Sicurezza totale dei tuoi dati

Transcript

1 Sicurezza totale dei tuoi dati Disaster recovery ed alta disponibilità Rovato 23/02/2012 Giancarlo Butti, (LA BS7799), (LA ISO 27001), ISM, CRISC Copyright G.Butti

2 Giancarlo Butti Mi occupo di ICT, organizzazione e normativa dai primi anni 80 Security manager ed auditor presso banche MEDIO GRANDI Consulente di aziende MEDIO PICCOLE Divulgatore (oltre 600 articoli, 16 libri/white paper, 4 nuovi libri in preparazione) Formatore (corsi e seminari in ambito privacy e sicurezza) Socio AIEA, Clusit Membro dell Osservatorio sulla Business Continuity di ABI LAB (Vedi linkedin.com)

3 Giancarlo Butti Rapporti con la PA Pubblicazione relative alla sicurezza e dematerializzazione nella PA: Protocollo informatico a norme AIPA - Guida alle soluzioni basate sulla tecnologia Microsoft, ITER - Microsoft '03 Portali per la pubblica amministrazione, Microsoft '04 Intranet per la pubblica amministrazione, Microsoft '04 Il Codice in materia di protezione dei dati personali (Dlgs 196/03) e le ricadute sui sistemi informatici della Pubblica Amministrazione, Microsoft '05 (pp. 140) Il Codice in materia di protezione dei dati personali (Dlgs 196/03) e le ricadute sui sistemi informatici della Sanità, Microsoft '05 (pp. 140) Relatore ai convegni: Omat 2003 e EuropePa 2003, Le soluzioni dei partner Microsoft per il protocollo informatico Com-PA 2003, Protocollo informatico 100 giorni al via EuropePa 2004, Intranet per le pubbliche amministrazioni Omat 2004, Protocollo informatico, criteri di valutazione Altre attività: Per il Gruppo Pirola/il Sole 24 Ore ho curato la versione elettronica di diverse pubblicazione dedicate alla pubblica amministrazione Ho realizzato stazioni informative per alcune PA

4 ARGOMENTI Sicurezza? La sicurezza degli asset - l aspetto educativo i beni da proteggere la gestione del rischio le misure di sicurezza

5 ARGOMENTI (In)consapevolezza PMI Dlgs 196/03 Continuità operativa Alta affidabilità DR BC

6 SICUREZZA Di quale sicurezza stiamo parlando? Sicurezza dell ente Sicurezza degli asset Sicurezza delle informazioni

7 SICUREZZA Security SICUREZZA Sicurezza logica Safety

8 Linee guida per il disaster recovery delle pubbliche amministrazioni Linee guida per il disaster recovery delle pubbliche amministrazioni (p.11) Tutte le azioni che saranno descritte in queste Linee Guida, pertanto, dovranno essere considerate come uno degli adempimenti necessari a completare ed integrare tutte le misure di sicurezza dell organizzazione medesima e che trovano fondamento anche in altri obblighi normativi (si pensi in particolare al Codice della Privacy, alla normativa sui collaudi, al T.U. sulla sicurezza nel lavoro - DLgs 81/2008 e s.m.i.; al DPCM , ecc) e nelle Regole tecniche di cui all art. 51 del Codice dell Amministrazione Digitale (inerente la Sicurezza dei dati, dei sistemi e delle infrastrutture ), come evidenziato anche nel successivo par In quest ottica anche l attuazione degli obblighi imposti dal CAD in materia di CO possono costituire un occasione per sensibilizzare le Amministrazioni verso un percorso complessivo in materia di sicurezza di tutta l organizzazione, coerentemente con il quadro normativo richiamato, nonché un momento per rivisitare e razionalizzare le risorse dedicate

9 NORMATIVE SULLA SICUREZZA La protezione dei dati personali Le misure di sicurezza nel Dlgs 196/03 La redazione del DPS (o analoga documentazione) La regolamentazione della sicurezza Controlli e limiti nei controlli Il principio di necessità La salute e sicurezza nei luoghi di lavoro Stress lavoro correlato La sicurezza degli impianti La criminalità informatica Il diritto d autore La responsabilità amministrativa (in parte) Dematerializzazione e digitalizzazione Sistema pubblico di connettività...

10 Linee guida per il disaster recovery delle pubbliche amministrazioni

11 LA SICUREZZA DEGLI ASSET L aspetto educativo I beni da proteggere La gestione del rischio Le misure di di sicurezza Le normative sulla sicurezza

12 LA SICUREZZA DEGLI ASSET L aspetto educativo Obiettivi: creare consapevolezza sulla sicurezza consentire, mediante un linguaggio comune, la comunicazione fra i vari attori dei processi connessi alla gestione della sicurezza Destinatari: Amministratori, professionisti e manager chiamati a difendere i beni del proprio ente esperti di sicurezza che vogliono disporre di uno strumento che permetta una facile comunicazione con il management Impostazione: didattica, pratica, non accademica, ricca di tabelle e di esempi concreti Linguaggio: semplice e discorsivo, con qualche libertà nell uso dei termini

13 LA SICUREZZA DEGLI ASSET L aspetto educativo Contenuti: individuare quali siano i beni aziendali da proteggere individuare le minacce che incombono su di essi valutare i rischi individuare le possibili contromisure Modalità: i capitoli descrittivi sono realizzati mediante una serie di slide, con un testo semplice che guida il lettore non esperto il capitolo sulle misure di sicurezza presenta tabelle che illustrano, per ogni misura rappresentata, gli aspetti tecnici ed organizzativi che la contraddistinguono il capitolo sulle normative presenta brevemente le leggi che hanno impatti sulla sicurezza aziendale

