Come il sistema immunitario umano ha ispirato un nuovo approccio alla sicurezza informatica
21 Aprile 2021
Breve commento alla proposta di Regolamento UE sull’AI
30 Aprile 2021

La disponibilità e la continuità dei servizi nell’amministrazione pubblica: un preciso impegno istituzionale nei confronti della collettività

L’emergenza sanitaria da Covid-19, tutt’ora in corso, ha evidenziato il ruolo chiave della pubblica amministrazione, anche ai fini della gestione dell’emergenza stessa. Questo contesto di profondo e repentino cambiamento ha ribadito e rafforzato l’importanza di poter fruire online dei servizi pubblici. Ne consegue un preciso impegno istituzionale, nel rispetto di normative e linee guida di settore, volto a garantire la disponibilità e la continuità dei servizi offerti.

Il confronto tra ambito privato e settore pubblico

Nell’ambito privato, in un mercato estremamente concorrenziale, l’esigenza di offrire servizi continui e tempestivi rappresenta, senza dubbio, un vantaggio competitivo. Infatti ad oggi, indipendentemente dalla qualità dei beni o dei servizi offerti, un’azienda che non è in grado di garantire ai clienti la continuità del servizio pone a repentaglio il proprio livello reputazionale, mettendo a rischio il suo intero processo di business.

Ciò premesso, nel settore pubblico la disponibilità e continuità dei servizi assume lo stesso valore, se non ancor più significativo, dal momento che il “cliente” del servizio pubblico è l’intera cittadinanza e, pertanto, la garanzia del servizio rappresenta una responsabilità sociale, piuttosto che un fattore competitivo.

Il contesto normativo

Il più importante richiamo normativo di regolamentazione della continuità operativa nella pubblica amministrazione è contenuto nell’art. 51 del Codice dell’Amministrazione Digitale (CAD), il quale dispone che “Con le Linee guida sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture” e ribadisce che “I documenti informativi delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta”.

Vi sono anche altre disposizioni normative da rispettare in tema di continuità operativa, dalle misure tecniche ed organizzative previste dall’art. 32 del Regolamento generale per la protezione dei dati (GDPR), alla necessità di redigere un piano di sicurezza (allegato al manuale di gestione documentale, ai sensi delle regole tecniche sul protocollo informatico e la conservazione). Tutte queste disposizioni esigono adempimenti che, il più delle volte, si ripetono. Ragion per cui diventa importante coordinare le attività, in modo da non replicare i processi finalizzati a garantire la continuità operativa.

La chiave di tutto è la gestione organica e strutturata del processo e, nel contesto delle pubbliche amministrazioni, particolare importanza assumono in materia le Linee guida e le circolari messe a disposizione dall’Agenzia per l’Italia Digitale (Agid). Tali documenti forniscono raccomandazioni a supporto dell’individuazione delle soluzioni e dei servizi minimi essenziali per l’adozione di un piano di continuità operativa, in linea con il CAD.

Il piano di continuità operativa è un documento strategico che guida l’amministrazione nella gestione dei rischi cui è soggetta. Il piano definisce ed elenca le azioni da intraprendere prima, durante e dopo un’emergenza, per assicurare la continuità del servizio e massimizzare l’efficacia della risposta. Nello stesso vengono pianificati e specificati tutti gli interventi necessari, assegnate le responsabilità e identificati i percorsi da seguire (definizioni: “chi deve fare”, “che cosa”, e “quando”).

Ciò premesso, l’attuale quadro normativo non obbliga le pubbliche amministrazioni all’adozione di un piano di continuità operativa. Tuttavia, è evidente la necessità di predisporre ugualmente tale piano, al fine di adottare le misure atte a garantire la continua disponibilità dei servizi pubblici ed essere conformi ad altri precetti legislativi, quali ad esempio quelli previsti dalla normativa vigente in materia di protezione dei dati personali (privacy by design).

Il contesto tecnologico

Nella pubblica amministrazione, la continuità operativa è essenzialmente il risultato di un processo organizzativo che comprende tecnologie informatiche rispondenti a precise caratteristiche di robustezza, non diverse da quelle normalmente utilizzate nel contesto privato.

Le Linee guida di Agid in materia di continuità operativa non prevedono misure tecniche predefinite, rimettendo alle amministrazioni la scelta ottimale delle soluzioni da adottare sulla base delle esigenze di continuità in termini di risorse da proteggere e di livelli di servizio attesi.

La raccomandazione principale contenuta in tali Linee guida è quella che invita alla predisposizione di una struttura secondaria in grado di mettere a disposizione risorse alternative a quelle non disponibili. Tra i sistemi da adottare, rivestono particolare importanza le tecnologie per le repliche remote dei dati e le reti di comunicazione tra i siti principali e quelli di backup. Dalla loro capacità e disponibilità, infatti, dipende la possibilità di prevedere meccanismi più o meno efficaci per la salvaguardia dei dati.

