Continuità Operativa per le PA
Gaetano Santucci
CNIPA
Responsabile Area
Indirizzo, Supporto e Verifica PAC
Convegno Forum PA
Quarta giornata della sicurezza – La Sicurezza informatica nella
P.A.: strumenti e progetti
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
La continuità operativa
 Definizione: “La capacità di un’organizzazione di
mantenere l’erogazione del servizio offerto ai
propri utenti/clienti anche a fronte di eventi
critici”
 Focus su:
 utenti/clienti: nella PA, cittadini e imprese
 servizio: i processi e le attività hanno importanza
soltanto come componenti per l’erogazione del servizio
 Il Disaster recovery: una componente delle
soluzioni di continuità operativa con obiettivi più
limitati di salvaguardia e ripristino
 L’accesso ai servizi di e-government come diritto
di cittadini e imprese
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
Le cause di disastro
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
Gli eventi critici
 Caratterizzazione
 Frequenza/probabilità
 Durata dell’indisponibilità
 Impatto




Gravità relativa al contesto
Eventi pianificati e non pianificati
Eventi fisici e eventi “logici”
Eventi casuali e eventi provocati
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
I parametri di tolleranza
 RTO (Recovery Time Objective): tempo
massimo necessario per recuperare il
servizio
 RPO (Recovery Point Objective): minima
distanza temporale tra l’ultimo
salvataggio dei dati e il verificarsi
dell’evento che ne provoca la distruzione
o l’indisponibilità
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
La tolleranza e i costi
Costi
minuti
ore
giorni
Tempi
(decrescenti)
3
2
giorni giorni
Roma – 9 maggio 2005
24
ore
12
ore
pochi
minuti
La Sicurezza informatica nella P.A.: strumenti e progetti
Le classi di soluzioni
Fonte: Gartner
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
Le categorie di soluzioni
 “a caldo”: il sistema di backup è pronto a
operare in qualsiasi momento perché
dispone di tutte le risorse necessarie
 “a freddo”: il sistema di backup necessita
di attività preparatoria per essere
operativo (si deve stabilire la perdita dati
sostenibile, cioè il RPO massimo)
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
Le soluzioni “a caldo” e “a freddo”
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
I tempi e i costi
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
Le soluzioni disponibili
 Vaulting: trasporto via rete dei backup
giornalieri
 Journaling: trasporto asincrono al sistema di
recupero dei cambiamenti dei dati dall’ultimo
backup
 Shadowing: mantenimento di una replica dei
dati, applicando i cambiamenti in maniera
asincrona al sistema di recupero
 Mirroring: mantenimento di una replica dei dati,
applicando i cambiamenti presso il sistema di
recupero in maniera sincrona
 Hot standby: mantenimento di un ambiente di
riserva ad attivazione veloce
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
La tolleranza e i costi. Le soluzioni
Costi
hot
standby
mirroring
shadowing
journaling
standard
vaulting
Tempi
(decrescenti)
3
2
giorni giorni
Roma – 9 maggio 2005
24
ore
12
ore
pochi
minuti
La Sicurezza informatica nella P.A.: strumenti e progetti
La progettazione della soluzione
1. Definizione dell’ambito

Analisi dei rischi

Valutazione impatti sull’operatività
2. Scelta della soluzione
3. Redazione del piano di continuità
4. Collaudo della soluzione
5. Gestione e manutenzione del sistema
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
Le realizzazioni congiunte
 Costituzione di un numero limitato di centri per
la continuità operativa
 Ottenimento di economie di scala attraverso lo
sfruttamento di infrastrutture fisiche, di apparati
e software condivisi
 Conseguimento di obiettivi più qualificati grazie
alla maggior disponibilità di risorse complessive
dedicate allo stesso scopo
 Oneri economici necessari per un centro
completo di continuità operativa fra il 10% e il
18% dei costi ICT
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
I riferimenti normativi
 Direttiva 2002 del Ministro per l’Innovazione e le
Tecnologie “Sicurezza Informatica e delle
Telecomunicazioni nelle Pubbliche Amministrazioni
Statali”
… rischi e contromisure …
 Decreto lgs n. 196/2003 (Codice della Privacy)
… obblighi di sicurezza …
 Codice dell’amministrazione digitale
… diritto all’uso delle tecnologie (art. 3) …
… sicurezza dei dati (art. 51) …
 Code of practice for information security
management (ISO17799)
… soluzioni tecniche e organizzative …
 Legge “Finanziaria 2005”, comma 194
… razionalizzazione delle infrastrutture di calcolo,
telematiche e di comunicazione …
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti
Sommario
 La continuità operativa è un diritto dei
cittadini e delle imprese, è un dovere
dell’amministrazione pubblica
 Gli oneri economici per garantire la
continuità operativa sono elevati
 E’ necessario realizzare soluzioni
congiunte fra pubbliche amministrazioni
 Il sostegno del CNIPA: il Centro di
competenza sulla continuità operativa
Roma – 9 maggio 2005
La Sicurezza informatica nella P.A.: strumenti e progetti