14 LA SICUREZZA DEGLI ASSET L aspetto educativo Se Se sei sei saggio, saggio, lo lo sei sei a tuo tuo profitto; se se sei sei stolto, stolto, tu tu solo solo ne ne porterai le le conseguenze. Proverbi 9,12 9,12 I beni da proteggere La gestione del rischio Le misure di sicurezza Le normative sulla sicurezza

15 LA SICUREZZA DEGLI ASSET I beni da proteggere I beni da proteggere Solo Solo ciò ciò che che si si conosce può può essere essere protetto BENI MATERIALI BENI IMMATERIALI ALTRO PERSONALE

16 LA SICUREZZA DEGLI ASSET I beni da proteggere BENI MATERIALI Immobili Attrezzature di vario tipo necessarie o accessorie all attività dell ente (mobili, sistema informativo, autoveicoli ) Infrastrutture e impianti Supporti di informazione (documenti, dischi, CD, pc ) BENI IMMATERIALI Informazioni PERSONALE Dipendenti e collaboratori, consulenti esterni ALTRI ASSET Clientela, reputazione aziendale

17 LA SICUREZZA DEGLI ASSET I beni da proteggere DOVE SONO LE INFORMAZIONI Documenti Sistemi informativi (dati) Sistemi informativi (software, configurazioni) Processi Oggetti Personale (competenze, conoscenze)

18 LA SICUREZZA DEGLI ASSET La gestione del rischio TERMINOLOGIA Bene - è l oggetto reale o immateriale da difendere Rischio - è il risultato finale, diretto, indiretto o consequenziale ad un azione volontaria, involontaria o ad un evento accidentale Minaccia - è un azione volontaria, involontaria o un evento accidentale Impatto[danno] - è la conseguenza diretta, indiretta, consequenziale ad un evento dannoso Probabilità - è il numero di volte che può aver luogo una minaccia in un determinato periodo Vulnerabilità - è una caratteristica intrinseca del bene, che viene sfruttata dalla minaccia Contromisura - è un fattore che consente di ridurre o annullare l effetto di una minaccia

19 LA SICUREZZA DEGLI ASSET La gestione del rischio ESPLICITE Documenti Sistemi informativi (dati) Sistemi informativi (software, configurazioni) Processi Oggetti (prototipi, campioni ) Taratura impianti e macchine IMPLICITE Personale (competenze, conoscenze) Processi

20 LA SICUREZZA DEGLI ASSET La gestione del rischio È impossibile che che l improbabile non non avvenga Henri Henri Poincaré Poincaré EDIFICIO LOCALE ATTREZZATURE

21 LA SICUREZZA DEGLI ASSET La gestione del rischio BENI MATERIALI BENI IMMATERIALI PERSONALE

22 LA SICUREZZA DEGLI ASSET La gestione del rischio RISCHI PROPRI DEI BENI MATERIALI Furto/Sottrazione/Perdita Guasto Danneggiamento/Distruzione/Alterazione Inaccessibilità (di breve/lungo periodo) Accesso/uso illegittimo/improprio (ad edifici, sistemi, attrezzature ) Invecchiamento (reale, tecnologico ) Assenza

23 LA SICUREZZA DEGLI ASSET La gestione del rischio RISCHI PROPRI DEI BENI IMMATERIALI Copia illecita (la sottrazione del bene può anche non essere evidente, in quanto la copia dell informazione ha lo stesso valore dell originale, che quindi non scompare) Intercettazione/Consultazione Inaccessibilità Alterazione dell informazione (modifica, correzione, cancellazione, inserimento di informazioni errate ) Comunicazione/diffusione illecita Perdita di qualità (degrado, invecchiamento ) Assenza o mancata esplicitazione Perdita

24 LA SICUREZZA DEGLI ASSET La gestione del rischio RISCHI DERIVATI DEI BENI IMMATERIALI Tutti i rischi legati al contenitore dell informazione Tutti i rischi legati al soggetto che detiene l informazione

25 LA SICUREZZA DEGLI ASSET La gestione del rischio RISCHI DEL PERSONALE Perdita assoluta (dimissioni, pensionamento, malattia) Perdita parziale (trasferimento ad altro ruolo, riduzione delle prestazioni) RISCHI PER L ENTE Interruzione, alterazione o limitazione nella produzione o erogazione dei servizi Perdite economiche (dirette, indirette, consequenziali) Perdita della clientela Rischi reputazionali (danni di immagine) Rischi legali

26 LA SICUREZZA DEGLI ASSET La gestione del rischio SOTTRAZIONE DI INFORMAZIONI Con furto del contenitore Senza furto del contenitore Intercettazione Recupero Personale Furto di: documenti supporti magnetici/ottici pc prototipi Consultazione, osservazione di: documenti dati sul sistema informativo comportamenti impianti Copia di: documenti supporti magnetici/ottici Fotografie, riprese video, registrazioni audio di comunicazioni e trasmissioni (telefoniche, vocali, , transazioni su rete locale o geografica, radio...) dei tasti premuti sulla tastiera delle emissioni video Rifiuti (documenti, supporti, oggetti ) assunzione di personale proveniente da altra azienda colloqui di lavoro con personale di altra azienda impersonificazione (furto di identità)

27 LA SICUREZZA DEGLI ASSET La gestione del rischio CORRELAZIONE FRA RISCHI Diretti Indiretti Consequenziali Descrizione del bene Rischio diretto Rischi indiretti Rischi consequenziali Disco fisso Rottura Perdita dati Interruzione del servizio Perdite economiche Danno di immagine Rischio legale

