“Articolo 50-bis del CAD: la continuità operativa delle pubbliche amministrazioni”

Alessandro Alessandroniprogetto Continuità Operativa

alessandroni@digitpa.gov.it

Nuovo Standard ISO22301 per la gestione della continuità operativa. Opportunità per le aziende:

business, dati e servizi garantiti

EVENTO BSI

19 giugno 2012

1

Prima dell’art.50 bis

� Iniziative prevalentemente limitate alle organizzazioni piùcritiche e complesse

� In molti casi attenzione soprattutto alle soluzioni tecniche

� 2005 – istituzione del Centro di competenza sulla continuitàoperativa presso CNIPA)

� 2006 Linee guida alla continuità operativa nella PA – Quaderno CNIPA n.28

� 2008 La Continuità operativa nella PA: Casi di studio –Quaderno n. 35 (MEF/Sogei, Min. P.I., Min. Trasporti, Istituti Previdenziali e assicurativi, CSI Piemonte)

2

Il Centro Unico di Back-up degli enti previdenziali e assicurativi

3

Evoluzione del Centro Unico di Back-up degli enti previdenziali e assicurativi

4

� l’articolo 50-bis (Continuità operativa) Dlgs 30.12.2 010, n.235 :

1. In relazione ai nuovi scenari di rischio, alla crescente complessitàdell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazionipredispongono i piani di emergenza in grado di assicur are la continuità delle operazioni indispensabili per il servi zio e il ritorno alla normale operatività.

2. Il Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle soluzioni di continuità op erativadefinite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.

Nuovo Codice dell’Amministrazione Digitale

5

3. A tali fini, le pubbliche amministrazioni definiscono :

a) il piano di continuità operativa: fissa gli obiettivi e i principi da perseguire , descrive le procedure per la gestione della continuitàoperativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strut turali, tecnologiche e contiene idonee misure preventive . Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;

b) il piano di disaster recovery: stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le line e guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati edelle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.

Compiti delle pubbliche amministrazioni

6

4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica ; su tali studi è obbligatoriamente acquisito il parere di DigitPA.

Compiti delle pubbliche amministrazioni

7

DigitPA: Emette le Linee Guida (LG) DigitPA: Emette le Linee Guida (LG)

DigitPA: emette pareri su SFT DigitPA: emette pareri su SFT

PP.AA. : Predispongono e

sottopongono al parere di

DigitPA studi di fattibilità tecnica

(SFT),

PP.AA. : Predispongono e

sottopongono al parere di

DigitPA studi di fattibilità tecnica

(SFT),DigitPA:

verifica annualmente

i’aggiornamento dei piani di DR

DigitPA:

verifica annualmente

i’aggiornamento dei piani di DR

PP.AA.:� Implementano le soluzioni e predi-spongono i

piani di CO e di DR sulla base dello SFT e del

parere di DigitPA;

� Verificano con cadenza biennale la funzionalità

del Piano di CO ;

� Garantiscono la manutenzione della soluzione

e informando DigitPA

� Inviano a DigitPA annualmente

l’aggiornamento del piano di DR

PP.AA.:� Implementano le soluzioni e predi-spongono i

piani di CO e di DR sulla base dello SFT e del

parere di DigitPA;

� Verificano con cadenza biennale la funzionalità

del Piano di CO ;

� Garantiscono la manutenzione della soluzione

e informando DigitPA

� Inviano a DigitPA annualmente

l’aggiornamento del piano di DR

Il Ministro assicura l’omogeneità

delle soluzioni informando con

cadenza annuale il Parlamento

Il Ministro assicura l’omogeneità

delle soluzioni informando con

cadenza annuale il Parlamento

Fase Iniziale (o transitoria)

Fase Implementativa (o a regime)

Nuovo Codice dell’Amministrazione Digitale:Il Ciclo della CO/DR

8

�Le linee guida, approvate definitivamente dal Comitato Direttivo di DigitPA, sono state emanate il 28 nov 2011�Le linee guida sono disponibili nel sito DigitPA

� ancorché l’art. 50-bis preveda la produzione, a cura di DigitPA, delle “linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni”, di cui questo documento èl’attuazione, i contenuti del documento sono stati estesi anche a:�- indicazioni nel merito dei contenuti e della produzione del piano di continuitàoperativa;

�Aspetti organizzativi

� indicazioni e schemi di massima dello studio di fattibilità tecnica,

per fornire alle Amministrazioni gli elementi necessari al completo adempimento ai dispositivi dell’articolo.

