PA, nuvole sulla sicurezza dei dati?

di V. Frediani - Continuità operativa e disaster recovery per le PA: la scadenza del 25 aprile non sembra essere stata rispettata. Quali le soluzioni per tutelare dati e servizi?

Roma - "In relazione ai nuovi scenari di rischio, alla crescente complessità dell'attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell'informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività". Questo quanto stabilito dall'art. 50 bis CAD, un documento in cui viene energicamente sottolineata l'inderogabile necessità da parte delle PA di organizzare la sicurezza dei propri dati e di realizzare procedure di emergenza per l'erogazione di servizi online.

Eppure, nonostante l'informatizzazione sia considerata lo slogan dei nostri tempi, sono poche le Pubbliche Amministrazioni che possono dichiararsi a tutti gli effetti figlie del Terzo Millennio e il divario tra buoni propositi e realtà dei fatti appare spesso incolmabile. Oltre a sottolineare la priorità di digitalizzare le PA attraverso un'adeguata normativa e soprattutto un'efficiente organizzazione sul fronte della sicurezza informatica, la recente riforma del Codice dell'Amministrazione Digitale ha inserito una disposizione dedicata espressamente alla continuità operativa e al disaster recovery, ulteriori misure per far fronte all'incerto scenario determinato da fatti catastrofici, come il recente terremoto emiliano.

Il piano, secondo quanto stabilito, sarebbe dovuto essere attuato entro il 25 aprile scorso. Il condizionale in questi casi è d'obbligo, dal momento che sono state davvero poche le Amministrazioni che hanno rispettato tale scadenza. Il motivo? Sicuramente il solito atteggiamento "anti-progresso" ha giocato un ruolo fondamentale, insieme ad un'interminabile serie di pretesti, tra cui la mancanza di fondi da investire nel progetto o la secondaria importanza dello stesso. Come si poteva facilmente immaginare ne è conseguita una drastica frenata nell'attuazione delle leggi sulla digitalizzazione e dematerializzazione, in particolare nel settore pubblico, anello debole per eccellenza in materia di sicurezza dei sistemi informatici.
Dopo aver criticato le mancanze di questo sistema è tuttavia necessario stilare una lista di priorità a favore dell'innovazione delle PA. Il primo passo è senza dubbio quello di rendere disponibili in modalità digitale i dati e i documenti raccolti, prodotti e archiviati per poterli consultare in qualsiasi momento. Non serve sottolineare che tali dati acquisiti e conservati nei sistemi informatici devono mantenere l'integrità, e di conseguenza l'affidabilità, delle informazioni pubbliche. Per raggiungere tale obiettivo è essenziale investire su misure di sicurezza adeguate, nell'ottica di prevenire e limitare i danni da intrusioni e accessi abusivi. Per evitare il rischio di diffusioni non autorizzate di informazioni, oltre a consentire un efficiente funzionamento dell'apparato burocratico, è indispensabile garantire la non interruzione nell'erogazione dei servizi online.

Piano di continuità e piano di disaster recovery sono progetti che non possono più godere di alcuna proroga. Il primo è la base per fissare gli obiettivi e i principi da perseguire, per descrivere le procedure per la gestione della continuità operativa, e contiene adeguate misure preventive, considerando le potenziali criticità relative a risorse umane, strutturali e tecnologiche. Con il secondo, invece, vengono stabilite le misure tecniche e organizzative nell'ottica di garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti, all'interno di siti alternativi a quelli di produzione.

L'aspetto che lascia più perplessi è che nella PA dovrebbe già sussistere una cultura informatica legata alla business continuity piuttosto che al disaster recovery. Risulta difficile comprendere che gi enti in gran parte dei casi non abbiano mai affrontato la questione e soprattutto nel tempo non abbiano accumulato il necessario per procedere a piani di tutela dei dati tali da non mettere in difficoltà il singolo cittadino in caso di eventi infausti. Qualcuno ha avanzato l'idea secondo cui il cloud potrebbe essere la risposta "indolore" al rispetto dell'obbligo normativo, benché il ricorso a questa tipologia di servizio aprirebbe ben più ampi scenari rilevanti in merito alla sicurezza di accesso e riservatezza dei dati pubblici. Ma da qualche parte bisogna pur rifarsi...

