Presidenza del Consiglio dei Ministri

Menu di navigazione

continuità operativa

È necessario un processo di formazione specifico per la Continuità Operativa?

La formazione, intesa come sensibilizzazione e addestramento del personale ritenuto comunque interessato alle attività e all’esecutività della Continuità Operativa, è un elemento fondamentale del processo organizzativo legato alla Continuità Operativa. Non esistono, però, temi strettamente organizzativi o tecnologici esclusivi della Continuità Operativa. Sempre con riferimento alla formazione, è anche importante creare, all'interno dell'amministrazione, la consapevolezza che è possibile - anzi è necessario - proseguire le attività lavorative anche in condizioni di emergenza.

Quali sono gli elementi fondamentali di un Piano di emergenza?

Un Piano di emergenza completo riporta, in una prima sezione introduttiva, i risultati ottenuti dalla fase di Business Impact Analysis – analisi di impatto, cioè l’attività che determina gli effetti e le misure opportune per tutti gli elementi funzionali di un’organizzazione a fronte di perdita delle proprie funzionalità, descrive la strategia di continuità adottata e fornisce tutte le necessarie informazioni a supporto (ad esempio, le informazioni relative allo stato corrente dei beni da proteggere). In una seconda sezione, il Piano fornisce il dettaglio delle azioni da intraprendere nelle varie situazioni d’emergenza previste e i relativi riferimenti organizzativi.

Che cos’è il Piano di emergenza (o Business Continuity Plan)?

Il piano di emergenza è un documento che guida un’amministrazione nella gestione dei rischi cui essa è soggetta, definendo ed elencando le azioni da intraprendere prima, durante e dopo un’emergenza per assicurare la continuità del servizio. Il principale obiettivo di questo documento è massimizzare l’efficacia della risposta all’emergenza, pianificando e specificando tutti gli interventi necessari, assegnando le responsabilità e identificando i percorsi da seguire (definizioni: “chi” deve fare “che cosa”, e “quando”).

In generale, come si identifica, per una pubblica amministrazione, la soluzione di continuità operativa più adatta?

La scelta della soluzione di continuità operativa va compiuta avendo preliminarmente definite le esigenze di continuità in termini di risorse da proteggere e di livelli di servizio attesi. La soluzione deve poi tener conto della disponibilità di offerta di servizi e tecnologie e della relazione tra costi e benefici nei diversi casi. Per le pubbliche amministrazioni può essere utile riferirsi a casistiche predefinite: infatti, le soluzioni ottimali dipendono in modo prevalente dal mandato, dai compiti e dalla struttura delle varie amministrazioni.

Come può risolvere le sue esigenze di continuità una piccola amministrazione?

Va premesso che attività di predisposizione all’emergenza, quali le reperibilità del personale in caso di emergenza, l’analisi delle alternative logistiche e la formazione del personale dell’ente non si differenziano se non per le evidenti differenze dimensionali tra grandi e piccole amministrazioni. Per gli aspetti legati all’ICT, le piccole amministrazioni hanno spesso la percezione che una soluzione di continuità operativa rappresenti, tecnicamente e finanziariamente, un impegno troppo elevato. Tuttavia, anche le piccole amministrazioni devono assicurare, ai propri utenti, un livello minimo di continuità dei servizi. Sono particolarmente adatti alle piccole amministrazioni gli accordi di mutuo soccorso, o le forme associative che consentono di condividere le risorse per l’emergenza. Anche la predisposizione del piano di emergenza può essere semplificata ricorrendo a modelli predefiniti.

Esiste un Ente dello Stato che si occupa della Continuità Operativa delle pubbliche amministrazioni?

Il DLgs. 235/10, che ha introdotto un impegno formale delle pubbliche amministrazioni nei confronti della continuità operativa introducendo nel Codice dell’Amministrazione Digitale l’articolo 50-bis a questa interamente dedicato, prevede che il “Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento. Le pubbliche amministrazioni definiscono il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale. All'Agenzia per l'Italia Digitale sono conferiti importanti compiti per l’attuazione di quanto sopra, riassumibili come segue:

  • definire, sentito il Garante per la privacy, le linee guida necessarie di riferimento per le soluzioni di disaster recovery delle Amministrazioni (comma 3, punto b articolo 50-bis).
  • emettere pareri sugli studi di fattibilità propedeutici alla produzione dei piani di continuità (comma 4);
  • verificare annualmente il costante aggiornamento dei piani di disaster recovery (comma 3, punto b);
  • informare annualmente il Ministro per la pubblica amministrazione e l’innovazione dell’esito di queste verifiche (comma 3, punto b).

È necessario creare una struttura di gestione dedicata per la Continuità Operativa?

È sicuramente necessario predisporre una struttura dedicata, che svolga le seguenti funzioni: - predisporre tutte le misure necessarie per ridurre l’impatto di un’emergenza; - mettere a disposizione risorse alternative a quelle non disponibili; - governare il sistema durante l’emergenza; - gestire il rientro alla normalità. Naturalmente, il numero di risorse dedicato a queste funzioni varia in relazione alla complessità e dimensione della soluzione di Continuità Operativa adottata. Per facilitare il lavoro di questa struttura sarebbe utile predeterminare almeno le azioni principali da eseguire in caso di evento critico e la gamma di soluzioni possibili tra le quali selezionare quella più adatta all’evento che si è verificato.

Cosa sono la risk assessment (o risk analysis), e la business impact analysis?

Sono due fasi del cosiddetto “studio del contesto”, cioè del processo di identificazione delle esigenze di continuità di un’organizzazione. Tramite il risk assessment si determinano i rischi a cui è soggetta l’organizzazione, si analizzano le vulnerabilità e si identificano le possibili salvaguardie. La business impact analysis ha invece lo scopo di determinare le conseguenze derivanti dal verificarsi di ciascun evento critico e di valutarne l’impatto sull’operatività dell’organizzazione.

Quanto tempo è necessario per realizzare una soluzione di Continuità Operativa?

La realizzazione delle componenti organizzative e di DR (disaster ricovery)possono procedere parallelamente, almeno in parte. I tempi per la parte organizzativa sono legati alla disponibilità di logistiche alternative e alla predisposizione di accordi col personale che potrebbero richiedere un tempo non breve. Anche per la componente di DR (disaster ricovery) vi è molta variabilità in relazione alla complessità della soluzione. Nel caso di scelta di soluzioni semplici a fronte di esigenze relativamente limitate (ad esempio il backup remoto dei dati senza collegamenti di rete) è possibile ipotizzare la realizzazione da un minimo di due-tre mesi a tempi che possono arrivare a dodici mesi, di cui almeno quattro - sei mesi per lo studio della soluzione e almeno altri sei mesi per la sua realizzazione.