Le Linee Guida

9

Il perimetro di applicazione della continuità operativa ICT deve comprendere almeno:

1. le applicazioni informatiche e i dati del sistema informativo indispensabili all’erogazione dei servizi e allo svolgimento delle attività (informatiche e non);

2. le infrastrutture fisiche e logiche che ospitano sistemi di elaborazione;3. i dispositivi di elaborazione hw e sw che permettono la funzionalità delle applicazioni realizzanti i servizi dell’amministrazione;

4. le componenti di connettività locale e/o remota/geografica;

5. ciò che serve per consentire lo svolgimento delle attività del personale informatico, sia interno all’amministrazione, sia, se presente, esterno, ma correlato al sistema informativo stesso;

6. le modalità di comunicazione ed informazione al personale utilizzatore del sistema informativo all’interno dell’amministrazione e ai fruitori esterni dei servizi del sistema informativo dell’amministrazione, siano essi cittadini, imprese, altre amministrazioni;7. le misure per garantire la disponibilità dei sistemi di continuità elettrica (UPS e gruppi elettrogeni) e più in generale la continuità di funzionamento del sistema informativo;8. la gestione dei posti di lavoro informatizzati dell’amministrazione;

9. i servizi previsti per l’attuazione del C.A.D. (fra cui ad es. la PEC; la firma Digitale

Il perimetro di applicazione della CO delle pubbliche amministrazioni

10

� 9 Capitoli � Cap.3 – Standard per l’attuazione della CO� Cap.4 – Organizzazione delle strutture di

gestione della CO� Cap.5 – La realizzazione della CO e delle

soluzioni di DR� Cap.6 – Strumenti giuridici e operativi per

l’acquisizione di servizi di DR� Cap.7 – SFT, Piani di CO e Piani di DR

� 5 Appendici

� 1 Breve guida alla lettura (percorso minimo di lettura e glossario)

Le Linee Guida in sintesi

11

Definizione di business continuity (BC) o continuit àoperativa (CO) in ambito BSI e DigitPA

• (Da BS 25999-2:2007) Business Continuity (BC): strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptable predefined level

• (Da “Linee Guida per il DR delle PA”, DigitPA 2011)Continuità Operativa : l’insieme delle attività e delle politiche adottate per ottemperare all’obbligo di

assicurare la continuità nel funzionamento dell’organizzazione; è parte integrante dei processi e delle politiche di sicurezza di un’organizzazione;

Continuità operativa ICT : la capacità di un organizzazione di adottare, attraverso accorgimenti, procedure e soluzioni tecnico-organizzative, misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, all’interno o all’esterno dell’organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali;

12

Definizione di disaster recovery (DR) in ambito BSI e DigitPA

• (Da BS 25777) ICT disaster recovery: activities and programmes that are invoked in response to a disruption and are intended to restore an organization’s ICT services

• (Da “Linee Guida per il DR delle PA”, DigitPA 2011)Disaster recovery (DR) : nell’ambito dell’art. 50 bis del CAD, l’insieme delle

misure tecniche e organizzative adottate per assicurare all’organizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dell’organizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilità prolungate

13

Esempio Corrispondenza LG DigitPA e ISO/IEC 22301

LG DigitPA ISO 223014.1 - Coinvolgimento dei vertici dell’amministrazione e ruolo della struttura di gestione

5.1 - Leadership and commitment

4.4 - Criteri e Indicazioni Organizzative 5.4 - Organizational roles, responsibilities and authorities

5.2-5.4 Strumenti per l’autovalutazioneAPPENDICE A: LA BUSINESS IMPACT ANALYSIS (BIA)

8.2.2 – BIA

4.2 - Il Comitato di gestione della crisi 8.4.2 - Incident response structure

4.7 - Indicazioni per il collaudo e per i test 8.5 – exercising and testing

4.8 - Indicazioni per Il Piano di ContinuitàOperativa7.2 Il Piano di Continuità Operativa

8.4.4 Business continuity plans

4.9 Indicazioni per la gestione e la manutenzione della soluzione di CO/DR e del Piano di CO/DR

10.1 Nonconformity and corrective action

14

TierTier 1 1

MediaMediaBassaBassa AltaAlta CriticaCritica

Network

CRITICITÀ

TierTier 2 2

TierTier 3 3

TierTier 44

TierTier 66

TierTier 55

TierTier 1 1

MediaMediaBassaBassa AltaAlta CriticaCritica

NetworkNetwork

CRITICITÀ

TierTier 2 2

TierTier 3 3

TierTier 44

TierTier 66

TierTier 55Tier 3 : soluzione simile a quella di Tier 2 ma il trasferimento dei dati tra il sito primario e quello di DR avviene attraverso un collegamento di rete tra i due siti.

