Sicurezza Informatica e PA / pt2

 

Riprendiamo il tema già introdotto in precedente articolo di qualche mese fa.

Negli ultimi 3 anni, la crescente necessità di poter contare su reti ed infrastrutture sicure ed affidabili ancor prima che efficienti, nonché l'evoluzione dei moderni sistemi informatici verso il Cloud, cioè un unico punto centrale in cui raccogliere una grossa quantità di dati che diventa quindi ad alta sensibilità, ha indotto DigitPA ad imporre con maggior forza la sua posizione.

Il 30 dicembre 2010 il Decreto Legislativo n. 235 apporta importanti modifiche al Codice dell’Amministrazione Digitale.
In particolare nell' articolo 50-bis si evidenzia l'obbligo per le P.A. di predisporre degli adeguati piani di emergenza atti a garantire il ripristino dei sistemi informativi ed il ritorno alla normale operatività a seguito di incidenti informatici. Nello specifico sarà obbligatoria la pianificazione di “un piano di continuità operativa (comma 3, punto a), inclusivo del piano di disaster recovery (comma 3, punto b), da parte di tutte le pubbliche amministrazioni, entro 15 mesi dalla data di entrata in vigore del D.Lgs. 235/2010 (25.01.2011)” e “la stesura, preventiva al precedente adempimento, di un apposito studio di fattibilità, sul quale deve essere obbligatoriamente richiesto parere di DigitPA (comma 4).
L'importante articolo 51 del CAD invece stabilisce fondamentali specifiche tecniche per garantire allo stesso tempo la sicurezza e la disponibilità dei dati sensibili all'interno dei sistemi informativi, rendendo per la prima volta il contesto dipendente da linea guida ad-hoc ed non solo dalle indicazioni stabilite dal Codice della Privacy ed in particolare nell' allegato B.
In questo contesto DigitPA non manca di rafforzare il suo ruolo assumendosi l'onere di monitorare sull'applicazione delle direttive, segnalarndo al Ministero competente le amministrazioni inadempienti rispetto alle citate regole tecniche, e predisponendo valutazioni, relazioni, studi di fattibilità e procedure di valutazione in merito.

Con comunicazione sulla Gazzetta Ufficiale n. 295 del 20 dicembre 2011, DigitPA ha poi predisposto delle Linee guida sulla Continuità Operativa, offrendosi al contempo come organo consultivo e di supporto alle amministrazioni che volessero avviare progetti coordinati per la salvaguardia dei propri sistemi informativi nella logica della razionalizzazione degli investimenti nella P.A. Un progetto simile infatti era già stato avviato nel 2003 quando avvalendosi dell'iniziativa già intrapresa dall' INPS l'anno precedente, DigitPA ebbe un ruolo di coordinamento nella costruzione del Centro unico di Backup degli istituti previdenziali e assicurativi (CUB) al quale hanno aderito INPS, INAIL, INPDAP, entrato nella fase operativa il 27 giugno 2005 e collaudato il 22 settembre 2007.
A proposito il 1 dicembre 2011 viene emanata una Circolare indicante le modatità di richiesta del parere di DigitPA sui temi precedenti, riguardo all'adozione di nuovi piani ed infrastruttire informatiche.

In quest'ultimo periodo quindi, i cambiamenti sono stati pochi ma assolutamente significativi. Ad oggi, vista la prevista sostituzione di DigitPA con l'Agenzia per l'Italia Digitale ed il varo del decreto denominato “Digitalia” le carte saranno destinate ad essere rimescolate ancora una volta, tuttavia per ora scegliamo di concentrarci sull'attuale situazione a cui devono fare fronte le Pubbliche Amministrazioni.
Riassumendo gli strumenti principali ogni PA deve predisporre sono:

  • Il piano di continuità operativa, che “fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale.”;
  • Il piano di disaster recovery, che “stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.”;

Ovviamente le soluzioni tecniche atte all'adempimento di tali obblighi sono variabili e commisurati al tipo ed alle dimensioni dell'Amministrazione che potrà scegliere in maniera autonoma le migliori opportunità e prodotti a lei adatti. Come già detto DigitPA si offre come organo di supporto per la valutazione delle proposte tecniche, ma nel corso del tempo ha già fornito una ampia documentazione ed una serie di strumenti utili ad autovalutazioni e a facilitare studi autonomi.
In particolare è stato predisposto un modello denominato Studio di Fattibilità Tecnica che permette di riassumere i progetti da loro avanzati secondo una linea comune a tutte le amministrazioni.
Nel sito di DigitPA inoltre sono a disposizione alcuni strumenti (fogli di calcolo avanzati e software) utili ad un immediata autovalutazione sulla sensibilità dei serivizi prestati e quindi sulla priorità delle soluzioni da adottare. I risultati di questi calcoli possono essere confrontati con delle scale di valori che se ben interpetate possono indicare la soluzione tecnica adatta ad ogni tipo di servizio.
L'autovalutazione si basa sull'identificazione di tre direttrici: La tipologia di servizio erogato, la complessità organizzativa e la complessità tecnologica. Dalle linee guida per la compilazione ricaviamo: “La direttrice del servizio consente di far rientrare nella valutazione aspetti legati alla tipologia, numerosità e criticità dei servizi erogati, in termini di danno per l’organizzazione e/o per i suoi utenti in caso di mancata erogazione del servizio stesso; La direttrice della complessità della organizzazione consente di far rientrare nella valutazione aspetti legati alla complessità amministrativa e strutturale dell’organizzazione, al fine di stimare il dimensionamento delle soluzioni tecniche da adottare; La direttrice della tecnologia consente di far entrare nella valutazione aspetti legati al fattore tecnologico in termini di dimensione e complessità, al fine di poter stimare la tipologia e la natura delle soluzioni tecniche da adottare.
Ogni direttrice ha degli indicatori ad-hoc, da cui si giunge ad un indicatore complessivo di criticita’, i cui livelli sono raggruppati in 4 classi di rischio ognina associata alla soluzioni tecnologiche più adatte, denominate TIERS.
Sempre dalle linee guida riportiamo:

  • TIER 1: Backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza;
  • TIER 2: Backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza.
  • TIER 3: Backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza.
  • TIER 4: La soluzione prevede che le risorse elaborative, garantite coerenti con quelle del centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in tempi rapidi.
  • TIER 5: La soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi aggiornamenti.
  • TIER 6: La soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi aggiornamenti.

In conclusione, la Normativa Italiana presenta un quadro legislativo non carente, e che sulla carta obbliga senza alcun dubbio ogni amministrazione ad essere in regola con standard e requisiti minimi necessari alla sicurezza, interperiobilità, accessibilità e disponibilità dei dati, nonché alla stessà continuità operativa dei servizi offerti. Le operazioni decisionali e pratiche tuttavia non posso che essere lasciate in mano agli stressi enti sul terriotrio, che non sempre sono sensibili ai temi trattati o non hanno le capacità finanziarie per operare verso un miglioramento delle loro strutture.
Ricordiamo però che nell'era del ritorno alla centralizzazione dei servizi e alla progressiva eliminazione della burocrazia in forma cartacea, i servizi degitali assumono un ruolo estremamente sensibile, in cui senza voler esagerare ogni piccola mancanza può portare a risultati estremante tragici ed imprevisti. Anche se le carenze sono ancora molte, l'attenzione verso questi temi nella Pubblica Amministrazione sta crescendo giorno dopo giorno e ci auguriamo che la semplice attuazzione delle normative in vigore possa un giorno diventare risultato alla portata di qualsiasi servizio pubblico.

 

RIFERIMENTI:
http://www.digitpa.gov.it/
http://www.interlex.it/pa/d_bruschi.htm
http://www.clusit.it/

Articoli Correlati

  • No Related Posts