LA GUIDA PRATICA

Security assessment: ecco come valutare il livello di protezione degli asset aziendali

La realizzazione di un security assessment consente alle aziende di valutare esattamente il livello di protezione dei propri asset. Ecco i passaggi da seguire per completare correttamente questa attività

06 Apr 2020
R
Walter Rocchi

Trainer, GDPR, ISO27001 LI/LA

Un security assessment correttamente eseguito consente alle aziende di acquisire tutte quelle informazioni necessarie a prendere decisioni informate sulla sicurezza informatica e quindi a valutare il livello di protezione dei propri asset.

Prima di procedere, però, è utile chiarire subito eventuali dubbi e perplessità che mi sono giunti sull’argomento:

  1. se sei una grande azienda e ti fanno pagare mille euro per un security assessment, non è un security assessment, ma al massimo un network scan;
  2. avere gli endpoint dell’antivirus aggiornati all’ultima firma, non significa che il perimetro aziendale sia scevro da vulnerabilità, anzi: vuol dire semplicemente che l’antivirus è aggiornato.

La mia, ovviamente, non vuole essere in alcun modo una critica o una polemica. Però, purtroppo, in questo (e in altri ambiti), le informazioni non sono molto chiare e la tendenza a truffare, o comunque, approfittarsi dell’ingenuità altrui, sono sempre all’ordine del giorno.

Security assessment e mitigazione del rischio informatico

Una valutazione del rischio per la sicurezza informatica riguarda la comprensione, la gestione, il controllo e la mitigazione del rischio informatico all’interno dell’organizzazione. È una parte cruciale della strategia di gestione dei rischi di qualsiasi organizzazione e degli sforzi di protezione dei dati.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Le valutazioni dei rischi non sono una novità e, che piaccia o no, se lavori nella sicurezza delle informazioni, sei nel business della gestione dei rischi. Poiché le organizzazioni si affidano maggiormente alla tecnologia e ai sistemi di informazione per fare affari, aumentano i rischi inerenti, rischi che prima non esistevano.

Purtroppo, affrontare il semplice volume e l’evoluzione degli attacchi informatici è scoraggiante anche per i team IT più attenti alla sicurezza. Richiede una comprensione approfondita dei rischi e delle vulnerabilità dell’organizzazione, nonché delle minacce attuali e delle politiche e tecnologie più efficaci per affrontarle. Solo comprendendo i loro rischi le organizzazioni possono indirizzare dollari di sicurezza limitata alle tecnologie e alle strategie che contano di più.

È quindi importante comprendere come possono le aziende armarsi delle informazioni di cui hanno bisogno per prendere decisioni informate sulla sicurezza informatica.

Security assessment: un’utile autovalutazione

Molti attacchi informatici sfruttano le vulnerabilità di base della sicurezza, spesso inosservate, come procedure di gestione delle patch scadenti, password deboli, servizi di posta elettronica personali basati sul Web e la mancanza di istruzione per l’utente finale e solide politiche di sicurezza.

Ciò rende un’efficace valutazione della vulnerabilità un primo passo fondamentale nello sforzo di proteggere i dati.

L’81% delle violazioni che sfruttano le tecniche di hacking (errori di configurazione, vulnerabilità o exploit) ha utilizzato password rubate o deboli nel 2017, rispetto al 63% nel 2016 (Verizon 2017 Data Breach Investigations Report).

Anche la rete più sicura potrebbe avere alcune vulnerabilità sconosciute. Gli scanner di vulnerabilità sono strumenti utili per identificare le vulnerabilità di rete e host nascoste. Tuttavia, per molte organizzazioni, le valutazioni delle vulnerabilità sono altamente tecniche e vengono eseguite principalmente a fini di conformità, con una scarsa connessione ai rischi aziendali dell’organizzazione e alle decisioni sul budget della sicurezza dei dirigenti.

Le valutazioni delle vulnerabilità in genere identificano migliaia di vulnerabilità granulari e le classificano in base alla gravità tecnica, anziché tenere conto del business interessato e dei suoi processi critici. Possono inoltre identificare più volte una singola vulnerabilità, raccomandando più patch e aggiornamenti, quando in realtà un’unica soluzione di sicurezza potrebbe risolverli tutti.

Idealmente, una solida strategia di sicurezza dovrebbe legare l’impatto aziendale e la strategia di sicurezza complessiva di un’organizzazione ai risultati di una valutazione della vulnerabilità, consentendo di comprendere non solo dove si trovano i rischi reali per l’azienda, ma anche quali vulnerabilità dovrebbero essere affrontate per prime e come affrontarle effettivamente.

Legare le valutazioni di vulnerabilità all’impatto sulle imprese

Ottenere il massimo beneficio da una valutazione della vulnerabilità richiede una comprensione dei processi critici e dell’infrastruttura sottostante della propria organizzazione e l’applicazione di tale comprensione ai risultati.

Per essere veramente efficace, dovrebbe includere i seguenti passaggi.

Assumere un ruolo attivo

Quando si ha l’OK dal business, si dovrebbe adottare un approccio attivo per scoprire quale sia lo stato attuale della sicurezza.

È importante selezionare attivamente potenziali fornitori, impegnarsi nel processo di scoping, fornire ai consulenti di sicurezza ciò di cui hanno bisogno per svolgere il lavoro e impegnarsi nel processo per facilitare il successo.

Quando le principali parti interessate decidono di essere coinvolte nel processo come partecipanti e studenti, le conoscenze acquisite da tale collaborazione consentiranno all’azienda di consumare i risultati in modo più efficace e di metterli su una base migliore per affrontare le questioni di domani, guidati attraverso il processo di un professionista con esperienza oggi.

Identificare e comprendere i processi aziendali

Identificare e comprendere i processi aziendali della propria organizzazione, concentrandosi su quelli critici e sensibili in termini di conformità, privacy dei clienti e posizione competitiva. In molte organizzazioni, richiede la collaborazione tra IT e rappresentanti delle unità aziendali, del dipartimento finanziario e del consulente legale.

Molte organizzazioni mettono insieme task force sulla strategia di sicurezza con rappresentanti di ciascun dipartimento, che lavorano insieme per diverse settimane per analizzare i processi aziendali e le informazioni e l’infrastruttura da cui dipendono.

Quelli con una significativa conoscenza del dominio sono le risorse più preziose in questo processo di scoperta. L’obiettivo principale è documentare “il modo in cui è stato fatto” e capire qual è il vero processo.

Individuare le applicazioni e i dati su cui si basano i processi aziendali

Una volta identificati e classificati i processi aziendali in termini di criticità e sensibilità della missione, il passo successivo è identificare le applicazioni e i dati da cui dipendono quei processi critici.

Ancora una volta, ciò può essere realizzato solo attraverso la collaborazione tra IT e altri attori aziendali.

Da ampie discussioni collaborative potresti scoprire applicazioni più cruciali del previsto. Ad esempio, l’e-mail può essere un’applicazione critica per un reparto, ma oscurata dalla messaggistica istantanea interna in un altro.

Trova fonti di dati nascoste, ovvero il perimetro aggiornato

Quando gli esperti di sicurezza aziendale si mettono a cercare applicazioni e fonti di dati, è importante che il perimetro aziendale sia il più vasto possibile.

Se vent’anni fa, infatti, il perimetro aziendale era esclusivamente quello fisico, e se dieci anni fa dovevamo calcolare tablet e BYOD (ovvero telefoni e tablet del dipendente con account aziendale) ora a tutto questo dobbiamo aggiungere le estensioni “socia”.

Mentre alcuni dati potrebbero risiedere in una posizione statica, la stragrande maggioranza esisterà e interagirà in un ecosistema di dispositivi e percorsi di informazione. Collettivamente, questi dispositivi contengono spesso i dati più recenti e sensibili dell’organizzazione.

Collaborare con le business unit per capire chi sta utilizzando i dispositivi mobili per accedere e condividere applicazioni e dati aziendali. Comprendere i flussi di dati tra questi dispositivi e le applicazioni e l’archiviazione del data center.

Considerando il funzionamento interno e il movimento dei dati, si dovrebbe riflettere sulle informazioni migrate al di fuori delle quattro mura figurative dell’organizzazione. Office 365 consente a qualsiasi dipendente di accedere a informazioni critiche su qualsiasi dispositivo, in qualsiasi luogo e in qualsiasi momento.

Per comprendere questa impronta esterna, determinare se gli utenti aziendali inviano e-mail aziendali su canali pubblici come Gmail o Yahoo.

Un’altra categoria spesso nascosta da esaminare è l’ambiente di sviluppo del software, poiché sono intrinsecamente meno sicuri degli ambienti di produzione. Gli sviluppatori e i tester di software utilizzano spesso dati attuali, talvolta critici, per testare applicazioni nuove e aggiornate.

Determinare quale hardware è alla base di applicazioni e dati.

Continuare a lavorare sui livelli dell’infrastruttura per identificare i server, sia virtuali che fisici, che eseguono le applicazioni critici.

Per le applicazioni Web / database, potresti parlare di tre o più set di server – server Web, middleware dell’applicazione e database – per applicazione. Identificare i dispositivi di archiviazione dei dati che contengono i dati critici e sensibili utilizzati da tali applicazioni.

Mappare l’infrastruttura di rete che collega l’hardware

Sviluppare una comprensione dei router e degli altri dispositivi di rete da cui dipendono le applicazioni e l’hardware per prestazioni veloci e sicure.

È importante determinare se specifiche subnet sono progettate per contenere risorse sensibili come i controller di dominio Windows o una particolare unità aziendale, come sviluppo o risorse umane.

Comprendere come i dati arrivano dal punto A al punto B è essenziale e sapere dove vive un particolare tipo di dati è fondamentale.

Identificare quali controlli sono già in atto

Documentare le misure di sicurezza già in atto – tra cui politiche, controlli tecnici come firewall, firewall applicativi, sistemi di rilevamento e prevenzione delle intrusioni (IPS / IDS), reti private virtuali (VPN), Data Loss Prevention (DLP) e crittografia – per proteggere ogni set di server e dispositivi di archiviazione che ospitano dati e applicazioni critici.

Comprendere le funzionalità chiave di queste protezioni e quali vulnerabilità affrontano in modo più efficace. Questo è il cuore della strategia di “difesa in profondità” e potrebbe richiedere alcune ricerche piuttosto approfondite, tra cui la scansione di siti Web e delle eventuali applicazioni correlate.

Eseguire scansioni di vulnerabilità

Solo quando hai compreso e mappato i flussi di applicazioni e dati e l’hardware, l’infrastruttura di rete e le protezioni sottostanti ha senso eseguire le scansioni di vulnerabilità.

L’esercizio intellettuale che è stato eseguito fino a questo punto è ciò che consente agli analisti della sicurezza di interpretare i risultati della scansione in modo chiaro e focalizzato sugli aspetti critici del business.

Uno dei più grandi errori che le aziende commettono è usare una scansione per determinare cosa patchare, invece di scansionare per verificare la corretta patch. Questo prepara l’organizzazione a una maggiore vulnerabilità piuttosto che a una minore.

Applicare il contesto aziendale e tecnologico ai risultati dello scanner

Lo scanner può produrre decine di host e altre vulnerabilità con livelli di gravità, ma poiché i risultati e i punteggi si basano su misure oggettive, è importante determinare il contesto aziendale e infrastrutturale della propria organizzazione.

Derivare informazioni significative e attuabili sul rischio aziendale dai dati di vulnerabilità è un compito complesso e difficile.

Dopo aver valutato il livello di conoscenza e il carico di lavoro del personale, è possibile determinare che sarebbe utile collaborare con un’azienda esperta in tutti gli aspetti della sicurezza e della valutazione delle minacce.

Che si tratti di svolgere questo compito internamente o di ottenere assistenza esterna, i risultati devono essere analizzati per determinare quali vulnerabilità dell’infrastruttura devono essere individuate per prime e in modo più aggressivo. Considera quanto segue:

