Ciclo di vita del contratto ICT: il vademecum definitivo

le sigle delle azioni si riferiscono alle diverse fasi in cui si articola il vademecum:

AG - azioni generali (fase programmazione e progettazione)

AP - azioni procurement (fase affidamento)

AC - azioni contratto (fase esecuzione)

Azioni da svolgere prima della fase di procurement (programmazione e progettazione commessa)

AG1.1 - Acquisizione competenze aggiornate di Procurement Management, Gestione Progetti, Asset Management, Change Management, Risk Management, Sicurezza e Protezione dei Dati.

AG1.2 – Formazione sulla tematica del procurement ICT

AG2 - Raccolta buone prassi ed esperienze sui casi di successo/insuccesso, in termini di sicurezza, riscontrati nelle precedenti acquisizioni ICT.

AG3 – Creazione matrice con ruoli e responsabilità, all’interno della propria struttura, identificando profili idonei e assegnando incarichi formali.

AG4 - Ricognizione dei beni informatici e dei servizi - redazione di un inventario aggiornato dei propri beni informatici.

AG5 - Classificazione di beni e servizi sotto il profilo:

della tecnologia adottata;
del rispetto del principio di neutralità tecnologica;
del rispetto del principio di trasparenza;
del rispetto della normativa in tema di trattamento dei dati personali;
della esecuzione di eventuali processi automatizzati;
dell’ambito amministrativo in cui essi operano e dell’impatto sulla collettività o sul funzionamento interno dell’Ente;
della sicurezza. Sotto tale profilo, l’amministrazione deve classificare i beni e i servizi individuati in termini di criticità, rischi, minacce, vulnerabilità, in aderenza alle disposizioni europee e nazionali in tema di sicurezza informatica.

Ai fini che precedono, l’amministrazione deve, dunque, eseguire le attività di Risk Assesment e di Business Impact Analisys.

AG6 – Definizione della metodologia di audit e valutazione del fornitore. Le amministrazioni devono organizzarsi in modo da poter svolgere efficaci azioni di audit nei confronti dei propri fornitori, anche individuando al loro interno competenze e responsabilità. Devono definire il processo e le modalità di svolgimento delle attività di audit: processo e modalità devono essere esplicitate nei capitolati di gara o nei contratti di fornitura.

Azioni da svolgere durante la fase di procurement (scelta della procedura e affidamento)

AP1: Individuazione delle esigenze. Redazione di un documento concernente:

studio del contesto attraverso la descrizione delle caratteristiche dell’amministrazione: finalità, struttura ed organizzazione;
descrizione dei flussi operativi interessati dal software da acquisire, che la pubblica amministrazione mette in atto per dare seguito alle procedure amministrative;
ipotesi di ottimizzazione dei flussi in relazione al software da acquisire;
identificazione degli «strumenti» (definizione degli obiettivi) necessari alla realizzazione dei processi operativi individuati;
enunciazione dei requisiti, cioè dei bisogni a cui il software deve rispondere, prevedendo una differenziazione tra requisiti indispensabili e non;
individuazione della disponibilità di bilancio per assicurare la disponibilità e la messa in produzione della soluzione da acquisire (eventuale bonifica dati e migrazione da sistemi preesistenti, installazione, personalizzazione, integrazione con sistemi esistenti, formazione, supporto all’avvio, attività gestionali, pagamento di eventuali eccedenze, ecc.);
stima dei tempi per la messa in esercizio della soluzione che la Pubblica amministrazione può assorbire;
eventuali norme e linee guida che il software dovrà seguire nella propria implementazione tecnica

AP2 – Analisi e classificazione della fornitura o del servizio da acquisire secondo la matrice di cui alla precedente AG5.

AP3 Ricerca e analisi:

AP 3.1 presenza soluzioni a riuso per la PA (piattaforma Developers Italia);

AP 3.2 presenza soluzioni open source;

AP 3.3 presenza altre soluzioni. Soluzioni proprietarie o realizzazione ex novo.

