LA SICUREZZA INFORMATICA II parte. Ing. Gianfranco Pontevolpe - CNIPA. e-mail: pontevolpe@cnipa.it. Programma

LA SICUREZZA INFORMATICA II parte Ing. Gianfranco Pontevolpe - CNIPA e-mail: pontevolpe@cnipa.it Centro Nazionale per l Informatica nella Pubblica Amministrazione 1 Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza Centro Nazionale per l Informatica nella Pubblica Amministrazione 2 1

Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza Centro Nazionale per l Informatica nella Pubblica Amministrazione 3 Il problema Fruibilità (interoperabilità) Efficienza Sicurezza affidabilità dello strumento elettronico tutela nei confronti di possibili truffe Utilizzo corretto delle informazioni (privacy) Quali soluzioni adottare? Centro Nazionale per l Informatica nella Pubblica Amministrazione 4 2

Il ciclo Plan-Do-Check-Act Analizzare le esigenze i rischi Pianificare Attuare Verificare Agire Centro Nazionale per l Informatica nella Pubblica Amministrazione 5 Esempi di pianificazione Piano di business Documento di programmazione economica Piano della qualità Documento programmatico della sicurezza Analisi dei rischi Piano operativo Centro Nazionale per l Informatica nella Pubblica Amministrazione 6 3

Obiettivi della pianificazione Razionalizzare gli interventi Condividere gli obiettivi Condividere i processi Mantenere traccia del processo decisionale Disporre di uno strumento per verificare il raggiungimento degli obiettivi Pedisporre i piani finanziari Centro Nazionale per l Informatica nella Pubblica Amministrazione 7 I costi per la sicurezza 100% livello di sicurezza costi Centro Nazionale per l Informatica nella Pubblica Amministrazione 8 4

La pianificazione della sicurezza nella PA Gli obiettivi di sicurezza nel caso della PA devono essere considerati in un ottica di bilanciamento tra rischi e costi per la collettività La pianificazione degli interventi nelle singole amministrazioni deve tenere in conto le strategie governative in termini di sicurezza il bisogno di fiducia nei confronti delle istituzioni Il Comitato tecnico nazionale per la sicurezza nelle pubbliche amministrazioni ha l obiettivo di delineare le strategie governative e formulare proposte su interventi finalizzati a migliorare il livello di sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione 9 La sicurezza - approccio canonico Analisi del rischio beni vulnerabilità minacce Scelta delle contromisure Verifica Centro Nazionale per l Informatica nella Pubblica Amministrazione 10 5

Gli elementi dell analisi del rischio bene (o asset) ciò che bisogna salvaguardare (persone, oggetti, software, informazioni, ecc.) vulnerabilità caratteristiche dei sistemi e dei processi che, in particolari condizioni, possono comportare la perdita di riservatezza, integrità o disponibilità delle informazioni minacce possibili eventi non desiderati che portano alla perdita di riservatezza, integrità o disponibilità delle informazioni Centro Nazionale per l Informatica nella Pubblica Amministrazione 11 Il rischio Il rischio è la probabilità che una minaccia nei confronti di un bene si attui sfruttando una vulnerabilità del sistema Centro Nazionale per l Informatica nella Pubblica Amministrazione 12 6

I metodi di analisi del rischio Quantitativi valore dei beni in termini economici analisi in base ad algoritmi matematici scelte secondo criteri oggettivi Qualitativi valore dei beni in termini relativi (alto, medio, basso) analisi in base a tabelle scelte secondo criteri qualitativi Centro Nazionale per l Informatica nella Pubblica Amministrazione 13 Esempio di analisi quantitativa Bene: autovettura, valore 20.000 Vulnerabilità: trasportabilità Minaccia: furto Senza antifurto Con bloccapedali Con antifurto satellitare Statistica furti annui per 100.000 vetture Probabilità furto (rischio) Esposizione economica al rischio Costo annuo della protezione 1000 200 2 0,01 0,002 0,00002 200 40 0,4-12 300 Centro Nazionale per l Informatica nella Pubblica Amministrazione 14 7

