine tuning e finalizzazione. Per tale fase si prevedono, a titolo esemplificativo e non esaustivo, le seguenti attività (per ciascuna di esse sono citate le funzionalità utilizzate a supporto): Definizione e/o aggiornamento del modello organizzativo privacy, sulla base di modelli coerenti per tipologia e complessità dell’Amministrazione, ivi inclusi ruoli (es. Amministratori di Sistema), responsabilità e flussi informativi anche verso le altre figure previste nel modello quali Titolare, DPO ed Incaricati. Allo scopo il RTI popolerà e manterrà un Repository dei modelli organizzativi per tipologia di Amministrazione (GDPR Benchmark Repository) Definizionediprocesso, procedure epoliticadi dataretentionedeletion comprensividelleregole daapplicare perognisistema(Data Retention Matrix - strumento per la determinazione delle tempistiche massime di conservazione dei dati in funzione della loro tipologia - per la determinazione delle tempistiche massime di conservazione dei dati in funzione della loro tipologia). Tali regole consentiranno all’Amministrazione di implementare azioni automatiche (es. script, query realizzate su dati strutturati dai DBA) per cancellare, anonimizzare o pseudonimizzare i dati; Definizione di processo e procedure per la gestione delle richieste dei soggetti interessati nonché dei modelli di risposta alle richieste (Moduli DSR) con i relativi strumenti/pratiche IT/Sicurezza (es. individuazione dei dati, portabilità, cancellazione) a supporto; Definizione del processo di Privacy by Design, incluse le misure tecniche IT/Sicurezza (es. sistemi di data loss prevention, tecniche di cifratura, gestione e monitoraggio degli accessi amministrativi, tracciamento degli eventi/log) ed organizzative necessarie per assicurare che siano trattati, fin dalla progettazione e per impostazione predefinita, solo i dati necessari per ogni specifica finalità di trattamento nel rispetto del principio diminimizzazione (Privacyby Design Checklist – PbDC); Definizione di processi, modelli standarde adozione di uno strumento(Notification Criteriaworkflow) perlavalutazione dell’impattodiuneventualeData Breachelagestionedell’eventualenotificaall’AutoritàGarante o la comunicazione ai soggetti interessati. Si noti che, laddove il data breach fosse di natura informatica, il processo sarà integrato con quanto definito per il servizio di gestione degli incidenti informatici (§7.1). Il Notification Criteria workflow è basato sumetodologie approvate dalle Autorità di Controllo, contiene i criteri (es. numero di interessati coinvolti, tipo di dati violati, ecc) da applicare per la valutazione dell’impatto di un eventuale breach; Definizione di una metodologia di analisi dei rischi privacy che consenta di valutare la rischiosità intrinseca dei trattamenti dell’Amministrazione e di avviare anche l’eventuale processo di analisi degli impatti (DPIA) per i trattamenti a rischio elevato (Risk Analysis & DPIA - per l’esecuzione dell’analisi dei rischi o della DPIA in maniera guidata, con il supporto di workflow autorizzativi e uso di algoritmi che permettano una determinazione automatica dell’impatto e rischio residuo;); Elaborazionediunpianodicomunicazioneeformazionedelpersonale dell’Amministrazione;Preparazionedicorsiinmodalitàe-learningoppureerogazione di sessioni formative in aula/da remoto sui requisiti previsti dal GDPR e rilevanti per l’Amministrazione, comprensivi di test di valutazione delle competenze acquisite e richiami periodici di aggiornamento; simulazioni di specifici processi descritti dalle politiche e procedure prodotte, con il coinvolgimento del personale addetto (es. simulazioni di data breach; simulazione di ispezione da parte dell’Autorità Garante con il supporto anche di spazi innovativi, come il Wavespacedi EYAe il GreenHousedi DRA); invio periodicodi Privacy Highlights , ovvero newsletter con le principali novità legislative e avvenimenti privacy.
c) Verifica (): talefaseconsentedimisurarel’effettivaimplementazione deirequisitinormativiacuiè soggettal’Amministrazione, valutareilrischioderivante dai gap ed il livello di maturità raggiunto, proponendo eventuali punti di miglioramento, attraverso piani di azione costantemente monitorati. Tale fase prevederà le seguenti attività: predisposizione e condivisione di un piano delle verifiche; affinamento dideaglio e finalizzazione del piano; esecuzione dell’attivitàdiverifica; condivisionepreliminaredeirisultaticonireferentidelleattivitàoggettodiverifica; predisposizionedi unreportdisintesiedidettaglio delleverifiche, ciascunodeiquali prevederàleosservazioni effettuate; gap, i puntidimiglioramentoo learee di forzaindividuate; lapropostadiactionplan;
l’azione condivisa con l’Amministrazione; presentazione finale dei risultati. Per tale fase il RTI propone l’elaborazione di un piano periodico di verifiche di conformità chepotràincludere, atitoloesemplificativoenonesaustivo, leseguentitipologiediverifica: Auditverticalesuirequisiti GDPR:verifica, attraverso l’uso della GDPR Audit Checklist (strumento parametrizzabile per tipologia di amministrazione ed ambito di verifica), dell’adeguata implementazione dei processi e dei controlli definiti nella fase implementativa, rispetto ai requisiti privacy applicabili Audit periodici sui responsabili esterni del trattamento tramite la determinazione dei criteri di selezione delle terze parti e la definizione della modalità di verifica (self-assessment, documentale, on-site) anche attraverso il Third Party Risk Assessment; Audit suiconsensi, che, sulla basedei sistemi IT che raccolgonoconsensi, sia interni che esterni, prevede laverifica dell'esistenzadi documentazione/evidenzedelrilasciodelconsensoinformato, l’analisi dellecaratteristiche/configurazioni dei softwareadibiti allagestionedel consenso; individuazione automatica dei trattamenti basati sul consenso Stress Test con simulazioni di ispezioni da parte dell’Autorità Garante Privacy e simulazione di esercizio dei diritti degli interessati. Sulla base degli esiti del piano periodico di verifiche, il RTI supporterà l’Amministrazione nell’elaborazione della reportistica relativa agli esiti delle verifiche di compliance (Rapporti dicompliance).
d) Continuous Improvement: Al fine di trasformare la privacy da adempimento di legge ad abilitatore “mandatorio” e cogliere tempestivamente i rischi normativi/sanzionatori/IT, si prevede l’adozione del PMM (o in alternativa il Data Protection Maturity Self-Assessment Modelrilasciato dal CNIL). Tali modelli permettono di misurare in modo continuativo e dinamico lo stato di maturità dei processi privacy, di business e IT in conformità alla normativa applicabile e quindi consentire sia di monitorare il piano complessivodegli interventi, sia di cogliere areedi miglioramento e/o automazionedi alcuniprocessi in un’ottica dicontinuousimprovement. Il PMMnonsostituisce, maintegraerafforzaleverificheperiodiche, divenendouno strumentoutilea supportodell’Accountability del Titolare, attraversoladefinizione diindicatori (KPI eKRI) alimentabili inmanierasemi-automaticaecontinua, così da offrire all’Amministrazione una visione di conformitàematuritàprivacymisurabileecompletainognimomento. Lostrumentopermettequindidiacceleraree rendereproattiveleattivitàdirimedio, rendendole integrate by design nei processi di business. A titolo esemplificativo nel PMM saranno rappresentati, attraverso un cruscotto di indicatori (es. tempi di evasione delle richieste interessati, trattamenti ad alto rischio con DPIA eseguita, data protection agreement sottoscritti), i livelli di maturità dell’Amministrazione rispetto ai requisiti privacycon uncollegamento ai rischi che il livello di maturitàidentificato può comportare
9.1.1.1 DELIVERABLE - Si proponedi seguitounelencononesaustivo dei deliverable che sarannopredisposti:
Deliverable | Contenutiesemplificativi |
Rapportidicompliance | I dettagli sulla strutturadel template sono presenti all’interno della sezione§9.3. |
Scheda censimento e registri deitrattamenti | Registri dei trattamenti (in titolarità e responsabilità), derivanti dalla fase di implementazione, corredati da apposite schede/questionari automatizzati per lacompilazione/aggiornamento. |
Set documentale in ambito privacy | Set documentale, derivante dalla fase di implementazione, composto da policy, procedure operative, manuali, template di misure di sicurezza ed altra eventuale documentazione (es. la procedura di gestione dei data breach, metodologia di DPIA o procedura di Privacy by Design). |
Maturity Dashboard | Dashboard, derivante della fase di continous improvement, contenente indicatori, anche autoalimentati, che mostrano in modo dinamicolo statodi maturitàdella privacy evidenziandoaree su cui ènecessariointervenire. |
9.1.2MODELLOORGANIZZATIVOPROPOSTO.Ilmodelloprevederàunteamdiprogettoguidatodaun Project Manager(Security Principal) cheavràloscopo di definire, in accordo con l’Amministrazione, le tempistiche e le milestone progettuali. Tale risorsa coordinerà lo svolgimento delle differenti attività, assicurando in particolar modo che le competenze del Data Protection Specialist siano pienamente integrate nello svolgimento delle attività e che possano esseredi indirizzo allo svolgimentodelle attività svolte dalle figure conunacompetenzamaggiormentetecnologica. Il Data Protection Specialistataleproposito saràmaggiormente coinvolto nelle fasi di analisi ed implementazione esarà supportatodalla figura del Seniore Junior Information Security e Consultant nelle attività più strettamente legate ad aspetti di sicurezzaquali il supporto nella valutazione delle misure di sicurezzatecniche, nelle procedure di asupportodella garanzia di confidenzialità, integrità e disponibilità dei dati. Specialmente nella fase di verifica sarà coinvolto il Senior Security Audit che, sempre guidato dal Project Manager, saràlafiguraprepostaall’esecuzionedelleverifiche suisistemi informativi. Pertaliverifiche, vistal’ampiezzadel perimetro, il teamsaràinoltre integrato con le competenze più verticali del Data Protection Specialist. Ove necessario il RTI potrà accedere a competenze e risorse ulteriori disponibili nei relativi Studi Legali Associatiper la valutazione e l’interpretazione dei risvolti normatividelle attività svolte.
