Le Regole tecniche per il funzionamento e la sicurezza del Sistema Pubblico di Connettività (SPC) - indicate nel DPCM  del 01/04/2008 - prevedono per la prima volta che ogni amministrazione centrale aderente all’SPC si doti di una Unità Locale di Sicurezza (ULS), cui è affidata sia la responsabilità di porre in atto tutte le fasi di prevenzione degli incidenti ICT, sia la gestione operativa degli eventuali incidenti informatici. A coordinare il flusso informativo necessario per le attività di prevenzione e gestione degli incidenti delle ULS di ben 65 Amministrazioni (ad oggi solo quelle centrali), le citate Regole tecniche prevedono l’istituzione del CERT-SPC, il Computer Emergency Response Team del Sistema Pubblico di Connettività, la struttura già istituita presso il CNIPA ed operativa dall’inizio 2008 sul modello adottato a livello internazionale.

Al CERT-SPC sono attribuite le funzioni di referente centrale nazionale per la prevenzione, il monitoraggio, il coordinamento informativo e l’analisi degli incidenti di sicurezza in SPC.

Questo modello basato su di una componente centrale e tante equivalenti componenti distribuite (Unità Locali di Sicurezza - ULS), in ognuna delle amministrazioni presenti in SPC, rappresenta la soluzione organizzativa adottata per la prevenzione ed il contenimento delle conseguenze degli incidenti informatici, e consiste in una complessa serie di attività che richiede la creazione di una buona capacità di reazione e risposta attraverso una significativa pianificazione di risorse umane e tecnologiche.

Se, infatti, le soluzioni informatiche hardware e software messe a disposizione dai produttori di sistemi di sicurezza presentano continuamente nuove funzionalità, dal punto di vista organizzativo, invece, la scelta di dotarsi di team dedicati alla prevenzione ed alla reazione agli incidenti appare ormai politica consolidata, sia a livello delle istituzioni governative che del mondo aziendale.

Le più diffuse ed efficaci strategie di sicurezza adottate a livello mondiale, pertanto, prevedono l’istituzione di team di risposta agli incidenti in grado di:

• disporre di una rete informativa, focalizzata principalmente sulla raccolta di dati ed informazioni necessari al coordinamento proattivo nel proprio contesto di riferimento;
• utilizzare strumenti evoluti per il monitoraggio delle vulnerabilità e l’osservazione dei comportamenti ostili registrati in Rete;
• predisporre un sistema articolato di comunicazione mediante avvisi e segnalazioni delle emergenze, da destinare al personale ed alle strutture impegnate nella gestione operativa dei propri sistemi;
• impiegare procedure standardizzate di reazione e coordinamento in occasione del verificarsi di incidenti informatici;
• interagire con una pluralità di interlocutori esterni al proprio dominio ma omologhi per funzioni, tali da consentire un’idonea attività di verifica e correlazione delle indicazioni e dei dati ottenuti.;
• migliorare i meccanismi e le misure di protezione sulla base dell'analisi degli incidenti avvenuti.

Le attribuzioni funzionali del CERT-SPC-C, pertanto, possono così essere articolate:

1. attività preventiva: consiste nell’organizzazione e monitoraggio delle fonti informative, nella realizzazione di bollettini informativi per la constituency (early warning) e nella predisposizione di strumenti operativi di gestione delle informazioni;
2. attività operativa: è l’attività di coordinamento e supporto informativo in occasione del verificarsi di incidenti informatici;
3. attività strategica: consiste nella capacità di utilizzare i dati raccolti e per produrre do-cumentazione di analisi a supporto delle decisioni della Commissione e necessarie per migliorare il livello complessivo in materia di sicurezza del Sistema.

Tali compiti e funzioni sono stati concepiti con una logica distribuita, dove le attività specifiche della prevenzione e quella operativa sono erogate in modo sinergico tra l’organismo centrale, il CERT-SPC, e le strutture interne alle singole amministrazioni connesse al Sistema: le citate Unità Locali della Sicurezza. In quest’architettura di sicurezza distribuita tra “centro e periferia”, viene ad assumere un ruolo di centrale importanza l’attività di prevenzione degli incidenti informatici, ali-mentata da un flusso informativo constante tra le diverse componenti coinvolte, attuato in modo da valorizzare al massimo le capacità di condivisione delle informazioni e la tempestività delle comunicazioni.
Le attività presupposte all’erogazione di questo servizio da parte del CERT-SPC, dipana-no dalle operazioni di monitoraggio delle fonti, di raccolta ed elaborazione delle infor-mazioni, per arrivare alla realizzazione di differenti bollettini informativi sulle emergenze di sicurezza in ambito SPC: tutto quell’insieme di attività generalmente noto con l’espressione early warning.
Il CERT-SPC è proprio la componente responsabile di questo servizio informativo, erogato a beneficio delle singole Unità Locali di Sicurezza.