Obbligo disaster recovery per le PA? Scaduto dal 25 Aprile
Organizzare la sicurezza dei dati e dei documenti delle PA e realizzare procedure di emergenza per l´erogazione di servizi on line sono ormai priorità alle quali non è più possibile concedere alcuna proroga. Nell´era dell´informatizzazione a 360 gradi e delle PA digitalizzate la presenza di una normativa adeguata e di un´efficiente organizzazione sul fronte della sicurezza informatica deve occupare i primi posti della lista delle spese da affrontare. In uno scenario a dir poco incerto, soprattutto sotto il profilo degli eventi naturali – basti pensare al recente terremoto in Emilia – poter contare su un sistema informatico efficiente ed organizzato, in particolare quando si parla di Enti pubblici che, primi tra tutti hanno l´obbligo giuridico di essere preparati dal punto di vista informatico oltre che fisico, è assolutamente fondamentale. In questi momenti non appare per niente scontato ricordare che all’interno del testo de D. Lgs n. 82/2005 la recente riforma del Codice dell´Amministrazione Digitale ha inserito una disposizione dedicata espressamente alla continuità operativa e al disaster recovery.
A conferma di quanto detto, l´art. 50 bis del CAD sostiene che: “in relazione ai nuovi scenari di rischio, alla crescente complessità dell´attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell´informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività“. Con tale documento il Ministro per la Pubblica amministrazione e l´innovazione si impegna ad assicurare l´omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ad informarne con cadenza almeno annuale il Parlamento. Come spesso accade, tuttavia, il divario tra teoria e pratica è abissale e nonostante il termine previsto per l´attuazione del piano fosse il 25 aprile scorso, sono in poche le Amministrazioni che hanno rispettato tale scadenza. Il risultato, com´era prevedibile è stata una drastica frenata nell´attuazione delle leggi sulla digitalizzazione e dematerializzazione, soprattutto nell´ambito del settore pubblico, in molti casi fanalino di coda quando si tratta di sicurezza dei sistemi informatici. Eppure basterebbero pochi step per raggiungere questo obiettivo e diventare, a tutti gli effetti, PA del Terzo Millenio. La prima cosa da fare è rendere disponibili in modalità digitale i dati e i documenti raccolti, prodotti e archiviati in modo da poterli consultare in qualsiasi momento e indipendentemente dal verificarsi di eventi naturali dalla portata catastrofica. I dati acquisiti e conservati nei sistemi informatici devono, neanche a dirlo, mantenere l´integrità, e di conseguenza l´affidabilità, delle informazioni pubbliche. Allo stesso modo è indispensabile che i sistemi informatici abbiano adeguate misure di sicurezza, nell´ottica di prevenire e limitare i danni dovuti a intrusioni e accessi abusivi. È inoltre di primaria importanza evitare il rischio diffusioni non autorizzate di informazioni, oltre a consentire un efficiente funzionamento dell’apparato burocratico, condizione raggiungibile attraverso la non interruzione nell’erogazione dei servizi on line. È necessario, dunque che le PA definiscano due piani: quello di continuità e quello di disaster recovery. Il primo fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa e contiene adeguate misure preventive, considerando le potenziali criticità relative a risorse umane, strutturali e tecnologiche. L´altro, invece, stabilisce le misure tecniche e organizzative con il fine di garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti, all’interno di siti alternativi a quelli di produzione.
Articolo pubblicato su:
http://www.anorc.it/notizia/340_Obbligo_disaster_recovery_per_le_PA__Scaduto_dal_25_Aprile.html