9.1.3 STRUMENTI E SOLUZIONITECNOLOGICHE. Nel corso delle attività di Compliance Normativa, il RTI utilizzerà strumenti e soluzioni tecnologiche al finedi efficientare, automatizzare erendere più efficaci ed accelerare lefasi di analisi, implementazione, verifica e continuous improvement. In particolare:
Ambito di utilizzo | Principali strumenti |
Analisi/ Implementazione/ | GDPR CF – Compliance Framework Lo strumento proprietario include a titolo esemplificativo e non esaustivo le seguenti funzionalità (Analisi)GDPRRequirement Checklist;ROPATemplate; Data Classification(Implementazione) PrivacybyDesign Checklist; |
Verifica | Risk Analysis& DPIA; Data Retention Matrix; Il Notification Criteria Workflow; Moduli DSR;(Verifica) GDPR Audit Checklist; Third Party |
Risk Assessment.DPPM-Data Protection PlatformManagement– strumentoproprietariochesupportalevarieattivitàdel Sistema di gestione privacy come ad esempio: la manutenzione del registro dei trattamenti attraverso l’uso di una console centralizzata di | |
monitoraggio e un invio di link per la review dei dati presenti sul registro dei trattamenti, la gestione dei breach attraverso modelli | |
definiti sulla base dei requisiti espressi dal Garante e che consentono in modo “automatico” di comprendere la necessità o meno di | |
segnalare il breach; le richieste degli interessati permettendo di censire le stesse in modo ordinato e facilitando il rispetto dei tempi di | |
risposta. Si sottolinea che il RTI potrà svolgere le attività anche utilizzando strumenti di cui l’amministrazione si è già dotata. | |
Analisi Implementazione | Hawk Discovery strumento proprietario utilizzato perle attività di datadiscovery e dataclassification automatizzate. GDPR Benchmark Repository, archivio documentalecontenentemodelli organizzativi e modelli di policy e procedure. |
Continuous Improvement | Privacy Maturity Model (PMM) o Data Protection Maturity Self-Assessment Model del CNIL, strumenti per lamisurazionedel livello di maturitàraggiunto dall’Amministrazione. |
9.2 PROPOSTADI RAPPORTO DICOMPLIANCE I rapporti di compliance sonodei report cheincludono al loro interno lavalutazione sullo stato diconformità privacy rispetto alle analisi e/o verifiche effettuate. In funzione dell’ambito di analisi, i rapporti considereranno i criteri di verifica applicabili a tutto il Sistema Privacy o a specifici ambiti di analisi (es. misure di sicurezza tecniche IT/Sicurezza, data retention, cookies, consensi). I criteri di verifica misurano l’aderenza ai requisiti Privacy, l’esposizione al rischio sanzionatorio, l’efficacia e la maturità del Sistema Privacy. Fra i criteri di verifica, saranno considerati, a titolo esemplificativo e non esaustivo, gli aspetti inerenti la completezza del registro dei trattamenti, la completezza delle nomine a responsabile, l’esaustività delle verifiche delle attività svolte dagli Amministratori di Sistema, l’adeguatezzadelle misure IT/Sicurezza in uso. I Rapporti saranno strutturati secondo le seguenti sezioni principali: a) sintesi, obiettivi, criteri diverifica, perimetro e tempistiche delle attività svolte; b) descrizionedelle attività, anche in ottica IT fornendo le informazioni necessarieperle attivitàdiverificasuisistemie lerelativemisure disicurezza; c)risultatieraccomandazioni. Asecondadell’ambitodiverificadella compliance, al rapporto saranno allegate checklist compilate, evidenze documentali e procedurali o di configurazioni sistemistiche se l’attività fosse di tipo tecnico ed effettuata sui sistemi IT. Ogni rapporto di compliance sarà, in tale sezione, corredato da una scheda di valutazione per la formalizzazione degli esiti dei controlli. La valutazione prevederà a titolo indicativo l’assegnazione di un rating, l’identificazione dei gap rilevati che supportano il rating assegnato, l’identificazione delle azioni di rimedio ritenute necessarie per colmare i gap identificati edel livellodi priorità delle azioni (da urgentearinviabile) d) Piano degli interventi: piano delle attività, derivante dalla fase di analisi, suddiviso per interventi di tipo documentale, di processo o tecnologici estesi ai macro ambiti di intervento (secondo i contenuti descritti nel paragrafo §4.1). Tali azioni sarannoquindi di inputancheperla fase di Continuous Improvement
9.3 TEAM DI LAVORO. Il team ottimale rispetterà i requisiti specificati nel CTSa cui si aggiungeranno i seguenti requisiti migliorativi.
Profilo | Requisito migliorativo Generale | Requisito migliorativo Specifico |
Security Principal | Nel team sarà inclusa almeno una risorsacon certificazione CIPP/E o CDPSE | |
Data Protection Specialist | ||
Junior Information Security Consultant |
Senior Information Security Consultant | Possessodella qualifica di Lead Auditor ISO 27001 aggiornata all’ultima release, per almenoil 70% delle risorse, appartenenti al suddetto profilo professionale, nell'ambito di ciascun contrattoesecutivo | |
Senior Security Auditor | Possesso della qualifica di CISA, per almeno il 70% delle risorse, appartenenti al suddetto profilo professionale, nell'ambitodi ciascun contratto esecutivo |
10 PORTALE DELLA FORNITURA
Il Portale di Fornitura che il RTI propone per le attività di governance e di gestione dei servizi e delle iniziative previste da Capitolato, nonché per le attività di comunicazione e condivisione delle esperienze maturate dalle PA aderenti all’AQ, è progettato in ottica di semplificazione e ottimizzazione della esperienza utente e, nel rispetto delle regole AgID, prevede interfacceche lo rendono fruibile daqualsiasi device. Particolare attenzione sipone sui temi dell’usabilità per permetterea tutti gli interessati di fruire dei contenuti in maniera agevole. Un mockup esemplificativo èfornito in Allegato 10.A.
1. Il portale si contraddistingueperlapresenza diunsistema dianalyticsereporting, conreportecruscottigraficigiàpredefiniti efunzionalità di self-reporting, utili alla gestione di grandi quantità di dati o analisi complesse. 2. Al fine di migliorare e facilitare la sinergia e il confronto tra le PA accreditate tramite un approccio “social”, sono inclusi nel Portalemolteplici strumenti dicollaborazione e comunicazione nonchéstrumenti innovativi di marketing e promozione per la PA nei confronti dei cittadini, dei professionisti e delle imprese, utili anche a mettere in risalto i benefici dei servizi dell’AQ. 3. Utilizzo di protocolli e standard “aperti” chegarantiscono un ampio ventaglio di integrazioni con strumenti e soluzioni di terze parti.