Le Linee Guida: Capitolo 5La realizzazione della CO e delle soluzioni di DR

15

CIRCOLARE 1° dicembre 2011 , n. 58

(G.U. 27-12-2011 n. 300)

� Attività di DigitPA e delle Amministrazioni ai fini dell’attuazione degli adempimenti previsti dall’articolo 50 -bis (Continuità Operativa) del «Codice dell’Amministrazione Digitale» (D.lgs. n. 82/2005 così come modificato dal D.lgs. 235

� La prima parte : informazioni che le Amministrazioni devono inviare a DigitPA ai fini del rilascio del parere sugli Studi di Fattibilita’ Tecnica (SFT) e le modalità di presentazione delle richieste come previsto dal comma 4, art. 50 bis del CAD.

� La seconda parte: informazioni che le Amministrazioni devono inviare a DigitPA ai fini dell’attivita’ di verifica del costante aggiornamento dei Piani di Disaster Recovery (DR), previste dal comma 3, lettera b), art. 50 bis, del CAD./2010).

16

SFT: tipologie di amministrazione

17

�Comuni

�Aziende sanitarie e ospedaliere

�Università

�Istituti Scolastici

�Province

�Regioni

�PAC

�Camere di Commercio

• Gestione atti amministrativi (determine, delibere)• Gestione Bilancio• Gestione Economato (inventario, buoni

economali)• Gestione Edilizia• Gestione Patrimonio• Gestione Sanzioni, Incidenti, Turni di servizio• Gestione Protocollo• Gestione Servizi Sociali• Gestione SIT (cartografia, civici e toponomastica)• Gestione sito web• Gestione Stipendi• Gestione SUAP• Gestione Personale (giuridico, presenze)• Servizi Demografici (anagrafe, CIE, stato civile,

elettorale)• …………….

Esempi di servizi per un

Comune

Esempi di servizi per una

Universita’

�Consultazione online presenze personale tecnico-amministrativo di Ateneo�Controllo di gestione�Customer satisfaction�Digital signage�Gestione statistiche �Portale assistenza rete e servizi di rete�Portale di cambio password�Portale Spin-Off�Produzione Badge �Affidamenti incarichi attività didattiche�Albo online�Consultazione OPAC SBN�Contabilità integrata di Ateneo�Dematerializzazione procedimenti amministrativi�Firma digitale remota docenti�Gestione giuridico-economica del personale�Gestione prove di selezione accesso programmato�Gestione studenti�………….

18

Esempi di servizi per una ASL

�Esenzione�Continuità Assistenziale (ex. guardia medica)�Vaccinazioni�Scelta e revoca�Servizio di Prevenzione e Protezione�Laboratorio di analisi�Impiantistica e sicurezza sul lavoro�Patologie cronico degenerative e tumorali�Medicina legale�Protesica�Consultori�SERT�Strutture sanitarie accreditate�Sanità animale�Servizio igiene degli allevamenti e delle produzioni zootecniche�Gestione amministrativo-contabile�Logistica e Supply Chain�Gestione asset aziendali�Gestione delle risorse umane�Servizi direzionali�CUP diretto e/o centralizzato�Esposizione referti su FSE

19

Esempi di servizi per una AO

�servizio di DEA

�servizio di Accettazione/Dismissione e Trasferimento ricoveri (ADT)

�servizio di gestione della Cartella Clinica di ricovero�servizio di gestione sale operatorie

�servizio di gestione delle terapie intensive

�servizio di gestione ambulatori e casse�servizio di gestione dei Laboratori Analisi

�servizio di gestione della Radiodiagnostica (Radiologia e Medicina Nucleare)

�servizio di gestione di Anatomia Patologica

�servizio Centro Trasfusionale (SIMT)�servizio di gestione delle Prenotazioni ambulatoriali (CUP provinciale)

�servizio di gestione del Protocollo e Delibere

�portale Internet�portale Intranet

�posta Elettronica

�servizio amministrativo contabile e controllo di gestione�servizio gestione Risorse Umane

�servizio di gestione di Prevenzione e Sicurezza sul Lavoro 20

• Affari Generali – Protocollo• Affari Generali - Ufficio Giunta/Ufficio Consiglio/Gestione atti/Società Partecipate• Personale - Gestione Economica del Personale• Personale - Rilevazione presenze• Gestione Economica dell'Ente - Programmazione Finanziaria• Gestione Economica dell'Ente - Gestione ordinativi e pagamenti• Gestione Economica dell'Ente - Controllo di Gestione• Gestione Economale - Gestione Economato, Ordini e Magazzino• Sistema bibliotecario della Provincia• Settore Lavoro - Portale Sintesi • Gestione Sanzioni Polizia Provinciale• Rilascio licenze di Pesca• Gestione venatoria• Servizio zootecnia, agricolo e dell'alimentazione• Albo Pretorio• Siti Istituzionali• Anagrafe Estesa Sovracomunale• Sistema Informativo Territoriale• Servizi provinciali e-gov

