Sul significato, modalità e attuazione della Continuità Operativa è presente sul sito dell'AgID una ricca documentazione, alla quale si rimanda.
Scopo di questi appunti è quello di riassumere brevemente cosa significa la CO e come dev'essere attuata dalle Amministrazioni Pubbliche.
Il riferimento normativo era rappresentato dall'art. 50 bis del CAD che introduceva anche una definizione del concetto, le PA definiscono: "piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività."
La derubricazione della norma ora parzialmente "trasposta" nell'art. 51 del CAD non ha prodotto, in sostanza, un'abrogazione della CO. Tutt'altro, ha invece avuto l'effetto di dare un colpo di spugna alla precedente normativa, obiettivamente complessa per la piccola e media PA.
In parole povere, cosa significa continuità operativa ? Sono l'insieme di attività (e risorse) destinate a ridurre al minimo gli effetti di eventi dannosi che impediscono ai sistemi informatici e tecnologici di continuare ad erogare un servizio.
A chi si rivolge ? A tutte le PA, in particolare il nuovo CAD precisa, nel vigente art. 51:
Art. 51. Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni
1. Con le regole tecniche adottate ai sensi dell'articolo 71 sono individuate ((le soluzioni tecniche idonee a garantire la protezione,)) la disponibilita', l'accessibilita', l'integrita' e la riservatezza ((dei dati e la continuita' operativa)) dei sistemi e delle infrastrutture.E' chiaro che, rispetto alla previgente normativa, sono state eliminate tutte le complesse procedure e oggi, a carico dell'Amministrazione, non rimane nient'altro che garantire la continuità operativa di sistemi e infrastrutture.
Tuttavia, il precedente modello era sicuramente una guida di riferimento importante. Esso si fondava su due documenti: il Piano di continuità operativa, che ha il compito di definire le procedure, gli obiettivi e i principi, incluse le risorse umane e tecnologiche adottate e il Piano di Disaster Recovery, ovvero il documento che fissa le misure tecniche volte a salvaguardare i dati e le applicazioni informatiche consentendone successivamente il ripristino superata la fase emergenziale.
L'AgID mette a disposizione una procedura di richiesta di parere e un insieme di risorse da utilizzare, compreso uno schema tipo di Studio di Fattibilità Tecnica, da richiedere ad un soggetto esterno per una eventuale gara e un modello di Piano.
Il Comune di Roma ha, ad esempio, approntato una gara aperta per l'individuazione delle infrastrutture per assicurare la CO.
L'Ente individua nel documento le componenti del sistema di Disaster Recovery (DR):
- un sito (Data Center) di DR diverso da quello “ordinario”,
- le infrastrutture hardware e software installate nel sito di DR e finalizzate alla ripartenza delle applicazioni indicate dall’Amministrazione,
- i processi di manutenzione di tali infrastrutture, al fine di mantenere l’adeguato allineamento alle infrastrutture del DC,
- i processi di replica dei dati applicativi finalizzati alla ripartenza delle applicazioni sul sito di DR con i livelli di servizio richiesti,
- i processi di test periodici (almeno semestrali) dell’intero sistema di DR,
- il processo di avvio effettivo dell’operatività sul sito di DR in caso di effettivo disastro,
- i processi di documentazione e governo dell’intero sistema di DR.
Il Data center consiste in un centro di elaborazione dati dove sono collocati i server il quale, ovviamente, dovrà essere collocato in un luogo diverso da quello corrente.
Nessun commento:
Posta un commento