28 LA SICUREZZA DEGLI ASSET La gestione del rischio Descrizione del bene Sito Descrizione del bene Materie prime Rischio diretto Distruzione Rischio diretto Furto Rischi indiretti Inaccessibilità dei beni materiali ed immateriali presenti nell edificio Distruzione parziale o totale dei beni presenti nell edificio Rischi indiretti Perdita economica Interruzione della produzione Rischi consequen ziali Interruzione della produzione Perdita di clienti Perdite economiche Possibili conseguenze legali Rischi consequen ziali Perdite economiche (indirette e consequenziali) Perdita della clientela Rischi reputazionali Rischi legali

29 LA SICUREZZA DEGLI ASSET La gestione del rischio I COSTI DI RIPRISTINO Descrizione del bene Disco fisso Rischio Costo del bene Costo di ripristino Costi consequenziali Distruzione Costo del disco Costo dell intervento tecnico di sostituzione Costo di ripristino dei dati, applicazioni, configurazioni Mancato guadagno temporaneo per cessazione del servizio Rimborso a clienti Spese legali Spese per il ripristino dell immagine aziendale Mancato guadagno per perdita di clienti

30 LA SICUREZZA DEGLI ASSET La gestione del rischio TIPI DI MINACCE Ambientali Accidentali Industriali Guasti Sistema informativo Impianti Azioni Volontarie Personale interno/esterno Azioni Involontarie Personale interno/esterno

31 LA SICUREZZA DEGLI ASSET La gestione del rischio MINACCE COMPORTAMENTALI Azioni errate Azioni di terrorismo Furti/Frodi Vandalismi Social engineering Disobbedienza, sabotaggio Accesso/Uso illecito di risorse Uso non conforme di risorse lecite Scioperi del personale Scioperi di terzi (fornitori, servizi ) Scioperi connessi ai trasporti (benzinai, ferrovie...)

32 LA SICUREZZA DEGLI ASSET La gestione del rischio MINACCE COMPORTAMENTALI (SOGGETTI COINVOLTI) Esterni Concorrenti, spie Hacker, craker, terroristi Fornitori, outsourcer Interni Dipendenti infedeli Dipendenti insoddisfatti (variazioni di ruolo, mansione, organizzazione, gerarchia.) Dipendenti stressati Dipendenti non adeguatamente formati Dipendenti disattenti o che non rispettano le regole

33 LA SICUREZZA DEGLI ASSET La gestione del rischio CARENZE ORGANIZZATIVE Mancata regolamentazione a vari livelli Mancata definizione dei ruoli Mancanza di procedure, policy Mancata identificazione del valore delle risorse Mancata identificazione dei rischi Mancata identificazione ed implementazione di adeguate contromisure Mancata definizione dei controlli e del processo di gestione degli stessi Mancata definizione della responsabilità dei controlli CARENZE NELLE RISORSE UMANE ERRORI INVOLONTARI Processi aziendali Nell ambito dei sistemi informativi Nell ambito degli edifici e delle infrastrutture Nell ambito degli impianti produttivi

34 LA SICUREZZA DEGLI ASSET La gestione del rischio FASI DELL ANALISI DEI RISCHI Identificazione beni Relazione fra beni Identificazione minacce vulnerabilità Identificazione rischi Valutazione probabilità di accadimento Valutazione impatto Valutazione rischio

35 LA SICUREZZA DEGLI ASSET La gestione del rischio PROBABILITÀ Minacce accidentali Livello di vulnerabilità rispetto ad una specifica minaccia Probabilità intrinseca dell evento Minacce di tipo deliberato Livello di vulnerabilità rispetto ad una specifica minaccia Interesse di chi attua la minaccia Appetibilità del bene Minacce di tipo involontario Livello di vulnerabilità rispetto ad una specifica minaccia

36 LA SICUREZZA DEGLI ASSET La gestione del rischio L ATTIVAZIONE DELLE CONTROMISURE

37 LA SICUREZZA DEGLI ASSET La gestione del rischio TRATTAMENTO DEL RISCHIO RESIDUO Eliminare il rischio Ridurre il rischio Ridurre l impatto Ridurre la probabilità Trasferire il rischio Assicurativo Non assicurativo Accettare il rischio

38 LA SICUREZZA DEGLI ASSET Le misure di sicurezza For For the the want want of of a a nail nail a a shoe shoe was was lost, lost, for for the the want want of of a a shoe shoe a a horse horse was was lost, lost, for for the the want want of of a a horse horse a a knight knight was was lost, lost, for for the the want want of of a a knight knight a a battle battle was was lost, lost, for for the the want want of of a a battle battle the the kingdom kingdom was was lost, lost, all all for for the the want want of of a a nail. nail. FISICHE ORGANIZZATIVE LOGICHE

39 LA SICUREZZA DEGLI ASSET Le misure di sicurezza

40 LA SICUREZZA DEGLI ASSET Le misure di sicurezza Norme di comportamento Formazione degli incaricati Istruzioni per gli incaricati

41 (IN)CONSAPEVOLEZZA Livello di sicurezza del dato

42 (IN)CONSAPEVOLEZZA carenza di consapevolezza dei rischi e delle modalità per contrastarli da parte del personale e degli imprenditori carenza nella conoscenza delle normative che riguardano la sicurezza assenza di processi formalizzati, parzialmente sostituiti da prassi e istruzioni verbali (in particolare dove si trattano dati riservati dei clienti) assenza di un codice etico e di regole di comportamento dispersione nella collocazione dei documenti da proteggere, di norma non classificati (ad eccezione in genere di quelli relativi al personale) assenza di profilazioni differenziate negli accessi ai sistemi (in genere nelle aziende medio piccole tutti coloro che accedono ad una parte del sistema informativo, lo fanno con gli stessi privilegi)

43 (IN)CONSAPEVOLEZZA copie dei dati digitali conservate nello stesso luogo dei dati originali carenza di consapevolezza nell uso di supporti rimuovibili assenza di qualunque prova di ripristino e di verifica della validità delle copie di backup assenza di metodologie di aggiornamento dei sistemi mancanza di protezione nei collegamenti verso l esterno inadeguata organizzazione degli spazi, con particolare riferimento a quelli per il ricevimento del pubblico

44 (IN)CONSAPEVOLEZZA Dlgs 196/03 Art. 3 Principio di necessità (Dlgs 196/03) 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l interessato solo in caso di necessità.

45 (IN)CONSAPEVOLEZZA Art. 3 Principio di necessità (Dlgs 196/03) Revisione applicativi Revisione delle basi dati Definizione di regole per la progettazione dei nuovi applicativi

46 (IN)CONSAPEVOLEZZA Autorizzazione n. 1/2009 al trattamento dei dati sensibili nei rapporti di lavoro 16 dicembre 2009 Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice.

47 (IN)CONSAPEVOLEZZA Art. 170 Inosservanza di provvedimenti del Garante (Dlgs 196/03) Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.

48 (IN)CONSAPEVOLEZZA Misura minima 25 (Allegato B - Dlgs 196/03) Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall installatore una descrizione scritta dell intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

49 (IN)CONSAPEVOLEZZA Misure minime 4, 9, 10, 18, 21, 27 (Allegato B - Dlgs 196/03) Sono richieste istruzioni formali (scritte) per: Segretezza password Custodia dello strumento elettronico Accesso in assenza prolungata dell incaricato Salvataggio dei dati Custodia ed uso dei supporti rimuovibili Controllo e custodia dei documenti Solo con le semplificazioni del 2008 (difficilmente applicabili) è possibile impartire istruzioni orali (mm 4, 9, 18, 21, 27)

50 (IN)CONSAPEVOLEZZA Misure minime 12, 13, 14, 27 (Allegato B - Dlgs 196/03) La separazione dei ruoli e degli incarichi corrisponde ad un analoga separazione fisica degli incaricati? L organizzazione dei documenti e delle informazioni in essi contenute è coerente con gli incarichi? Il livello di sicurezza è identico in tutta la catena del trattamento? Nello stesso ufficio le persone hanno lo stesso incarico? Nello stesso ufficio le persone sono della stessa azienda? Come sono gestiti gli spazi comuni?

51 (IN)CONSAPEVOLEZZA Misure minime 12, 13, 14, 27 (Allegato B - Dlgs 196/03) Separazione degli spazi Come sono gestiti gli strumenti comuni di lavoro (stampanti, fotocopiatrici, fax )? Il personale è adeguatamente istruito per gestire situazioni promiscue? Organizzazione dei documenti La disposizione delle informazioni sui documenti tiene conto dei diversi ruoli del personale che può accedervi? La circolazione dei documenti è coerente con le autorizzazioni?

52 (IN)CONSAPEVOLEZZA Misure minime 12, 13, 14, 27 (Allegato B - Dlgs 196/03) Stampe Viene garantita la stessa sicurezza dei dati memorizzati sui sistemi centrali? Le autorizzazioni alla consultazione delle stampe è coerente con quella di accesso al sistema informativo? Il processo di gestione delle stampe è formalizzato e controllato?

53 LA CONTINUITÀ DEI SERVIZI Continuità dei servizi Alta affidabilità/alta disponibilità Disaster Recovery Business continuity

54 DEFINIZIONI Alta affidabilità (alta disponibilità), disaster recovery e business continuity, esprimono concetti molto diversi fra loro, anche se strettamente connessi, in quanto tutti orientati a garantire la continuità di un servizio.

55 DEFINIZIONI Alta affidabilità (alta disponibilità) Per alta affidabilità si intende la capacità di un sistema di resistere a situazioni locali di guasto, tali da consentire la continuità nell erogazione del servizio. Ridondanza: Componenti Server Apparecchiature di rete Porzioni del CED Dati

56 DEFINIZIONI CED Primario CED Secondario CED DR Alta affidabilità

57 Disaster Recovery DEFINIZIONI La creazione di soluzioni di DR comprende una casistica pressoché illimitata, in quanto molteplici sono le composizione dei sistemi informativi delle aziende di grosse dimensioni. In estrema sintesi comunque è possibile distinguere le marco soluzioni di DR in alcune categorie: quelle che prevedono la disponibilità di un sito, nel quale è possibile collocare i sistemi sui cui far ripartire applicazioni e servizi quelle che prevedono la disponibilità di un sito, con già disponibili i sistemi sui cui far ripartire applicazioni e servizi, lasciati inattivi quelle che prevedono la disponibilità di un sito, nel quale è sono disponili sistemi, già attivi che erogano già applicazioni e servizi; in questo caso si utilizza normalmente un bilanciamento di carico fra i due siti (quello primario e quello secondario) nella erogazione dei servizi. In caso di fault di uno dei siti l altro è in grado di erogare il 100% dei servizi, eventualmente con prestazioni degradate.

58 DEFINIZIONI Business continuity La capacità di continuare la propria attività è condizionata almeno dai seguenti fattori: disponibilità di strumenti disponibilità di informazioni disponibilità dei collaboratori (in particolare delle figure chiave) oltre ovviamente alla disponibilità di un edificio con le opportune infrastrutture in cui collocare quanto sopra. La condizione ideale per verificare la propria effettiva capacità di ripristino è ovviamente quella dei test; è comunque possibile ottenere un buon livello di confidenza proprio durante le attività propedeutiche agli adempimenti previste ad esempio dal 196/03.

59 NORMATIVA DI RIFERIMENTO Pubbliche amministrazioni Normativa: CAD Digitpa: Linee guida per il disaster recovery delle pubbliche amministrazioni Banche Normativa: Banca d Italia - Continuità operativa in casi di emergenza ABI ABILAB - Metodologie varie, strumenti, gruppi di lavoro, osservatorio sulla business continuity

60 PERIMENTO Articolo 50-bis del CAD 3. A tali fini, le pubbliche amministrazioni definiscono: a. il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale; b. il piano di Disaster Recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di Disaster Recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l innovazione. 2.3 Rapporti tra Stato, Regioni, Province autonome ed enti locali Dal combinato disposto dei commi richiamati discende l obbligo per amministrazioni centrali, regionali, provinciali e comunali di dare attuazione a quanto previsto dall art 50-bis del nuovo CAD.

61 PERIMENTO Continuità operativa (art. 50 bis) Disaster recovery (art. 50 bis, comma 3, lettera b)

62 PERIMENTO La Banca d Italia ha definito linee guida per la gestione della continuità operativa rivolte a tutte le banche; per quanto riguarda la prevenzione del rischio sistemico si fa riserva di chiedere ad alcuni intermediari l attivazione di misure di emergenza più rigorose.

63 DEFINIZIONI Continuità Operativa/Business Continuity (CO/BC): l insieme delle attività e delle politiche adottate per ottemperare all obbligo di assicurare la continuità nel funzionamento dell organizzazione; è parte integrante dei processi e delle politiche di sicurezza di un organizzazione; Continuità operativa ICT: la capacità di un organizzazione di adottare, attraverso accorgimenti, procedure e soluzioni tecnico-organizzative, misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, all interno o all esterno dell organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali; Disaster recovery (DR): nell ottica dell art. 50 bis del CAD, l insieme delle misure tecniche e organizzative adottate per assicurare all organizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dell organizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilità prolungate;

64 DEFINIZIONI In linea generale, la Continuità Operativa è intesa come l insieme delle attività e delle politiche adottate per ottemperare all obbligo di assicurare la continuità nel funzionamento dell organizzazione. Quest obbligo finora è stato assolto, a fronte di eventi che hanno avuto un impatto sul regolare funzionamento dell organizzazione, ricorrendo a soluzioni di emergenza di tipo tradizionale quali: il trasferimento dei servizi presso gli uffici rimasti operativi, l attivazione di procedure amministrative alternative, l ausilio di personale aggiuntivo, ecc. Oggi l impiego di procedure alternative di tipo tradizionale è quasi sempre insufficiente a garantire la continuità dei servizi, atteso il diffuso utilizzo delle tecnologie informatiche. Anche qualora il procedimento amministrativo appaia non informatizzato, una fase del suo procedimento è stata assolta mediante applicazioni informatiche; inconvenienti di natura tecnica, pertanto, possono condizionare il normale svolgimento dei processi tradizionali, fino a comportare il blocco delle attività istituzionali anche per lunghi periodi. In particolare il processo di dematerializzazione promosso dal CAD, che con le sue disposizioni ha trasformato da ordinatoria a perentoria l azione di eliminazione della carta, comporta un incremento della criticità dei sistemi informatici che non possono più contare su un backup basato sulla documentazione cartacea.

65 DEFINIZIONI Per continuità operativa ICT - ai sensi e per le finalità di queste linee guida - si intende la capacità di un organizzazione di adottare, attraverso accorgimenti, procedure e soluzioni tecnico organizzative, misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, all interno o all esterno dell organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali. In tal senso la continuità operativa ICT deve, quindi, garantire la protezione dalle potenziali criticità delle funzionalità informatiche, tenendo conto delle risorse umane, strutturali, tecnologiche riferibili all infrastruttura informatica, stabilendo le idonee misure preventive e correttive nel rispetto dei livelli prestazionali riconosciuti.

66 DEFINIZIONI La gestione della continuità operativa comprende tutte le iniziative volte a ridurre a un livello ritenuto accettabile i danni conseguenti a incidenti e catastrofi che colpiscono direttamente o indirettamente un azienda. Il piano di continuità operativa, nel seguito denominato anche piano di emergenza, e il documento che formalizza i principi, fissa gli obiettivi e descrive le procedure per la gestione della continuità operativa dei processi aziendali critici. Il piano di disaster recovery stabilisce le misure tecniche e organizzative per fronteggiare eventi che provochino la indisponibilità dei centri di elaborazione dati. Il piano, finalizzato a consentire il funzionamento delle procedure informatiche rilevanti in siti alternativi a quelli di produzione, costituisce parte integrante del piano di continuità operativa.

67 SCENARI DI RISCHIO Da quanto detto consegue che la continuità dei servizi informatici rappresenta un impegno inderogabile per la Pubblica Amministrazione che dovrà operare in modo da limitare al massimo gli effetti negativi di possibili fermi prolungati dei servizi ICT. A titolo esemplificativo, la compromissione della continuità di un sistema informatico, può essere conseguenza di: errori/malfunzionamenti dei processi (il processo organizzativo che usa il servizio ICT non ha funzionato come avrebbe dovuto per errori materiali, errori nell applicazione di norme ovvero per il verificarsi di circostanze non adeguatamente previste dalle stesse); malfunzionamento dei sistemi, delle applicazioni e delle infrastrutture; attacchi o eventi naturali di tipo accidentale; disastri.

