La continuità operativa di un organizzazione è oggi un aspetto talmente importante da essere oggetto di specifiche norme.
L’art. 50bis, comma 1 recita: “In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.”
Nella pagina dedicata alla continuità operativa AGID afferma che “La sfera di interesse della continuità operativa va oltre il solo ambito informatico, interessando l’intera funzionalità di un’organizzazione, ed è pertanto assimilabile all’espressione “business continuity”. La continuità operativa può quindi essere intesa come “l’insieme di attività volte a ripristinare lo stato del sistema informatico o parte di esso, compresi gli aspetti fisici e organizzativi e le persone necessarie per il suo funzionamento, con l’obiettivo di riportarlo alle condizioni antecedenti a un evento disastroso”.
Le pubbliche amministrazioni – in base al comma 3 dell’art. 50bis del CAD – debbono predisporre:
a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.
Al comma 4 del medesimo articolo si precisa che i piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica e che su tali studi è obbligatoriamente acquisito il parere di DigitPA .
Al fine di governare la progettazione dei piani di disaster recovery e di uniformare gli approcci che gli enti possono adottare, AGID ha emesso delle “LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI”
Nel documento si suggerisce di valutare la criticità dei servizi resi in base ad indicatori quali:
- la complessità del servizio valutata in base alla tipologia, numerosità e criticità delle prestazioni erogate, in termini di danno per l’organizzazione e/o per i suoi utenti in caso di mancata erogazione del servizio stesso;
- la complessità dell’organizzazione dell’azienda;
- la complessità tecnologica necessaria ad erogare le prestazioni.
In una tipica azienda sanitaria, utilizzando i criteri suggeriti, per quei servizi la cui mancata erogazione potrebbe causare danni al paziente – cioè per i servizi più critici – si potrebbe ottenere la seguente valutazione:
Servizio | 8 |
Organizzazione | 8 |
Tecnologia | 4 |
Indice complessivo di criticità | 7 |
Valutazione complessiva | |
Classe di criticità risultante | Alta |
Soluzione tecnologica minima | Tier 4 |
Ma che cosa è il “Tier” che identifica la tipologia di soluzione tecnologica da adottare?
Dice la linea guida “Uno degli obiettivi che si prefigge il Codice dell’Amministrazione Digitale è quello di giungere ad un’omogeneizzazione delle soluzioni di continuità operativa e Disaster Recovery. A tal fine si è proceduto ad individuare delle soluzioni, indicate convenzionalmente come Tier 1, Tier 2, …, Tier 6…”
Sempre secondo la linea guida il “Tier 1: è la soluzione minimale coerente con quanto previsto dall’articolo 50-bis. Prevede il backup dei dati presso un altro sito tramite trasporto di supporto (nastro o altro dispositivo). I dati sono conservati presso il sito remoto. In tale sito deve essere prevista la disponibilità, in caso di emergenza, sia dello storage disco dove riversare i dati conservati, sia di un sistema elaborativo in grado di permettere il ripristino delle funzionalità IT.”
Il “Tier 2: la soluzione è simile a quella del Tier 1, con la differenza che le risorse elaborative possono essere disponibili in tempi sensibilmente più brevi, viene garantito anche l’allineamento delle performance rispetto ai sistemi primari ed esiste la possibilità di prorogare, per un tempo limitato, la disponibilità delle risorse elaborative oltre il massimo periodo di base.” Ecc…
Si arriva fino al Tier 6 che “prevede che nel sito di DR le risorse elaborative, oltre ad essere sempre attive, siano funzionalmente “speculari” a quelle del sito primario, rendendo così possibile ripristinare l’operatività dell’IT in tempi molto ristretti.”
Indipendentemente dal Tier da applicare, occorre stendere “dettagliati studi di fattibilità tecnica”, così come previsto dal comma 4 dell’art. 50bis. Al fine di facilitare questa attività AGID ha emesso una circolare, la n.58 del 01/12/2012, e ha definito un modello generale per la redazione di uno studio di fattibilità tecnica.
Nonostante la corposa documentazione e gli ausili messi a disposizione non sono molte le aziende sanitarie che hanno redatto piani di CO o di DR.
Sarebbe interessante capire quali siano le motivazioni per le quali ciò non sia stato fatto e se ciò derivi principalmente da arretratezza culturale, da scarsità di risorse per l’attuazione dei piani o altro.
Quale che sia la ragione, rimane la preoccupazione per il mancato adempimento che rischia di mettere a rischio la sicurezza dei pazienti che ogni giorno vengono accolti nelle strutture sanitarie.
PG
Il testo vigente del CAD è reperibile sul sito di AGID.
Sono disponibili anche gli articoli CAD e dintorni, parte 1 e CAD e dintorni, parte 2.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.