1. Nuovo Standard ISO22301 per la gestione della
continuità operativa. Opportunità per le aziende:
business, dati e servizi garantiti
EVENTO BSI
19 giugno 2012
“Articolo 50-bis del CAD: la continuità operativa
delle pubbliche amministrazioni”
Alessandro Alessandroni
progetto Continuità Operativa
alessandroni@digitpa.gov.it
1
2. Prima dell’art.50 bis
Iniziative prevalentemente limitate alle organizzazioni più
critiche e complesse
In molti casi attenzione soprattutto alle soluzioni tecniche
2005 – istituzione del Centro di competenza sulla continuità
operativa presso CNIPA)
2006 Linee guida alla continuità operativa nella PA – Quaderno
CNIPA n.28
2008 La Continuità operativa nella PA: Casi di studio –
Quaderno n. 35 (MEF/Sogei, Min. P.I., Min. Trasporti, Istituti
Previdenziali e assicurativi, CSI Piemonte)
2
3. Il Centro Unico di Back-up degli enti previdenziali e
assicurativi
3
5. Nuovo Codice dell’Amministrazione Digitale
l’articolo 50-bis (Continuità operativa) Dlgs 30.12.2010, n.235 :
1. In relazione ai nuovi scenari di rischio, alla crescente complessità
dell’attività istituzionale caratterizzata da un intenso utilizzo della
tecnologia dell’informazione, le pubbliche amministrazioni
predispongono i piani di emergenza in grado di assicurare la
continuità delle operazioni indispensabili per il servizio e il
ritorno alla normale operatività.
2. Il Ministro per la pubblica amministrazione e l’innovazione
assicura l’omogeneità delle soluzioni di continuità operativa
definite dalle diverse Amministrazioni e ne informa con cadenza
almeno annuale il Parlamento.
5
6. Compiti delle pubbliche amministrazioni
3. A tali fini, le pubbliche amministrazioni definiscono :
a) il piano di continuità operativa: fissa gli obiettivi e i principi da
perseguire, descrive le procedure per la gestione della continuità
operativa, anche affidate a soggetti esterni. Il piano tiene conto
delle potenziali criticità relative a risorse umane, strutturali,
tecnologiche e contiene idonee misure preventive. Le
amministrazioni pubbliche verificano la funzionalità del piano di
continuità operativa con cadenza biennale;
b) il piano di disaster recovery: stabilisce le misure tecniche e
organizzative per garantire il funzionamento dei centri di
elaborazione dati e delle procedure informatiche rilevanti in siti
alternativi a quelli di produzione. DigitPA, sentito il Garante per
la protezione dei dati personali, definisce le linee guida per le
soluzioni tecniche idonee a garantire la salvaguardia dei dati e
delle applicazioni informatiche, verifica annualmente il costante
aggiornamento dei piani di disaster recovery delle
amministrazioni interessate e ne informa annualmente il Ministro
per la pubblica amministrazione e l’innovazione. 6
7. Compiti delle pubbliche amministrazioni
4. I piani di cui al comma 3 sono adottati da ciascuna
amministrazione sulla base di appositi e dettagliati studi di
fattibilità tecnica; su tali studi è obbligatoriamente acquisito il
parere di DigitPA.