Limiti dei metodi basati su analisi quantitativa Difficoltà nel monetizzare il valore dei beni Necessità di statistiche Difficilmente applicabile ad eventi con probalità molto bassa Nel caso della pubblica amministrazione Il rapporto costi/benefici non deve essere valutato nell ambito del singolo ente ma nel contesto generale dell economia del paese Centro Nazionale per l Informatica nella Pubblica Amministrazione 15 Esempio di analisi qualitativa Bene: documenti amministrativi (memorizzati su server NT) Vulnerabilità: accesso al sistema NT Minaccia: acquisizione non autorizzata dei diritti di amministratore Classe di criticità del bene Probabilità di subire danni imputabili ad attacco media bassa Livello di rischio medio Funzioni di sicurezza per livello di rischio medio Consentire accesso come amministratori solo localmente Aggiornamento trimestrale dei Service pack Traccia degli utenti che hanno modificato il registro Centro Nazionale per l Informatica nella Pubblica Amministrazione 16 8

Per ogni rischio occorre: La gestione dei rischi valutare se sia opportuno ridurre il rischio ed in caso affermativo valutare in che misura scegliere le modalità con cui ridurre il rischio predisporre le misure con cui fronteggiare situazioni in cui il rischio si concretizza in un attacco predisporre le procedure per il recupero dei beni in situazioni in cui il rischio si concretizza in un evento negativo Centro Nazionale per l Informatica nella Pubblica Amministrazione 17 L analisi del rischio di un sistema complesso Il numero dei beni è dell ordine di decine di migliaia (elaboratori, programmi e dati) Il numero dei rischi è in teoria dello stesso ordine di grandezza, con opportune semplificazioni, il numero può diventare dell ordine di centinaia Le possibili soluzioni per ridurre i rischi sono decine (protezioni hardware, soluzioni organizzative, contromisure software che a loro volta possono avvalersi delle funzioni native dei sistemi ecc.) Il numero dei possibili eventi dannosi (o attacchi) è di difficile determinazione, quelli attualmente più diffusi sono migliaia Centro Nazionale per l Informatica nella Pubblica Amministrazione 18 9

La constatazione (assessment) dei rischi Processi di risk analysis Adatti a sistemi nuovi ed esistenti I rischi sono valutati esaminando beni, vulnerabilità e minacce Sono svolti con il supporto di tool specifici Popolano una base informativa utile per la fase di gestione Processi di risk assessment Idonei per sistemi esistenti I rischi sono valutati sulla base di analogie buona prassi esperienza Utilizzano principalmente check-list Producono rapporti sul livello di sicurezza e sulle criticità Centro Nazionale per l Informatica nella Pubblica Amministrazione 19 La pianificazione della sicurezza L attività di analisi del rischio produce generalmente risultati condivisi indicativi (il livello di dettaglio è funzione del metodo seguito) dipendenti dal contesto Necessita di revisioni cicliche E opportuno che abbia un costo ed una durata commisurati a costo e durata dell intero processo Centro Nazionale per l Informatica nella Pubblica Amministrazione 20 10

Gli osservatori sulla criminalità informatica Virus Perdita di servizi essenziali Guasti interni Errori d'uso Errori concettuali Furti Eventi naturali Attacchi logici Incidenti fisici Frodi Atti denigratori Divulgazione di dati Sabotaggi Intrusioni Ricatti, estorisioni 2002 2001 0% 5% 10% 15% 20% 25% 30% Fonte Clusif étude et statistiques sur la sinistralité informatique en France 2002 Centro Nazionale per l Informatica nella Pubblica Amministrazione 21 Documento programmatico sulla sicurezza elenco dei trattamenti di dati personali distribuzione dei compiti e delle responsabilità analisi dei rischi che incombono sui dati misure da adottare per garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento Centro Nazionale per l Informatica nella Pubblica Amministrazione 22 11

documento programmatico della sicurezza previsione di interventi formativi criteri da adottare in caso di trattamenti affidati all esterno della struttura del titolare per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell interessato Centro Nazionale per l Informatica nella Pubblica Amministrazione 23 Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza Centro Nazionale per l Informatica nella Pubblica Amministrazione 24 12

Motivazioni per la valutazione della sicurezza Decidere le azioni e gli investimenti economici per ridurre l esposizione ai rischi Valutare l opportunità di acquisire prodotti e servizi Sapere fino a che punto è possibile fidarsi di prodotti, sistemi e servizi Pubblicizzare le caratteristiche di sicurezza di un prodotto o di un servizio Centro Nazionale per l Informatica nella Pubblica Amministrazione 25 Problemi della valutazione Per misurare qualcosa bisogna prima definirla con precisione Qual è l oggetto della valutazione? prevenzione contrasto recupero problemi operativi criminalità informatica eventi calamitosi analisi del rischio formazione/consapevolezza dei rischi Norme comportamentali Procedure Config./aggiornam. sistemi Sistemi operativi evoluti Controllo accessi Perimetrazione ( Fw ) Sistemi fault tolerant Autenticazione robusta Protezione messaggi in rete Call center/trouble ticketing CERT Quadrature Incident management Sistemi di tracciatura IDS/antivirus Procedure di restore Incident management Indagini (forensic) Analisi e correlazione log Contingency plan Prove Siti di recovery Architetture ridondate Attivazione del piano di DR Gestione del disastro Rientro Centro Nazionale per l Informatica nella Pubblica Amministrazione 26 13

problemi della valutazione Per valutare il livello di sicurezza occorre definire una metrica Qual è la scala in base cui si può asserire che un oggetto è più sicuro di un altro più contromisure? meno rischi? più attenzione alla sicurezza? Centro Nazionale per l Informatica nella Pubblica Amministrazione 27 Primi standard per i sistemi Unix (TCSEC) Sicurezza Fiducia Un prodotto/sistema è fidato se è dotato di determinate protezioni La scala è determinata dal numero di protezioni presenti Centro Nazionale per l Informatica nella Pubblica Amministrazione 28 14

Limiti del TCSEC Le protezioni menzionate nello standard sono tipiche di elaboratori non connessi in rete Lo standard non consente flessibilità nella modalità di valutazione: la complessità è proporzionale al livello di sicurezza Ci sono pochi livelli per cui quasi tutti i prodotti sono stati valutati con livello medio-alto (C2) Il processo di valutazione è costoso Centro Nazionale per l Informatica nella Pubblica Amministrazione 29 I miglioramenti dello standard europeo ITSEC Deve essere definito l oggetto della valutazione (Target Of Evaluation) Deve essere definito l obiettivo della valutazione (Security Target) E possibile effettuare la valutazione con diversi livelli di severità (Assurance Level) Centro Nazionale per l Informatica nella Pubblica Amministrazione 30 15

Dall ITSEC ai Common Criteria ITSEC è uno standard europeo mentre i Common Criteria sono uno standard internazionale In ITSEC gli elementi che qualificano la valutazione sono scelti dal committente se non si leggono i documenti della valutazione non si hanno informazioni sulle caratteristiche di sicurezza Nei Common Criteria è possibile fare riferimento a profili di protezione predefiniti e certifciati (Protection profile) relativi a tipologie omogenee di prodotti Centro Nazionale per l Informatica nella Pubblica Amministrazione 31 La situazione attuale Gli standard per la valutazione della sicurezza sono utilizzati principalmente per sistemi operativi, data base e prodotti di sicurezza (firewall, smart card, ecc.) Nonostante i common criteria siano internazionali, prevalgono le certificazioni con standard americani (FIPS) Le norme sulla firma digitale prescrivono la certificazione dei dispositivi di firma con standard ITSEC o common criteria Centro Nazionale per l Informatica nella Pubblica Amministrazione 32 16

Caratteristiche degli standard per la valutazione della sicurezza Forniscono un istantanea della sicurezza di un prodotto o di un sistema Il risultato è significativo quando il prodotto è utilizzato nelle condizioni in cui è stato valutato Il processo di valutazione ha una durata commisurata al livello di severità La valutazione dei sistemi informativi con livelli elevati di confidenza è complessa Come è possibile sapere se posso fidarmi o meno di un servizio informatico? Centro Nazionale per l Informatica nella Pubblica Amministrazione 33 La norma inglese BS 7799 La parte 1 normalizza un insieme di controlli basati sull esperienza o buona prassi (best practices) Alcuni controlli possono essere non significativi, per cui la norma prevede di selezionare le verifiche in funzione del contesto Mentre la parte 1 della norma definisce i controlli puntuali, la parte 2 indica come condurre l esame Centro Nazionale per l Informatica nella Pubblica Amministrazione 34 17

La norma BS 7799-2 La parte 2 della norma non è uno standard ISO Occorre verificare che sia presente un processo di gestione della sicurezza, che tale processo sia sotto il controllo di una specifica organizzazione e che abbia carattere ricorsivo Vi sono molte analogie tra il processo di gestione della sicurezza e quello di gestione della qualità (ciclo P-D-C-A) Centro Nazionale per l Informatica nella Pubblica Amministrazione 35 Limiti dei processi di verifica/certificazione secondo la norma BS 7799 Chi è sottoposto a verifica decide quali controlli sono significativi La certificazione non attesta il livello di sicurezza, ma la presenza di un processo idoneo a gestire la sicurezza I margini di discrezionalità di chi esegue la certificazione sono ampi Centro Nazionale per l Informatica nella Pubblica Amministrazione 36 18

Le motivazioni alla base del successo della norma BS 7799 Attenzione agli aspetti organizzativi Semplicità del processo di certificazione Analogia con gli standard di certificazione della qualità (serie ISO 9000) Possibilità di verifica dei presupposti per la corretta gestione della sicurezza nel tempo Centro Nazionale per l Informatica nella Pubblica Amministrazione 37 Differenze tra verifica, valutazione e certificazione Tre diverse esigenze: Conoscere le caratteristiche di sicurezza Valutare il livello di sicurezza Ottenere un attestato relativo alle caratteristiche ed al livello di sicurezza Verifica (o assessment) Valutazione del livello di sicurezza Certificazione della sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione 38 19

Le tecniche per la verifica della sicurezza Questionari Checklist Competenza del valutatore (auditor) Standard di riferimento: BS 7799 parte 1 (ISO 17799) La terminologia dei consulenti: security assessment, risk assessment, security auditing, security benchmarking Centro Nazionale per l Informatica nella Pubblica Amministrazione 39 I processi di valutazione della sicurezza Idonei soprattutto per prodotti (smart card, sistemi operativi, ecc.) Si basano su metodi rigorosi che devono assicurare la confrontabilità dei risultati Il risultato deve essere esprimibile in una forma sintetica che fornisce l indicazione immediata del grado di sicurezza dell oggetto esaminato Standard di riferimento: ITSEC, Common Criteria Centro Nazionale per l Informatica nella Pubblica Amministrazione 40 20

La certificazione della sicurezza Deve garantire l ufficialità e l oggettività del giudizio sulle caratteristiche di sicurezza Normalmente il soggetto che certifica è diverso da quello che esegue la verifica o la valutazione Standard di riferimento: ITSEC, Common Criteria, BS 7799 parte 2 Centro Nazionale per l Informatica nella Pubblica Amministrazione 41 La valutazione della sicurezza nella PA La legge sulla privacy prescrive, con cadenza almeno annuale, la revisione del documento programmatico sulla sicurezza ed attività di verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione (DL 196/03 allegato B) Possibilità di auto-valutazione (ad es. con questionario allegato alla Direttiva del Ministro per l'innovazione e le Tecnologie) Possibilità di utilizzo di checklist costruite a partire dai controlli della BS 7799 parte 1 Centro Nazionale per l Informatica nella Pubblica Amministrazione 42 21

Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza Centro Nazionale per l Informatica nella Pubblica Amministrazione 43 Tipologie di contratti Contratti relativi a servizi o prodotti per la sicurezza come, ad esempio firewall servizi gestiti auditing/assessment Contratti relativi a beni e servizi informatici in cui la sicurezza è un elemento qualificante come, ad esempio fornitura di sistemi elaborativi servizi di comunicazione outsourcing della gestione del sistema informativo Centro Nazionale per l Informatica nella Pubblica Amministrazione 44 22

Prodotti e servizi di sicurezza E possibile richiedere la certificazione dei prodotti (i prodotti leader sono normalmente certificati secondo lo standard ITSEC, Common Criteria o FIPS) Il fornitore dei servizi di sicurezza deve dimostrare di essere di provata affidabilità curriculum delle persone candidate con certificazione referenze Nel caso di servizi attinenti applicazioni segretate, può essere ammissibile il ricorso alla procedura negoziale ristretta Centro Nazionale per l Informatica nella Pubblica Amministrazione 45 Beni e servizi informatici generici Sono pochi i prodotti che hanno una certificazione formale Anche quando il prodotto è certificato, usualmente viene adoperato in condizioni diverse da quelle per cui è stata rilasciata la certificazione Alcuni fornitori offrono la possibilità di accedere al codice sorgente Nel caso dei servizi, è opportuno definire nel contratto le responsabilità nei confronti della privacy In alcuni casi può essere chiesta la stipula di un assicurazione a copertura di possibili danni Centro Nazionale per l Informatica nella Pubblica Amministrazione 46 23

La formalizzazione dei requisiti di sicurezza nei servizi: due possibili approcci Fissare le caratteristiche del servizio Lascia al fornitore la totale responsabilità nella gestione della sicurezza La sicurezza è descritta in termini di qualità dell informazione (ad es. assenza di virus) L ottemperanza ai requisiti è difficilmente verificabile in fase di collaudo Devono essere previsti valori di soglia e penali Fissare le misure di sicurezza La responsabilità circa i problemi di sicurezza è condivisa tra ente appaltante e fornitore La sicurezza è descritta in termini di protezioni (ad es. antivirus) L ottemperanza ai requisiti è facilmente verificabile in fase di collaudo Il contratto deve fissare con chiarezza i compiti e gli ambiti di responsabilità del fornitore Centro Nazionale per l Informatica nella Pubblica Amministrazione 47 Le ispezioni (auditing) Un modo per verificare gli adempimenti contrattuali in termini di sicurezza è prevedere attività di auditing La possibilità di verifiche ed ispezioni deve essere esplicitamente prevista e disciplinata nel contratto L attività di auditing prende in considerazione tutti gli aspetti che incidono sulla sicurezza (culturale organizzativo e tecnico) e verifica che la strategia di sicurezza sia stata realizzata correttamente Centro Nazionale per l Informatica nella Pubblica Amministrazione 48 24

I test di intrusione (penetration test) Sono utilizzati per verificare la capacità di resistenza ad attacchi di intrusione Possono essere svolti dall interno del sistema o dall esterno (attraverso la rete Internet) Sono condotti da specialisti che usano tecniche di attacco tipici degli hacker Devono essere previsti contrattualmente Il responsabile dei sistemi oggetto del test deve accettare formalmente la verifica Centro Nazionale per l Informatica nella Pubblica Amministrazione 49 I servizi gestiti La gestione di alcuni aspetti della sicurezza può essere demandata a società specializzate Può essere conveniente utilizzare tali servizi per attività che richiedono competenze specialistiche e presidio h24 (ad esempio gestione degli IDS e dei firewall) E opportuno che l amministrazione mantenga il controllo delle strategie di sicurezza e delle regole che ne derivano (ad esempio criteri di configurazione dei firewall) I contratti devono precisare i confini di responsabilità e le modalità con cui il fornitore dovrà adeguarsi alle politiche di sicurezza stabilite dall amministrazione Centro Nazionale per l Informatica nella Pubblica Amministrazione 50 25

Contrattualistica e certificazione della sicurezza Metodi per definire le caratteristiche di sicurezza di un servizio descrizione delle misure di sicurezza descrizione delle caratteristiche del servizio conformità a standard certificazione Metodi per valutare le caratteristiche di sicurezza di un servizio verifica della sicurezza con metodi conformi alle specifiche contrattuali Centro Nazionale per l Informatica nella Pubblica Amministrazione 51 Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza Centro Nazionale per l Informatica nella Pubblica Amministrazione 52 26

Disaster recovery/business continuity Capacità di ripristinare i servizi di un Sistema Informatico qualora si verifichi un periodo di forzata inattività del CED, o di qualche suo componente fondamentale, causata da eccezionali calamità naturali o a seguito di azioni colpose o dolose Il Disaster Recovery si pone come obiettivo la sopravvivenza (ripristino del servizio entro giorni - settimane) La Business Continuity ha come obiettivo la continuità del servizio (ripristino entro ore), almeno per le applicazioni più critiche Centro Nazionale per l Informatica nella Pubblica Amministrazione 53 Sicurezza e Disaster recovery Gli eventi di natura calamitosa hanno bassa probabilità di accadere ma la perdita economica può essere ingente L effetto può essere la scomparsa di un azienda Anche se l esposizione economica annua è consistente, c è la propensione a trascurare i problemi relativi ad eventi di natura eccezionale Secondo un indagine di Gartner la gran parte delle PMI spende meno del 3% del budget IT per il Disaster recovery Centro Nazionale per l Informatica nella Pubblica Amministrazione 54 27