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
Notizie collegate
12 Commenti alla Notizia PA, nuvole sulla sicurezza dei dati?
Ordina
  • l'idea secondo cui il cloud potrebbe essere la risposta "indolore" al rispetto dell'obbligo normativo, benché il ricorso a questa tipologia di servizio aprirebbe ben più ampi scenari rilevanti in merito alla sicurezza di accesso e riservatezza dei dati pubblici. Ma da qualche parte bisogna pur rifarsi

    sempre lo stesso discoro, molto più sicuro un server in uno sgabuzzino con password di amministratore password
    chi ha scritto l'articolo non ha ben chiara l'idea di cloud mi sa...
  • - Scritto da: Milanesotto
    > l'idea secondo cui il cloud potrebbe essere la
    > risposta "indolore" al rispetto dell'obbligo
    > normativo, benché il ricorso a questa tipologia
    > di servizio aprirebbe ben più ampi scenari
    > rilevanti in merito alla sicurezza di accesso e
    > riservatezza dei dati pubblici. Ma da qualche
    > parte bisogna pur
    > rifarsi

    >
    > sempre lo stesso discoro, molto più sicuro un
    > server in uno sgabuzzino con password di
    > amministratore
    > password
    > chi ha scritto l'articolo non ha ben chiara
    > l'idea di cloud mi
    > sa...

    e chi ha scritto questo commento non ha minimamente chiara l'idea di come siano messe a soldi e a personale quasi tutte le PA (soprattutto le medio-piccole) né tantomeno ha idea delle normative in materia di ict...
    non+autenticato
  • L'idea del cloud è proprio quella di far risparmiare sia soldi a livello di investimento di acquisto server, ma più che altro evitare costi di gestione, e tu mi rispondi che quasi tutte le PA hanno problemi di soldi e personale...???

    Per quanto riguarda le normative hai ragione.
  • - Scritto da: Milanesotto
    > L'idea del cloud è proprio quella di far
    > risparmiare sia soldi a livello di investimento
    > di acquisto server, ma più che altro evitare
    > costi di gestione, e tu mi rispondi che quasi
    > tutte le PA hanno problemi di soldi e
    > personale...???


    Ridurre i costi di gestione? Ma li hai visti i costi di ancitel per il solo backup online?? 12 000 euro per 250GB di spazio (per fortuna che non è l'unico fornitore ed è però probabilmente uno dei pochi con quei prezzi assurdi). Per quanto riguarda i servizi in cloud (per esempio il server applicativo su una macchina virtuale online) i costi non sono da meno (e maggiori della soluzione del singolo piccolo server in loco + backup online di quelli più comuni) dato che devono essere appositamente personalizzati.
    non+autenticato
  • nella pa?
    Ma per favoreeeeeee!
    Mi par di vederlo il comune di vattelapesca con un bilancio di 2 euro in croce e il patto di stabilità sul groppone che pensa al "disaster recovery"...
    Ceeeeerrrtttoooo come no!
    Ma pensassero piuttosto a pagare i soldi che devono a praticamente tutta italia (oltre 100 miliardi di euro) invece di scavare altre voragini nel debito... a carico nostro... naturalmente!
    non+autenticato
  • Il caso di un ente regionale del ricco Nord-Est.
    succedono 2 cose opposte:

    1°)appalti per programmi da un MILIONE di euro che non funzionano e fatti malissimo. Chi decide cosa dovono fare non conosce ne il lavoro di chi li deve usare ne ha nessuna base di informatica.

    2°)server con dischi oramai già pieni (che con qualche migliaio di euro si potrebbero aumentare a volontà) e non ci sono soldi per comprare le cassette di backup!!!

