Il Piano di Continuità operativa Autore: Lino Fornaro, CLUSIT
L Autore Lino Fornaro, Security Consultant Amministratore della Net1, Presidente Axelion ü Senior Security Consultant ü Lead Auditor ISO/IEC 27001:05 ü OSSTMM PROFESSIONAL SECURITY TESTER - OPST ü OSSTMM PROFESSIONAL SECURITY ANALYST - OPSA ü ISECOM Certified Trainer ü Docente Master sulla Sicurezza (ICS) presso TILS - L Aquila ü Relatore in conferenze di sensibilizzazione sul tema ICT Security ü Esperto Normativa Italiana Privacy (DLgs 196/03) ü Esperto normative europee Cybersecurity ü Membro Comitato Direttivo CLUSIT ü Socio Fondatore, membro Advisory Board di ANORC ü Membro Coordinamento ABIRT ü Membro sottocommissioni SC27 e ebusiness e Servizi Finanziari UNINFO
Il Contesto di Riferimento: Digitalizzazione dell azione Amministrativa e Continuità Operativa Art.2 Lo Stato, le regioni e le autonomie locali assicurano la disponibilità, la gestione, l'accesso, la trasmissione, la conservazione e la fruibilità dell'informazione in modalità digitale e si organizzano ed agiscono a tale fine utilizzando con le modalità più appropriate le tecnologie dell'informazione e della comunicazione Art.12 Le pubbliche amministrazioni nell'organizzare autonomamente la propria attività utilizzano le tecnologie dell'informazione e della comunicazione per la realizzazione degli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione, nonché per la garanzia dei diritti dei cittadini e delle imprese.
Il Contesto di Riferimento: Digitalizzazione dell azione Amministrativa e Continuità Operativa Art. 42. Dematerializzazione dei documenti delle pubbliche amministrazioni 1.Le pubbliche amministrazioni valutano in termini di rapporto tra costi e benefici il recupero su supporto informatico dei documenti e degli atti cartacei dei quali sia obbligatoria o opportuna la conservazione e provvedono alla predisposizione dei conseguenti piani di sostituzione degli archivi cartacei con archivi informatici, nel rispetto delle regole tecniche adottate ai sensi dell'articolo 71.
Il Contesto di Riferimento
DLgs 235/2010 l articolo 50-bis (Continuità operativa) : 1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività. 2. Il Ministro per la pubblica amministrazione e l innovazione assicura l omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.
DLgs 235/2010 Comma 3. A tali fini, le pubbliche amministrazioni definiscono : a) il piano di continuità operativa: fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
DLgs 235/2010 3. A tali fini, le pubbliche amministrazioni definiscono : b) il piano di disaster recovery: stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l innovazione.
DLgs 235/2010 4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA.
Linee Guida DigitPA: Definizioni Continuità operativa: l insieme delle attività e delle politiche adottate per ottemperare all obbligo di assicurare la continuità nel funzionamento dell organizzazione; è parte integrante dei processi e delle politiche di sicurezza di un organizzazione. Continuità operativa ICT : la capacità di un organizzazione di adottare, attraverso accorgimenti, procedure e soluzioni tecnico-organizzative, misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, all interno o all esterno dell organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali.
Linee Guida DigitPA: Definizioni Piano di continuità operativa (PCO): il Piano che fissa gli obiettivi, e i principi da perseguire, che descrive i ruoli, le responsabilità, i sistemi di escalation e le procedure per la gestione della continuità operativa, tenuto conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche; in realtà particolarmente complesse il piano di continuità può essere solo un documento di primo livello, cui vanno associati, per esempio, documenti di secondo livello, quali procedure relative a servizi e/o sistemi specifici e finanche documenti di terzo livello (per esempio sotto la forma di istruzioni di lavoro che riportano le indicazioni operative specifiche);
Linee Guida DigitPA: Definizioni Disaster recovery (DR): nell ottica dell art. 50 bis del CAD, l insieme delle misure tecniche e organizzative adottate per assicurare all organizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dell organizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilità prolungate; Piano di Disaster Recovery (PDR): il Piano che, costituisce parte integrante del Piano di continuità operativa e stabilisce le misure tecniche ed organizzative per garantire il funzionamento dei centri elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione;
Linee Guida DigitPA: Definizioni BIA (Business Impact Analysis): la metodologia da utilizzare al fine di determinare le conseguenze derivanti dal verificarsi di un evento critico e di valutare l impatto di tale evento sull operatività dell amministrazione, richiamata in appendice A delle Linee Guida DigitPA; Comitato di gestione della crisi: la struttura organizzativa definita per la continuità: la struttura con responsabilità e compiti ben definiti, descritta nel capitolo 4 (delle Linee Guida), con autonomia decisionale e disponibilità di utilizzare risorse straordinarie, ai fini del governo dell emergenza, che include il Responsabile della Continuità e non può comunque prescindere dalle attribuzioni previste in capo all Unità Locale per la Sicurezza (ULS) istituita all interno di ogni amministrazione per il governo degli aspetti di sicurezza relativi all adesione al Sistema Pubblico di Connettività;
Continuità Operativa Definizione (da Wikipedia): Per gestione della continuità operativa o continuità aziendale (business continuity) si intende la capacità dell'azienda di continuare ad esercitare il proprio business a fronte di eventi avversi che possono colpirla. La pianificazione della continuità operativa e di servizio si chiama business continuity plan (BCP) (in italiano "piano di continuità del business") e viene comunemente considerata come un processo globale che identifica i pericoli potenziali che minacciano l'organizzazione, e fornisce una struttura che consente di aumentare la resilienza e la capacità di risposta in maniera da salvaguardare gli interessi degli stakeholders, le attività produttive, l'immagine, riducendo i rischi e le conseguenze sul piano gestionale, amministrativo, legale.