10.1 SOLUZIONITECNOLOGICHE E FUNZIONALITÀPROPOSTE
10.1.1 LATECNOLOGIALe componenti previste per il Portale della Fornitura possonoessereraggruppate in 3 tipologie di layer: Layer logico: rappresentala vista di tutte le funzioni, servizi e processi di business verticali e trasversali per la gestione dell’intera fornitura Layer tecnologico: contiene gli strumenti e piattaforme tecnologiche atte a supportare ed erogare tutte le funzionalità e i servizi del layer logico. Il RTI intende integrare i migliori prodotti di mercato, certificati dai Magic Quadrant di Gartner, per lagestione dellecomponenti di PPM, Comunicazione, Reporting, Marketing e Customer Satisfaction, quali: è la piattaforma di portali Open Source, leader mondiale, che offre funzionalità di pubblicazione e gestione di contenuti Web. Presenta
un’architettura orientata ai servizi e compatibilità con tutte le principali infrastrutture IT; è una piattaforma di comunicazione unificata che
combinain un unicoworkspace chatdi lavoro, email, riunioni video, gestione documenti (compresalacollaborazione istantaneatra più utenti sudocumenti); è una piattaforma software di Data Analytics e Business Intelligence (BI) che offre funzionalità di reporting, data integration, OLAP services, information dashboards, data mining e risorse ETL; consente: Cdiprogeare erealizzare surveyonlinesucluster diutenti selezionati, analizzando più variabili in relazione a servizi/processi/percezioni; Cdi monitorare le conversazioni sia su canali non-owned (forum, blog, pagine Facebook appartenenti ad altre organizzazioni, ecc.) che sucanali proprietari (es. portale servizi dell’Amministrazione); C di effeuare sentiment analysis;C la disambiguazione e
l’auto-apprendimento basato su un training della piattaforma che consente di migliorare l'accuratezza della selezione fatta in automatico; C il real time tracking e l’analisi delle conversazioni; C sondaggi coinvolgentisfruando grafiche accattivantie icone di gradimento; C di integrarsi con piattaforme per tenere sotto controllo le valutazioni eanalizzarne il cambiamentonel tempo.
Layerarchitetturale: rappresentala panoramicainfrastrutturale del Portale con lo scopodi proporreunasoluzionemodernautilizzandole tecnologie più avanzate presenti sul mercato. In particolare, la soluzione consente attraverso un componente di tipo IDaaS (Identity-as-a-Service), inclusa in Office 365, quale Azure Active Directory, di centralizzare il processo di autenticazione in modo sicurocostituendoun meccanismodi Single Sign-On (SSO). L’utente,infunzionedelprofiloassegnato, vieneautorizzatoall’accesso a specifiche funzionalità e servizi erogati sia in ambienti SaaS, sia in IaaS ospitati su macchine virtuali Windows. Tali ambienti sono adeguatamente protetti seguendo i principi di progettazione della sicurezza cloud e le best practices dei vendor coinvolti (es: MS Azure), con il fine di garantire la
riservatezza,integritàedisponibilitàdelleinformazioni.L’infrastrutturaèinoltreprotettadaunserviziocontinuativodimonitoraggiodellasicurezzaedigestione degli incidenti informatici focalizzata a rilevare eventuali minacce cyber e coordinare le azioni di mitigazione ed eradicazione. La soluzione, interamente modulare, consente al RTI di poter introdurre, durante l’erogazione dei servizi, componenti migliorativi, principalmente Open Source nel rispetto delle linee guida AgID, in grado di garantire una costante qualità del servizio. Il portale della fornitura metterà a disposizione un’interfaccia API in grado di integrare, attraversol’ausiliodei piùcomuni standarddi comunicazione(SOAPe/o REST), eventuali sistemigiàinusodalle PAaderentiall’AQ, comeprevistodacapitolato, consentendol’adozionedimodalitàdilavorocollaborativoel’uniformitàdeiflussidilavorazione. Infine, grazieall’utilizzodi componentieprodottiditipoCloud- Based, verrà garantito un elevato livello di servizio e un’adeguata scalabilità in funzione degli utenti che usufruiscono dei servizi esposti. Il RTI garantisce il rispettodeirequisititecnico-funzionali specificatinel CTScircalemodalitàdiintegrazionedeglistrumenticonil Portaledella Fornitura.10.1.2LEFUNZIONALITA’ Il Portale proposto si compone di diverse componenti logiche, di business e tecnologiche supportate da appropriate misure per garantire la sicurezza e la protezionedei dati. Il Portalesirivolgea unamolteplicitàdi attori, ciascunocondifferentevisionee scopodifruizione. Perquestomotivoaogni profilodiutenza sono dedicate specifiche Aree, funzionalità e strumenti. Le PA che intendono aderire all’Accordo Quadro possono approfondire le modalità di adesione consultando le informazioni incluse nell’area pubblica del Portale e, se interessate, possono accedere ad un’area informativa ad hoc contenente la documentazione ufficiale – normativa, tecnologica e operativa – per l’AQ nonché una guida alla stima utile a valutare la previsione di spesa generata dall’attivazione di un Contratto Esecutivo. Le PA che hanno aderito e sono accreditate, insieme ai rispettivi Fornitori, possono accedere al Portale per
alimentare le informazioni sui servizi attivati, possono usufruire di strumenti di gestione e monitoraggio delle iniziative attivate nonché accederealle soluzioni di collaborazione individuate per favorire la comunicazione e lo scambio di informazioni, opinioni ed esperienze con le altre PA. Gli Stakeholder Istituzionali (Consip ed Agid) possono effettuare verifiche di competenza emonitorare l’andamentodelle progettualità e quindi dell’AQtramite reportistica avanzata.
Accesso(esemplificativo): | Pubblico | Riservato | ||||
AREA | Utentenon autenticato | Utente Amministrazione accreditato che intendeaderire all’AQ | Amministrazioneche C Organismidi e ha aderito all’AQ oordinamento Controllo | Stakeholder istituzionali (Consip e AgID) | ||
Comunicazione | | | | | | |
Informativa | | | | | | |
Project Management | | | | |||
Collaborazione e Monitoraggio | | | | |||
Osservatorio | | | ||||
Il portale è organizzato secondo le seguenti aree, la cui rappresentazione esemplificativa in tabella prevede profili e politiche di accesso che saranno da concordarecon Consip e AgiD in fase di attivazione: AREA COMUNICAZIONE (funzionalità ad accessopubblico): L’Area Comunicazione è accessibile a tutti gli utenti. Tramite l’Home Page del Portale(Area Comunicazione) vengono messi adisposizione contenutiquali: news inerenti alle Pubbliche Amministrazioni, l’iter di adesione all’Accordo Quadro, aggiornamenti sulle evoluzioni della PAper i cittadini e le imprese. Le Pubbliche Amministrazioni chevogliono valutare la
possibilità di adesione all’Accordo Quadro possono consultare gli “step” previsti per l’accreditamento e cercare le risposte alledomande più frequenti, piuttosto che comunicare il proprio interesse ad avviare un Contratto Esecutivo. Ladimostrazione di interesseavviene secondoun processostrutturatoche permette di identificare univocamente la Pubblica Amministrazione che fa richiesta AREA INFORMATIVA : Area nella quale sarà possibile: C esaminare documenti inerenti i servizi previsti dallAccordo Quadro (con descrizione puntuale degli stessi – catalogo servizi) e i modelli operativi previsti dalla fornitura; C consultare i modelli (prototipi) di Progetto di Sicurezza (§4.1.1); Cconfrontarsi conunaguidaalla stima per visualizzare la previsione di spesa legata ai servizi dell’Accordo Quadro. AREA PROJECT MANAGEMENT: L’Area Project Management è dedicata alla gestione dei singoli Contratti Esecutivi. È organizzata in modo da fornire alle Amministrazioni una visione di insieme sullo stato delle attività e la possibilità di governare ciascun servizio attivato. Nell’Area di Project Management è possibile gestire il workflow dei deliverable di fornitura, consultandone quindi il relativo stato di approvazione. AREA COLLABORAZIONEEMONITORAGGIO: L’Area Collaborazionee Monitoraggiopermetteagli Stakeholder Istituzionali, a Consip e agli Organismi di Coordinamento e Controllo (OCC), in virtù del ruolo specifico, di
disporre di un quadro univoco sull’Accordo Quadro e sull’andamento delle attività. La rappresentazione individuata è immediata e intuitiva, con uno stile di comunicazione efficace. L’Area è organizzatain macro-tematiche di riferimentochepermettonoun approfondimentoper categoria di report. Ogni categoria di reportespostapotràessereesplosaperfornireunmonitoraggiodidettaglio sull’avanzamentodellevarieprogettualitàeper avviareun’analisisugliindicatori didigitalizzazione:indicatorigenerali, suddivisialorovoltainindicatoriquantitativi,voltiamisuraredatiquantitativicomeriduzioneditempie spesa, indicatori qualitativi, chepermettonodi misurare il livello di qualità della Fornitura inmodo da identificare eventuali azioni contrattuali daintraprendere, ed indicatori di collaborazione e riuso, dedicati invece alla misurazione degli elementi di riuso; un indicatore di progresso dell’intervento ottenuto attraverso la realizzazione dell’Ordinativo di Fornitura, voltoa calcolare il gradodi mappatura di ciascunaclasse di controlli ABSC (Agid Basic Security Control). Per le singole PAaderenti all’Accordo Quadro il monitoraggio sarà relativo ai soli servizi attivati e relativo all’andamento degli stessi. AREA OSSERVATORIO: L’Area Osservatorio è finalizzata alla presentazione di una reportistica dedicata ai dati relativi alla qualità e alla sicurezza sui servizi
erogati presenti in AQ, consentendo agli OCC e a Consip di svolgere le proprie funzioni di monitoraggio. Tutti i reportsaranno prodotti mensilmentein modoautomaticoed estraibili arichiesta.
