L’approvazione è arrivata allo scadere del 2016: è datata infatti 28 dicembre la delibera con la quale la Giunta Comunale di Milano ha approvato le “linee di indirizzo per l’acquisizione – tramite gare d’appalto e convenzioni Consip – di servizi di sicurezza informatica di ultima generazione”.
Le linee di indirizzo riguardano un importante capitolo di spesa per la città di Milano; parliamo infatti di 2,3 milioni di euro, ripartiti in due ambiti di intervento ben definiti, così come si legge nella nota ufficiale: 1,5 milioni di euro in due anni destinati alla “manutenzione ordinaria e il supporto avanzato alle tecnologie antivirus su circa 12mila personal computer, al Security Operation Center esterno, ai servizi di presidio e ai servizi professionali di progettazione della sicurezza”, 400 mila euro in due anni per “nuovi servizi di gestione delle vulnerabilità e protezione di database, supporto al CERT (Computer Emergency Response Team) e potenziamento dei sistemi di sicurezza associati alla pubblicazione delle applicazioni web”.
Un ulteriore ambito di intervento, infine, guarderà alla diffusione della “cultura della sicurezza informatica” presso i dipendenti del Comune.
Alla luce di queste linee guida, abbiamo incontrato Roberta Cocco, assessore alla Trasformazione digitale e Servizi civici del Comune di Milano, per cercare di capire a che punto è la sicurezza in Comune e quali sono poi le azioni concrete sulle quali si sta lavorando.
La sicurezza è un layer imprescindibile
“La sicurezza è sempre stato un tema chiave e prioritario per la città – esordisce Cocco – . Con Expo, poi, ha raggiunto una magnitudo se vogliamo ancora più importante. E nel piano da me presentato nei mesi scorsi, continua a esserlo”.
Per Roberta Cocco la sicurezza deve essere considerato un layer imprescindibile sia a tutela del Comune, sia a tutela del cittadino.
“È necessaria la consapevolezza che la sicurezza assoluta non esiste: per questo cerchiamo di tenere le porte di sicurezza sempre aggiornate”, continua Cocco, raccontando come operativamente sia in campo il SIAD (Servizi Informativi e Agenda Digitale) cui fanno capo i progetti tecnologici del comune.
Per quanto riguarda le attività previste dal piano, si parte naturalmente con la manutenzione di tutti i sistemi.
“A livello infrastrutturale la situazione è soddisfacente. È invece da migliorare la sicurezza applicativa”, racconta l’assessore, sottolineando come ancora ci sia una forte dispersione e frammentazione.
Dopo la fase di assessment, è stato stabilito che ogni azione di ammodernamento o aggiornamento debba avere la messa in sicurezza come condizione di partenza.
“Parliamo di antivirus per 12.000 pc, di ricorso a centri di sicurezza esterni per la certificazione e ancora di presìdi ad hoc su ambiti specifici”.
Un piano di crisis management per Milano
Una seconda area di intervento prevede la collaborazione con Enti preposti su tematiche legare a crisi e vulnerabilità.
“Parliamo di un piano di crisis management che ha previsto sia l’attivazione di processi interni sia per l’appunto il concorso con enti esterni”.
Il terzo ambito, infine, guarda al know how e alle competenze. E qui l’impatto non è solo sugli uffici o sull’infrastruttura, ma anche a livello occupazionale. Cocco parla dell’inserimento nell’organico comunale di una cinquantina di giovani con competenze IT, oltre a iniziative di tipo formativo e informativo indirizzate sia ai dipendenti sia ai cittadini.
Si parla anche di cloud e di IoT
Ma c’è un altro ambito nel quale la sicurezza è elemento dirimente e tocca direttamente l’ambito di intervento di Roberta Cocco: l’innovazione e l’ammodernamento.
“Non si può fermare l’innovazione, non si può non ammodernare – sostiene con forza -, ma è chiaro che bisogna farlo in sicurezza”.
Il riferimento al Cloud è immediato. “Ci sono forti discussioni in corso. Finora il Comune ha scelto soluzioni di cloud ibrido, ma ora sta valutando un percorso di adozione più ampio, con tutte le necessarie garanzie di sicurezza e privacy”.
Si è nella fase dello studio di fattibilità, che è in capo al CIO del comune Guido Albertini, contattando nel contempo tutti i fornitori più importanti.
C’è comunque fermento: si è partiti con la virtualizzazione e con la sintesi dei datacenter.
“Il Comune di Milano è disponibile a collaborare anche con il Team Digitale del Governo, rendendo disponibile la nostra esperienza. Considerata la dispersione che si registra nelle infrastrutture It della Pubblica Amministrazione, sarebbe bello che a livello governativio arrivassero linee guida forti, direttive uniche anche su questi temi”.
Oltre al cloud, il grande tema sul tavolo è rappresentato dall’IoT e dalle smart city.
In questo caso, la messa in sicurezza rientra in quel piano di miglioramento e aggiornamento della sicurezza applicativa di cui abbiamo fatto cenno prima.
“Dobbiamo comprendere che l’IoT è un mezzo, è uno strumento potente di raccolta di informazioni. Da un lato dobbiamo garantire che la presa in carico delle informazioni avvenga sì nel rispetto della privacy, ma soprattutto serva a beneficio della cittadinanza”.
I lampioni intelligenti installati da A2A – è l’esempio citato – non devono semplicemente servire a registrare presenze e passaggi, ma possono diventare strumento utile per modificare, ad esempio, la viabilità.