Esempi di servizi per una Provincia (classi di servizio)

21

� Individuazione del responsabile della CO

� Relazione sul CAD

� Competenze tecniche non sempre presenti, specialmente nelle amministrazioni di piccole dimensioni

� Vincoli di budget

� Armonizzazione delle liste dei servizi e delle valutazioni di criticità per stessa tipologia di amministrazione

� In molti casi necessità di interventi di razionalizzazione sui siti primari (consolidamento, virtualizzazione,…) prima di adottare soluzioni di DR

� Rischio di moltiplicazione dei data center in assenza di soluzioni condivise

criticità

22

� Supporto DigitPA (linee guida, tool autovalutazione, schema SFT, seminari e workshop)

� Supporto organismi di settore ANCI/Ancitel, CISIS, IT4U, per armonizzare valutazioni servizi critici

� Ricerca soluzioni DR condivise tra più amministrazioni tramite:� Centri Servizi Territoriali, � società in house regionali,

� consorzi interuniversitari

� .......................................

� Ricorso al mercato per consulenza e servizi di DR

� Virtualizzazione e cloud?

soluzioni

23

� Tier 1 per istituti scolastici con 1 server e 10 pdl, trasferimento settimanale supporti dati in sede secondaria o di altro istituto e accordo con fornitore per installazione server in caso emergenza

� Soluzione tier 4 tra due sedi della stessa amministrazione (piccolo o medio comune) con piattaforme virtualizate

� Soluzione di BC a livello di campus per Università o azienda ospedaliera e sito per DR geografico presso fornitore esterno (eventuale società regionale o consorzio) o altra amministrazione (mutuo soccorso)

� Grande comune o regione: gara per fornitore sito e servizi di DR (a volte inclusi servizi di connettività) con Tier differenziati

� Amministrazioni centrali in full outsourcing hanno rivisto le criticità dei servizi, rinegoziato i requisiti di DR e integrato i propri piani e le strutture organizzative di CO e DR con quelle dei fornitori

Esempi di soluzioni

24

� Sviluppo di modelli di Studi di Fattibilita’ Tecnica

� Tavolo Tecnico per i profili di servizio essenziali e dei loro livelli minimi per le soluzioni di disaster recovery

� Attivita’ di monitoraggio delle infrastrutture della PA ai fini di una razionalizzazione dei servizi di CO/DR

DigitPA: Iniziative in corso e pianificate

25

� Consulenza per� Studio fattibilità tecnica (SFT)� BIA e RA� Progettazione soluzione DR� Realizzazione soluzione DR� Predisposizione/manutenzione piani CO e DR� Servizi di auditing di soluzioni di DR

� Disponibilità, gestione e manutenzione:� Siti DR (+ connettività)� Risorse Hw + sw per DR� Postazioni di lavoro per DR

� Servizi dati:� Trasporto e conservazione supporti dati presso sito DR� Servizi di storage on-line

Tavolo tecnico con fornitori: lista servizi DR

BS25999 –ISO/IEC22301

ISO/IEC 27001

ISO/IEC 24762

ANSI/TIA-942

26

“Le scrivo di nuovo in tema di disaster recovery visto che in questi ultimi 20 giorni qui a Ferrare abbiamo sperimentato il terremoto.

In particolare io abito a Sant'Agostino, e per il momento vivo in un camper perchésono fortunata.

Il comune interno non è più agibile e la Provincia di Ferrara mi ha dislocato a lavorare per il periodo dell'emergenza immediata nel Centro Operativo Comunale di Sant'Agostino.

Alla luce di questo ho capito molto bene l'importanza del disaster recovery.Nel nostro caso tutti gli archivi cartacei, tutti i dati, tutta la struttura è rimasta dentro al comune che questa settimana dovrà implodere portandosi dietro tutta la conoscenza dell'ufficio tecnico e degli altri suoi servizi.

I cittadini chiedono la documentazione per sapere come sono fatte le loro case per cercare di non perderle alla prossima scossa ma noi non possiamo rispondere, abbiamo tutto in comune.

Siamo (credo dignitosamente) ripartiti individuando la scuola elementare come sede, ci manca tutto dalle graffette ai pc e dopo aver recuperato un back up le funzioni anagrafe, contabilità, sito e posta sono ripartite.

...abbiamo toccato con mano che la domanda del cittadino, in caso di disastro, cambia molto.

...”

L’importanza del 50- bis (e non solo): una testimonianza