L’articolo 50 bis del codice dell’amministrazione digitale prevede che le pubbliche amministrazioni sviluppino un piano di CONTINUITA’ OPERATIVA e di DISASTER RECOVERY, vale a dire una strategia attraverso la quale l’ente è in grado di rispondere ad un evento dannoso ripristinando il funzionamento del sistema informativo.
Gli step per lo sviluppo del progetto prevedono 3 fasi
Analisi dei servizi critici
La realizzazione di un progetto di questo tipo prevede la valutazione dell’impatto che un accadimento ha sull’erogazione dei servizi, tenendo conto della criticità degli stessi e dell’impatto e danno causato agli utenti.
Lo studio può essere fatto rifacendosi alle normative standard BS 7799 – ISO 17799 oppure usando il modello messo a disposizione nel portale di DigitPA http://apps.digitpa.gov.it/Autovalutazione/web/autovalutazione.php. Questa analisi porta all’identificazione delle risorse necessarie per il funzionamento dei processi più importanti dell’ente.
Il risultato di questa valutazione deve essere inserito in un documento denominato Studio di Fattibilità e trasmesso attraverso PEC a DigitPA. Verosimilmente questo documento dovrà contenere un indicazione delle strategie e dell’infrastruttura tecnologica che l’organizzazione intende implementare.
Implementazione della soluzione tecnologica
A seguito dei pareri emessi dall’autorità per l’informatica, l’ente pubblico dovrà adottare la soluzione tecnologica descritta nello Studio di Fattibilità facendo delle simulazioni sulla reale efficacia della stessa.
Disporre di un backup dei dati, non garantisce il ripristino del funzionamento di un ente mediamente complesso, in quanto l’infrastruttura tecnologica per il funzionamento dello stesso ha raggiunto livelli di complessità in cui oltre ai dati serve recuperare in breve tempo configurazioni, permessi, diritti di accesso ecc.
La tendenza nelle organizzazioni è quella di pensare ad una virtualizzazione dell’infrastruttura , magari su server diversi che consente elevata efficienza di calcolo e alti livelli di sicurezza.
Sviluppo del piano di Continuità Operativa e di Disaster Recovery.
L’ente dovrà infine predisporre il piano di Continuità Operativa e di Disaster Recovery nel quale stabilisce le attività che dovranno essere messe in atto nel caso accada un evento che blocca il funzionamento del sistema informativo.
Rispetto al piano di disaster recovery previsto del Documento Programmatico della Sicurezza il Codice dell’Amministrazione Digitale prevede vincoli più stringenti, o meglio la definizione di una strategia in grado di ripristinare il funzionamento del dell’organizzazione attraverso un’analisi reale della criticità dei servizi e non nel tempo di una settimana come era definito dell’Allegato B del D lgs 196 del 2003.
Come studio abbiamo affiancato numerosi comuni nella redazione del piano di continuità operativa e disaster recovery