  1. Il numero e l’importanza delle risorse toccate dalle vulnerabilità. Se una vulnerabilità interessa molte risorse diverse, in particolare quelle coinvolte in processi critici, ciò può indicare che è necessario affrontarla immediatamente e in modo completo. D’altra parte, se lo scanner rileva più vulnerabilità nelle infrastrutture che eseguono applicazioni meno critiche a cui accedono solo pochi utenti, potrebbe non essere necessario affrontarle in modo aggressivo. Il triage deve essere eseguito in base alle nuove conoscenze acquisite attraverso il processo di valutazione;
  2. Controlli esistenti. Se le vulnerabilità identificate dalla scansione incidono sull’infrastruttura che dispone già di più livelli di protezione, alcune di queste vulnerabilità potrebbero essere già risolte da tecnologie esistenti. Ad esempio, una vulnerabilità rilevata su un server protetto da firewall, crittografia e altre contromisure dell’applicazione potrebbe non essere tanto importante da affrontare quanto la stessa vulnerabilità rilevata in un’infrastruttura meno protetta utilizzata in test e sviluppo, in particolare se si avvale di dati con severi requisiti di conformità. È importante valutare la criticità rispetto alle protezioni esistenti per determinare quale vulnerabilità potrebbe esporre la tua azienda a gravi rischi.
  3. Tecnologie di sicurezza disponibili. Il rapporto di valutazione della vulnerabilità può consigliare decine di patch e aggiornamenti software per risolvere i problemi di sicurezza, ma l’applicazione costante di patch e aggiornamenti può far risparmiare tempo e risorse IT. Potrebbero esserci altre tecnologie di sicurezza più efficienti ed efficaci. Ad esempio, le vulnerabilità di scripting tra siti possono essere affrontate più facilmente e in modo completo attraverso un firewall per applicazioni Web (WAF) posizionato strategicamente rispetto all’applicazione costante di patch e aggiornamenti a più componenti. La chiave è capire come il profilo di rischio cambierebbe quando vengono applicate determinate tecnologie e politiche di sicurezza.
  4. Adottare una postura proattiva. Gli attacchi informatici spesso sfruttano i collegamenti più deboli della propria infrastruttura e spesso tali collegamenti deboli si trovano nelle filiali o tra i dispositivi mobili e IoT. Se la tua scansione rivelasse una serie di vulnerabilità in una filiale o in un’altra infrastruttura remota, ciò potrebbe indicare che sono necessarie ulteriori indagini e misure di protezione. Le valutazioni di sicurezza dell’IoT professionale, inclusi i servizi standard di individuazione e valutazione e valutazioni mirate di dispositivi e piattaforme specifici, possono aiutarti a valutare la vulnerabilità dei dispositivi dell’organizzazione e a comprendere i vettori di attacco associati.

Effettuare test di penetrazione

Una volta completata la valutazione della vulnerabilità e l’azienda ritiene di aver risolto abbastanza risultati per migliorare la propria posizione di sicurezza, è fondamentale effettuare un altro tipo di controllo a una terza parte, non coinvolta, per esaminare l’ambiente e contestare le ipotesi.

Il test di penetrazione è progettato per verificare se quello che, a livello di sicurezza è stato implementato, reggerà l’onda d’urto di un possibile attacco tramite vulnerabilità per ottenere l’accesso a informazioni preziose.

Durante l’attacco tecnico, i penetration tester metteranno alla prova le contromisure adottate come parte della valutazione di vulnerabilità. Il gruppo di server dietro i firewall è monitorato da un antivirus sufficientemente protetto? L’elenco dei punti di accesso scoperti nelle applicazioni critiche è completo oppure i penetration tester possono trovare un nuovo metodo di accesso di cui non si era a conoscenza?

In genere non andrebbe effettuato dalla società stessa, anche se ha le competenze interne, perché si tende ad essere “parte in causa” Una valutazione completa con obiettivi specifici dovrebbe essere condotta da tester esperti per aiutare il business a ottenere una prospettiva su quali aree potrebbero non essere state prese in considerazione in precedenza e quale area di crescita successiva dovrebbe essere parte del ciclo di vita della valutazione della sicurezza.

L’importanza di aggiungere un contesto

Gli aggressori non smetteranno mai di provare a sfruttare le vulnerabilità. Finché esistono exploit, è necessario un processo per trovare e rimediare continuamente alle vulnerabilità.

Le valutazioni continue della vulnerabilità sono una parte importante di un’efficace sicurezza informatica. Possono essere inestimabili, ma solo se i loro risultati sono ponderati nel contesto del business e dell’infrastruttura di sicurezza esistente.

Analizzando i risultati della valutazione tenendo presente il rischio aziendale e applicando tali conoscenze allo sviluppo di una solida strategia di sicurezza, i CISO e altri dirigenti IT possono aiutare le loro organizzazioni a trarre il massimo profitto dal loro budget di sicurezza e rafforzare la loro posizione generale in materia di sicurezza e conformità.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr