Continuità operativa e disaster recovery nella pubblica amministrazione

Continuità operativa e disaster recovery

nella pubblica

amministrazione

Continuità Operativa (CO)

Continuità Operativa: l’insieme delle attività e delle politiche adottate per ottemperare all’obbligo di assicurare la continuità nel funzionamento dell’organizzazione; è parte integrante dei processi e delle politiche di sicurezza di un’ organizzazione;

Continuità operativa ICT : la capacità di un organizzazione di adottare, attraverso accorgimenti, procedure e soluzioni tecnico-organizzative, misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, all’interno o all’esterno dell’organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali;

DEFINIZIONI

“Linee Guida per il DR delle PA”, DigitPA 2011

• RTO (Recovery Time Objective)

– indica il tempo di ripristino del servizio: è la durata di tempo e di un livello di servizio entro il quale un business process ovvero il Sistema Informativo primario deve essere ripristinato dopo un disastro o una condizione di emergenza (o

interruzione), al fine di evitare conseguenze inaccettabili

• RPO (Recovery Point Objective)

– indica la perdita dati tollerata: rappresenta il massimo tempo che intercorre tra la produzione di un dato e la sua messa in sicurezza conseguentemente, fornisce la misura della massima quantità di dati che il sistema può perdere a causa di guasto improvviso

Disaster recovery (DR)

nell’ambito dell’art. 50 bis del CAD, l’insieme delle misure tecniche e organizzative

adottate per assicurare all’organizzazione il funzionamento del centro elaborazione

dati e delle procedure e applicazioni informatiche dell’organizzazione stessa, in siti

alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o

possano provocare, indisponibilità prolungate.

La continuità operativa nel settore pubblico

La pubblica amministrazione è tenuta ad assicurare la continuità dei propri servizi per garantire il corretto svolgimento della vita nel Paese.

Art. 97 della Costituzione ed il principio di buon

andamento dell'amministrazione, da rispettare anche se

si utilizzano tecnologie ICT

• Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196)

• Decreto legislativo 30 dicembre 2010, n. 235 (Gazz. Uff. 10 gennaio 2011, n. 6):

Modifiche ed integrazioni al decreto legislativo 7 marzo 2005, n. 82, recante Codice dell’amministrazione digitale, a norma dell’articolo 33 della legge 18 giugno 2009, n. 69.

Normativa

Il Dlgs 30 dicembre 2010 introduce nel CAD l’articolo 50-bis (Continuità operativa) i seguenti punti:

1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche

amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.

2. Il Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.

Nuovo Codice dell’amministrazione digitale

3) A tali fini, le pubbliche amministrazioni definiscono :

a)  il piano di continuità operativa: fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure

preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;

b)  il piano di disaster recovery: stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti

alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.

4) I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e

dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA.”.

Il D.Lgs. 196/2003, tra le misure minime di sicurezza, prevede (al numero 18 dell'Allegato B) che il titolare fornisca agli incaricati istruzioni relative al salvataggio almeno settimanale dei dati.

In seguito a guasti, manomissioni, o disastri il backup consente però di recuperare solo i dati salvati, ma non prevede anche la duplicazione delle risorse informatiche necessarie per utilizzare questi dati e a seguito di eventi di maggiore impatto non è possibile ripristinare in tempi brevi l’operatività dell’Ente, mettendo così in serio pericolo il suo ruolo istituzionale.

Il discorso si è così evoluto in quello che oggi viene definito “Disaster Recovery” ovvero quel complesso di regole, metodi e tecnologie da implementare per garantire il ripristino non solo dei dati ma anche dei sistemi informativi colpiti da un evento disastroso.

Un piano di Continuità Operativa deve tenere in considerazione la riservatezza dei dati da salvaguardare, unitamente alle caratteristiche di proporzionalità, non eccedenza e finalità con cui la conservazione dei dati viene effettuata.

Il D.lgs 196/03 Codice in materia

di trattamento dei dati

Il Garante privacy sullo schema di "Linee-guida per il Disaster Recovery delle pubbliche amministrazioni" predisposto dall'Agenzia per l'Italia digitale (ex DigitPa) ha espresso parere favorevole.

Come previsto dal Codice dell'amministrazione digitale (Cad), ogni pubblica amministrazione deve predisporre, e aggiornare periodicamente, il piano di disaster recovery, ossia l'insieme delle attività necessarie per ripristinare le funzionalità di un sistema informatico nel suo complesso (strutture hardware, software e servizi di comunicazione), messo fuori uso da un evento improvviso che potrebbe comportare danni e perdite gravi per l'amministrazione.

Parere del Garante sullo schema di "Linee-guida per il Disaster Recovery

delle pubbliche amministrazioni", emanate ai sensi dell'articolo 50-bis,

comma 3, lett. b), del Codice dell'amministrazione digitale - 4 luglio 2013

Un altro aspetto in ordine al quale sono state recepite le indicazioni rese dall'Autorità nel parere del 2011 riguarda l'utilizzo di servizi cloud per la realizzazione del PCO e di DR, che implichino il trasferimento di dati. Al riguardo l'odierno schema dopo aver precisato che in relazione alla natura particolare dei servizi cloud, la p. a. deve considerare la possibile localizzazione della infrastruttura geograficamente distribuita, individua gli strumenti e le clausole da adottare per soluzioni cloud che implichino il trasferimento dei dati (con rinvio alla normativa comunitaria e ai provvedimenti del Garante).

Servizi cloud

Cloud Computing?

Con il termine cloud computing, o semplicemente cloud, ci si riferisce a un insieme di tecnologie e di modalità di fruizione di servizi informatici che favoriscono l’utilizzo e l’erogazione di software, la possibilità di conservare e di elaborare grandi quantità di informazioni via Internet. Il cloud offre, a seconda dei casi,

il trasferimento della conservazione o dell’elaborazione dei dati dai computer degli utenti ai sistemi del fornitore.

Il cloud consente, inoltre, di usufruire di servizi complessi senza doversi necessariamente

dotare né di computer e altri hardware avanzati, né di personale in grado di programmare o

gestire il sistema.

Dott.ssa Patrizia Meo

[email protected]

www.patriziameo.it