jump to navigation

Business Continuity e Disaster Recovery nella PA sabato 30 novembre 2013

Posted by andy in Business Continuity, Pubblica Amministrazione.
Tags: , , , , ,
trackback

Il 18 novembre scorso l’Agenzia per l’Italia Digitale (DigitPA) ha pubblicato una serie di indicazioni sulla continuità operativa dei propri processi di business.

Colgo l’occasione per fare qualche considerazione che, ahimé, vedo che sfgge ai più, e tutto sommato credo anche alla DigitPA: pur accennando che “La sfera di interesse della continuità operativa va oltre il solo ambito informatico, interessando l’intera funzionalità di un’organizzazione”, si concentra essenzialmente sui soli aspetti informatici.

Inoltre produce una quantità di documenti, modelli e procedure che vanno ampiamente al di là delle competenze e delle disponibilità di tempo e di risorse degli enti coinvolti e dei relativi referenti.

La scadenza prefissata di 15 mesi dall’emissione del decreto è stata ampiamente superata senza che le PA possano garantire ai cittadini una reale continuità dei propri servizi.

Come ai tempi del DPS ci si concentrava sulla sicurezza delle informazioni limitandosi soltanto all’aspetto informatico, oggi si pensa alla continuità operativa (ed al disaster recovery come suo processo di supporto) limitandosi agli aspetti informatici.

Certamente al giorno d’oggi non è possibile pensare alla continuità operativa di qualunque processo o servizio pubblico senza includere come elemento essenziale l’IT (altrettanto vale, naturalmente, per la sicurezza delle informazioni).

Tuttavia noto che ci sta concentrando da anni praticamente esclusivamente sull’IT, dimenticando che questo è soltanto uno strumento di supporto ai processi di business.

Purtroppo si progettano sistemi ed architetture a prova di qualsiasi cosa, senza considerare che, in caso di disastro, l’unica cosa che rimarrebbe in piedi sarebbe probabilmente proprio l’IT.

Certamente ci si dimentica che i disastri possono essere anche non distruttivi, ma biologici: un’importante epidemia di influenza potrebbe mettere in ginocchio molti processi di business, così come potrebbero farlo seri rischi di attentato.

Ogni tanto provo a chiedere cosa accadrebbe un qualunque lunedì mattina se durante il week-end il palazzo di Giustizia dovesse crollare, o semplicemente divenire completamente inagibile per una qualsiasi ragione (rischio epidemico, rischio bomba, o altro).

Tutto il personale operativo non potrebbe accedere ai propri uffici ed alle proprie postazioni di lavoro; ci si troverebbe quindi nella situazione in cui l’informatica sarebbe perfettamente efficiente, ma non potrebbe essere utilizzata da nessuno.

E nel frattempo ci si troverebbe con code di cittadini ed avvocati che attandono le proprie udienze, persone che attendono di essere scarcerate entro i termini di legge, ed altre per cui devono essere convalidati per tempo i relativi fermi, pena la loro liberazione.
Altre persone potrebbero avere la necessità di ottenere certificati per poter essere assunti, o per convalidare un permesso di soggiorno.

Cosa accadrebbe in caso di indisponibilità degli uffici del Comune, della Regione, e così via?

Già un giorno di chiusura potrebbe procurare danni seri, ma se invece di un giorno si dovesse trattare di una o più settimane, il disastro sarebbe probabilmene irreparabile.

In sostanza, nessuno pensa alla continuità operativa legata al processo, una continuità che potrebbe essere assicurata anche con semplici ed economici accordi con altri enti pubbliici (ad esempio, quelli del Comune), e con i Vigili Urbani, per informare ed instradare gli utenti verso le nuove modalità operative.

Troppo spesso manca purtroppo una visione d’insieme, e si lascia l’onere di gestire la continuità ai responsabili dei vari servizi, che per forza di cose hanno visibilità soltanto sulle aree di propria competenza.

Tra le cause occorre certamente annoverare:

  • la mancanza di una visione d’insieme da parte delle istituzioni, che non affrontando concretamente il problema, non riescono a fare sistema, sfruttando le opportunità di collaborazione tra i diversi enti;
  • la mancanza di risorse specifiche per la progettazione e la gestione dei piani di continuità (occorrono dei professionisti del settore, e non la buona volontà dei referenti che si rimboccano le maniche per imparare una materia che esula completamente dai propri compiti istituzionali);
  • la mancanza di risorse da dedicare alla formazione del personale, per la gestione, manutenzione e prova dei piani di continuità;
  • l’eccesso di risorse destinate all’IT, dimenticando che l’IT è soltanto uno degli strumenti di supporto ai processi di business, e non l’unico.

 

 

Commenti»

1. andy - sabato 2 maggio 2020

A.D. 2020, in piena pandemia Covid-19.
Qual’è stato il piano di business continuity della PA?
Per la scuola è stato semplice: il MIUR ha detto a scuole e docenti ‘arrangiatevi con quello che trovate’.
Risultato: tutti sono corsi dagli Stati Uniti, adottando questo o quello strumento informatico (l’importante è che fosse gratuito).
Per le altre realtà pubbliche la soluzione invece è stata più o meno la stessa: ogni attività in smart working della PA oggi è appoggiata a servizi esterni alla PA (rigorosamente in cloud e molto spesso gratuiti).
Eppure la PA nella gara Gara SPC Cloud ha messo sul piatto 2 miliardi di Euro (OK, ‘soltanto’ 1,95! – https://www.consip.it/media/approfondimenti/gare-spc-consip-e-agenda-digitale-italiana-contributi-servizi-contenuti-e-date), eppure il personale archivia documenti anche riservati nei cloud di Google, Microsoft e Dropbox, mentre i documenti vengono scambiati e le comuncazioni avvengono spesso utlizzando mailbox gratuite (Google, Microsoft, …), e le riunioni vengono effettuate mediante Microsoft Teams, Zoom, Google Meet, Skype, etc.
Quanti di questi servizi sono ospitati dal cloud della PA?
Nessuno.
Quanto costano questi servizi?
Zero (vengono pagati con i dati forniti).
In effetti qualche ministero ha messo a disposizione del personale delle caselle di posta ed uno spazio di archiviazione di qualche gigabyte (contro naturalmente i terabytes messi a disposizione gratuitamente dai servizi gratuiti made in USA …).
Ho provato a cercare qualche informazione su quale posizione abbia preso il Garante per la Privacy sul tema, ma ho trovato ben poco (https://www.privacy.it/2020/04/17/processo-penale-remoto-soro-giustizia/).
Eppure i dati che vengono scambiati non sono solo quelli personali dei cittadini, ma vi sono dati di minori (scuola, Giustizia, etc.), dati giudiziari, e così via.
In compenso gli States si preoccupano per noi e ci confezionano nuove proposte per farsi pagare i servizi che già ci erogano gratuitamente online (https://partner.microsoft.com/it-it/solutions/government), e lo Stato ignora deliberatamente gli obblighi che si è dato con il CAD (il Codice per l’Amministrazione Digitale – https://www.agid.gov.it/it/agenzia/strategia-quadro-normativo/codice-amministrazione-digitale) di adottare e promuovere il software libero.
E continuiamo ad esportare negli USA, ogni anno, centinaia di milioni di Euro dei cittadini sottoforma di licenze d’uso di software che la PA neppure può comperare, ma può soltanto utilizzare, alle condizioni imposte dagli americani.


Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: