Polo Strategico Nazionale protegge i dati della Pubblica Amministrazione

La sicurezza fisica ricopre un ruolo fondamentale. Ogni Data Center è equipaggiato con un sistema antintrusione ad attivazione automatica interconnesso con sistemi di vigilanza pubblica e/o privata.
Gli impianti sono provvisti di sensoristica di protezione perimetrale esterna, e sono protetti da impianti di videosorveglianza e videoregistrazione. L’accesso al sistema è consentito solo ed esclusivamente al personale di sicurezza adeguatamente identificato dalle procedure e normative in termini di privacy.

Data Center in doppia region italiana

L’infrastruttura Cloud è ospitata all’interno di 4 Data Center distribuiti sul territorio italiano, allestiti in una configurazione di doppia Region (Nord e Sud, distanti tra loro centinaia di chilometri) in dual-AZ (Availability Zone), cioè una coppia di Data Center in configurazione di business continuity, distanti tra loro diverse decine di chilometri. 

Il carico di lavoro viene distribuito in maniera trasparente e la configurazione di HA (High Availability) consente di realizzare la continuità di servizio infrastrutturale tra i due Data Center della stessa Region. In questo modo garantiamo la capacità intrinseca della piattaforma Cloud di reagire ad eventi disastrosi rendendo possibile la riattivazione dei workload all’interno di una delle due AZ o su una Region diversa. La ripartenza dei workload protetti dalla soluzione di DR/BC attivata, consente alla singola PA, in modo del tutto autonomo, la gestione del riavvio di ogni singola applicazione, secondo i propri piani di DR o di BC.

Grazie al nostro know-how nella protezione di infrastrutture critiche nazionali, forniamo soluzioni e servizi per garantire il massimo livello di protezione e resilienza cibernetica del PSN attraverso capacità di anticipare le minacce, controllare i rischi e gestire efficacemente eventuali attacchi esterni. Assicuriamo la confidenzialità, integrità e disponibilità delle informazioni attraverso misure di protezione delle infrastrutture, reti e archivi adeguate ai livelli di esposizione al rischio cibernetico. L’analisi dei rischi, eseguita periodicamente, è condotta mediante appositi strumenti di valutazione che permettono anche il tracciamento delle azioni di rimedio eventualmente identificate.

Garantiamo la conformità alle leggi e ai regolamenti vigenti, tra cui quelle inerenti la sicurezza delle informazioni, la tutela dei dati personali nonché quelle applicabili agli Operatori dei Servizi Essenziali (OSE), ai Fornitori di Servizi Digitali (FSD) ed ai soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC).

Le misure tecniche ed organizzative individuate saranno inoltre soggette a certificazione ISO/IEC 27001 e ISO 22301 e descritte da specifiche Security Policy elaborate a cura dell’Organizzazione di Sicurezza, in particolare con riferimento alla sicurezza e alla conformità dei sistemi informatici e delle infrastrutture delle reti.

La nostra sicurezza logica prevede inoltre che, all’interno di ogni ambiente dedicato ai clienti finali, venga definita un’architettura a “segmenti” a cui sono applicate Policy coerenti con il tipo di applicazioni che il segmento deve ospitare. 

Il nostro sistema di sicurezza logica prevede la realizzazione, nei Data Center, di un’area dedicata, segregata e gestita totalmente da personale di Polo Strategico Nazionale. 

La gestione della sicurezza dell’infrastruttura di rete e di tutti i servizi Cloud è erogata attraverso le funzioni di Security Operation Center (SOC) e Computer Emergency Response Team (CERT). 

SOC

Polo Strategico Nazionale si avvale di un Security Operation Center (SOC) dedicato, localizzato esternamente ai Data Center di PSN. Il SOC gestisce le piattaforme di sicurezza necessarie per indirizzare aspetti quali la protezione dei dispositivi o la gestione degli accessi, delle chiavi crittografiche o delle policy. Il Security Operation Center, inoltre, monitora lo stato di sicurezza dell’intera infrastruttura.

CERT

Il Computer Emergency Response Team (CERT) del Polo Strategico Nazionale, dedicato e organizzativamente separato dalle strutture che gestiscono le infrastrutture IT e dal SOC, assicura la risposta ad eventuali attacchi di tipo cibernetico attraverso strumenti, procedure e personale focalizzati alla valutazione degli scenari di minaccia e coordinamento delle azioni di risposta. 

Il CERT eroga servizi di sicurezza proattivi che includono le attività di intelligence sulle minacce informatiche, la valutazione delle vulnerabilità e la capacità di identificare comportamenti anomali al fine di migliorare la postura di sicurezza delle infrastrutture anticipando le minacce. Nell’ambito dei servizi reattivi, il CERT gestisce la reazione ad eventuali incidenti di sicurezza definendo la migliore strategia di risposta per minimizzare gli impatti e ripristinare il più velocemente possibile i servizi impattati. 

Crittografia

Visto l’elevato livello di sicurezza richiesto dai servizi di Polo Strategico Nazionale, le capacità di crittografia rivestono un ruolo fondamentale per assicurare la sovranità dei dati ottenuta attraverso la protezione e il controllo delle informazioni archiviate nel Cloud. In quest’ottica PSN fornisce servizi di crittografia e gestione delle chiavi per garantire la necessaria protezione dei dati. 

Le Matrici di Responsabilità Condivisa della Sicurezza rappresentano un elemento fondamentale per una governance efficace della sicurezza dei servizi Cloud. Si tratta di strumenti volti a specificare e condividere i ruoli e le responsabilità sia di Polo Strategico Nazionale, sia delle Amministrazioni clienti, attraverso i 17 domini di sicurezza di un servizio Cloud e i 197 controlli, facilitando il miglior coordinamento delle risorse e degli sforzi per il raggiungimento degli obiettivi strategici di sicurezza.

L’adozione di un approccio “Shared by Default” costituisce il principio guida per la definizione preventiva delle responsabilità, promuovendo una cultura della sicurezza incentrata sulla condivisione delle logiche di governo e delle informazioni. Tale approccio favorisce la trasparenza, la collaborazione e la responsabilizzazione di tutti gli attori coinvolti nella gestione di una sicurezza che, per essere di successo, deve essere necessariamente “partecipata” e “condivisa”.