Continuità operativa, ecco quello che manca alle PA per un approccio maturo
Le migliori pratiche in tema di continuità operativa nascono sicuramente nel settore privato, mentre in ambito pubblico il tema è stato a volte ingiustamente trascurato. In realtà è rilevante anche per gli enti e le amministrazioni pubbliche; e dal punto di vista etico, forse lo è ancora di più, in quanto istituite per il bene comune. Va capito quale sia il business di cui bisogna assicurare la continuità
3 Maggio 2016
Mauro Cicognini, Clusit
Come viene correttamente ricordato nelle Linee Guida dell’AgID in tema di Continuità Operativa, la necessità di garantire la continuità dei propri servizi discende direttamente dalla Costituzione, in particolare dall’art. 97: “I pubblici uffici sono organizzati secondo disposizioni di legge, in modo che siano assicurati il buon andamento e l’imparzialità dell’amministrazione”. In altre parole, la PA ha “l’obbligo di assicurare la continuità dei propri servizi, quale presupposto per garantire il corretto e regolare svolgimento della vita nel Paese.” (dalle citate Linee Guida).
Ora, la gestione dell’informazione è sempre stata fondamentale nell’ambito dell’amministrazione della cosa pubblica; ma oggi tale gestione, come disposto dal Codice dell’Amministrazione Digitale (CAD), è svolta tendenzialmente solo mediante strumenti informatici; i quali diventano quindi strutturali ai compiti istituzionali delle PA. Ne consegue che è necessario che siano protette le informazioni così come i sistemi e le applicazioni che servono a trattarle.
Correttamente quindi l’AgID conclude che “essendo la disponibilità dei dati uno dei cardini della sicurezza, unitamente a confidenzialità ed integrità, la disciplina della continuità operativa rappresenta parte integrante dei processi e delle politiche di sicurezza di un’organizzazione […].” (ancora dalle Linee Guida).
Le migliori pratiche in tema di continuità operativa nascono sicuramente nel settore privato, dove generalmente si parla di “Business Continuity”. In ambito pubblico, il tema è stato a volte ingiustamente trascurato, forse per aver interpretato in senso troppo restrittivo la parola “business”. In realtà il tema, come abbiamo visto, è sicuramente rilevante anche per gli enti e le amministrazioni pubbliche; e dal punto di vista etico, forse lo è ancora di più, in quanto istituite per il bene comune. Occorre naturalmente intendersi su quale sia il “business” di cui bisogna assicurare la continuità.
Dobbiamo naturalmente fare riferimento in primis ai compiti istituzionali della PA, così come stabiliti dalla legge o dallo strumento normativo che l’ha istituita. In seconda battuta c’è naturalmente il resto del complesso regolamentare e normativo di secondo livello, come ad esempio i regolamenti interni adottati dalla PA stessa, e così via.
Il processo corretto richiede poi di definire l’ambito di cui assicurare la continuità. Per ipotesi non ci possono essere risorse sufficienti per affrontare tutti i problemi contemporaneamente, e quindi diventa subito necessario definire una scala di priorità. Ci saranno quindi dei servizi “essenziali” di cui si garantisce la continuità, altri che invece, volenti o nolenti, rimarranno fuori.
Come decidere chi rimane fuori? Al di là di alcuni settori specifici dove può già esistere una specifica legislazione (come ad esempio la sanità o le Infrastrutture Critiche), non sembra ancora esistere uno schema di riferimento in grado di semplificare il lavoro. In assenza di ciò, le Linee Guida AgID prevedono correttamente come primo passaggio un’analisi d’impatto (BIA), così come raccomandato da vari standard internazionali.
- Ricordiamo che l’Analisi d’Impatto prescinde dal “perché” l’evento dannoso si possa verificare, ed anche dal “come”: ci si “limita” a valutare le conseguenze della mancanza di una parte significativa delle risorse normalmente utilizzate per svolgere le funzioni caratteristiche dell’organizzazione in questione
- Parallelamente, nello Studio di Fattibilità Tecnica si calcolano le effettive probabilità che gli eventi dannosi si verifichino nella realtà, e si decide quali rischi siano accettabili e quali no, conducendo di fatto ad una decisione su quanto sia ragionevole spendere e su che capitoli.
Questo percorso è corretto e porta alle decisioni più corrette ed idonee per l’amministrazione, ma è anche molto lungo e quindi costoso. Quali sono però, in sintesi, gli interventi pratici che si devono mettere in campo per assicurare la continuità operativa?
Tra le attività concrete ci sono sicuramente quelle disposte dall’art.50 bis del CAD. Tali attività sono quelle poi esaminate ed approvate dall’AgID che deve dare un parere vincolante. Da tale analisi, si evince che le attività concrete si sono generalmente limitate a valutazioni di “Disaster Recovery” tipicamente informatiche, con l’obbiettivo quindi di proteggere i dati in possesso delle PAo tutt’al più a garantire una ripresa delle attività di normale amministrazione a seguito di guasti informatici.
