Continuità operativa e disaster recovery nella pubblica amministrazione
DEFINIZIONI Linee Guida per il DR delle PA, DigitPA 2011 Continuità Operativa (CO) Continuità Operativa: l insieme delle attività e delle politiche adottate per ottemperare all obbligo di assicurare la continuità nel funzionamento dell organizzazione; è parte integrante dei processi e delle politiche di sicurezza di un organizzazione; Continuità operativa ICT : la capacità di un organizzazione di adottare, attraverso accorgimenti, procedure e soluzioni tecnico-organizzative, misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, all interno o all esterno dell organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali;
Disaster recovery (DR) nell ambito dell art. 50 bis del CAD, l insieme delle misure tecniche e organizzative adottate per assicurare all organizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dell organizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilità prolungate. RTO (Recovery Time Objective) indica il tempo di ripristino del servizio: è la durata di tempo e di un livello di servizio entro il quale un business process ovvero il Sistema Informativo primario deve essere ripristinato dopo un disastro o una condizione di emergenza (o interruzione), al fine di evitare conseguenze inaccettabili RPO (Recovery Point Objective) indica la perdita dati tollerata: rappresenta il massimo tempo che intercorre tra la produzione di un dato e la sua messa in sicurezza conseguentemente, fornisce la misura della massima quantità di dati che il sistema può perdere a causa di guasto improvviso
La continuità operativa nel settore pubblico La pubblica amministrazione è tenuta ad assicurare la continuità dei propri servizi per garantire il corretto svolgimento della vita nel Paese. Art. 97 della Costituzione ed il principio di buon andamento dell'amministrazione, da rispettare anche se si utilizzano tecnologie ICT
Normativa Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196) Decreto legislativo 30 dicembre 2010, n. 235 (Gazz. Uff. 10 gennaio 2011, n. 6): Modifiche ed integrazioni al decreto legislativo 7 marzo 2005, n. 82, recante Codice dell amministrazione digitale, a norma dell articolo 33 della legge 18 giugno 2009, n. 69.
Nuovo Codice dell amministrazione digitale Il Dlgs 30 dicembre 2010 introduce nel CAD l articolo 50-bis (Continuità operativa) i seguenti punti: 1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività. 2. Il Ministro per la pubblica amministrazione e l innovazione assicura l omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.
3) A tali fini, le pubbliche amministrazioni definiscono : a) il piano di continuità operativa: fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale; b) il piano di disaster recovery: stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l innovazione. 4) I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA..
Il D.lgs 196/03 Codice in materia di trattamento dei dati Il D.Lgs. 196/2003, tra le misure minime di sicurezza, prevede (al numero 18 dell'allegato B) che il titolare fornisca agli incaricati istruzioni relative al salvataggio almeno settimanale dei dati. In seguito a guasti, manomissioni, o disastri il backup consente però di recuperare solo i dati salvati, ma non prevede anche la duplicazione delle risorse informatiche necessarie per utilizzare questi dati e a seguito di eventi di maggiore impatto non è possibile ripristinare in tempi brevi l operatività dell Ente, mettendo così in serio pericolo il suo ruolo istituzionale. Il discorso si è così evoluto in quello che oggi viene definito Disaster Recovery ovvero quel complesso di regole, metodi e tecnologie da implementare per garantire il ripristino non solo dei dati ma anche dei sistemi informativi colpiti da un evento disastroso. Un piano di Continuità Operativa deve tenere in considerazione la riservatezza dei dati da salvaguardare, unitamente alle caratteristiche di proporzionalità, non eccedenza e finalità con cui la conservazione dei dati viene effettuata.
Parere del Garante sullo schema di "Linee-guida per il Disaster Recovery delle pubbliche amministrazioni", emanate ai sensi dell'articolo 50-bis, comma 3, lett. b), del Codice dell'amministrazione digitale - 4 luglio 2013 Il Garante privacy sullo schema di "Linee-guida per il Disaster Recovery delle pubbliche amministrazioni" predisposto dall'agenzia per l'italia digitale (ex DigitPa) ha espresso parere favorevole. Come previsto dal Codice dell'amministrazione digitale (Cad), ogni pubblica amministrazione deve predisporre, e aggiornare periodicamente, il piano di disaster recovery, ossia l'insieme delle attività necessarie per ripristinare le funzionalità di un sistema informatico nel suo complesso (strutture hardware, software e servizi di comunicazione), messo fuori uso da un evento improvviso che potrebbe comportare danni e perdite gravi per l'amministrazione.
Servizi cloud Un altro aspetto in ordine al quale sono state recepite le indicazioni rese dall'autorità nel parere del 2011 riguarda l'utilizzo di servizi cloud per la realizzazione del PCO e di DR, che implichino il trasferimento di dati. Al riguardo l'odierno schema dopo aver precisato che in relazione alla natura particolare dei servizi cloud, la p. a. deve considerare la possibile localizzazione della infrastruttura geograficamente distribuita, individua gli strumenti e le clausole da adottare per soluzioni cloud che implichino il trasferimento dei dati (con rinvio alla normativa comunitaria e ai provvedimenti del Garante).
Cloud Computing? Con il termine cloud computing, o semplicemente cloud, ci si riferisce a un insieme di tecnologie e di modalità di fruizione di servizi informatici che favoriscono l utilizzo e l erogazione di software, la possibilità di conservare e di elaborare grandi quantità di informazioni via Internet. Il cloud offre, a seconda dei casi, il trasferimento della conservazione o dell elaborazione dei dati dai computer degli utenti ai sistemi del fornitore. Il cloud consente, inoltre, di usufruire di servizi complessi senza doversi necessariamente dotare né di computer e altri hardware avanzati, né di personale in grado di programmare o gestire il sistema.
Dott.ssa Patrizia Meo info@patriziameo.it www.patriziameo.it