Crisi e Emergenze La parola Crisi indica una condizione negativa che riguarda un deterioramento, uno sconvolgimento, etc. Per Emergenza si intende un evento fortemente stressante, critico che rompe un equilibrio e costringe ad adottare azioni previste o non previste. Dal Greco Krisis significa scelta, decisione In Cinese la parola crisi viene formata da due caratteri che significano rispettivamente 危 pericolo 机 opportunità
Business Continuity Management Origina dall evoluzione e dalla convergenza di discipline diverse Gestione delle emergenze Disaster Recovery Gestione del rischio operativo L IT non si occupa della BC, a meno che l IT non sia il core business
Business Continuity Management BC praticata dai manager BC Plan Disaster Recovery BC è la professione di chi gestisce i rischi preventivamente, pianificando come ristabilire processi e funzioni critiche dopo un interruzione improvvisa.
Business Continuity Management OBIETTIVO RESILIENZA Una organizzazione è resiliente quando è in grado di acquisire la capacità di cambiare ed adattarsi prima che una situazione di rischio la costringa a farlo
Comitato di Gestione Crisi Le linee guida redatte da DigitPA, individuano i componenti del comitato di gestione della crisi in: un ruolo di vertice con poteri decisionali e di indirizzo in materia organizzativa ed economica, ovvero il responsabile dell Ufficio Dirigenziale ex art 17 del CAD; il Responsabile della continuità operativa dell Ente; il Responsabile dell Unità locale di sicurezza prevista dal DPCM 01.04.2008; i referenti tecnici (anche fornitori di servizi ICT) di volta in volta necessari alla gestione della crisi; il responsabile della logistica; il responsabile della safety dell ente
Comitato di Gestione Crisi: Compiti 1/2 Compiti del CGC : definizione ed approvazione del piano di continuità operativa; valutazione delle situazioni di emergenza e dichiarazione dello stato di crisi; avvio delle attività di recupero e controllo del loro svolgimento; rapporti con l esterno e comunicazione ai dipendenti; attivazione del processo di rientro che deve essere attuato dagli specifici gruppi operativi, ma deve essere continuamente monitorato dal Comitato, per assicurare la verifica dello stato di avanzamento complessivo e risolverei casi dubbi, omissis
Comitato di Gestione Crisi: Compiti 2/2 Compiti del CGC : avvio delle attività di rientro alle condizioni normali e controllo del loro svolgimento; dichiarazione di rientro; gestione di tutte le situazioni non contemplate; gestione dei rapporti interni e risoluzione dei conflitti di competenza; promozione e coordinamento delle attività di formazione e sensibilizzazione sul tema della continuità
Comitato di Gestione Crisi Aree di supporto al CGC: logistica (supporto spostamenti, etc) tecnologica (funzionamento e accesso infrastrutture ict, etc) informazioni (news media) comunicazioni (strategia comunicazione all esterno) finanza (risorse finanziarie per assicurare risorse tempestive, etc) risorse umane (supporto spostamenti, etc) sicurezza informatica (verifica grado sicurezza configurazioni adotatte, etc) legale (valutazione risarcimento danni)
Comitato di Gestione Crisi Il CGC può delegare un Gruppo di supporto costituito da tecnici alla: redazione del piano di continuità operativa e proposta al CGC per l approvazione; gestione e manutenzione del piano di continuità operativa; adeguamento periodico dell analisi di impatto (BIA); studio di scenari di emergenza e definizione delle strategie di rientro; gestione dei rapporti con le assicurazioni; attuazione delle attività di divulgazione e di sensibilizzazione interna sui temi della continuità
Business Continuity Plan Il CGC dichiara i processi critici da sottoporre a BIA (e loro correlazione ai servizi ICT) Esegue le BIA Seleziona i processi da inserire nel BCP (giustificando le esclusioni) Definisce il piano di BC per ogni processo selezionato
Business Impact Analisys Strumento fondamentale per la gestione del rischio aziendale Utilizzato per misurare l impatto sui profitti e sui clienti causato dalla perdita o dall interruzione di un processo di business Serve per decidere le strategie da adottare per mitigare i rischi e supportare le risorse e i servizi prioritari da condividere nell emergenza
Business Impact Analisys Come e quanto la perdita di un processo ha impatto da un punto di vista: Finanziario (perdite dirette, produtività, etc.) di relazione con l utente/cliente (impatto e conseguenze) conseguenze legali (severità delle leggi, sanzioni, etc)
Business Impact Analisys Che per una PA si traducono in: aspetti economici (mancata o ritardata riscossione di tributi, esborso di oneri aggiuntivi conseguenti il mancato pagamento a cittadini o imprese, ecc.); aspetti sociali (la non disponibilità di servizi sociali critici può generare problemi di ordine pubblico); aspetti reputazionali (perdita di credibilità da parte delle istituzioni); aspetti normativi (mancata o differita attuazione di norme di legge).
Business Impact Analisys Ha come obiettivi fornire un fondamento logico ad un piano di BC, identificare i processi e gli asset che richiedono il più alto livello di protezione, rilevare e rivelare i Singol point of failure, fornire informazioni utili all identificazione di strategie alternative, stabilire Recovery Objectives e scadenze.
Business Impact Analisys Una lista esemplificativa di processi da includere nelle attività in oggetto può essere: 1. Relazioni esterne ed istituzionali; 2. Risorse Umane e Relazioni Sindacali; 3. Amministrazione; 4. Pianificazione Finanziaria & Controllo; 5. Sistemi informativi; 6. Servizi ad altre amministrazioni; 7. Servizi alle imprese;
BIA: Esempio servizi critici di un Comune Gestione atti amministrativi (determine, delibere) Gestione Bilancio Gestione Economato (inventario, buoni economali) Gestione Edilizia Gestione Patrimonio Gestione Sanzioni, Incidenti, Turni di servizio Gestione Protocollo Gestione Servizi Sociali Gestione SIT (cartografia, civici e toponomastica) Gestione sito web Gestione Stipendi Gestione SUAP Gestione Personale (giuridico, presenze) Servizi Demografici (anagrafe, CIE, stato civile, elettorale) Albo pretorio
BIA: Esempio servizi critici di una Provincia Affari Generali Protocollo Affari Generali - Ufficio Giunta/Ufficio Consiglio/Gestione atti/società Partecipate Personale - Gestione Economica del Personale Personale - Rilevazione presenze Gestione Economica dell'ente - Programmazione Finanziaria Gestione Economica dell'ente - Gestione ordinativi e pagamenti Gestione Economica dell'ente - Controllo di Gestione Gestione Economale - Gestione Economato, Ordini e Magazzino Sistema bibliotecario della Provincia Settore Lavoro - Portale Sintesi Gestione Sanzioni Polizia Provinciale Rilascio licenze di Pesca Gestione venatoria Servizio zootecnia, agricolo e dell'alimentazione Albo Pretorio Siti Istituzionali Anagrafe Estesa Sovracomunale Sistema Informativo Territoriale Servizi provinciali e-gov
RTO (Recovery Time Objective) E il tempo massimo concesso all interruzione del processo aziendale come conseguenza di un evento critico. Entro tale tempo il processo aziendale deve ripartire con funzionalità anche minime. RPO (Recovery Point Objective) E 'il periodo massimo tollerabile in cui i dati potrebbero essere persi da un servizio IT a causa di un grave incidente.
MTPD (Maximun Tolerable Period of Destruction) Tempo massimo entro il quale l area/servizio deve essere in grado di svolgere nuovamente tutte le sue funzioni
Criteri per stabilire RTO/RPO L Amministrazione Pubblica determina le criticità pesando elementi appartenenti a tre direttrici: direttrice del servizio; (danni per mancata erogazione del servizio) direttrice dell organizzazione; (dimensionamento delle soluzioni tecnologiche da adottare) direttrice della tecnologia; (tipologia e natura delle soluzioni tecnologiche da adottare)
Criteri: Direttrice del servizio Con riguardo alla direttrice del servizio i criteri identificati sono: tipologia di utenza; tipo di dati trattati; l'interruzione blocca un processo; modalità prevalente di interazione con gli utenti; giorni alla settimana nei quali viene erogato il servizio; ore al giorno nelle quali viene erogato il servizio; sono presenti procedure alternative; è possibile recuperare la mancata acquisizione dei dati; è necessario recuperare i dati non acquisiti; l'interruzione determina un immediato disagio agli utenti; principale danno per l'amministrazione; livello di danno per l'amministrazione; principale tipo di danno per l'utente finale; livello di danno per l'utente finale; tempo massimo tollerabile tra la produzione di un dato e il suo salvataggio;
Criteri: Direttrice dell organizzazione Con riguardo alla direttrice della organizzazione i criteri identificati sono: numero di Unità Organizzative; numero di sedi; dimensione territoriale; numero dei responsabili privacy; numero dei trattamenti censiti nel DPS; numerosità degli addetti tramite i quali vengono erogati i servizi; numerosità degli utenti esterni..
Criteri: Direttrice della tecnologia Con riguardo alla direttrice della tecnologia i criteri identificati sono: presenza di un dipartimento IT; numerosità addetti IT; architettura elaborativa; architettura applicativa; numero di server; numero di postazioni di lavoro; numero degli archivi utilizzati dal servizio; dimensione totale degli archivi usati dal servizio; istanze di DB usate dal servizio.
Piano di BC Un Piano di BC deve a sua volta definire: CHI ha la responsabilità delle azioni di recupero; COSA è necessario per recuperare o continuare l operatività; DOVE continuare le funzione e la continuità; QUANDO devono essere ripristinate le funzioni e l operatività; COME effettuarne il recupero
Piano di BC Le chiavi di successo di un piano di BC risiedono nella sua chiarezza, flessibilità, essenzialità e allo stesso tempo completezza con checklist dei vari task, inclusione delle risorse chiave e delle loro alternative, costantemente aggiornato e formulato sul Worst case scenario. Altro fattore importante è il coordinamento del piano con gli stakeholder esterni all Ente
Piano di DR Catalogazione di tutte le applicazioni (chi usa cosa) Procedura per il ripristino su back up DR alternativo Risorse IT aggiuntive Elenco fornitori per HW e SW Procedura per il ripristino Procedura per invocazione e deattivazione
Piano di DR Sito di recovery Spazio condiviso: sarà sufficiente e agevole in caso di disastro che coinvolge più enti/aziende? Tecnologie e connettività adeguata Livelli di sicurezza idonei Trasporto (la zona è servita o si useranno mezzi propri?) Presenza di servizi (posta, mensa, etc) In regola con le norme Ospitale o ostile? Sostenibile per almeno 30 gg?
Tipologie soluzioni DR
La realizzazione di soluzioni di continuità operativa Nella realizzazione delle soluzioni di CO/DR le Amministrazioni possono garantirsi: la sola salvaguardia dei dati e delle applicazioni l accesso a contratti standard di Disaster Recovery soluzioni personalizzate il mutuo soccorso
La realizzazione di soluzioni di continuità operativa
La realizzazione di soluzioni di continuità operativa
La realizzazione di soluzioni di continuità operativa
RISORSE Agenzia per l Italia Digitale ha predisposto quanto necessario per l adempimento al richiamato articolo: le Linee guida per il Disaster Recovery delle pubbliche amministrazioni http://www.digitpa.gov.it/sites/default/files/linee%20guida%20per%20il%20disaster %20RECOVERY%20DELLE%20PA_0.pdf ); la circolare n. 58 del 1 dicembre 2011, Attività di DigitPA e delle Amministrazioni ai fini dell attuazione degli adempimenti previsti dall articolo 50 -bis (Continuità Operativa) del «Codice dell Amministrazione Digitale», esplicativa dell iter della richiesta ed emissione del parere http://www.digitpa.gov.it/sites/default/files/normativa/circolare_1_dicembre_2011_n58.pdf
RISORSE il modello generale dello studio di fattibilità http://www.digitpa.gov.it/sites/default/files/allegati_tec/studio%20di%20fattibilità %20Tecnica_bozza_generale_0.pdf ) ; l applicazione per l autovalutazione, da parte delle pubbliche amministrazioni, della criticità dei propri servizi (reperibile all indirizzo http://apps.digitpa.gov.it/autovalutazione/web/autovalutazione.php, con il relativo manuale d uso, reperibile all indirizzo http://www.digitpa.gov.it/sites/default/files/formazione/manuale%20d'uso%20applicativo %20web%20autovalutazione.pdf I servizi minimi essenziali per l adozione delle soluzioni di Disaster Recovery, in linea con l art. 50-bis del CAD http://www.digitpa.gov.it/sites/default/files/raccomandazioni_profili%20minimi %20SERVIZI%20DI%20DR_v_2_4_0.pdf
Grazie per la vostra a.enzione Lino Fornaro CLUSIT lfornaro@clusit.it lino.fornaro@sicurezzait.eu h4p://www.sicurezzait.eu