Continuità operativa per le PA: è veramente scomparsa?

sicurezza

Pubblicato sul sito di SI.net Servizi Informatici.

Con la significativa revisione del Codice dell’Amministrazione Digitale apportata dal D.Lgs.179/2016, è stato abrogato l’art. 50-bis che parlava esplicitamente degli obblighi per le PA di redigere un piano di Disaster Recovery e Business Continuity. Questo non significa che il tema sia scomparso dall’orizzonte, anzi…

La derubrica dell’art. 50-bis ha portato ad una sorta di “effetto DPS”: con l’abolizione dell’obbligo di aggiornamento del DPS (introdotta con il DL 5/2012) si è infatti diffusa l’errata convinzione della scomparsa degli obblighi di adozione delle misure di sicurezza previste dal Codice della Privacy. In realtà non è così e la cosa rischia di ripetersi anche con la continuità operativa.

A ben guardare, il tema della continuità operativa è ancora presente nell’art. 51 del Codice dell’Amm.ne Digitale: al comma 1 di parla di “soluzioni tecniche idonee a garantire la protezione, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati e la continuità operativa dei sistemi e delle infrastrutture; inoltre, il comma 2 dice che “I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta”.

Ma vi è anche un altro richiamo normativo significativo: il “Regolamento Europeo in materia di protezione dei dati personali” (Regolamento UE 2016/679, entrato in vigore il 24 maggio 2016 e definitivamente applicabile e vincolante a partire dal 25 maggio 2018) indica all’art. 32 par. 1 che il titolare e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, comprendenti “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.

Il concetto di resilienza era alla base delle linee guida AgID per il disaster recovery delle PA e contempla la “capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura e agli eventi in modo da garantire la disponibilità dei servizi erogati” (come definito da Wikipedia).

L’obbligo di tutelare la continuità operativa dei sistemi è quindi presente nelle norme vigenti, ma non è codificato da regole tecniche ed adempimenti puntuali. Questo elemento, a ben guardare, è una grande opportunità: in effetti gli obblighi che erano riportati all’art. 50-bis imponevano un approccio difficilmente sostenibile da parte delle piccole/medie amministrazioni, per cui la norma è stata rispettata solo da pochi enti, particolarmente tenaci e lungimiranti, mentre è stata abbondantemente disattesa da tutti gli altri.

Adesso rimane l’imposizione di garantire la continuità dei sistemi ma c’è il grande vantaggio di poterlo gestire in autonomia. Questa modalità è tanto cara al Regolamento Europeo, che prevede l’obbligo da parte dei titolari di allestire un sistema di gestione della sicurezza: l’elemento organizzativo prevale nettamente su quello tecnologico, che è solo uno strumento.

La chiave di tutto è una gestione organica: è importante ricordare che vi sono già altri adempimenti da rispettare in tema di sicurezza, dalle misure minime previste dal codice della privacy alla necessità di redigere un piano di sicurezza (allegato del manuale di gestione documentale, ai sensi delle regole tecniche sul protocollo informatico e la conservazione). Tutti questi adempimenti richiedono informazioni che spesso si ripetono, per cui diventa importante organizzare il lavoro in modo da non replicarlo. Questi gli elementi comuni:

  • Un’analisi del rischio che preveda anche le misure adottate e da adottare per garantire gli obiettivi preposti (volendo estendere questo aspetto, è interessante rilevare che rientra anche nelle misure anticorruzione: gli ambiti sono in parte differenti, ma non del tutto scorrelati);
  • Un assessment delle risorse tecnologiche (siano esse disponibili o anche da reperire, come nel caso della continuità operativa);
  • Una codifica delle procedure (per la gestione delle credenziali, l’accesso alle risorse, test ed audit di funzionamento dei sistemi, ecc).

Alla fine, il piano di sicurezza (art. 4 Regole tecniche protocollo informatico), il Privacy Impact Assessment (art. 35 regolamento UE per la protezione dei dati personali), il piano di Business Continuity e qualsiasi altro adempimento sul tema non sono che degli OUTPUT che si devono poggiare su un’organizzazione di informazioni e procedure, da cui attingere gli elementi di contesto.

La sfida è quella di costruire una visione d’insieme, trasformando gli obblighi sparpagliati in un arcipelago di norme in un’opportunità per lavorare meno e meglio.

Salva

Salva

Salva

Salva

Annunci

Pubblicato il 7 dicembre 2016, in Uncategorized con tag , , , , , . Aggiungi il permalink ai segnalibri. Lascia un commento.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: