PA, nuvole sulla sicurezza dei dati?

di V. Frediani - Continuità operativa e disaster recovery per le PA: la scadenza del 25 aprile non sembra essere stata rispettata. Quali le soluzioni per tutelare dati e servizi?

Roma – ” In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività “. Questo quanto stabilito dall’ art. 50 bis CAD, un documento in cui viene energicamente sottolineata l’inderogabile necessità da parte delle PA di organizzare la sicurezza dei propri dati e di realizzare procedure di emergenza per l’erogazione di servizi online.

Eppure, nonostante l’informatizzazione sia considerata lo slogan dei nostri tempi, sono poche le Pubbliche Amministrazioni che possono dichiararsi a tutti gli effetti figlie del Terzo Millennio e il divario tra buoni propositi e realtà dei fatti appare spesso incolmabile. Oltre a sottolineare la priorità di digitalizzare le PA attraverso un’adeguata normativa e soprattutto un’efficiente organizzazione sul fronte della sicurezza informatica, la recente riforma del Codice dell’Amministrazione Digitale ha inserito una disposizione dedicata espressamente alla continuità operativa e al disaster recovery, ulteriori misure per far fronte all’incerto scenario determinato da fatti catastrofici, come il recente terremoto emiliano.

Il piano, secondo quanto stabilito, sarebbe dovuto essere attuato entro il 25 aprile scorso. Il condizionale in questi casi è d’obbligo, dal momento che sono state davvero poche le Amministrazioni che hanno rispettato tale scadenza. Il motivo? Sicuramente il solito atteggiamento “anti-progresso” ha giocato un ruolo fondamentale, insieme ad un’interminabile serie di pretesti, tra cui la mancanza di fondi da investire nel progetto o la secondaria importanza dello stesso. Come si poteva facilmente immaginare ne è conseguita una drastica frenata nell’attuazione delle leggi sulla digitalizzazione e dematerializzazione, in particolare nel settore pubblico, anello debole per eccellenza in materia di sicurezza dei sistemi informatici.

Dopo aver criticato le mancanze di questo sistema è tuttavia necessario stilare una lista di priorità a favore dell’innovazione delle PA. Il primo passo è senza dubbio quello di rendere disponibili in modalità digitale i dati e i documenti raccolti, prodotti e archiviati per poterli consultare in qualsiasi momento. Non serve sottolineare che tali dati acquisiti e conservati nei sistemi informatici devono mantenere l’integrità, e di conseguenza l’affidabilità, delle informazioni pubbliche. Per raggiungere tale obiettivo è essenziale investire su misure di sicurezza adeguate, nell’ottica di prevenire e limitare i danni da intrusioni e accessi abusivi. Per evitare il rischio di diffusioni non autorizzate di informazioni, oltre a consentire un efficiente funzionamento dell’apparato burocratico, è indispensabile garantire la non interruzione nell’erogazione dei servizi online.

Piano di continuità e piano di disaster recovery sono progetti che non possono più godere di alcuna proroga. Il primo è la base per fissare gli obiettivi e i principi da perseguire, per descrivere le procedure per la gestione della continuità operativa, e contiene adeguate misure preventive, considerando le potenziali criticità relative a risorse umane, strutturali e tecnologiche. Con il secondo, invece, vengono stabilite le misure tecniche e organizzative nell’ottica di garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti, all’interno di siti alternativi a quelli di produzione.

L’aspetto che lascia più perplessi è che nella PA dovrebbe già sussistere una cultura informatica legata alla business continuity piuttosto che al disaster recovery. Risulta difficile comprendere che gi enti in gran parte dei casi non abbiano mai affrontato la questione e soprattutto nel tempo non abbiano accumulato il necessario per procedere a piani di tutela dei dati tali da non mettere in difficoltà il singolo cittadino in caso di eventi infausti. Qualcuno ha avanzato l’idea secondo cui il cloud potrebbe essere la risposta “indolore” al rispetto dell’obbligo normativo, benché il ricorso a questa tipologia di servizio aprirebbe ben più ampi scenari rilevanti in merito alla sicurezza di accesso e riservatezza dei dati pubblici. Ma da qualche parte bisogna pur rifarsi…