Ancora più in dettaglio, i pareri stessi di AgID sottolineano come l’approccio sia stato finora quasi esclusivamente “informatico”, mentre l’oggetto dell’analisi dovrebbe sempre essere il servizio erogato, e non i sistemi ICT che lo sostengono.
Occorre quindi un diverso approccio metodologico, che sposti l’attenzione dal solo ambito ICT – per quanto importante – e rimetta al centro il cittadino e le imprese, in quanto destinatari finali dei servizi erogati dalle PA.
Altra forte tentazione per molte PA, a quanto pare, il tentativo di escludere dalla propria analisi tutti quei servizi che nel concreto sono stati delegati a società esterne (pubbliche o no), quando invece è palese che il titolare del servizio da erogare e primo responsabile per la sua tutela è la PA che lo ha come compito istituzionale.
Come gestire la continuità operativa dei servizi – sicuramente essenziali – delegati ormai a società commerciali, come ad esempio l’acqua potabile, o i rifiuti? Il servizio di raccolta, stoccaggio e riciclaggio rifiuti, e di raccolta delle acque e depurazione, sono sicuramente essenziali, altrettanto della fornitura di acqua potabile. Tuttavia, qualora servisse, bisognerebbe sapere quale servizio ripristinare prima. In questo caso, correttamente, si utilizzerà di concetto di Recovery Time Objective (RTO), ovvero il tempo massimo sopportabile di indisponibilità di un servizio. Questo è di poche ore per l’acqua, ma potrebbe essere anche di alcuni giorni per i rifiuti.
Si nota in generale quindi un approccio parziale e settoriale, che si concentra sull’informatica trascurando i processi, e mancando anche di considerare in maniera organica tutti quegli eventi dannosi che non hanno un impatto immediato sull’informatica, come ad esempio un grave disastro naturale, ma anche il terrorismo, o, peggio, gli atti di guerra (cyber o tradizionale) ed altri eventi intenzionali.
Inoltre, a detta dell’AgID, i risultati che si traggono da queste analisi risentono di numerose variabili che di fatto rendono quasi non confrontabili tra loro i piani di PA diverse, mentre invece sarebbe auspicabile (almeno, immagino, per classi omogenee di PA) l’armonizzazione delle liste dei servizi essenziali.
Purtroppo, i riferimenti che si trovano in letteratura sono quasi interamente dedicati ai casi di indisponibilità dei servizi per sciopero ed altre attività sindacali. L’indisponibilità del personale è sì uno dei casi da considerare nella BIA, ma è evidente come la situazione sia radicalmente diversa. Peraltro si può intuire come in caso di sciopero si possa considerare l’anagrafe come servizio essenziale (almeno in parte) e da garantire (con le conseguenti ricadute dal punto di vista sindacale). In caso di disastro naturale probabilmente non sarebbe il primo servizio da ripristinare (anche se magari diventa importante subito dopo per la logistica).
Ora, la gestione delle situazioni di emergenza gravi è competenza della Protezione Civile. Leggendo in rete, tuttavia, si nota come anche in tema di protezione civile ci si sia preoccupati di soprattutto istituire le funzioni di protezione civile, e molto meno di dire loro cosa fare in caso il disastro avvenga veramente
In questo senso si ripete una situazione assai comune anche in informatica, dove si vede molta attenzione nella rilevazione delle situazioni problematiche, e nell’allarmistica per le funzioni preposte a gestire l’emergenza, ma quasi nessuna preparazione sul “cosa fare” in caso il problema si manifesti effettivamente
Verosimilmente, occorrerebbe una pianificazione specifica con una scala di priorità a seconda dell’evento disastroso. Una preparazione che non sia lasciata, nel caso, al buon senso ed al discernimento dei singoli è fondamentale, in quanto non è ragionevole ipotizzare che in un’emergenza vera ci sia la calma necessaria a ragionare – è anzi vero il contrario; e le emergenze ICT non fanno eccezione.
Occorre sempre ricordare, tuttavia, che i dati sono importanti, ma solo nella misura in cui sono utili alla gestione della crisi in corso e a riportare la situazione sotto controllo nel più breve tempo che sia ragionevole.
Il processo delineato dalla normativa appare quindi assai oneroso e complesso, soprattutto per le PA di piccole dimensioni, anche perché la (grande) competenza che sarebbe necessaria per seguirlo correttamente non è molto diffusa in generale, e quindi non è diffusa nemmeno nella PA.
Sarebbe auspicabile un intervento di indirizzo che risparmi alle PA di piccole e medie dimensioni lo sforzo necessario per il laborioso percorso iniziale di analisi. Visto che i compiti istituzionali di un Comune o di una ASL sono ben noti, sarebbe opportuno dare delle indicazioni generali a priori, alle quali poter naturalmente derogare con motivata eccezione.
Questo favorirebbe anche in modo notevole l’armonizzazione che viene auspicata dall’AgID.