10.2 STRUMENTI DI ANALISI DEI DATI E REPORTING Nell’area riservata del Portale è possibile consultare, all’interno di un cruscotto centralizzato, i dati relativi all’Accordo Quadro e ai Contratti Esecutivi in termini di economics, iniziative e servizi avviati e andamento dei servizi stessi. Tali funzionalità potranno beneficiare altresì degli input provenienti dagli ecosistemi di Innovazione proposti dal RTI (§14). La landing page dell’Area Monitoraggio prevede un’area che consente di supervisionare l’intero Accordo Quadro raccordando tutte le iniziativeavviateapartitedaidatielementarichesonoraccoltierappresentatisiaalivello aggregatosiapersingolo servizio. La progettazione della reportistica prevede, per ciascun ambito della Fornitura (servizio o progetto), che i dati possano essere utilizzati a diversi livelli di aggregazione, con dettagli differenti e visualizzabili tramite le rappresentazioni grafiche ritenute piùopportuneedefficaci per unacorrettafruizione. Per ogni report, infatti, se il patrimonio informativo lo permette, è possibile effettuare un drill-down sui dati accedendo a tutti i dettagli e dati raccolti per il calcolo dell’indicatore. Il monitoraggio delle iniziative e dei progetti si avvale della possibilità di verificarne eseguirneanchela diffusione in termini di territorio, della tipologiadi Amministrazione (PAC, PAL, ecc.), e della diffusione territoriale dei progetti su base tecnologica, individuando cluster e strategia d’adozione sempre
maggiormente personalizzati. Attraverso la stessa pagina principale legata ai temi di monitoraggio, è possibile inoltre controllare in maniera rapida e intuitiva lo stato d’avanzamento dei singoli progetti verificando le milestone raggiunte da ciascuno e in maniera aggregata, e verificarel’andamento deiservizierogati tramite il monitoraggio degli indicatori di qualità e la performance dei servizi. Rilevante è, inoltre, anche l’area dedicata al monitoraggio economico, basato
sulla declinazione in termini di importi (disponibili ed erogati) della spesa dedicata ai singoli progetti: esplodendo la paginasul dettaglio di un singolo progetto, infatti, se nevisualizzal’importo complessivo, lo spaccato per erogato edisponibile e le previsioni di consumoper le milestone nonancoraraggiunte. Accanto ai prospetti dei dati elementari, è inoltre possibile gestire: indici statistici (ad es. percentuali di consumo, di impegno, ecc.); ricezione di notifiche (nel caso di possibili sforamenti dei massimali contrattuali, dovuti ad un eccesso di impegni derivanti da iniziative in fase di definizione dei fabbisogni); le stime a finire secondo diversi scenari sia a livello di fornitura complessiva, sia a livello di singolo servizio al fine di monitorare l’andamento dei servizi. Inoltre, lo strumento consente anche di lavorare con funzionalità di self-reporting, rendendo accessibili le funzioni dello strumento di BI per il disegno e la produzione di report in modalità “self service”.
10.3 SOLUZIONI, PROCESSIESTRUMENTIDICOMUNICAZIONEEDICOLLABORAZIONEINCHIAVE “SOCIAL”Il PortaledellaFornituradaspazioallacreazione di una solida rete dicomunicazione e collaborazione: Crisultaapertoadacquisiredatidagli utilizzatori stessi, da altri portali di forniture concomitanti e dagli open data condivisi dalle Pubbliche Amministrazioni sul sito xxxx.xxx.xx.; Cintegra diversi strumentidi comunicazione, come tooldi messaggistica broadcast verso Amministrazioni e newsletter, quali ad esempiola Privacy Highlights (§9.1.1), dedicata alle principali novitàlegislative eavvenimenti privacy; Cfavorisce l’interazione tracittadini, impresee PA;Cgarantiscetrasparenza, partecipazioneecollaborazione. Imeccanismieiprocessidicomunicazione ecollaborazione con le Amministrazioni contraenti saranno effettuati attraverso il Portale, in linea con quanto riportato nella Procedura di Coordinamento Generale e nelle Procedure di Coordinamento specifiche per ogni Contratto Applicativo, come riportato nella Soluzione Organizzativa. 10.3.1 AREA COLLABORAZIONE E MONITORAGGIO Come strumento di Collaborazione e Comunicazione, all’interno della pagina “Area Collaborazione e Monitoraggio” è presente una sottosezione Forum che permette a tutte le PA aderenti di visualizzare e interagire nelle conversazioni
più recenti in merito a diverse categorie (quali ad esempio “Attivazione nuova iniziativa”, “Gestione anomalie”, “Varie”), con funzione di ricerca ed evidenza della preview della conversazione, dell’Ente/Nome utente chehaavviatolastessa edel numero di risposte; la sottosezione puòscorrere in modo da visualizzare tutte le anteprime così come presentate e inordine cronologico; cliccando suuna delle conversazioni si accede alla relativa pagina nella quale è possibile interagire con altri utenti utilizzando un servizio di messaggistica; cliccando invece su “Forum” si accede ad una pagina dedicata che permetteanchel’aperturadiunnuovothread olagestionedei filtri per unamigliore visualizzazione delle discussioni giàaperte. Tragli ulteriori strumenti in chiave “Social” il RTI proponeuna Piattaformadi Digital Storytelling, fruibile sempre nella pagina “Area Collaborazione e Monitoraggio” per consentire alle Amministrazioni che lo desiderano, secondo le proprie specifiche esigenze, di condividere con altre Amministrazioni e/o Stakeholder le Lesson Learned raccontando in un breve video oppure in un webinar le caratteristiche peculiari dei progetti seguiti con il RTI, promuovendo il riuso e le attività di comunicazione e collaborazione. La Piattaforma ha a disposizione un’intuitiva interfaccia grafica che
permette di selezionare le iniziative suddivise anche per tipologia, Ecosistema AgID ed indicatori di Digitalizzazione. 10.3.2 COLLABORAZIONE IN CHIAVE “SOCIAL”Lasoluzionepropostaperlacollaborazioneall’internodei TeamdiProgettoimpegnatisui Contratti Esecutivi, tenendocontodellepossibilitàdiutilizzo delle PA che hanno aderito all’AQ, è lo strumento Microsoft Teams, volto a ottimizzare in tutto e per tutto la produttività. È un prodotto che unifica i diversi canali di comunicazione(E-mail, Team meeting, chat) e permette a tutti gli stakeholders (in locale odaremoto) di collaborare e aumentare la produttività dei diversideliverablesdellafornitura in temporealee sudiversi dispositivi. Gliutenti riesconoadaveretuttoa portatadi mano: file condivisi tra tutto ilteam; chat; Apps scelte come Add-In utili per la gestionedel progetto(Planner, PMO, Power BI, SharePoint, Flow, etc..); pianificazioni di riunioni; e altre funzioni utili.
11 MIGLIORAMENTOSOGLIE INDICATORI DI QUALITA’ – RLFN – Rilievi sulla fornitura
Con riferimento a quanto indicato nell'appendice 1 al CTS lotto 2 “indicatori di qualità”, il RTI si impegna a garantire una riduzione dei valori di soglia previsti secondole indicazioni di seguito riportate: Valore di soglia RLFN = 1.
12 MIGLIORAMENTOSOGLIE INDICATORI DI QUALITA’ – SLSC– Rispetto diuna scadenza contrattuale
Con riferimento a quanto indicato nell'Appendice 1 al CTS Lotto 2 “Indicatori di qualità”, il RTI si impegna a garantire una riduzione dei valori di soglia previsti secondole indicazioni di seguito riportate: Valore di soglia SLCS= 1.
13 MIGLIORAMENTOSOGLIE INDICATORI DI QUALITA’ – NAPP– Nonapprovazionedi documenti
Con riferimento a quanto indicato nell'Appendice 1 al CTS Lotto 2 “Indicatori di qualità”, il RTI si impegna a garantire una riduzione dei valori di soglia previsti secondole indicazioni di seguito riportate: Valore di soglia NAPP= 0.
14 INNOVAZIONE
Alfinedi rispondere adeguatamentealle esigenzedi innovazione connesseai servizi delpresente AQ, il RTImetteràadisposizionei seguentielementi distintivi:
1. Processo definito e consolidato per la gestione degli elementidi innovazione in ambito ai servizi richiesti dalle Amministrazioni, rendendo l’innovazione sistematica per indirizzare efficacemente le esigenze attuali ed emergenti. 2. Accesso costante ed immediato all’ecosistema dell’innovazione, fornito dalla Mandataria attraversogli accordi stipulati tra la struttura Deloitte Officine Innovazioneed i protagonisti delprocesso di innovazione quali Università, Centri diricerca, Venture capitalist, Startup ed Acceleratori (vedi Allegato 14.A) 3. Coinvolgimento in qualità di mandante della PMI Innovativa Teleco (Aut. MISE 220439), attivanellaricercae sviluppodi soluzioniedapprocciinnovativimediantel’utilizzoditecnologieemergenti(BigData& Analytics, 3D UserExperience, Internetof Things, Smart& Intelligent Building) 4. Il RTI potrà inoltre coinvolgere nell’ambito di unacollaborazione continuativa la Fondazione Xxxxx Xxxxxxx, prestigiosoEntedi Ricerca specializzato incybersecurity, perlo sviluppodimetodologieedapprocciafronte dievoluzioni normative, cambiamentidi scenario tecnologicoed evoluzionedel sistemadicybersecurity.
14.1 SOGGETTI COINVOLTI E LORO PRINCIPALI CARATTERISTICHE. Il RTI articolerà i contributi innovativi previsti in ambito ai servizi richiesti, avvalendosi di
una seriedi presidi, risorsee competenzeche costituirannol’Ecosistema Interno (es: Centri di Competenza) e l’Ecosistema Esterno (es: Osservatori e Centri di
Ricerca) di Innovazione che rappresentano nel complesso l’Innovation Hub descritto in precedenza (§ 3.1.1), funzionali a garantire: 1)Innovazione dei processi/servizi, attraversoattività di Ricerca e Sviluppo promosse ed eseguite dalle unitàoperative dedicateall’innovazione di DRA ed EYA edelle capacità della PMIInnovativa Teleco Srl, nonché della Fondazione Xxxxx Xxxxxxx, Ente di Ricerca specializzato in cybersecurity che il RTI potràcoinvolgere nell’ambito di una collaborazione continuativa Centri di competenza come Deloitte Officine Innovazione che promuove la cultura dell’innovazione e fornirà al RTI ed alle Amministrazioni nuovi servizi per lo sviluppo e il consolidamento delle iniziative di innovazione, con focus sulle tecnologie utili per la trasformazione del business(RPA, AI, canalidigitali, Cloud) elasuaprotezioneCentridieccellenzadi OT/IoTSecurity specializzati nell’ attivitàdianalisi, sviluppoe testdisicurezza. 2)Innovazione dei prodotti/tecnologie e relativi acceleratori, come l’EY Funding4Innovation o Deloitte Switch2Product (in collaborazione il PoliHub –
Politecnico di Milano) che definisce strategie di Innovazione in linea con le opportunità di finanziamento per innovazione, trasformazione digitale, Health 4.0 (PNRR, Horizon 2020, PONe POR, fondi europei, nazionali eregionali) e guidastartup e scale-up nell’accesso ai finanziamenti e nello sviluppo di soluzioni prototipali da integrare nel business aziendale. 3)un servizio dinamico di Osservatorio di startup, acceleratori e competenze in ambito cybersecurity abilitato da numerose iniziative come B Heroes (programma per l’innovazione rivolto in particolare alla promozione di giovani imprese), Premio EY Startup dell’anno (riconoscimento di EY al fine di dare spazio e visibilità a personalità giovani e brillanti che sono riusciti a dar vita ad un’impresa), Premio Marzotto (competizione che premia un’ideaimprenditoriale in grado di generare un impatto economico - sociale positivo), Open Italy Startup Accelerator(contestchehal’obiettivodifavorirelacollaborazionetragrandiimprese, Startup italiane/PMI e abilitatori d’innovazione), al fine di fornire, sulla base di cambiamenti ed evoluzioni del mercato, le migliori soluzioni cyber in termini di innovazione.
14.2 AMBITODI INTERVENTO E VALORE AGGIUNTO APPORTATO.
Diseguito si riportaunapropostapreliminarediambitidi interventoevaloreaggiuntoconcreto, intermini diinnovazioneequalità, apportatoaiservizirichiesti, che rappresenta alcune delle peculiarità e competenze dei soggetti individuati e che possono evolvere ulteriormente sulla base delle esigenze che emergeranno durante l’intera duratadel contratto.
Soggetto primario coinvolto | Ambito di intervento ipotizzato | Valore aggiunto |
L2.S16 – SECURITYSTRATEGY | ||
Deloitte Officine Innovazione / EY Funding4Innovation | Identificazione di soluzioni e tecnologie emergenti ed innovative sviluppate da startup e PMI innovative, a livello nazionale e internazionale, attraverso l’ecosistema di osservatori permanenti e all’iniziative di sostegno di ricerca e sviluppo in senoai soggetti del RTI | Disponibilità di informazioni tempestive edaccurate di tecnologie/soluzioni emergenti checonsentono all’Amministrazione di essere aggiornata rispetto alle evoluzioni ed ai trenddi mercato |
L2.S16 – SECURITYSTRATEGY/ L2.S17 – VULNERABILITY ASSESSMENT | ||
Teleco/FBK | Adozione di soluzioni e tecnologie innovative in ambito big-data e intelligenza artificiale, per supportare la creazione di un repository nazionale delle principali vulnerabilità individuate nelle Amministrazioni, alimentato dalle attività completate nel servizio VA ed opportunamente anonimizzate, per fornire una vista centralizzata di analisi e trend statistici aggregati (e.g. top vulnerability, incidenza per dimensioni/sotto ambiti, remediation più comuni), utili anche come input ulteriore alle attività di security strategy. Analogo approccio è proposto per elaborare ed analizzare i dati di benchmark di cui dispone il RTI (§4.4) | Disponibilità di analisi e trend di settore e tipologia di Amministrazione, in termini di esposizione al rischio reale, basata sull’aggregazione di dati utili (risultati VA e benchmark) afocalizzare gli interventi prioritari nei PdS fornire input di valore ai servizi di prevenzione e gestione delle minacce oggetto del Lotto 1 focalizzare l’esecuzione di specifici servizi (PT) su ambiti/tecnologie più vulnerabili ottenere una vista aggregata dei principali trend edanalisi di settore |
L2.S17 – VULNERABILITYASSESSMENT / L2.S22 – PENETRATION TESTING | ||
Teleco/FBK | Disponibilità di soluzioni per la rilevazione automatizzata, basatasutecnologie di intelligenza artificiale (es. le reti neurali di tipo convoluzionale), di anomalie e vulnerabilità su ambienti Cloud e dispositivi IoT (ideale per analisi effettuate su dispositivi con limitate capacità di calcolo, inclusi sistemi di videosorveglianza, sonde e sensoristica, access point wireless, ecc.). Ad esempio, due strumenti automatici open-source sono particolarmente rilevanti: TLS Assistant (inserito nel catalogo del software open source a disposizione della PA, fornito dal Dipartimento per la Trasformazione Digitale e AgID, in grado di analizzare le implementazioni del protocollo TLS alla base di HTTPS e scoprirne le relative vulnerabilità) e MQTT Security Assistant (in grado di individuare vulnerabilità in ambienti basati su MQTT, unodei protocolli di riferimento in ambito IoT) | Qualità, efficacia ecompletezza dei risultati in termini di identificazione delle vulnerabilità su ambienti Cloud ed IoT Riduzionedei tempi ecosti diesecuzione associati alle attività di VAe PT |
L2.S23 – COMPLIANCE NORMATIVA | ||
Deloitte/EY/ Teleco/FBK | Osservatorio Privacy finalizzato a recepire ed analizzare tempestivamente l’evoluzione normativa relativamente ai temi Privacy, Provvedimenti del Garante Privacy, opinion del EDPB, ecc. che possonoavere impatto sull’Amministrazione. Talerilevazione è garantita dall’utilizzo di soluzioni basate su tecnologiedi intelligenza artificiale ed analisi semantica per acquisire e notificare automaticamentenotizie, pubblicazioni, ecc. in ambito Privacy | Qualità, tempestività, completezza epertinenza delle progettualitàe degli interventi legati alla conformità normativa, garantire del continuoaggiornamentodel settore |
14.3 MODALITÀ ORGANIZZATIVE DEL COINVOLGIMENTO. Per garantire un elevato livello di innovazione nell’erogazione dei servizi di gara, il RTI propone un processo di Gestione dell’Innovazione che valorizzi tutti gli elementi distintivi e di unicità del RTI stesso, in termini di modalità organizzative utili a facilitare la collaborazione di tutte le risorse previste nella soluzione organizzativa, sia con ottica di efficiente gestione interna che interazione esterna verso le Amministrazioni, strutturato su un approccio ciclico (continuous monitoring). Si riportano di seguito le fasi che compongono il processo di gestione dell’innovazione Fase 1: Rilevazione dell’esigenza sulla base di un dupliceapproccio. Reattivo: a fronte di unarichiestaricevuta. Proattivo: attraversoattività di monitoraggio epresidio continuo della frontiera dell’innovazione. Fase 2: Analisi dell’esigenza di innovazione e valutazione dell’applicabilità delle soluzioni ipotizzate. Fase 3: Individuazione delle risorse operative adeguate. Fase 4: Coinvolgimento delle risorse individuate. Fase 5: Avvio ed Esecuzione attività.
Fase 6: Valutazione e Lesson Learned. Per meglio rappresentare le modalità organizzative del coinvolgimento delle strutture e degli operatori selezionati, il RTI propone una modalità di risposta attraverso l’Ecosistema Interno, volto ad indirizzare le esigenze attraverso l’utilizzo di soluzioni innovative interne al RTI, e l’Ecosistema Esterno, funzionale a intercettare soluzioni attraverso l’osservazione di trend, soluzioni e strumenti innovativi di mercato. Ecosistema interno: a valle della rilevazione dell’esigenza, le strutture interne al RTI saranno tempestivamente attivate dal RUAC CE o dal Referente Tecnico CE, per il tramite dell’Innovation Leader (§ 3.1.1.), secondo il seguente approccio: 1) ricerca delle competenze interne al RTI necessarie a soddisfare l’esigenza espressa dall’Amministrazione, ottimizzando le tempistiche di avvio delle attività; 2) selezione del team, condivisione/approvazione da parte dell’Amministrazione; 3) integrazionedelle competenze individuatenel team e avvio attività.Ecosistema esterno: sulla basedi un’analisi proattiva degli Osservatori o nelcasoincuisia opportuna una sinergia tra le competenze/soluzioni interne al RTI e di mercato, eventuali ulteriori Startup e PMI innovative saranno ingaggiate secondo il seguente approccio: 1) preselezione di un cluster che include tipicamente fino a 10 operatori (in funzione dell’aderenza delle soluzioni proposte rispetto all’esigenza di innovazione ed al contesto dell’Amministrazione, ad esempio operatori con caratteristiche di prossimità geografica e attinenza alla tematica innovativa di interesse); 2) valutazione e selezione di un massimo di 2-3 operatori (short list) per la definizione di prototipi e/o lo sviluppo di soluzioni-pilota.
Ciascun operatore sarà valutato, in particolare, in funzione di appositi criteri (es. innovatività della soluzione offerta, funzionalità e servizi offerti, radicamento sul territorio, referenze PA ed extra PA, valore economico), opportunamente prioritizzati in coerenza con il contesto dell’Amministrazione coinvolta; 3) selezione della struttura/operatore più idonea. Successivamente sarà effettuata l’attivazione della struttura/operatore selezionato secondo modalità e tempi concordati di concerto con l’Amministrazione. Le tempistiche di ingaggio dell’ecosistema interno, essendobasate sui soggetti già partedel RTI (vedi PMI
Innovativa) e/ovincolatedaaccordi dicollaborazione giàstipulati (adesempio Entediricerca), seguonole tempistichedievasione deiservizi. Il completamento delle fasi 1-3 dell’ecosistema esterno, avviandosi giànella fase di definizionedei fabbisogni, rispetterà le tempistiche di ingaggio previste per ciascun servizio.
15 FLESSIBILITA’ DELLE RISORSE
La variabilità delle esigenze, dei requisiti e dei possibili contesti tecnologici e gestionali rappresenta una peculiarità dell’ambito della Pubblica Amministrazione ben nota alle aziende del RTI, che erogano da diverso tempo servizi in modalità similare e per le quali tale complessità rappresenta una modalità di lavoro “business as usual”. In questoambito, il modello organizzativo ed operativo adottato dal RTI per la gestione flessibile di risorse si basa su: la comprovata esperienza maturata dalle aziende del RTI: ogniannosonogestitiinmediapiùdi 2000progetticoncaratteristichecomparabili con i programmi previsti dal CTS, anchein termini di estemporaneitànell’attivazione e variabilità dei requisiti; la capacità previsionale sui tempi d’attivazione dei progetti, basatasuiprogettisuddettigiàcondotti, checonsentedimobilitarelerisorsecontempi medi inferiori ai 15 giorni; la possibilità di far leva su un considerevole bacino di risorseinternedistribuitogeograficamentecheècostituitoper i temidi Cyber Security
da più di 500 risorse in Italia e 3000 in EMEIA. Queste sono supportate sul territorio nazionale da 3 Centri di Competenza (Milano, Roma e Bari), 1 Centro di Delivery (Bari), 2 Cyber Intelligence Center (Milanoe Roma) e da unaretedi più di 500 consulenti tra fornitori accreditati e professionisti altamente qualificati edaccuratamenteselezionati. Lagestione dellaflessibilitàoperativa del RTIsibasa sull’interazione tra(vedifigura):A) processioperatividi gestionedell’Accordo Quadro e B) processi di attuazione dei progetti dei Contratti Esecutivi (CE); e tra 1) gestione della Fornitura nel suocomplesso e 2) gestione delle risorse edelle competenze all’interno delle aziende. Le caratteristiche del modello organizzativo sono: Gestione proattiva della Demand. L’approccio del RTI è primariamente proattivo e mira a implementare un processo di gestione della Demand robusto, che riduca le esigenze di gestione e mitigazione dei rischi a
posteriori e limiti la numerositàdi risposte reattive alle esigenze eai problemi imprevisti. Gestione del Portfolio Management. L’azione strutturatadel PMO AQ, di concerto con i RUAC CE, nonché il recepimento di richieste provenienti dalle Amministrazioni, consentono di definire le opportunità, identificando volumi e tempistiche di avvio ed incanalandole efficientemente nell’ambito della pipeline complessiva in ottica di Portfolio Management. Pianificazione operativa. I RUAC CE, in collaborazione con il Resource Manager, individuano le professionalità più adeguate per soddisfare le richieste della singola Amministrazione e pianificano le risorse sul singolo CE. Pianificazione delle Risorse. Il Resource Manager ottimizza la pianificazione delle risorse tenendo in considerazione sia i progetti in corso che quelli in chiusura, sia le priorità che le indicazioni provenienti dalla Demand. Sviluppo e Acquisizione delle Competenze. Il Knowledge Manager lavora costantemente nell’analisi del portafoglio iniziative per definire i piani di sviluppo e crescita delle risorse, inoltre supportail Resource Managernel confrontare lapipelineponderatadeiprogettiiningressoconi volumi di risorsedisponibili. Ilmodellooperativodigestione delle risorse, inoltre, si avvale anche dei processi standard di knowledge management, di performance management per allocare le competenze “giuste” al posto “giusto” e priority management per gestire eccezioni e “scalare” in casodi problemi.
15.1 DISPONIBILITÀ E TEMPESTIVITÀ DI ALLOCAZIONE DELLE RISORSE PROFESSIONALI L’approccio per garantire - in modo strutturato e proattivo – la disponibilità e tempestività delle risorse tiene conto di una serie di fattori di complessità quali: la necessità di erogare nuovi progetti, più progetti in contemporanea verso la stessa Amministrazione o più Amministrazioni dislocate diversamente a livello geografico, variabilità dei requisiti, richieste di modifiche pianificate o estemporanee, picchi di attività ed eventi imprevisti. A tale complessità, il RTI risponde con: Modalità operative di pianificazione volte a realizzare tutte quelle azioni interne al RTI che riducono il rischio di progetti estemporanei e picchi di attività; Modalità operative gestionali, che includono le azioni atte a gestire le possibili variazioni del contesto, in termini di nuovi progetti, variazione dei requisiti dei progetti esistenti, esigenze non pianificate e contrazione dei tempi che impattano sugli interventi in corso e che richiedono una revisione della pianificazione delle attività e delle risorse; Modalità operative di adattamento e reazione, ossia azioni forti e veloci di contenimento e ripristino dei livelli standard di erogazione dei servizi che limitano gli impatti sulla normale esecuzione delle attività. Tali modalitàoperativesonoabilitatedall’utilizzodi specifiche risorse metodologiche, orientate alla gestione dei rischi, da risorse strumentali, che supportano i processi di pianificazione, e darisorse umane, selezionate dal bacino a disposizione del RTI, per garantire al RTI l’apporto di adeguato know-how e di background di esperienze. Il RTI propone quindi una specifica strategia di flessibilità nella gestione delle risorse incentrata sui seguenti elementi: A) Gestione delle
competenze: per garantire la disponibilità delle risorse, il RTI adotta un processo centralizzato di selezione delle risorse affidata al Resource Manager che si avvale di una Mappa delle Competenze, costantemente aggiornata, per individuare risorse con skill adeguate e conoscenza del contesto. La disponibilità di un quadro di insieme di tutte le competenze
richieste dalla Fornitura e la ridondanza delle skill sul gruppo di lavoro, ottenuta grazie alle azioni di formazione, abilita la possibilità di disporre di risorse qualificateed attivarletempestivamentesullabasedelle specificherichiestedelle Amministrazioni.Pergarantirelaflessibilitànellagestione enell’inserimento delle risorse, il RTI propone un modello operativo T-Shaped. Tale approccio interdisciplinare è applicato all'interno di tutti i servizi e comprende lo sviluppo di:
competenze verticali: la singola risorsa è specializzata in un ambito di riferimento; competenze orizzontali: la stessa risorsa approfondisce progressivamente anche altre tematiche affini al proprio ambito di riferimento, fungendo da possibile risorsa aggiuntiva in caso di picco che richieda le stesse competenze. B) Capacità previsionale e progettuale: comprende tutte le azioni realizzabili al fine di: Preventivare l’avvio delle nuove progettualità grazie sia alla capacità del RTI di monitorare l’evoluzione del contesto di business, normativo e tecnologico, sia all’analisi costante del flusso di progetti già attivati nell’ambitodell’AQ. Stimarel’effort elecompetenze necessarieper gestire ladomanda sulla basedelleesperienzeprogettualigià svolteedindividuare, già in fase di pianificazione, ogni elemento che potrebbe generare un effort diverso da quanto previsto. C) Dimensionamento delle risorse: la disponibilità delle risorse sui progetti è garantita da un processo strutturato di dimensionamento che prevede: lidentificazione, sulla basedelle esigenze rilevate, delle figure professionali da impiegare sui singoli CE con le relative competenze; l’analisi del bacino di disponibilità delle risorse da cui verranno selezionate quelle che comporrannoi Teamdilavoro; l’aggiornamentodelbacinodi disponibilità infunzionedegli interventi attivati; ildimensionamento/ridimensionamentodei Team. L’accurato processo di gestione delle competenze, capacità previsionali ed una solida metodologia di dimensionamento delle risorse in funzione delle attività consentedi efficientare l’impiego delle risorse egarantirne la tempestività nell’allocazione sulle singole progettualità.
15.2 METODOLOGIE E STRUMENTI PROPOSTI PER LA FLESSIBILITÀ NELLA GESTIONE DI PIÙ CONTRATTI IN CONTEMPORANEA. Metodologie per la gestione di più contratti in contemporanea - Il modello operativo proposto pergestire piùcontratti in contemporanea si basa sulladimensione di complessità delle Amministrazioni, definita mediante il modello di classificazione già presentato per la definizione dei PdS (§4.1.1.1), e sulle diverse tipologie dimensionali/complessitàdei progetti chesaranno affrontati dal RTI. Inquesto contesto, l’approccio metodologico consiste in: 1) Classificazione delle esigenze progettuali e modalità di gestione (vedi figura): i progetti di tipo “1” e “4” sono accuratamente e preventivamente pianificati, anche grazie alle strutture di presidio del RTI, e rientrano nell’ordinaria gestione e pianificazione delle risorse del Resource Manager i progetti di tipo “2” hanno generalmente una probabilità bassa di accadimento. In questi casi, i progetti saranno organizzati in logica di “spare capacity” ossia mediante capacità disponibile nel bacino a disposizione del RTI e, qualora non sufficiente, tramite la rete di fornitori
e professionisti esterni al RTI i progetti di tipo “3” rappresentano situazioni imprevedibili che, per il modello di presidio posto in essere dal RTI, non dovrebbero manifestarsi. Qualora questo tipo di progetti dovessero comunque presentarsi, saranno gestiti attingendo alla rete di esterni del RTI; i progetti di tipo “5” sono gestiti in logica di “spare capacity” in modalità “first in – first out” in modo da acquisire e smaltire
piccole iniziative “on demand” senza impattare sulle pianificazioni dei grandi progetti i progetti di tipo “6”, essendo comunque riferiti ad Amministrazioni presidiate, sono gestiti attingendo alle risorse disponibili all’interno dei team di presidio (resourcing intra team). 2) Gestione di una molteplicità di progetti in contemporanea. L’eventuale insorgenza di molteplici progetti generati dalle Amministrazioniègestita dal RTI in maniera proattiva mediante il PMO AQ che, supportato dal Resource Manager, seleziona le azioni necessarie alla gestione di più progetti in contemporanea tramite la ridefinizione delle priorità ed il ricorso a tecniche di resourcesharing, in particolare: resource sharing intra areedicompetenza tematico/funzionale della stessa Fornitura: consente una rapidaintegrazionedirisorsetenutoconto delbassogapformativo; resourcesharing intrateamRTIconsentelospostamento temporaneo dirisorsedaaltri servizi con competenze analoghe e con minimo effort di allineamento sui progetti; riorganizzazione dei team di lavoro con integrazione di risorse da altre areedicompetenzadel RTI sulla Fornitura che richiede un periododi allineamento eformazionerispettoalla specificanecessità; ricorsoa CdCe CdD:incaso di necessità ci si potrà avvalere del supporto dei Centri di Competenza e del Centro di Delivery, sfruttando modalità di “rapid learning” per il riallineamento sui contenuti mancanti in modalità veloce e puntuale, rispetto alla specifica competenza richiesta; coinvolgimento di risorse dalla rete del RTI costituita da fornitori accreditati eprofessionisti specializzati, per integrare eventuali skill specifici sul progetto.
Strumenti. Per la gestione integratadei progetti e delle risorse, il RTI si avvarrà di un set integrato di strumenti correntemente utilizzati per pianificare le risorse sui progetti e gestirne la formazione e le performance. Questi strumenti sono rispettivamente aggiornati e
mantenuti da funzioni aziendali dedicate alle tematiche di Learning e Planning: La Mappa delle Competenze (SKILL) del personale del RTI è gestita con MyCompetencies uno strumento che censisce il catalogo delle conoscenze necessarie (tematico / normative e tecnologiche) distinte per figura professionale efornisce una vistadi tuttele potenziali risorseallocabili sulla Fornitura conlecompetenzerichieste, e tramite PeopleNetwork, unsistemaglobaleecross-function,checontiene tuttiidettagli suiprofili esullecompetenze delle risorse e che si integra con il sistema di pianificazione StaffIT; StaffIT offre la possibilità di gestire e programmare la disponibilità operativa delle risorse, assegnando la persona giusta al progetto giusto in termini diareegeograficheeperlediverselineedi business; MERA è lostrumentodedicatoallo Scheduling
Operativo. Utilizzato da tutto il personale, permette di verificare, in ogni momento, il timing dell’impiego di ciascuna risorsa in uno specifico progetto e gli impegni futuri. L’incrocio tra pianificazione “actual” e fabbisogni complessivi derivati dal modulo MERA fornisce indicazione sudimensionamentopreliminare del gapdi risorse dacopriree tempistiche entro lequali deveessere coperto in funzionedelledate avvio stimatedei progetti.
16 AGGIORNAMENTODELLERISORSE PROFESSIONALI
Il modello organizzativo ed operativo per l’aggiornamento delle risorse professionali è incentrato sullo sviluppo di piano di formazione e relativi contenuti, che si integra con l’evoluzione del contesto normativo e tecnologico e le necessità delle Amministrazioni. Si propone dunque un processo di formazione continuabasatasuifabbisogniperl’erogazionedeiservizi, al finedisupervisionarelosvolgimentodei percorsidiaggiornamentodellecompetenzenecessarie el’eventualeintroduzione di nuoverisorse professionali.
16.1 SOLUZIONI PROGETTUALI E STRUMENTI PER GARANTIRE LA FORMAZIONE E L’AGGIORNAMENTO CONTINUO - Soluzione progettuale. Al fine di garantire la formazione e l’aggiornamento continuo, tematico e tecnologico delle risorse del RTI, si applicherà il modello formativo ben consolidato nell’ambito del RTI costituito da un processo ciclico/continuativo in più fasi, così articolato: 1) redazione del piano delle competenze necessarie per l’erogazione dei servizi. Tale strumento viene costantemente aggiornato durante l’intera Fornitura per rilevare in modo continuativo nuove esigenze e fabbisogni formativi soddisfatti dagli interventi effettuati. L’utilizzo della mappa delle competenze, inoltre, consente unapiùfacile individuazione delle risorse adeguateasvolgereiservizi, garantendonon solo lacostituzione diteaminlineaconleesigenzee gli obiettivi dell’Amministrazione rispettoadunaparticolare attività, ma anche l’integrazione degli stessi, ove necessario, con risorse specializzate dei Centri di Competenza; 2) analisi e censimento delle competenze presenti nell’ambito del RTI e di quelle da acquisire nella prospettiva di evoluzioni previste nell’ambito dei servizi della Fornitura. L’assessment è svolto con il supporto di griglie di valutazione delle competenze a duplice compilazione: una sezione compilata dalle risorse stesse per censire le proprie esperienze e competenze; unasecondasezione compilatadai Responsabili dei Team conle valutazioni sulla qualità dei progetti realizzati, le esigenzedelle Amministrazioni, le evoluzioni normative, tecnologiche ed organizzative in corso; 3) identificazione dei gap esistenti tra il fabbisogno di competenze emerso durante la prima fase e le competenze presenti nei Team evidenziate nella seconda fase. L’obiettivo di questa analisi è proiettare sull’asse temporale della Fornitura il divario tra le competenze delle risorseprofessionali a disposizione e quelle che sarannoneltemponecessarie, prevedibili a partire dalle esigenze rilevate dal Demand Management, nonché dalle evoluzioni organizzative, normative e tecnologiche attese. L’analisi di questi scostamenti consentirà di indirizzare il piano formativo verso obiettivi chiari e circoscritti; 4) predisposizione del piano di formazione: individuazione e definizione degli interventi formativi e del dettaglio dellesingoleiniziative(modalitàdierogazione,contenuti, risorsetarget,calendario, strumentiasupporto, ecc.;5)erogazionedegliinterventiformativi:questa fase prevede la realizzazione di corsi di formazione sia in modalità tradizionali (formazione d’aula e training on-the-job) sia tramite strumenti più innovativi basati su una didattica applicativa/esperienziale (business case, role playing). La metodologia didattica sarà individuata in relazione alla tipologia di risorse coinvolte e al servizio sul quale sono impiegate. I vantaggi a cui si tende sono: à maggiore personalizzazione della proposta educativa; à processi di apprendimento diversificati e autonomi; à aumento del livello di interesse e della motivazione delle risorse coinvolte; 6) valutazione degli interventi: sono previsti momenti strutturati di valutazione dei corsi, fra i quali: à questionari di valutazione delle competenze acquisite da ogni risorsa, da svolgere al termine dei moduli/percorsi formativi, disegnato e proposto in modalità elettronica; à questionari compilati dal responsabile della risorsa partecipante, dopo qualche settimana di impegno nelle attività contrattuali, come riscontro delle capacità dimostrate. In particolare, saranno adottati knowledge enablers, quali risorse senior (nel ruolo dicounselor), dei Centridi Competenza e dicollaborazionicol personale docente delmondoaccademico. Leaziende del RTIhanno, inoltre, costituito dei percorsi formativi dedicati ai professionisti targettizzati per tutti i livelli, basati sul modello della transformative leadership e sul modello delle competenze del futuro elaborato dalle aziende. Si basano su più pilastri volti a rafforzare le competenze che sostengono le trasformazioni di processo, tecnologiche e digitali: Formazione Trasversale: è mirata al raggiungimento della Personal Excellence e della Engagement Excellence con corsi su
competenzecriticheconilfineultimodiraggiungereilsuccessonell’eratrasformativa. Formazione Tecnica:il percorsoèverticaleespecificopercompetenze, allineatoalla strutturaorganizzativadellaconsulenzadibusinessetecnologica,prevedendoquindilearningpathaltamentespecialistici. Programmiformativi mirati: programmi di formazione mirati allo sviluppo di conoscenze, esperienze e competenze indispensabili per comprendere a fondo scenari e dinamiche del mondo business e technology da utilizzare nell’ambito dei servizi. Strumenti tecnologici - Il RTI dispone di portali e strumenti dedicati alla formazione e all’aggiornamento continuo delle risorse. Di seguito i principali:
LEARNING | Success Factor: è il portale attraversoil quale le risorse EY possonogestire lapropria carriera eil percorso di crescita e selezionare corsi di formazione inerenti il proprio percorso. Nello specifico, il portale consente alle risorse di gestire la propria formazione accedendo al “Learning Roadmap” e il proprio percorso formativo, contenente i corsi obbligatori e quelli selezionati nell’ambito della definizione degli obiettivi definiti per ogni risorsa. Il portale offre la possibilità di predisporre iniziative personalizzate che mirano al consolidamento e potenziamento di skill e conoscenze possedute dallarisorsa supportandola nelproprio percorsodi crescita sullabase delle proprie esigenzeequelle della Fornitura. Saba Cloud: è la piattaforma di gestione della formazione in Deloitte, mediante la quale è possibile iscriversi ai corsi in presenza o in virtual classroom, monitorare i corsi in scadenza, accedere ai corsi di formazione obbligatoria in base al ruolo, grado e business di appartenenza, generare report e certificati dei corsi completati. |
COMPETENZE | EY My Competencies: è il tool di mappatura delle competenze che consente di tracciare le esperienze maturate e le skill delle risorse. Sulla basedi specifici bisogni individuati, èpossibile identificare in tempi rapidi le risorse piùidoneedacoinvolgerenei Team, garantendo un processo snelloper l’attivazione dei professionisti presso l’Amministrazione. |
Deloitte People Network: è lo strumento di Deloitte che contiene tutti i profili delle risorse, indicandone, tra le altre, background e competenze maturate, costituendo una sorta di combinazione tra unapeople directory eun social network checonsentel’individuazione tempestivadelle risorse edellerelative competenze. |
16.2 PROPOSTADIPIANOFORMATIVO.L’approccioidentificatogarantiscelaformazioneel’aggiornamentocontinuodellerisorsedel RTI, chevienedeclinato nel piano formativo. Le esigenze formative sonoindividuate daunlatoin base al tipo di servizio da erogare elerelative competenze econoscenze chequesto richiede, e dall’altro tenendoinconsiderazionel’evoluzionedelcontestoincuisonoerogatiiservizicheconsenteunacompletezzadicoperturadelletematiche anche nel corso del tempo. Inparticolare, potranno essere pianificati interventi ad hoc per rispondere anecessità formative che si dovesseromanifestare nel corso dell’erogazione dei servizi derivanti da cambiamenti del contesto quali: evoluzioni normative che impattano sulla Pubblica Amministrazione e sui servizi erogati, per i quali il RTI è in grado di anticiparne l’effetto sfruttando gli osservatori normativi a propria disposizione e prevedendo iniziative di addestramento delle risorse coinvolgendo anche gli esperti della propria rete; evoluzioni degli scenari di attaccocibernetici e delle vulnerabilità dei sistemi, per i quali si prevede il costante aggiornamento delle risorse maggiormente dedicate all’erogazione dei servizi di verifica tecnica della sicurezza tramite periodiche sessioni di allineamento con i centri di competenza dei network delle aziende del RTI, esercitazioni e simulazioni in laboratorio nonché partecipazioneaseminaridedicati;evoluzionidelletecnologie inusopressole Amministrazioniedegli strumentidisicurezzaadottati,periqualiil RTIprevede la formazione delle risorse mediante corsi ad hoc e workshop con i principali vendor, anche tramitele partnership in essere. Il RTI intende, inoltre, progettare eattuare, perlapresente Fornitura, unaseriedi azioni finalizzate ad incrementare lecompetenzedellerisorse earenderleimmediatamente operative nello svolgimento delle attività. Nell’ambito del piano operativo saranno pertanto adottati i seguenti strumenti: welcome kit, con brochure e documentidi base inerenti le informazioni principali sul contesto della Fornitura, ovvero una raccolta selezionata di materiale informativo che fornisce una panoramica sulle tematiche di interesse, consentendo a ogni nuova risorsa un rapido ed efficace orientamento in modalità self training percorso di addestramento personalizzato sulla base delle competenze in possesso della nuova risorsa e delle specifiche competenze richieste in funzione del ruolo che questa andrà a ricoprire tutoring, con cui le risorse più esperte sarannocoinvolte persvolgere attività di affiancamentoe addestramentodelle risorse negli aspetti funzionali e tecnici di erogazione del servizio e l’uso degli strumenti di conoscenza disponibili percorsi di certificazione mirati che consentono il mantenimento e l’aggiornamento delle certificazioni professionali già in possesso delle risorse nonché il conseguimento di nuove certificazioni che si renderanno necessarie in baseall’evoluzionedelcontesto:il RTIgarantisceinparticolarechelenuovereleasedellecertificazioniprevisteelescadenzedeicertificatigiàconseguiti saranno gestiti proattivamente in modo tale da: consentire il conseguimento di nuove certificazioni in breve tempo dalla pubblicazione dei corsi relativi a nuove release; consentire alle risorse le cui certificazioni sonoin scadenza di conseguire unanuovacertificazione che estende il periodo di validità senza soluzione di continuitàinterventiformativi dedicati: medianterealizzazionedicorsi di formazionesiainmodalità tradizionali che tramite strumenti più innovativi basati su una didattica applicativa/esperienziale, funzionali all’erogazione dei servizi accesso alla knowledge base di Fornitura rigorosamente alimentata e aggiornata, e ricorso frequente atecniche di knowledgesharing, attraverso la diffusione di informazioni, conoscenze e best practice, chepermettonoun facile e rapido allineamento delle persone coinvolte nei team, anche in caso di sostituzione o integrazione delle risorse. Al termine di ogni attività di formazione, è aggiornata la Mappadelle Competenze utilizzata per la gestione e l’allocazione delle risorse sulle progettualità.
17 ASSUNZIONE DELLE RISORSE PROFESSIONALI
Con riferimento al complesso delle assunzioni necessarie per ogni contratto esecutivo finanziato, in tutto o in parte, con le risorse previste dal Regolamento (UE) 2021/240 del Parlamento europeo e del Consiglio del 10 febbraio 2021 e dal Regolamento(UE) 2021/241 del Parlamento europeo e del Consigliodel 12 febbraio 2021, nonché dal PNC, e fermo restando il rispetto del requisito necessario di cui al CTS Generale al par. 7.1, il RTI si impegna ad assumere persone disabili, giovani di qualsiasi genere, con etàinferiore a trentasei anni, e donne per l’esecuzione di ciascun contratto esecutivo oper la realizzazione di attività ad essi connessio strumentali, nella misura di seguito riportata: >35,01%.