Cloud first nella PA

Il principio cloud first

Il piano Triennale per l’Informatica nella Pubblica Amministrazione 2019-2021[1] è basato su quattro principi cardine:

  • digital by default – la Pubblica Amministrazione deve impegnarsi a ideare, progettare e realizzare servizi digitali come prima (e, se possibile, unica) modalità di erogazione;
  • once only – la Pubblica Amministrazione non deve chiedere al cittadino informazioni di cui è già in possesso in una delle proprie articolazioni;
  • digital identity only – la Pubblica Amministrazione deve basare le modalità di riconoscimento del cittadino su elementi digitali (per la PA italiana il sistema di identificazione è SPID);
  • cloud first – la Pubblica Amministrazione deve progressivamente abbandonare le infrastrutture IT proprietarie per convertirsi alla tecnologia cloud.

Viene, quindi, ribadito l’orientamento alla diffusione della tecnologia cloud nella Pubblica Amministrazione perché è stato facile constatare che:

  • i data center delle pubbliche amministrazioni italiane non garantiscono un sufficiente livello di sicurezza;
  • le disponibilità di spesa per gli investimenti ICT sono andate, negli anni, riducendosi generando una progressiva obsolescenza delle infrastrutture;
  • i costi di esercizio sono direttamente proporzionali alla vetustà delle apparecchiature;
  • le figure professionali per garantire l’esercizio delle infrastrutture ICT scontano carenze quantitative e qualitative, considerando il blocco del turn‑over e la progressiva riduzione di capacità di spesa per la formazione come conseguenza dei tagli lineari che hanno subito le Pubbliche Amministrazioni.

L’approccio di AGID

L’AGID, come organismo di coordinamento della strategia della trasformazione digitale della Pubblica Amministrazione, ha ritenuto di basare l’approccio all’applicazione del principio del cloud first su tre direttrici che le pubbliche amministrazioni possono praticare rispetto alle infrastrutture verso le quali transitare:

  • infrastrutture messe a disposizione da Cloud Service Provider (CSP) privati opportunamente qualificati dalla stessa AGID che pubblica un apposito registro[2] contenente i soggetti fornitori e la relativa scheda che riepiloga le caratteristiche tecniche ed i prezzi dei servizi;
  • infrastrutture di Community Cloud contrattualizzate tramite CONSIP con la gara SPC Cloud – Lotto 1[3] al cui contratto quadro le Pubbliche Amministrazioni possono aderire;
  • infrastrutture messe a disposizione dal Polo Strategico Nazionale (PSN) ovvero dal “Soggetto titolare dell’insieme di infrastrutture IT (centralizzate o distribuite), ad alta disponibilità, di proprietà pubblica e qualificato da AGID ad erogare ad altre amministrazioni, in maniera continuativa e sistematica, servizi infrastrutturali on-demand, servizi di disaster recovery e business continuity, servizi di gestione della sicurezza IT e assistenza ai fruitori dei servizi erogati”.

Le prime due opzioni sono già disponibili mentre la terza è in via di definizione perché ha richiesto un percorso più articolato che vedrà, nel corso dei prossimi mesi, il traguardo finale.

La ricognizione dei data center pubblici

Il percorso per l’individuazione dei soggetti pubblici che comporranno il PSN nasce con la circolare AGID n. 5 del 30 novembre 2017[4] con la quale le pubbliche amministrazioni sono state invitate a compilare un “Questionario di rilevazione del Patrimonio ICT della PA” al fine di collocarle in tre diverse classi rispetto alle caratteristiche dell’infrastruttura IT in esercizio:

  • candidati ad essere integrati nel Polo Strategico Nazionale;
  • Gruppo “A”, corrispondenti a data center di qualità ma non idonei a candidarsi come PSN oppure con carenze strutturali o organizzative minori;
  • Gruppo “B”, corrispondenti a data center che non garantiscono i requisiti minimi di affidabilità e sicurezza dal punto di vista infrastrutturale o organizzativo.

Il censimento si è focalizzato su quattro caratteristiche cruciali per la determinazione del gruppo di appartenenza:

  • caratteristiche organizzativo‑gestionali, tipicamente improntate al rispetto di standard internazionali (ISO 20000‑1, ISO 22301, ISO 27001);
  • caratteristiche infrastrutturali, volte a identificare quali elementi fisici di contesto (edifici ospitanti, sistemi antincendio, ecc.) e specifici (tasso di disponibilità su base annua, continuità dell’alimentazione, ecc.) che caratterizzano il data center;
  • caratteristiche tecnologiche, tese a delineare il livello di tecnologia impiegato nel data center;
  • caratteristiche economico‑finanziarie, indirizzate a definire la solidità del soggetto pubblico in termini di sostenibilità dell’impegno di spesa connesso all’esercizio del data center.