Le fasi del Disaster recovery Operazioni Normali FUORI USO DEL CED Servizio Ripristinato Dati Orfani Ricostruzione dei Dati Orfani Preparazione Sito Recovery Dati Recuperati Diagnosi Fase di Recovery t 1 t 2 t 3 t 4 t 5 Centro Nazionale per l Informatica nella Pubblica Amministrazione 55 Attività organizzative Analisi dell impatto sulle attività istituzionali analisi delle funzioni più critiche per il business e loro classificazione per importanza individuazione delle aree di vulnerabilità Progettazione e Realizzazione del Piano di Recovery del CED della rete delle postazioni di lavoro dei servizi fondamentali Progettazione e Realizzazione del Piano di ripristino per il ritorno alla normale operatività nella sede originale del cliente o altra sede Centro Nazionale per l Informatica nella Pubblica Amministrazione 56 28

attività organizzative Manutenzione del Piano verifica validità nel tempo (prove) aggiornamento adeguamento Addestramento e formazione del personale del cliente Utilizzo di software specializzato per produzione del piano di recovery e per la gestione delle prove periodiche Centro Nazionale per l Informatica nella Pubblica Amministrazione 57 Infrastrutture Sito dedicato / condiviso / specializzato con caratteristiche di funzionalità e sicurezza (locali attrezzati, viglilanza, controllo accessi,...) facilmente raggiungibile (in prossimità di autostrade ed aeroporti) in zone a bassissima sismicità Risorse elaborative dedicate / condivise elaboratori memorie di massa stampanti Sistema comunicativo rete di backup Centro Nazionale per l Informatica nella Pubblica Amministrazione 58 29

Caratteristiche del servizio di disaster recovery Tempo di ripartenza variabile tra 24 ore e settimane a seconda della soluzione scelta Prove periodiche del Piano Trasferimento periodico dei supporti di memorizzazione contenenti copia del sistema Utilizzo della rete di telecomunicazioni solo durante le prove Almeno parte della rete deve essere attivata entro 24 ore Centro Nazionale per l Informatica nella Pubblica Amministrazione 59 Caratteristiche del servizio di Business Continuity Tempo di ripartenza entro 2-4 ore per le applicazioni più critiche Entro 12 ore per le altre Prove periodiche del Piano Necessaria copia dei dati in tempo reale (mirroring) utilizzando hardware specializzato e rete ad alta velocità Rete di recovery sempre attiva Centro Nazionale per l Informatica nella Pubblica Amministrazione 60 30

L approccio tradizionale Sito di recovery in diversa area geografica cold back up: sito equipaggiato con le infrastrutture logistiche (ad. esempio pavimenti rialzati, aria condizionata...) che non possiede sistemi IT installati warm back up: sito dotato delle necessarie risorse elaborative dove per attivare il servizio occorre ripristinare applicazioni e dati hot back up: sito operativo nel quale tutte le applicazioni sono in linea Copie su supporti magnetici Limiti: crescente complessità degli ambienti dati senza backup (ad es.dati su PC) disallineamento delle versioni del SW Centro Nazionale per l Informatica nella Pubblica Amministrazione 61 Le tendenze attuali Consolidamento dei server Consolidamento della base informativa Consolidamento della rete Utilizzo di Storage Area Network Sistemi di configuration management che garantiscano l allineamento delle configurazioni Sistemi di allineamento on-line (sincorni, asincroni, quasi sincroni) Allineamento dei dati in rete elevato impegno di risorse comunicative Vicinanza del sito di recovery Centro Nazionale per l Informatica nella Pubblica Amministrazione 62 31

Il centro comune degli enti pubblici non economici CNIPA, Inps, Inail, Inpdap, Enpals, Ipsema e Ipost hanno sottoscritto un protocollo per avviare il progetto di un Centro unico di backup per gli enti previdenziali ed assicurativi L iniziativa ha l obiettivo di razionalizzare gli investimenti della pubblica amministrazione mettendo a fattor comune le risorse disponibili per conseguire economia di scala Il centro, una volta costituito, consentirà di proteggere da eventi disastrosi i dati di tutti gli altri enti aderenti, assicurando la continuità dei servizi ai cittadini Centro Nazionale per l Informatica nella Pubblica Amministrazione 63 32