AP4 Scelta modalità utilizzo software tra

utilizzo in modalità SaaS;
installazione su un server nella disponibilità diretta dell’amministrazione.

AP5 Scelta dello strumento e della procedura di acquisizione più adeguato. L’amministrazione scegliere lo strumento di acquisizione di cui avvalersi, tra quelli disponibili e in accordo con il codice degli appalti e il resto della normativa applicabile, ivi compresa la disciplina in tema di obblighi di utilizzo di strumenti di acquisto e di negoziazione previsti dalle vigenti disposizioni in materia di contenimento della spesa. Sempre in questa fase, laddove opti per il riuso, sceglie se procedere con convenzione o direttamente fruire della licenza aperta su Developers Italia.

AP6 – Redazione atti di gara.

Azioni da svolgere dopo la stipula del contratto

(in esecuzione e/o a posteriori).

AC1 - Gestione utenze dei fornitori - Account Management.

AC2 – Gestione utilizzo di dispositivi di proprietà del fornitore. Le caratteristiche di sicurezza (ad esempio la crittografia dei dati) che i dispositivi del fornitore (computer, portatili, tablet, ecc.) devono rispettare per accedere alla rete dell’amministrazione devono essere specificate come requisiti nel capitolato tecnico. Pertanto, l’azione consiste nella sistematica verifica di conformità dei dispositivi rispetto a quanto richiesto nel capitolato.

AC3 - Gestione accesso alla rete dell’amministrazione. L’accesso alla rete locale dell’amministrazione da parte del fornitore deve essere configurato con le abilitazioni strettamente necessarie alla realizzazione di quanto contrattualizzato, vale a dire consentendo l’accesso esclusivamente alle risorse necessarie.

AC4 - Gestione accesso ai server/database. Nelle forniture di sviluppo e manutenzione, l’utilizzo dei dati dell’amministrazione per la realizzazione di quanto contrattualizzato deve essere consentito esclusivamente su server/database di sviluppo nei quali sono stati importati i dati necessari per gli scopi del progetto. Pertanto, questa azione consiste nel gestire l’accesso ai server e ai DB in modo da rispettare questa regola generale, tracciando le eventuali eccezioni che dovessero verificarsi.

AC5 - Stipula accordi di autorizzazione - riservatezza – confidenzialità. Nei tipici contratti pluriennali multi-iniziativa, l’amministrazione deve stipulare accordi di autorizzazione (clearance) e riservatezza con ogni singolo fornitore prima dell’avvio di ogni progetto. L’azione AC5 consiste nella gestione documentale di tali accordi.

AC6 - Verifica del rispetto delle prescrizioni di sicurezza nello sviluppo applicativo. In forniture di tipologia sviluppo applicativo e/o manutenzione evolutiva che sono state classificate critiche, l’amministrazione deve aver definito - nel capitolato tecnico o in qualche suo allegato - requisiti in termini di sicurezza.

Questi requisiti possono essere: 1) di tipo generico, che lasciano al fornitore la libertà di scegliere la tecnologia e la metodologia da impiegare, dichiarandoli nella propria offerta tecnica (che va poi valutata dalla commissione giudicatrice); 2) specifiche tecniche puntuali, ad esempio piattaforma e linguaggio di programmazione da utilizzare; metodologie di sviluppo basata sul rispetto dei principi di “Security and Privacy by Design”; DBMS, middleware e librerie consentite, periodicità delle verifiche, della revisione del codice e dei vulnerability assesment. A tale fine far riferimento alle linee guida AgID sullo sviluppo del software sicuro (Rif. DR-4, paragrafo 1.5).

Nel caso 1), l’azione AC6 consiste nel verificare sistematicamente, nel corso dell’intero contratto, che il fornitore stia effettivamente utilizzando le tecnologie e le metodologie che ha dichiarato nell’offerta tecnica, e sulla base delle quali ha ottenuto il proprio punteggio tecnico.