La circolare n. 5/2017 è stata sostituita dalla circolare 1/2019[5], pubblicata l’1 luglio scorso sul n. 152 della Gazzetta Ufficiale[6] che, tra l’altro, dice che alla rilevazione hanno partecipato 778 amministrazioni delle quali 625 hanno dichiarato di possedere un data center mentre le restanti 153 hanno dichiarato di affidarsi a servizi forniti da altri soggetti. La data di pubblicazione non è indifferente, giacché la stessa circolare prevede che:

  • entro 30 giorni dal primo luglio le amministrazioni che hanno partecipato al censimento riceveranno una comunicazione sulla classificazione delle loro infrastrutture IT; potranno, nei successivi 45 giorni, aggiornare i propri dati se ritengono di dover modificare la classe di appartenenza;
  • l’AGID invii una PEC alle amministrazioni che non hanno partecipato al primo censimento affinché producano le informazioni richieste e possano essere debitamente classificate; le amministrazioni che non dovessero rispondere al questionario saranno classificate nel “Gruppo B” e, quindi, come prevede l’art. 7 della stessa circolare, “dovranno procedere alla dismissione dei propri Data Center per migrare senza indugio al Cloud della PA”.

Il percorso per realizzare il PSN

A conclusione della seconda fase del censimento, l’AGID chiederà formalmente ai soggetti pubblici titolari dei data center candidabili ad integrarsi nel PSN la loro disponibilità ad aderire.

Chi intenderà aderire dovrà sottoporsi ad una valutazione d’idoneità la cui procedura è stata pubblicata il 5 luglio scorso[7]. Si tratta di una verifica on‑site che sarà condotta da appositi Gruppi di Verifica (GdV) secondo i principi della norma UNI EN ISO 19011:2018 (ovvero le linee guida per gli audit di sistemi di gestione).

La procedura di verifica contiene due allegati che i GdV dovranno seguire:

  • l’Allegato A, una sorta di check‑list utile a verificare che le caratteristiche infrastrutturali e tecnologiche dichiarate in sede di censimento siano effettivamente operative; si tratta di verificare 76 condizioni operative, di cui 11 preferibili ma non obbligatorie, tese a garantire l’affidabilità e la sicurezza dei sistemi; i controlli spaziano dalla verifica della possibilità di manutenzione a caldo del sistema di distribuzione elettrica al controllo della presenza di sistemi antiallagamento con presenza di apparati attivi;
  • l’Allegato B, che contiene l’elenco dei controlli rispetto alla gestione del servizio che ogni candidato intende mettere a disposizione del PSN (e, quindi, di altre amminisrazioni); si tratta di controlli di conformità rispetto alle norme ISO 20000 (standard per la gestione dei servizi IT), ISO 22301 (standard per la continuità operativa), ISO 27001 (standard per i sistemi di gestione per la sicurezza delle informazioni); in presenza delle rispettive certificazioni, il Gruppo di Verifica non effettuerà alcun controllo.

Considerando le caratteristiche da verificare, è ipotizzabile che il Polo Strategico Nazionale potrà cominciare a comporsi verso la fine del 2019.

Conclusioni

Sarà raggiunto, così, un traguardo importante perché quest’ultimo tassello potrà risultare determinante per superare lo scetticismo di alcune pubbliche amministrazione nell’affidare la gestione delle proprie informazioni a Cloud Service Provider privati e, quindi, avviarsi verso una stagione di maggior affidabilità, sicurezza, efficacia ed efficienza delle infrastrutture IT pubbliche.

Note

[1] https://www.agid.gov.it/sites/default/files/repository_files/piano_triennale_per_linformatica_nella_pubblica_amministrazione_2019_-_2021_allegati20190327.pdf

[2] https://catalogocloud.agid.gov.it/

[3] https://www.cloudspc.it/

[4] https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=2ahUKEwiC4ffblr7jAhXF66QKHZzlAMYQFjABegQIAhAC&url=https%3A%2F%2Ftrasparenza.agid.gov.it%2Fmoduli%2FdownloadFile.php%3Ffile%3Doggetto_allegati%2F173371816170O__O05%2B-%2BAGID%2BCIRC%2Bn.%2B05%2B-%2B30%2Bnov%2B2017.pdf&usg=AOvVaw3FhkF1CwlGQNDi3jXxHncq

[5] https://trasparenza.agid.gov.it/archivio19_regolamenti_0_5379.html

[6] https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2019-07-01&atto.codiceRedazionale=19A04222&elenco30giorni=true

[7] https://www.agid.gov.it/sites/default/files/repository_files/procedura_verifica_idoneita_infrastruttura_per_utilizzo_da_psn-agid.pdf

 

Articolo a cura di Francesco Maldera

Profilo Autore

Francesco Maldera è Data Protection Officer e Data Scientist.
Il suo percorso professionale lo ha chiamato a responsabilità direzionali nell’ambito dei sistemi informativi, della safety&security, della privacy e dell’auditing svolgendo diversi incarichi dirigenziali nella Pubblica Amministrazione e in aziende private.
Attualmente, accompagna l’attività consulenziale a quella di sensibilizzazione delle persone tramite il sito www.prontoprivacy.it

Condividi sui Social Network:

Articoli simili