7
8. Nuovo Codice dell’Amministrazione Digitale:
Il Ciclo della CO/DR
Fase Iniziale (o transitoria)
PP.AA.:
Implementano le soluzioni e predi-spongono i
piani di CO e di DR sulla base dello SFT e del
parere di DigitPA;
Verificano con cadenza biennale la funzionalità
DigitPA: Emette le Linee Guida (LG) del Piano di CO ;
Garantiscono la manutenzione della soluzione
e informando DigitPA
Inviano a DigitPA annualmente
l’aggiornamento del piano di DR
PP.AA. : Predispongono e
sottopongono al parere di
DigitPA studi di fattibilità tecnica
(SFT),
DigitPA:
verifica annualmente
i’aggiornamento dei piani di DR
DigitPA: emette pareri su SFT
Il Ministro assicura l’omogeneità
delle soluzioni informando con
cadenza annuale il Parlamento
Fase
Implementativa (o a regime) 8
9. Le Linee Guida
Le linee guida, approvate definitivamente dal Comitato Direttivo di
DigitPA, sono state emanate il 28 nov 2011
Le linee guida sono disponibili nel sito DigitPA
ancorché l’art. 50-bis preveda la produzione, a cura di DigitPA, delle
“linee guida per le soluzioni tecniche idonee a garantire la
salvaguardia dei dati e delle applicazioni”, di cui questo documento è
l’attuazione, i contenuti del documento sono stati estesi anche a:
- indicazioni nel merito dei contenuti e della produzione del piano di continuità
operativa;
Aspetti organizzativi
indicazioni e schemi di massima dello studio di fattibilità tecnica,
per fornire alle Amministrazioni gli elementi necessari al
completo adempimento ai dispositivi dell’articolo.
9
10. Il perimetro di applicazione della CO delle
pubbliche amministrazioni
Il perimetro di applicazione della continuità operativa ICT deve comprendere almeno:
1. le applicazioni informatiche e i dati del sistema informativo indispensabili
all’erogazione dei servizi e allo svolgimento delle attività (informatiche e non);
2. le infrastrutture fisiche e logiche che ospitano sistemi di elaborazione;
3. i dispositivi di elaborazione hw e sw che permettono la funzionalità delle
applicazioni realizzanti i servizi dell’amministrazione;
4. le componenti di connettività locale e/o remota/geografica;
5. ciò che serve per consentire lo svolgimento delle attività del personale
informatico, sia interno all’amministrazione, sia, se presente, esterno, ma correlato
al sistema informativo stesso;
6. le modalità di comunicazione ed informazione al personale utilizzatore del
sistema informativo all’interno dell’amministrazione e ai fruitori esterni dei servizi del
sistema informativo dell’amministrazione, siano essi cittadini, imprese, altre
amministrazioni;
7. le misure per garantire la disponibilità dei sistemi di continuità elettrica (UPS e
gruppi elettrogeni) e più in generale la continuità di funzionamento del sistema
informativo;
8. la gestione dei posti di lavoro informatizzati dell’amministrazione; 10
9. i servizi previsti per l’attuazione del C.A.D. (fra cui ad es. la PEC; la firma Digitale
11. Le Linee Guida in sintesi
9 Capitoli
Cap.3 – Standard per l’attuazione della CO
Cap.4 – Organizzazione delle strutture di
gestione della CO
Cap.5 – La realizzazione della CO e delle
soluzioni di DR
Cap.6 – Strumenti giuridici e operativi per
l’acquisizione di servizi di DR
Cap.7 – SFT, Piani di CO e Piani di DR
5 Appendici
1 Breve guida alla lettura (percorso
minimo di lettura e glossario) 11
12. Definizione di business continuity (BC) o continuità
operativa (CO) in ambito BSI e DigitPA
• (Da BS 25999-2:2007) Business Continuity (BC): strategic and tactical capability of the
organization to plan for and respond to incidents and business disruptions in order to continue
business operations at an acceptable predefined level
• (Da “Linee Guida per il DR delle PA”, DigitPA 2011)
Continuità Operativa: l’insieme delle attività e delle politiche adottate per ottemperare all’obbligo di
assicurare la continuità nel funzionamento dell’organizzazione; è parte integrante dei processi e
delle politiche di sicurezza di un’organizzazione;
Continuità operativa ICT : la capacità di un organizzazione di adottare, attraverso accorgimenti,
procedure e soluzioni tecnico-organizzative, misure di reazione e risposta ad eventi imprevisti che
possono compromettere, anche parzialmente, all’interno o all’esterno dell’organizzazione, il
normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali;
12
13. Definizione di disaster recovery (DR) in
ambito BSI e DigitPA
• (Da BS 25777) ICT disaster recovery: activities and programmes that
are invoked in response to a disruption and are intended to restore an
organization’s ICT services
• (Da “Linee Guida per il DR delle PA”, DigitPA 2011)
Disaster recovery (DR): nell’ambito dell’art. 50 bis del CAD, l’insieme delle
misure tecniche e organizzative adottate per assicurare all’organizzazione
il funzionamento del centro elaborazione dati e delle procedure e
applicazioni informatiche dell’organizzazione stessa, in siti alternativi a
quelli primari/di produzione, a fronte di eventi che provochino, o possano
provocare, indisponibilità prolungate
13
14. Esempio Corrispondenza
LG DigitPA e ISO/IEC 22301
LG DigitPA ISO 22301
4.1 - Coinvolgimento dei vertici 5.1 - Leadership and commitment
dell’amministrazione e ruolo della struttura di
gestione
4.4 - Criteri e Indicazioni Organizzative 5.4 - Organizational roles, responsibilities and
authorities
5.2-5.4 Strumenti per l’autovalutazione 8.2.2 – BIA
APPENDICE A: LA BUSINESS IMPACT
ANALYSIS (BIA)
4.2 - Il Comitato di gestione della crisi 8.4.2 - Incident response structure
4.7 - Indicazioni per il collaudo e per i test 8.5 – exercising and testing
4.8 - Indicazioni per Il Piano di Continuità 8.4.4 Business continuity plans
Operativa
7.2 Il Piano di Continuità Operativa
4.9 Indicazioni per la gestione e la manutenzione 10.1 Nonconformity and corrective action
della soluzione di CO/DR e del Piano di CO/DR
14
15. Le Linee Guida: Capitolo 5
La realizzazione della CO e delle soluzioni di DR
Bassa Media Alta Critica
Tier 1
Network
Tier 2
Tier 3
Tier 4
Tier 3: soluzione simile a quella di Tier 5
Tier 2 ma il trasferimento dei dati tra
il sito primario e quello di DR Tier 6
avviene attraverso un collegamento
di rete tra i due siti. CRITICITÀ
15
16. CIRCOLARE
1° dicembre 2011 , n. 58
(G.U. 27-12-2011 n. 300)
Attività di DigitPA e delle Amministrazioni ai fini dell’attuazione degli
adempimenti previsti dall’articolo 50 -bis (Continuità Operativa) del
«Codice dell’Amministrazione Digitale» (D.lgs. n. 82/2005 così come
modificato dal D.lgs. 235
La prima parte: informazioni che le Amministrazioni devono inviare a
DigitPA ai fini del rilascio del parere sugli Studi di Fattibilita’ Tecnica (SFT)
e le modalità di presentazione delle richieste come previsto dal comma 4,
art. 50 bis del CAD.
La seconda parte: informazioni che le Amministrazioni devono inviare a
DigitPA ai fini dell’attivita’ di verifica del costante aggiornamento dei Piani
di Disaster Recovery (DR), previste dal comma 3, lettera b), art. 50 bis,
del CAD./2010).
16
17. SFT: tipologie di amministrazione
Comuni
Aziende sanitarie e ospedaliere
Università
Istituti Scolastici
Province
Regioni
PAC
Camere di Commercio
17
18. Esempi di Esempi di
servizi per un servizi per una
Comune Universita’
• Gestione atti amministrativi (determine, delibere) Consultazione online presenze personale tecnico-
• Gestione Bilancio amministrativo di Ateneo
• Gestione Economato (inventario, buoni Controllo di gestione
economali) Customer satisfaction
• Gestione Edilizia Digital signage
• Gestione Patrimonio Gestione statistiche
• Gestione Sanzioni, Incidenti, Turni di servizio Portale assistenza rete e servizi di rete
• Gestione Protocollo Portale di cambio password
• Gestione Servizi Sociali Portale Spin-Off
• Gestione SIT (cartografia, civici e toponomastica) Produzione Badge
• Gestione sito web Affidamenti incarichi attività didattiche
• Gestione Stipendi Albo online
• Gestione SUAP Consultazione OPAC SBN
• Gestione Personale (giuridico, presenze) Contabilità integrata di Ateneo
• Servizi Demografici (anagrafe, CIE, stato civile, Dematerializzazione procedimenti amministrativi
elettorale) Firma digitale remota docenti
• ……………. Gestione giuridico-economica del personale
Gestione prove di selezione accesso
programmato
Gestione studenti
18
………….
19. Esempi di servizi per una ASL
Esenzione
Continuità Assistenziale (ex. guardia medica)
Vaccinazioni
Scelta e revoca
Servizio di Prevenzione e Protezione
Laboratorio di analisi
Impiantistica e sicurezza sul lavoro
Patologie cronico degenerative e tumorali
Medicina legale
Protesica
Consultori
SERT
Strutture sanitarie accreditate
Sanità animale
Servizio igiene degli allevamenti e delle produzioni zootecniche
Gestione amministrativo-contabile
Logistica e Supply Chain
Gestione asset aziendali
Gestione delle risorse umane
Servizi direzionali
CUP diretto e/o centralizzato 19
Esposizione referti su FSE
20. Esempi di servizi per una AO
servizio di DEA
servizio di Accettazione/Dismissione e Trasferimento ricoveri (ADT)
servizio di gestione della Cartella Clinica di ricovero
servizio di gestione sale operatorie
servizio di gestione delle terapie intensive
servizio di gestione ambulatori e casse
servizio di gestione dei Laboratori Analisi
servizio di gestione della Radiodiagnostica (Radiologia e Medicina Nucleare)
servizio di gestione di Anatomia Patologica
servizio Centro Trasfusionale (SIMT)
servizio di gestione delle Prenotazioni ambulatoriali (CUP provinciale)
servizio di gestione del Protocollo e Delibere
portale Internet
portale Intranet
posta Elettronica
servizio amministrativo contabile e controllo di gestione
servizio gestione Risorse Umane
servizio di gestione di Prevenzione e Sicurezza sul Lavoro 20
21. Esempi di servizi per una Provincia (classi di
servizio)
• Affari Generali – Protocollo
• Affari Generali - Ufficio Giunta/Ufficio Consiglio/Gestione atti/Società Partecipate
• Personale - Gestione Economica del Personale
• Personale - Rilevazione presenze
• Gestione Economica dell'Ente - Programmazione Finanziaria
• Gestione Economica dell'Ente - Gestione ordinativi e pagamenti
• Gestione Economica dell'Ente - Controllo di Gestione
• Gestione Economale - Gestione Economato, Ordini e Magazzino
• Sistema bibliotecario della Provincia
• Settore Lavoro - Portale Sintesi
• Gestione Sanzioni Polizia Provinciale
• Rilascio licenze di Pesca
• Gestione venatoria
• Servizio zootecnia, agricolo e dell'alimentazione
• Albo Pretorio
• Siti Istituzionali
• Anagrafe Estesa Sovracomunale
• Sistema Informativo Territoriale
• Servizi provinciali e-gov
21
22. criticità
Individuazione del responsabile della CO
Relazione sul CAD
Competenze tecniche non sempre presenti, specialmente nelle
amministrazioni di piccole dimensioni
Vincoli di budget
Armonizzazione delle liste dei servizi e delle valutazioni di criticità per
stessa tipologia di amministrazione
In molti casi necessità di interventi di razionalizzazione sui siti primari
(consolidamento, virtualizzazione,…) prima di adottare soluzioni di DR
Rischio di moltiplicazione dei data center in assenza di soluzioni
22
condivise
23. soluzioni
Supporto DigitPA (linee guida, tool autovalutazione, schema
SFT, seminari e workshop)
Supporto organismi di settore ANCI/Ancitel, CISIS, IT4U, per
armonizzare valutazioni servizi critici
Ricerca soluzioni DR condivise tra più amministrazioni tramite:
Centri Servizi Territoriali,
società in house regionali,
consorzi interuniversitari
.......................................