    Quando si fa notare come il documento digitale stia diventando sempre più importante (noi stiamo usando sempre più sia la PEC che documenti con firma digitale) la gente non capisce...
    non+autenticato
  • Da una piccola amministrazione, che diligentemente ha compilato il documento per DigitPA, posso dirvi che buona parte di quello che ci viene richiesto è purtroppo al di là delle nostre immediate possibilità. Gestire i backup in sedi remote comporta costi inaccessibili e banda che non abbiamo... Al momento siamo alle prese con la crisi di caldo che ha mandato in tilt il sistema di condizionamento della sala server (aka lo sgabuzzino, unico stanzino disponibile). Ci siamo impegnati a fare il possibile, e lo faremo, ma i fondi a disposizione sono 0, quindi tutto è demandato alla buona volontà, che per fortuna qui è ancora tanta.
    non+autenticato
  • - Scritto da: PiccoloCED
    > Da una piccola amministrazione, che
    > diligentemente ha compilato il documento per
    > DigitPA, posso dirvi che buona parte di quello
    > che ci viene richiesto è purtroppo al di là delle
    > nostre immediate possibilità. Gestire i backup in
    > sedi remote comporta costi inaccessibili e banda
    > che non abbiamo... Al momento siamo alle prese
    > con la crisi di caldo che ha mandato in tilt il
    > sistema di condizionamento della sala server (aka
    > lo sgabuzzino, unico stanzino disponibile). Ci
    > siamo impegnati a fare il possibile, e lo faremo,
    > ma i fondi a disposizione sono 0, quindi tutto è
    > demandato alla buona volontà, che per fortuna qui
    > è ancora
    > tanta.
    Ti capisco perfettamente e ti do ragione nelle piccole amministrazioni (ad esempio i piccoli comuni) è impensabile trovare le risorse.
    Piuttosto che imporre nuove spese (e quindi in sostanza nuovi debiti) sarebbe meglio cominciare a pagare qualcuno degli oltre 100 miliardi che tra patto di stabilità e carenza cronica di risorse continuano a mancare nelle casse di mezza italia.... a meno di non avere "amici" potenti.... come ci hanno insegnato le vicende aquilane e non solo...
    non+autenticato
  • > Ti capisco perfettamente e ti do ragione nelle
    > piccole amministrazioni (ad esempio i piccoli
    > comuni) è impensabile trovare le risorse.

    cominciamo a smetterer di comprare tutte quelle belle licenze Win7, win2003, office, arcgis, gestione biblioteca, carta d'identità, adobe writer ecc... e a sostituirli con alternative open e a tagliare gli sprechi
    la mia piccola economia personale mi insegna che se faccio 20 mutui probabilmente a fine mese sono senza soldi.
    probabilmente con quei soldi ci potremmo comprare un blade e un paio di lame, e pagare qualcuno che sappia cosa farci (un sistemista non un commerciale)
    non+autenticato
  • - Scritto da: trollolol
    > > Ti capisco perfettamente e ti do ragione
    > nelle
    > > piccole amministrazioni (ad esempio i piccoli
    > > comuni) è impensabile trovare le risorse.
    >
    > cominciamo a smetterer di comprare tutte quelle
    > belle licenze Win7, win2003, office, arcgis,
    > gestione biblioteca, carta d'identità, adobe
    > writer ecc... e a sostituirli con alternative
    > open e a tagliare gli
    > sprechi

    il che vuol dire evitare di prendersi universal biblioteca e capuccino os della miocuggginosoft.

    > la mia piccola economia personale mi insegna che
    > se faccio 20 mutui probabilmente a fine mese sono
    > senza
    > soldi.
    > probabilmente con quei soldi ci potremmo comprare
    > un blade e un paio di lame, e pagare qualcuno che
    > sappia cosa farci (un sistemista non un
    > commerciale)

    l'ideale sarebbe creare un centro di servizi a livello sovracomunale o direttamente provinciale e cercare di portare la maggior parte dei servizi informatici in quel centro.
  • oltre al fatto che ultimamente, in effetti, di soldi ne girano meno, il motivo principale è un altro: agli amministratori e ai dirigenti la "parte" ICT non interessa!

    nelle PA più piccole (comuni e province) quasi sempre non capiscono bene di cosa si tratta, anche se qualche soldo in gioco potrebbe esserci è sempre poco rispetto ai piatti più ricchi come le opere pubbliche, la sanità ecc. ma, soprattutto, non sanno bene come "pilotare" le cose per i loro interessi (intrallazzi politici, favori, mazzette) (e se anche saprebbero come fare il gioco non vale la candela: ci sono piatti ben più succulenti dell'ICT...)

    un po' diverso il discorso a livello di ministeri e di regioni: i soldi ci sono, e tanti, e infatti le porcherie si sprecano... basta dare uno sguardo agli appalti (spesso mega-appalti) "informatici" di questi enti...
    non+autenticato
  • La PA non ha soldi per pagare i fornitori.
    Per cui o non prende i servizi di continuità operativa e disaster recovery o li prende, come al solito, dal fornitore peggiore che fa prezzi bassi e non garantisce nulla.
    Tra le due non so quale sia la scelta peggiore.
    non+autenticato