Indubbiamente, la struttura secondaria non deve essere situata nell’area metropolitana nella quale è presente la struttura di produzione, ma la distanza minima dipende da scelte e valutazioni effettuate dall’amministrazione. La stessa Agid, a riguardo, non fornisce indicazioni standard sulla distanza necessaria tra i due siti, rimettendo tale scelta all’esito di una valutazione basata sulle peculiarità locali in termini di sismicità del territorio ed assetto idrogeologico dell’area.

Inoltre, il numero di risorse da destinare alla realizzazione di una struttura secondaria potrebbe variare in relazione alle dimensioni e alla disponibilità finanziaria di ciascuna amministrazione. Anche gli enti di minori dimensioni devono assicurare ai propri utenti un livello minimo di continuità dei servizi. In questo caso, Agid raccomanda accordi di mutuo soccorso o forme associative tra enti che consentono di condividere le risorse per l’emergenza.

Anche la diffusione del cloud computing, pur presentando aspetti che vanno attentamente valutati nel contesto delle pubbliche amministrazioni, rappresenta ad oggi un’opportunità da considerare nella scelta delle soluzioni tecnologiche.

Il contesto organizzativo

In qualsiasi organizzazione, la realizzazione della continuità operativa si articola in un processo che coniuga aspetti di natura tecnica ed economica, i quali convergono nel contesto organizzativo. Solo il più alto livello manageriale può dare avvio a questo processo.

A conferma dell’importanza della continuità operativa per gli enti pubblici, Agid ha recentemente emanato le “Linee guida per la qualità delle competenze digitali nelle professionalità ICT” che introducono, nel contesto organizzativo della struttura pubblica, la figura del “Responsabile della continuità operativa (ICT)”.

Il compito principale del Responsabile della continuità operativa consiste nel sensibilizzare sull’argomento i vertici dell’amministrazione, mettendo a loro disposizione uno studio di contesto per l’identificazione delle esigenze di continuità, utile ai fini della scelta delle soluzioni tecniche più adeguate da adottare.

Lo studio di contesto si compone di due processi: il risk assessment, che determina i rischi a cui è soggetta l’organizzazione, analizza le vulnerabilità e identifica le possibili salvaguardie; la business impact analysis, che ha lo scopo di determinare le conseguenze derivanti dal verificarsi di ciascun evento critico e di valutare l’impatto sull’operatività dell’organizzazione.

Il costo organizzativo della continuità operativa nella pubblica amministrazione non è facilmente valutabile, poiché varia in base ai servizi offerti e alle soluzioni tecniche da adottare.  Ciò premesso, Agid stima che nel 2020 le amministrazioni hanno destinato una spesa annua per l’ICT pari al 12% dei loro investimenti.

I dati di spesa forniti da Agid evidenziano la necessità di potenziare gli investimenti in ambito ICT. Relativamente alla continuità operativa, tale necessità è ancor più evidente in considerazione del fatto che, ad oggi, le soluzioni adottate sono in molti casi distanti dall’attuale evoluzione tecnologica. Si pensi, ad esempio, al cloud, il cui utilizzo, sebbene molto diffuso nell’ambito privato, appare ancora poco orientato ad offrire un supporto concreto ed efficace nelle attività degli enti pubblici.

Conclusione

La crescente importanza dell’offerta di servizi online, in particolare da parte delle amministrazioni, comporta l’esigenza di una maggiore disponibilità dell’informazione, da intendersi sia come semplicità e rapidità nella fruizione, sia come garanzia di robustezza delle strutture che contengono l’informazione stessa.

L’attuazione, dunque, delle linee guida in materia di continuità operativa è un corollario del diritto all’uso delle tecnologie e condizione imprescindibile per un’amministrazione digitale e come tale, deve continuamente evolversi al passo con l’innovazione tecnologica.

Sitografia

[https://www.agid.gov.it/]

[https://docs.italia.it/italia/piano-triennale-ict]

[http://www.funzionepubblica.gov.it]

 

Articolo a cura di Daniele De Simone

Laurea in ingegneria informatica con master di specializzazione in sicurezza informatica e disciplina giuridica. Coordinatore dei sistemi informativi associati dell’Unione delle Terre d’Argine, dove si occupa di assicurare che i servizi esterni ed i processi informatici interni dell'Ente siano continuativi ed adeguati agli standard nazionali. Incaricato in più occasioni dal Tribunale come tecnico specializzato in computer forensics. Incaricato a collaborazione per la stesura del “Libro bianco sull’innovazione della PA” approvato il 29 Novembre 2018 dal Ministro per la Pubblica Amministrazione Giulia Buongiorno.

Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy