I servizi IT dell’Ente hanno predisposto una ipotesi progettuale denominata PERUGIA DATA SAFE, articolata nel seguente modo:

1. Governance e programmazione cyber: coordinamento, supervisione e gestione olistica e integrata della cybersecurity attraverso la programmazione strategica di investimenti e iniziative;

2. Gestione del rischio cyber e della continuità operativa: individuazione, valutazione e trattamento sistematico dei rischi associati all’ambito cyber, e implementazione di un piano volto a garantire la resilienza di funzioni e servizi critici in caso di eventi avversi;

3. Gestione e risposta agli incidenti di sicurezza: monitoraggio, identificazione e gestione degli incidenti cyber, e ripristino dei sistemi impattati;

4. Gestione delle identità digitali e degli accessi logici: governo delle identità e definizione dei permessi di accesso alle risorse al fine di autenticare e autorizzare correttamente persone, gruppi e servizi in base agli attributi specifici e ai principi di “need to know”, “least privilege” e “segregation of duties”;

5. Sicurezza delle applicazioni, dei dati e delle reti: protezione dell’infrastruttura applicativa e di rete, e regolamentazione dei processi di protezione dei dati riservati, al fine di prevenire l’occorrenza di potenziali incidenti cyber e ridurne gli impatti.

Per ciascuno degli interventi descritti, sono state progettate soluzioni e previste attività riconducibili a una o più delle seguenti tipologie di intervento:

A. Analisi della postura di sicurezza e definizione di un piano di potenziamento: insieme di attività mirate all’identificazione e all’analisi della postura di sicurezza del Soggetto proponente e alla definizione conseguente di un piano strategico di potenziamento, al fine di supportare il processo di evoluzione del livello di maturità riscontrato verso il livello target auspicato dall’Agenzia e ridurre la superficie d’attacco;

B. Miglioramento dei processi e dell’organizzazione: attività volte all’analisi e al potenziamento del framework documentale di cybersecurity – tramite la revisione dei processi esistenti o la definizione di nuovi – al fine di standardizzarne e ottimizzarne l’esecuzione;

C. Formazione e miglioramento della consapevolezza delle persone: attività formative su tematiche di cybersecurity a favore del personale dei Soggetti proponenti, per sviluppare una cultura cyber,

incrementare la consapevolezza e le competenze specialistiche e divulgare buone pratiche per la prevenzione e la gestione di potenziali attacchi;

D. Progettazione e sviluppo di nuovi sistemi e tecnologie: attività volte all’acquisizione e al potenziamento di sistemi e tecnologie cyber a supporto dei processi e abilitanti per incrementarne il livello di maturità.