68 SCENARI DI RISCHIO AMBITO DEL piano di continuità operativa Le banche definiscono un piano di continuità operativa per la gestione di situazioni critiche conseguenti sia a incidenti di portata settoriale sia a catastrofi estese che colpiscono l azienda o le sue controparti rilevanti (altre società del gruppo, principali fornitori, clientela primaria, specifici mercati finanziari, istituzioni di regolamento e compensazione). Laddove alcuni processi critici siano svolti da soggetti specializzati appartenenti al gruppo (ad es. allocazione della funzione informatica o del back-office presso una società strumentale), i relativi presidi di emergenza costituiscono parte integrante dei piani di continuità delle banche..

69 SCENARI DI RISCHIO Il piano prende in considerazione almeno i seguenti scenari di crisi: distruzione o inaccessibilità di strutture nelle quali sono allocate unità operative o apparecchiature critiche; indisponibilità di personale essenziale per il funzionamento dell azienda; interruzione del funzionamento delle infrastrutture (tra cui energia elettrica, reti di telecomunicazione, reti interbancarie, mercati finanziari); alterazione dei dati o indisponibilità dei sistemi a seguito di attacchi perpetrati dall esterno attraverso reti telematiche; danneggiamenti gravi provocati da dipendenti.

70 ANALISI DI IMPATTO La BIA, infatti, (Business Impact Analysis, termine inglese traducibile con valutazione dell impatto sull operatività ) è la metodologia da utilizzare al fine di determinare le conseguenze derivanti dal verificarsi di un evento critico e di valutare l impatto di tale evento sull operatività dell amministrazione. La Business Impact Analysis, infatti, ha l obiettivo di correlare specifiche componenti di sistema con i servizi critici che forniscono e, sulla base di tali informazioni, caratterizzare le conseguenze di una indisponibilità delle componenti stesse.quindi, la BIA prevede due macrofasi: il censimento dei processi fondamentali (mission critical) e la loro correlazione ai sistemi ICT. Normalmente, la BIA valuta l impatto di un evento sull operatività su base economica, valutando cioè la perdita economica causata dal verificarsi di un evento. Questo approccio, tuttavia, non è immediatamente applicabile al contesto della Pubblica Amministrazione.

71 ANALISI DI IMPATTO Nel settore pubblico, difatti, l interruzione dei servizi erogati comporta danni non immediatamente monetizzabili : le perdite (e dunque l impatto) devono essere valutate tenendo conto dell insieme dei seguenti aspetti: aspetti economici (mancata o ritardata riscossione di tributi, esborso di oneri aggiuntivi conseguenti il mancato pagamento a cittadini o imprese, ecc.); aspetti sociali (la non disponibilità di servizi sociali critici può generare problemi di ordine pubblico); aspetti reputazionali (perdita di credibilità da parte delle istituzioni); aspetti normativi (mancata o differita attuazione di norme di legge). Mediante specifiche valutazioni da parte dell Amministrazione, le attività di BIA consistono in: identificazione dei processi chiave considerati nel perimetro di analisi (aspetti da valutare ai fini della soluzione di continuità dell Amministrazione); delineare la criticità di ciascun processo (Classificazione dei processi in funzione degli impatti); determinare la criticità delle risorse che contribuiscono all erogazione dei processi (Classificazione delle risorse) e le loro interdipendenze; individuare i tempi di indisponibilità massima sostenibili per ciascun processo definita in termini di RTO ed RPO.

72 ANALISI DI IMPATTO 3.1 Correlazione ai rischi L analisi di impatto, preliminare alla stesura del piano di emergenza e periodicamente aggiornata, individua il livello di rischio relativo ai singoli processi aziendali e pone in evidenza le conseguenze della interruzione del servizio. I rischi residui, non gestiti dal piano, sono documentati ed esplicitamente accettati dalla banca. L allocazione delle risorse e le priorità di intervento sono correlate al livello di rischio. L analisi di impatto tiene conto dei parametri caratteristici della struttura organizzativa e dell operatività aziendale, tra cui: le specificità - in termini di probabilità di catastrofe - connesse con la localizzazione dei siti rilevanti (ad es. sismicità dell area, dissesto idrogeologico del territorio, vicinanza ad insediamenti industriali pericolosi, prossimità ad aeroporti o a istituzioni con alto valore simbolico); i profili di concentrazione geografica (ad es. presenza di una pluralità di operatori nei centri storici di grandi città); la complessità dell attività tipica o prevalente e il grado di automazione raggiunto; le dimensioni aziendali e l articolazione territoriale

73 POSSIBILI SOLUZIONI 6.2 La realizzazione di soluzioni di continuità operativa Nella realizzazione delle soluzioni di CO/DR le Amministrazioni possono, in linea di massima, garantirsi: 1. la sola salvaguardia dei dati e delle applicazioni: questa soluzione è da ricercare quando un Amministrazione stima che non sia necessaria una disponibilità più o meno immediata per l accesso ai dati. Può essere il caso di un servizio di conservazione di dati storici che non contemplino una frequenza di accesso periodica (per esempio, dati relativi a pratiche di oltre quindici-venti anni, che possono essere consultate solo eccezionalmente o molto raramente); naturalmente, anche la sola salvaguardia dei dati e delle applicazioni può richiedere che questa avvenga minimizzando i disallineamenti tra dati primari e dati remoti (RPO basso); 2. l accesso a contratti standard di Disaster Recovery: si tratta delle offerte di servizi di DR che i fornitori di questi servizi mettono a disposizione di tipologie di utenza generiche (imprese, finanza, assicurazioni); in genere, consistono nella possibilità di accedere a periodi temporalmente limitati di disponibilità di sistemi (60-90 giorni) e, anche in questo caso, possono consistere nella sola salvaguardia dei dati e delle applicazioni;

