COPIA ATTI: 1787/3.6/2014/1 N. REP. GEN. 5/2014 INFORMATIVA DI GIUNTA Oggetto: Informativa in merito alla realizzazione del Piano di Continuità Operativa del Sistema Informativo della Provincia di Milano. Addì 21 gennaio 2014 alle ore 11.20, previa apposita convocazione, si è riunita la Giunta Provinciale nella consueta sala delle adunanze. Sono presenti i Sigg.: Presidente Vice Presidente Assessori Provinciali GUIDO PODESTA assente NOVO UMBERTO MAERNA LUCA AGNELLI STEFANO BOLOGNINI ROBERTO CASSAGO MAURIZIO COZZI FRANCO DE ANGELIS PAOLO GIOVANNI DEL NERO GIOVANNI DE NICOLA SILVIA GARNERO assente MARINA LAZZATI MASSIMO PAGANI CRISTINA STANCARI Presiede il Vice presidente Novo Umberto Maerna Partecipano, assistiti dal personale del Servizio Giunta, il Segretario Generale dott. Alfonso De Stefano ed il Vice Segretario Generale dott. Francesco Puglisi. Sono altresì presenti il Direttore Generale dott. Giovanni Giagoni e il Capo di Gabinetto del Presidente dr.ssa Gisella Biroli. Vista l informativa contenuta all interno, LA GIUNTA PROVINCIALE ne prende atto.
ASSESSORATO AL PERSONALE, PROVVEDITORATO, SISTEMA INFORMATIVO, SEMPLIFICAZIONE AMMINISTRATIVA, RAPPORTI E RELAZIONI TRA GLI ORGANI DI GOVERNO DELL'ENTE DIREZIONE PROPONENTE SETTORE SISTEMA INFORMATIVO INTEGRATO Oggetto: Informativa in merito alla realizzazione del Piano di Continuità Operativa del Sistema Informativo della Provincia di Milano Dopo un proficuo ed impegnativo lavoro da parte del Settore Sistema Informativo Integrato, con la collaborazione del Settore Impianti Tecnologici, i Servizi Innovazione tecnologica delle infrastrutture telematiche, Sistemi di telecomunicazione e Logistica uffici e servizi generali, e con il supporto del Dirigente Staff al Settore Presidenza e relazioni istituzionali, che ha coordinato tutte le attività, è stato realizzato il piano della Continuità Operativa del Sistema Informativo della Provincia di Milano. Col raggiungimento di tale obiettivo, è stato ottenuto il risultato della messa in sicurezza del Sistema Informativo e della garanzia della continuità dei servizi erogati dalla Provincia. La Continuità Operativa (nel seguito anche CO), in linea generale, è intesa come l insieme delle attività e delle politiche adottate per ottemperare all obbligo di assicurare la continuità nel funzionamento di un ente, società o, in generale, di una organizzazione. Quando i dati, le informazioni e le applicazioni, che li trattano, sono parte essenziale ed indispensabile per lo svolgimento delle funzioni istituzionali di un ente/organizzazione, diventano un bene primario cui è necessario garantire salvaguardia e disponibilità. Essendo la disponibilità uno dei cardini della sicurezza, unitamente a confidenzialità ed integrità, la disciplina della Continuità Operativa rappresenta parte integrante dei processi e delle politiche di sicurezza di un organizzazione. La previsione e l adozione di misure che garantiscono la disponibilità dei dati, indipendentemente dagli eventi che possono occorrere, rappresentano un dovere per quanti hanno la responsabilità di assicurare l efficienza della PA in generale ed il buon funzionamento degli uffici pubblici in particolare. Il processo di dematerializzazione promosso dal CAD, che con le sue disposizioni ha reso perentoria l azione di eliminazione della carta, ha comportato un incremento della criticità dei sistemi informatici che non possono più contare su un backup basato sulla documentazione cartacea. La continuità dei sistemi informativi, pertanto, rappresenta per le Pubbliche Amministrazioni, nell ambito delle politiche generali per la Continuità Operativa dell ente, un aspetto necessario all erogazione dei servizi a cittadini e imprese e diviene uno strumento utile per assicurare la continuità dei servizi e garantire il corretto svolgimento delle attività dell ente. Al riguardo e, più in particolare l articolo 50-bis del CAD aggiornato (che attiene alla Continuità Pagina 2
Operativa ) delinea gli obblighi, gli adempimenti e i compiti che spettano alle Pubbliche Amministrazioni, a DigitPA (ora AgID Agenzia Italia Digitale) e al Ministro per la Pubblica Amministrazione e l Innovazione, ai fini dell attuazione della Continuità Operativa: 1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell informazione, le PA predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni per il servizio e il ritorno alla normale operatività. 2. Il Ministro per la Pubblica Amministrazione e l innovazione assicura l omogeneità delle soluzioni di Continuità Operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento. 3. A tali fini, le pubbliche amministrazioni definiscono: a. il piano di Continuità Operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della Continuità Operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di Continuità Operativa con cadenza biennale; b. il piano di Disaster Recovery, che costituisce parte integrante di quello di Continuità Operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di Disaster Recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la Pubblica Amministrazione e l innovazione. 4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA. In ottemperanza a quanto citato nel punto 4 dell articolo 50-bis del CAD è stato redatto il documento di Studio di Fattibilità Tecnica (SFT) per poter dare evidenza dei risultati emersi nel percorso di autovalutazione dei servizi-sistemi applicativi, illustrando tra le altre cose: gli eventuali scostamenti tra la soluzione individuata al termine del percorso di autovalutazione e quella effettivamente scelta dalla Amministrazione; il percorso ed i tempi che si stima siano necessari per adottare la soluzione suggerita al termine del percorso di autovalutazione e per allinearsi a quanto previsto dalle Linee Guida sulla CO. Il documento di SFT ha fornito a DigitPA le informazioni necessarie e propedeutiche alla realizzazione del piano di Disaster Recovery come parte integrante del più ampio piano di Continuità Operativa. In particolare, consapevole dell importanza della tematica, la Provincia di Milano ha avviato, a partire dal 2011, un progetto di revisione e reingegnerizzazione del proprio sistema informativo predisponendo un piano di interventi, così sintetizzabile: Pagina 3
Livello organizzativo Struttura Policy (acquisti, richiesta ed utilizzo servizi, definizione standard, policy di sviluppo, gestione e manutenzione sistemi,..) Livello operativo Infrastrutture (postazioni di lavoro, adeguamento Data Center, rete, adeguamento licenze SW, sistema di Disaster Recovery, Business Continuity, copertura dei servizi erogati) Servizi Base ICT e Piattaforme Trasversali di Business (adeguamento sistema di posta elettronica, dematerializzazione, gestione documentale e servizi on line, integrazione servizi on line con i sistemi di Back Office di Area) Le linee di intervento sono state finalizzate al conseguimento dei seguenti obiettivi generali: efficienza e semplificazione dei processi interni della Provincia trasparenza dei processi amministrativi ed autorizzativi della Provincia; riduzione della distanza tra cittadini/imprese e Provincia; miglioramento della pianificazione e governo della spesa informatica. Inoltre, in riferimento alle tematiche di Disaster Recovery e Continuità Operativa, gli interventi sono stati indirizzati a garantire: l Integrità fisica dei sistemi informatici, che può essere compromessa da eventi calamitosi di origine naturale (alluvioni, terremoti), cause accidentali (incendi, allagamenti, crollo di un edificio) o cause esterne (furto, sabotaggi); l Integrità delle infrastrutture necessarie al funzionamento dei sistemi: elettricità, connettività di rete, impianto di condizionamento. l Integrità dei dati da azioni di malintenzionati esterni/interni, errori umani, virus, guasti hardware, ecc. I risultati degli interventi, prima citati, sono essenziali per l efficacia ed efficienza del piano di CO. In particolare si sono raggiunti i seguenti risultati: costituzione di un unico DATA CENTER in viale Piceno (sito primario) con la centralizzazione dei server; individuazione ed allestimento di un sito secondario in via Soderini con funzione di backup del sito primario; aggiornamento e potenziamento delle infrastrutture (server, storage, firewall, apparati di rete,..); riduzione drastica dei server fisici e potenziamento dei sistemi di virtualizzazione; revisione dell infrastruttura di rete in modo che i due siti passino in modalità attivo attivo, facendo in modo che uno sia il backup dell altro; revisione delle policy di backup; presentazione dello SFT a DigitPA ed acquisizione parere positivo; implementazione sistema di Distaster Recovery (DR); stesura Piano di CO; Pagina 4
formazione del personale. Una prima versione del piano di Continuità Operativa è stata realizzata. Il piano sarà costantemente aggiornato, secondo ben precise modalità, definite nel piano stesso, in relazione ad una qualsiasi variazione delle sue componenti. Per la gestione, a seguito di un evento disastroso, dell emergenza il piano prevede una Struttura organizzativa, che ha il compito di garantire l attuazione delle procedure previste in caso di DR e di mantenere il piano di DR in condizioni di efficienza. Struttura decisionale Crisis Manager Crisis Management Team IT Emergency Team Settore primo intervento Strutture organizzative La Struttura è costituita dai seguenti soggetti: il Crisis Manager; il Crisis Management Team; l IT Emergency team. Pagina 5
che il Direttore Generale, in seguito a tale informativa, nominerà con atto separato. Il Crisis Manager è il Responsabile della Continuità Operativa ossia è la persona che, interpellate le diverse parti, in base alle informazioni raccolte ed a quanto previsto nel piano di DR può dichiarare lo stato di crisi ed ufficializza la necessità di attivare le procedure previste. Le principali caratteristiche sono le seguenti: è la persona incaricata dall Ente per gestire l organizzazione nel periodo di crisi e ha pieni poteri decisionali attiva le procedure di comunicazione verso l utenza interno ed esterna ha la responsabilità di convocare e gestire il crisis management team assicura che il piano di gestione del disastro sia attivato nei tempi e nei modi previsti è responsabile del processo di escalation al management aziendale La funzione di Crisis Manager, in genere, è affidata al Responsabile dei Sistemi Informativi. Il Crisis Management Team costituisce il Comitato di crisi ed è strutturata per funzioni di supporto, che rappresentano l organizzazione delle singole risposte che occorre dare alle diverse esigenze operative durante l emergenza. I referenti gestionali delle funzioni di supporto agiscono in autonomia sotto il coordinamento e la supervisione del coordinatore dell unità (Crisis Manager). I componenti del Crisis Management Team coprono le seguenti funzioni: Competenza/Incarico Direzione ICT Direzione Risorse Umane Direzione Impianti Direzione Provveditorato servizi generali Direzione Protezione civile Direzione Sicurezza sul luogo di lavoro Nominativo L IT Emergency Team è formato da personale tecnico, che viene preventivamente addestrato per gestire la crisi, da personale IT responsabile dello startup del sito di Disaster Recovery e relativa ripartenza dei servizi. Il Team segueo le istruzioni del Crisis Management Team e ne informa i membri sullo stato avanzamento. I Componenti dell IT Emergency Team coprono le seguenti funzioni/competenze: Competenza/Incarico Servizi di Rete (interna), storage e sistemi Hw Nominativo Pagina 6
Competenza/Incarico Servizi di Impianti elettrici e di condizionamento Servizi di rete metropolitana (fibra) Servizi telefonici Servizi di risorse umane Servizi generali Servizi di help desk Servizi di Backup Servizi Applicazioni Software Nominativo IL RELATORE: Ass. Roberto Cassago data 07/01/2014 firmato Roberto Cassago IL DIRETTORE: Dr. Aurelio Maria Faverio data 07/01/2014 firmato Aurelio Maria Faverio Pagina 7
Letto e sottoscritto IL PRESIDENTE IL SEGRETARIO GENERALE F.to Maerna F.to De Stefano PUBBLICAZIONE Il sottoscritto Segretario Generale dà disposizione per la pubblicazione della presente informativa mediante inserimento nell Albo Pretorio online della Provincia di Milano, ai sensi dell art.32, co.1, L. 18/06/2009 n. 69 e contestuale comunicazione ai Capi Gruppo Consiliari, ai sensi dell art.125 del D. Lgs. n.267/2000. Milano lì 21.1.2014 IL SEGRETARIO GENERALE F.to De Stefano Si attesta l avvenuta pubblicazione della presente informativa all Albo Pretorio online della Provincia di Milano come disposto dall art.32 L. n.69/2009. Milano lì Firma TRASMISSIONE La presente informativa viene trasmessa per quanto di competenza a: Milano lì IL DIRETTORE GENERALE Pagina 8