Dove si possono trovare ulteriori informazioni sulla Continuità Operativa?
Nella letteratura tecnica non mancano testi che è possibile consultare. Una trattazione completa e focalizzata sul contesto della pubblica amministrazione italiana è rappresentata dalle Linee guida alla continuità operativa di DigitPA. Sempre DigitPA ha costituito un centro di competenza sulla Continuità Operativa nella pubblica amministrazione, al quale le Amministrazioni possono accedere per ogni supporto.
Chi deve prendere l’iniziativa, all’interno dell’amministrazione, per avviare il processo di realizzazione della Continuità Operativa?
Dato che realizzare la Continuità Operativa di un’organizzazione è un processo complesso con risvolti di natura organizzativa, tecnica ed economica, solo il massimo livello decisionale può dare avvio a questo progetto. Naturalmente è compito dei responsabili tecnici sensibilizzare sull’argomento i vertici dell’amministrazione e mettere a disposizione tutte le analisi e le informazioni utili alla valutazione delle soluzioni più adeguate.
Ci sono particolari cautele da osservare quando si acquisisce la Continuità Operativa in outsourcing?
Occorre verificare, in particolare, che il fornitore sia finanziariamente affidabile, che sia in grado di fornire le apparecchiature e i servizi di cui l’amministrazione necessita (e che aggiornerà le apparecchiature in parallelo a quelle delle amministrazione), che il suo personale sia sufficientemente preparato.
Occorre inoltre verificare quanti altri clienti condividono le apparecchiature e/o i locali del fornitore, e chi tra questi clienti ha maggiore priorità. Se l’amministrazione non ha massima priorità, occorre specificare contrattualmente quale soluzione alternativa viene prospettata in caso l’emergenza colpisca anche altri clienti a priorità maggiore. Infine, occorre che il fornitore garantisca la confidenzialità dei dati dell’amministrazione.
Esistono standard per la Continuità Operativa?
Esistono standard internazionali che fanno riferimento alla continuità operativa. È di particolare rilevanza lo standard UNI CEI ISO/IEC 27001:2014 “Tecnologia delle informazioni - Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni - Requisiti” che, pur trattando della sicurezza informatica, identifica nella continuità operativa un elemento essenziale.
In ambito internazionale sono da ricordare le due norme: ISO 22301:2012 "Societal security -- Business continuity management systems --- Requirements", che costituisce il riferimento per il percorso di certificazione, e ISO/IEC 27031:2011 "Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity".