Sicurezza

Dopo l’assunzione da parte di André Mäder nell’ottobre 2021 della carica di CISO (Chief Information Security Officer) in Justitia 4.0, le misure nell’ambito della sicurezza delle informazioni e della protezione dei dati sono state ulteriormente sviluppate e ampliate. Per quanto riguarda la sicurezza informatica, l’attenzione si è concentrata sull’aumento della resilienza e della maturità sia dell’organizzazione del progetto sia dei suoi oggetti di fornitura (prodotti). La prioritarizzazione del lavoro è avvenuta tenendo conto delle esigenze della futura corporazione pubblica.

Aumento della resilienza dell’organizzazione del progetto

Per aumentare la resilienza, dalla metà del 2022 alle collaboratrici e ai collaboratori di Justitia 4.0 vengono regolarmente proposti contenuti formativi, i cosiddetti «Security Awareness Trainings», che includono anche autovalutazioni e simulazioni di phishing. L’accettazione e i primi risultati di queste attività sono buoni, soprattutto in un confronto globale. I corsi di formazione sulla sicurezza, pertanto, continueranno a essere proposti.

Nell’estate del 2022, vari servizi informatici utilizzati dal progetto complessivo (sito web del progetto, Confluence) sono stati verificati da un’azienda esterna mediante «Penetration Testing», per accertare la presenza di vulnerabilità relative alla sicurezza informatica. I fornitori di servizi interessati sono stati coinvolti in modo trasparente nel processo per accrescerne i benefici. Anche in questo caso, il confronto con i valori empirici ha dato buoni risultati: non si s ono constatate vulnerabilità critiche. L’implementazione delle misure per rimediare o ridurre le vulnerabilità rilevate è a buon punto.

Alla fine del 2022 è anche stato possibile redigere istruzioni operative relative alla sicurezza delle informazioni e delle password, che supportano le collaboratrici e i collaboratori di Justitia 4.0, garantendo un uso sicuro delle risorse informatiche.

Protezione dei dati e sicurezza delle informazioni della piattaforma «Justitia.Swiss»

Allo stesso modo, nell’anno in esame sono stati ulteriormente dettagliati e, ove necessario, integrati vari elementi di base della sicurezza informatica, come le analisi delle esigenze di protezione e i cataloghi di protezione di base delle TIC. In particolare, va menzionato il lavoro sul Piano per la sicurezza dell’informazione e la protezione dei dati (piano SIPD) della futura piattaforma «Justitia.Swiss». Insieme ai partner per lo sviluppo e la gestione sono stati compiuti progressi concreti in questo ambito e si prevedono ulteriori progressi nel corso del progetto Justitia 4.0. I rappresentanti dei responsabili federali e cantonali per la protezione dei dati vengono convocati in base alla situazione affinché si possano esprimere sui progetti.

Prossime tappe

Per il 2023 è prevista la continuazione dei lavori e delle misure relative al team di progetto e alla piattaforma «Justitia.Swiss». Ciò include in particolare l’introduzione di misure di sicurezza nella piattaforma e l’incorporazione dei rischi residui della sicurezza informatica nei processi esistenti. Per l’ADG, i compiti concernenti la sicurezza delle informazioni vengono intensificati in relazione a un piano per la sicurezza dell’informazione e la protezione dei dati.