74 POSSIBILI SOLUZIONI 3. soluzioni personalizzate: se le esigenze di continuità dei servizi IT di un Amministrazione e la numerosità e/o la criticità delle applicazioni e delle utenze sono particolarmente elevate, oppure esistono particolari requisiti, quali l esigenza di isolare le infrastrutture di DR da quelle condivise da altre utenze, un Amministrazione deve predisporsi a ricercare soluzioni che siano sviluppate per le proprie specifiche esigenze. Si tratta di soluzioni che solo Amministrazioni molto grandi o che svolgano servizi di particolare delicatezza dovrebbero ricercare. 4. il mutuo soccorso: il mutuo soccorso, che può anche realizzarsi per la semplice salvaguardia dei dati e delle applicazioni, è una via perseguibile solo quando due o più Amministrazioni sono in presenza di due fattori precisi: a) la disponibilità di risorse logistiche e IT che siano in esubero rispetto ai bisogni di ciascuna; b) la volontà di condividere queste risorse con altre Amministrazioni. Si tratta di una soluzione che rappresenta al meglio lo spirito di collaborazione all interno della PA, ma che comunque implica molta attenzione, non solo al quadro normativo di riferimento (con particolare riguardo alla conformità con quanto previsto dal DLgs. 196/03 ( Testo unico in materia di protezione dei dati personali ) relativamente alle misure tecniche ed organizzative da adottare per la protezione dei dati personali trattati dall Amministrazione) e agli aspetti procedurali (per esempio: la regolamentazione dell accesso, potenzialmente prolungato, a locali di personale esterno, non solo dell Amministrazione mutuata, ma anche di fornitori di questa; le potenziali differenze di esigenze operative, quali orari differenti di disponibilità dei servizi, che rendano necessario, sempre all Amministrazione mutuata, la presenza di personale in orari di chiusura dell Amministrazione mutuante ).

75 POSSIBILI SOLUZIONI

76 Linee guida per il disaster recovery delle pubbliche amministrazioni A tal fine, il perimetro di competenza della continuità operativa ICT deve comprendere almeno: le applicazioni informatiche e i dati del sistema informativo indispensabili all erogazione dei servizi e allo svolgimento delle attività (informatiche e non); le infrastrutture fisiche e logiche che ospitano sistemi di elaborazione; i dispositivi di elaborazione hardware e software che permettono la funzionalità delle applicazioni realizzanti i servizi dell amministrazione; le componenti di connettività locale e/o remota/geografica; ciò che serve per consentire lo svolgimento delle attività del personale informatico, sia interno all amministrazione, sia, se presente, esterno, ma correlato al sistema informativo stesso; le modalità di comunicazione ed informazione al personale utilizzatore del sistema informativo all interno dell amministrazione e ai fruitori esterni dei servizi del sistema informativo dell amministrazione, siano essi cittadini, imprese, altre amministrazioni; le misure per garantire la disponibilità dei sistemi di continuità elettrica (UPS e gruppi elettrogeni) e più in generale la continuità di funzionamento del sistema informativo; la gestione dei posti di lavoro informatizzati dell amministrazione; i servizi previsti per l attuazione del C.A.D. (fra cui ad es. la PEC; la firma Digitale...)

77 Linee guida per il disaster recovery delle pubbliche amministrazioni Per quanto riguarda i posti di lavoro informatizzati (PDL), agli effetti della soluzione di continuità operativa è importante, tenuto conto delle caratteristiche del sistema informativo e delle applicazioni informatiche di cui deve essere garantito il funzionamento, considerare: il numero minimo di PDL che possa garantire la funzionalità dell ufficio o della sede dove risiedono i PDL; la disponibilità di PDL di emergenza presso altri uffici o presso altre sedi dell amministrazione; la disponibilità di dispositivi (workstation) alternativi, quali portatili, nello stesso ufficio o presso sedi diverse dell amministrazione; la disponibilità di connettività alternativa (collegamenti ridondati, collegamenti via UMTS); la disponibilità di sistemi di continuità elettrica (UPS e gruppi elettrogeni).

78 POSSIBILI SOLUZIONI Tier 1: è la soluzione minimale coerente con quanto previsto dall articolo 50-bis. Prevede il backup dei dati presso un altro sito tramite trasporto di supporto (nastro o altro dispositivo). I dati sono conservati presso il sito remoto. In tale sito deve essere prevista la disponibilità, in caso di emergenza, sia dello storage su disco, dove riversare i dati conservati, sia di un sistema elaborativo in grado di permettere il ripristino delle funzionalità IT. Nel caso di affidamento del servizio di custodia ad un fornitore, tale disponibilità deve essere regolamentata contrattualmente. Per questa soluzione: potrebbero non essere presenti procedure di verifica della coerenza dei dati ed esistere un unica copia storage; la disponibilità dei dispositivi (storage su disco e sistemi di elaborazione) potrebbe prevedere tempi non brevi (anche più settimane per l assegnazione da parte del fornitore); la disponibilità dei dispositivi potrebbe non garantire le performance rispetto al sistema primario; la disponibilità dei dispositivi potrebbe essere assegnata per un periodo di tempo limitato. Poiché i dati salvati possono essere relativi all intera immagine dello storage primario o solo ai dati delle elaborazioni, la disponibilità dei dispositivi ausiliari deve essere chiaramente definita in termini di ambiente hardware e software di riferimento. Vengono quindi assicurate l esecuzione e conservazione dei backup e, per i casi in cui si renda necessario assicurare il ripristino, la disponibilità di un sito vuoto attrezzato, pronto a ricevere le componenti e configurazioni necessarie, ove fosse richiesto, per far fronte all emergenza (on demand).

79 POSSIBILI SOLUZIONI Tier 2: la soluzione è simile a quella del Tier 1, con la differenza che le risorse elaborative possono essere disponibili in tempi sensibilmente più brevi, viene garantito anche l allineamento delle performance rispetto ai sistemi primari ed esiste la possibilità di prorogare, per un tempo limitato, la disponibilità delle risorse elaborative oltre il massimo periodo di base. Vengono assicurate l esecuzione e conservazione dei backup e la disponibilità presso il sito dei sistemi e delle configurazioni da poter utilizzare per i casi in cui si renda necessario il ripristino. Tier 3: la soluzione è simile a quella del Tier 2, con la differenza che il trasferimento dei dati dal sito primario e quello di DR avviene attraverso un collegamento di rete tra i due siti. Questa soluzione, che può prevedere tempi di ripristino più veloci rispetto ai Tier precedenti, rende necessario dotarsi di collegamenti di rete con adeguati parametri di disponibilità, velocità di trasferimento e sicurezza (sia della linea, sia delle caratteristiche dipendenti dalla quantità di dati da trasportare). Tier 4: la soluzione prevede che le risorse elaborative, garantite coerenti con quelle del centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in tempi rapidi. Le altre caratteristiche sono quelle del Tier 3, con la possibilità di aggiornamento dei dati (RPO) con frequenza molto alta, ma non bloccante per le attività transazionali del centro primario (aggiornamento asincrono).

80 POSSIBILI SOLUZIONI Tier 5: la soluzione è analoga a quella del Tier 4, con la differenza che l aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi aggiornamenti. Allo stato attuale della tecnologia questa soluzione non può prescindere dalle caratteristiche della connettività sia in termini di distanza, sia in termini di latenza; ne consegue che tale modalità (sincronizzazione), nonché l eventuale bilanciamento geografico del carico di lavoro, risulta difficile oltre significative distanze fisiche fra sito primario e secondario. Tier 6: la soluzione prevede che nel sito di DR le risorse elaborative, oltre ad essere sempre attive, siano funzionalmente speculari a quelle del sito primario, rendendo così possibile ripristinare l operatività dell IT in tempi molto ristretti. Le altre caratteristiche sono uguali a quelle del Tier 5.

81 Disaster Recovery PROBLEMI Difficoltà nella scomposizione in servizi/processi Mappatura delle risorse Difficile individuare le risorse necessarie Ci sono le infrastrutture comuni che non possono essere scomposte Corretta individuazione dei collegamenti interni ed esterni Se i sistemi sono troppi la priorità di ripartenza comporta notevoli problemi Difficoltà nel ripristino legata alla mancata sincronizzazione dei dati Solo sistemi molto piccoli e limitati possono ripartire senza problemi, ovvero solo se si dispone effettivamente di un sito alternativo Solo con i test è possibile verificare se funzionano effettivamente le soluzioni I test sono costosi, difficili, pericolosi Il rientro non è un opzione prevedibile; se si va in DR è perché il contro principale potrebbe non esserci più Necessità di una verifica da parte dell audit

82 PROBLEMI PUNTI DI ATTENZIONE (Esempi) Disaster Recovery Mancanza di attenzione a componenti importanti nel sito primario: Mettere sotto gruppo di continuità: Condizionatori Postazioni utente vitali Illuminazione essenziale Posizionamento delle batterie tampone Contratto per rifornimento carburante anche durante week end Testare Tutti i singoli componenti Valvole dell impianto di alimentazione di emergenza

83 PROBLEMI

84 PROBLEMI PUNTI DI ATTENZIONE (Esempi) Disaster Recovery Mancanza di attenzione a componenti importanti nel sito primario: Sicurezza fisica Consentire la presenza di un solo operatore nel CED Verificare periodicamente i singoli componenti ed impianti: Sensori sistema antincendio Bocchette antincendio non ostacolate da materiale Presenza di scatoloni nel CED o nelle vicinanze Mancanza di univoca definizione di emergenza/disastro

85 Business continuity PROBLEMI Carenze più significative: mancanza di documentazione assenza di una mappatura e formalizzazione dei processi parti di processi chiave non documentata o non nota ampio uso di applicazioni di operatività individuale in aggiunta al sistema informativo aziendale dispersione nella archiviazione dei file, molto spesso collocati anche sui singoli pc in uso ai dipendenti assenza di un censimento della documentazione presente al di fuori del sistema informativo mancanza di qualunque classificazione delle informazioni eccessivo ricorso a figure chiave mancanza di backup per quanto attiene la documentazione

86 PROBLEMI Il valore della pianificazione diminuisce in conformità con la complessità dello stato delle cose. Credetemi: questo è vero. Può sembrare paradossale. Magari pensate che più sia complessa una situazione, più è necessario un piano per poter farne fronte. Vi concedo la teoria. Ma la pratica è diversa. Allen Massie, 1986 Augustus: Memoirs of Emperor. Bodley Head

87 CRITERI PER IL SITO DI DR (Linee guida per il DR nella PA)

88 CRITERI PER IL SITO DI DR (Linee guida per il DR nella PA)

89 CRITERI PER IL SITO DI DR (Linee guida per il DR nella PA)

90 CRITERI PER IL SITO DI DR (Linee guida per il DR nella PA)

91 CRITERI PER IL SITO DI DR (Linee guida per il DR nella PA)