Ricorso al mercato per consulenza e servizi di DR
Virtualizzazione e cloud?
23
24. Esempi di soluzioni
Tier 1 per istituti scolastici con 1 server e 10 pdl, trasferimento settimanale
supporti dati in sede secondaria o di altro istituto e accordo con fornitore per
installazione server in caso emergenza
Soluzione tier 4 tra due sedi della stessa amministrazione (piccolo o medio
comune) con piattaforme virtualizate
Soluzione di BC a livello di campus per Università o azienda ospedaliera e sito
per DR geografico presso fornitore esterno (eventuale società regionale o
consorzio) o altra amministrazione (mutuo soccorso)
Grande comune o regione: gara per fornitore sito e servizi di DR (a volte inclusi
servizi di connettività) con Tier differenziati
Amministrazioni centrali in full outsourcing hanno rivisto le criticità dei servizi,
rinegoziato i requisiti di DR e integrato i propri piani e le strutture organizzative
di CO e DR con quelle dei fornitori
24
25. DigitPA: Iniziative in corso e pianificate
Sviluppo di modelli di Studi di Fattibilita’ Tecnica
Tavolo Tecnico per i profili di servizio essenziali e dei
loro livelli minimi per le soluzioni di disaster recovery
Attivita’ di monitoraggio delle infrastrutture della PA ai
fini di una razionalizzazione dei servizi di CO/DR
25
26. Tavolo tecnico con fornitori: lista servizi DR
Consulenza per
Studio fattibilità tecnica (SFT)
BS25999 –ISO/IEC22301
BIA e RA
ISO/IEC 27001
Progettazione soluzione DR
Realizzazione soluzione DR
Predisposizione/manutenzione piani CO e DR
Servizi di auditing di soluzioni di DR
Disponibilità, gestione e manutenzione:
Siti DR (+ connettività) ANSI/TIA-942
Risorse Hw + sw per DR ISO/IEC 24762
Postazioni di lavoro per DR
Servizi dati:
Trasporto e conservazione supporti dati presso sito DR
Servizi di storage on-line 26
27. L’importanza del 50-bis (e non solo): una
testimonianza
“Le scrivo di nuovo in tema di disaster recovery visto che in questi ultimi 20 giorni
qui a Ferrare abbiamo sperimentato il terremoto.
In particolare io abito a Sant'Agostino, e per il momento vivo in un camper perché
sono fortunata.
Il comune interno non è più agibile e la Provincia di Ferrara mi ha dislocato a
lavorare per il periodo dell'emergenza immediata nel Centro Operativo Comunale di
Sant'Agostino.
Alla luce di questo ho capito molto bene l'importanza del disaster recovery.
Nel nostro caso tutti gli archivi cartacei, tutti i dati, tutta la struttura è rimasta dentro
al comune che questa settimana dovrà implodere portandosi dietro tutta la
conoscenza dell'ufficio tecnico e degli altri suoi servizi.
I cittadini chiedono la documentazione per sapere come sono fatte le loro case per
cercare di non perderle alla prossima scossa ma noi non possiamo rispondere,
abbiamo tutto in comune.
Siamo (credo dignitosamente) ripartiti individuando la scuola elementare come
sede, ci manca tutto dalle graffette ai pc e dopo aver recuperato un back up le
funzioni anagrafe, contabilità, sito e posta sono ripartite.
...abbiamo toccato con mano che la domanda del cittadino, in caso di disastro,
cambia molto.
...”