Nel caso 2), l’azione AC6 consiste nel verificare sistematicamente, nel corso dell’intero contratto, che il fornitore stia rispettando le specifiche tecniche puntuali presenti nel capitolato.

AC7 - Monitoraggio utenze e gli accessi dei fornitori. L’amministrazione deve creare e mantenere costantemente aggiornata una matrice Progetto-Fornitori e Ruoli-Utenze che aiuti a monitorare e verificare l’impiego da parte del fornitore di personale con qualifica e formazione adeguata e la corretta rimozione dei permessi (deprovisioning) delle utenze.

AC8 - Verifica documentazione finale di progetto. Alla fine di ogni singolo progetto (che come specificato in precedenza non coincide necessariamente col termine del contratto), l’amministrazione deve verificare che il fornitore rilasci la seguente documentazione:

documentazione finale e completa del progetto;
manuale di installazione/configurazione;
report degli Assessment di Sicurezza eseguiti con indicazione delle vulnerabilità riscontrate e le azioni di risoluzione/mitigazione apportate.
“libretto di manutenzione” del prodotto (software o hardware).

AC9 - Rimozione dei permessi (deprovisioning) al termine di ogni progetto

Al termine di ogni singolo progetto l’amministrazione deve obbligatoriamente eseguire le seguenti attività:

deprovisioning delle utenze logiche del fornitore;
deprovisioning degli accessi fisici del fornitore;
deprovisioning delle utenze VPN;
deprovisioning delle regole Firewall;
richiedere dichiarazione di avvenuta cancellazione dei dati sui dispositivi utilizzati dal fornitore durante il progetto.

AC10 – Aggiornamento e inventario dei beni

Nel caso di progetti realizzativi e di acquisizioni, l’amministrazione deve:

inserire l’eventuale hardware acquisito nell’inventario dei beni dell’amministrazione.
inserire l’eventuale software realizzato o acquisito (insieme al relativo middleware e alle librerie a corredo) nell’inventario dei beni dell’amministrazione;
inserire gli oggetti di cui ai punti precedenti nel sistema di backup / disaster recovery dell’amministrazione ed eventualmente anche in un sistema di monitoraggio web server / servizi (es: Uptime Robot, SIEM);
verificare che la documentazione e le procedure operative che riguardano la sicurezza vengano aggiornate, nel corso del contratto, a ogni cambiamento, fornendo una tempestiva comunicazione interna della variazione.

AC11 - Distruzione del contenuto logico (wiping) dei dispositivi che vengono sostituiti e definizione processo di verifica strutturato.

AC12 - Manutenzione - aggiornamento dei prodotti

AC13 - Vulnerability Assesment

L’amministrazione deve eseguire, su beni e servizi classificati critici ed esposti sul web, un Vulnerability Assesment. La periodicità e la tipologia di assesment dipenderà dal grado di criticità del bene e servizio (vedi azione AG5). Come indicazione orientativa, si suggerisce di svolgere assesment a cadenza almeno annuale, e ogni volta che si apportano modifiche alla configurazione software/hardware

* FINE VADEMECUM *

Livelli di supporto esterno (qualora necessario):

Livello 1.
La mappa concettuale è uguale per tutti.
Le azioni da fare astrattamente sono identiche per ogni ente, è chiaro che ci sarà un livello di personalizzazione a seconda di tipologia e dimensioni dell'ente, che potete gestire in completa autonomia.

Livello 2.
Oltre al piano, possiamo aiutarti a stendere anche tutti gli atti ad esso correlati (tabella per inventario, tabella per organigramma, valutazione del rischio, documento programmatico per fabbisogno software, etc.)

Livello 3.

ti aiutiamo anche nella stesura degli atti di gara (per quella specifica gara di acquisto del bene IT).

Livello 4.

Supporto al RUP per singola gara.

Per qualsiasi informazione, scrivere a info@transizionedigitale.it

Risorse allegate

Ciclo di vita del Contratto ICT: il vademecum definitivo (agg. Legge 90/2024)

Pubblicato il 23 gennaio 2024