Avv. Valentina Frediani
www.consulentelegaleinformatico.it

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Blocco tipo football scrive:
    lo scudo informatico
    Propongo un brindisi. Un brindisi per l'efficienza di Threat Management Gateway, il colabrodo lo scudo informatico implementato da Microsoft per la sicurezza di numerose aziende dalle piattaforme fraudolente o portatrici di malware .[img]http://www.iphonesavior.com/images/2008/02/29/windows_vista_fail.jpg[/img]
  • iRoby scrive:
    La Grande M
    Microsoft è la Grande M?Si presta a molti simpatici giochi di parole...La Grande Mhhhhhh :-)
  • FDG scrive:
    Sono peggio...
    ...quelli di WebSense. Provato per esperienza. Categorizzazioni grossolane fatte ad minkiam. Così ti ritrovi un sito che si occupa di storia, cioè ww2today.com, categorizzato come "gaming". O altri casi grossolani di cui al momento non ricordo i riferimenti. Peggio ancora quando arrivano a filtrare articoli di wikipedia :(Insomma, lunga vita a tor!
    • boh mah scrive:
      Re: Sono peggio...
      - Scritto da: FDG
      ...quelli di WebSense. Provato per esperienza.confermo in pieno
    • collione scrive:
      Re: Sono peggio...
      - Scritto da: FDG
      Così ti ritrovi un sito che si occupa di storia,
      cioè ww2today.com, categorizzato come "gaming". Oma allora sono precisi, in fondo la storia è un gioco sXXXXX scritto dai servi dei vincitori :D
  • Bic Indolor scrive:
    E che caso!
    Si, un errore può capitare a tutti... poteva capitare che distrattamente il sito di una associazione di volontariato finisse in una blacklist, per esempio il sito di amnesty international, o dell'unicef... ma guarda caso è toccato proprio a quello di un concorrente "radicale" (nel senso che fa concorrenza non solo nei prodotti ma anche al modello stesso di business).Un caso?E che caso!!
    • Star scrive:
      Re: E che caso!
      Infatti ci crediamo tutti che Micro$oft abbia "casualmente" bloccato proprio quel sito (rotfl)
    • Teo_ scrive:
      Re: E che caso!
      - Scritto da: Bic Indolor
      ma guarda caso è
      toccato proprio a quello di un concorrente
      "radicale"Sono da giustificare, non è da tutti lapertura mentale: cè chi considera laffidarsi a FOSS un azzardo.
      • tucumcari scrive:
        Re: E che caso!
        - Scritto da: Teo_
        - Scritto da: Bic Indolor

        ma guarda caso è

        toccato proprio a quello di un concorrente

        "radicale"

        Sono da giustificare, non è da tutti lapertura
        mentale: cè chi considera laffidarsi a FOSS un
        azzardo.C'è anche chi considera un azzardo un presidente USA di colore non per questo è bloccabile il sito della casa bianca ne è "giustificabile".
        • paoloholzl scrive:
          Re: E che caso!

          C'è anche chi considera un azzardo un presidente
          USA di colore non per questo è bloccabile il sito
          della casa bianca ne è
          "giustificabile".:-)Straquoto!
      • vuoto scrive:
        Re: E che caso!
        eh infatti, meglio scartare il software libero e aperto, ed affidare l'infrastruttura della propria azienda a software sotto il controllo di una sola ditta, specie se e' una come microsoft, che ha abusato della posizione dominante, ha di fatto frodato gli sviluppatori di explorer offrendogli una percentuale sui guadagni di un prodotto poi offerto gratis, ha inserito ostacoli artificiali alla diffusione di linux, v. halloween documents.Cosa mai puo' andare storto? leggersi i forum degli ultimi vent'anni per avere risposte.tornando in topic, mai attribuire malizia quando e' possibile attribuire incompetenza?Io dico, mai attribuire incompetenza quando tutti gli sbagli vanno nella stessa direzione. L'incompetente, statisticamente, ci azzecca una volta su due.
        • Teo_ scrive:
          Re: E che caso!
          - Scritto da: vuoto
          Io dico, mai attribuire incompetenza quando tutti
          gli sbagli vanno nella stessa direzione.
          L'incompetente, statisticamente, ci azzecca una
          volta su
          due.Probabilmente commercialmente questa tecnica (che aborrisco) paga.Nel periodo che citavo qui http://punto-informatico.it/b.aspx?i=3087414&m=3088795#p3088795 ero quasi tentato di prendermi una macchina con Windows per i test su quella piattaforma. Se mi fosse morto prematuramente il computer con proXXXXXre PowerPC G4 lavrei preso.
          • iRoby scrive:
            Re: E che caso!
            Oggi si va di macchinette virtuali...Oppure queste meraviglie da 27watt max macchina completa:http://vr-zone.com/articles/asrock-launches-atom-d2700-and-d2500-mini-itx-motherboards/14316.htmlMessa in un case piccolissimo con HD da 2,5" LC 1340-MI.Sto risanando una webagency che deve ripartire.Ha 6 server Xeon su un rack, che consumano da soli 500 euro di elettricità al mese. E sono assolutamente inutilizzati.Ci sono 2 file/web server, 1 webserver di sviluppo, un centralino asterisk, un dns+dhcp, un backup server.Ma a cosa cacchio servono tutte quelle macchine di generazione da 120-150watt l'una sempre accesa che ciucciano bollette astronomiche solo per fare girare dischi, CPU e memoria.Bene con 1 serverino di quello descritto e 1 buon NAS con 2TB in mirror abbiamo coperto tutte le necessità di storage, e vanno via il webserver, i 2 file server ed il backup server.Il centralino Asterisk con un altro di questi serverini ma con un adattatorino SATA-CF con una schedina Compact Flash da 8GB. Fa il boot e deve solo fare il routing delle telefonate. A questo gli faccio fare anche DHCP e DNS server.Come sistema operativo prescelto stavo pensando a Ubuntu Server 12.04 LTS, così siamo a posto per 4-5 anni di aggiornamento e tanta documentazione. Altre soluzioni le sto vagliando, ma restando sempre su distro Linux gratuite tipo CentOS o Debian...C'è poi un server Windows 2008, ha 2 funzioni, avere un server Windows per test e far girare MSSQL per un gestionale che gira lì sopra.Ecco con 3 serverini + 1 nas per un totale di 100watt al max, l'equivalente di una grossa lampadina, riduco ad 1/20 la bolletta mensile.[img]http://farm5.staticflickr.com/4059/4413922199_7100ff49ea_z.jpg[/img]
    • Findi scrive:
      Re: E che caso!
      ovviamente si tratta di un caso...:-)
Chiudi i commenti