Mentre le grandi autorità dispongono spesso di una divisione informatica interna, molte piccole autorità affidano questi compiti ad altri. Assicuratevi che le competenze tra voi e l’impresa di servizi informatici per quanto concerne la sicurezza informatica sia regolamentata in maniera chiara. Questo riguarda principalmente le misure tecniche e organizzative. Definite contrattualmente le responsabilità in caso di attacco, qualora le misure di sicurezza concordate non vengano rispettate.
La responsabilità non può essere delegata. In caso di attacco la vostra piccole autorità può trovarsi in fondo alla catena di responsabilità.
Basatevi sui requisiti minimi
- I controlli di sicurezza devono essere eseguiti già durante i test dei sistemi informatici;
- informatevi su particolari condizioni contrattuali e sui requisiti per fruire delle prestazioni informatiche. Questi requisiti devono essere parte integrante del contratto concluso con il fornitore di servizi esterno;
- gli obblighi di tutela del segreto a cui deve sottostare il fornitore esterno che si occupa della manutenzione e del supporto per i sistemi TIC devono essere disciplinati. Inoltre, l’accesso a dati personali degni di particolare protezione deve essere autorizzato solo se strettamente necessario;
- è necessario chiedere chiarimenti e stipulare accordi anche con le imprese che si occupano dello stoccaggio dei dati (aziende cloud).
Ulteriori informazioni
Sul sito dell’Ufficio federale per l’approvvigionamento economico del Paese (UFAE) sono pubblicati gli standard minimi per le TIC.
https://www.bwl.admin.ch
L'iniziativa del progetto per la creazione del marchio di qualità indipendente «CyberSeal» per i fornitori di servizi IT è stata avviata da un partenariato pubblico-privato composto dall'UFCS, Mobiliar, Secnovum e digitalswitzerland. I fornitori di servizi IT premiati con il marchio CyberSeal garantiscono ai loro clienti un adeguato livello di protezione contro i rischi informatici attraverso misure tecniche e organizzative appropriate.
https://www.digitalsecurityswitzerland.ch
Il marchio «cyber-safe.ch» è stato fondato dall’associazione svizzera per il marchio di cibersicurezza («Association Suisse pour le Label de Cybersécurité»). Definisce i requisiti minimi specifici per le amministrazioni pubbliche e le PMI. Un questionario online permette di rilevare i ciber-rischi: www.cyber-safe.ch (in francese e tedesco)
https://www.cyber-safe.ch
Dal 1° gennaio 2022 l’Amministrazione digitale Svizzera (ADS) svolge tutte le attività operative della Conferenza svizzera sull’informatica (CSI) necessarie per l’elaborazione delle condizioni generali per le prestazioni TIC. Negozia e redige le condizioni generali fino alla firma del contratto da parte della CSI.
Amministrazione digitale Svizzera
Sul sito web della Conferenza degli incaricati svizzeri per la protezione dei dati (privatim) sono disponibili strumenti ausiliari per la protezione dei dati e un elenco delle autorità di sorveglianza della protezione dei dati: www.privatim.ch (in francese e tedesco)
https://www.privatim.ch
L’incaricato federale della protezione dei dati e della trasparenza (IFPDT) è responsabile dell’elaborazione di dati da parte di privati e autorità federali.
https://www.edoeb.admin.ch
Scelta del fornitore di servizi TIC
Le certificazioni secondo standard riconosciuti di protezione dei dati o di sicurezza delle informazioni o i rapporti di controllo di terzi indipendenti possono essere utili nella valutazione dell’impresa. Non è necessario scegliere imperativamente partner certificati, ma è importante che possano dimostrare di soddisfare le vostre esigenze e garantire la disponibilità e la sicurezza richieste. Incaricate un organismo indipendente di effettuare una verifica.
Controlli di sicurezza
La realizzazione delle prestazioni definite nel contratto deve essere controllata regolarmente sulla base di standard, ad esempio COBIT («control objectives for information and related technology», https://www.isaca.org/resources/cobit [in inglese]) dell’Associazione di audit e controllo dei sistemi di informazione (ISACA, https://www.isaca.org/ [in inglese]). Affidatevi a organismi di verifica indipendenti. Il fornitore di servizi TIC può richiedere un ISAE 3400 tipo 2 (standard internazionale sugli incarichi di assurance) – anche conosciuto come rapporto SOC-2 («Service Organization Control»). L’organismo di verifica valuta la sicurezza, la disponibilità, l’integrità e l’affidabilità.
Ultima modifica 01.01.2024
