• LE ATTIVITA'
  • FASE 0
  • FASE 1
  • FASE 2
  • FASE 3
  • FASE 4

  • Il programma e la sua articolazioni in fasi

    La Continuità Operativa investe diverse componenti e risorse strategiche di ciascuna Amministrazione: il management ad alto livello, le diverse strutture organizzative coinvolte nei processi di servizio (Direzioni/Uffici), le piattaforme tecnologiche impiegate.

    Ciò comporta che l’Amministrazione comunale è chiamata a definire e coordinare un programma articolato in diverse fasi, che richiede il mandato dei vertici dell’Ente.

    Nella figura seguente viene riportato il quadro complessivo delle attività che devono essere espletate da ciascun ente.

  • Attività: definizione degli obiettivi
    Output: programma di lavoro

    È una fase significativa per la buona riuscita di tutto il programma. Per questo, essa deve caratterizzarsi con il necessario mandato dei vertici dell’Amministrazione, con la partecipazione dei responsabili dell’organizzazione e dei processi e degli addetti alla gestione dell’ICT, in modo da poter svolgere una efficace azione di programmazione e stabilire, senza approssimazione, le risorse necessarie e le modalità per reperirle.

  • Attività: valutazione dei servizi
    Output: test di autovalutazione

    Durante questa attività occorre procedere a:

     Assessment (valutazione), comprendente:

    1. la Ricognizione preliminare e strutturata dei principali asset ICT del Comune;
    2. l’ Analisi delle policy di backup;
    3. l’ Analisi dei fattori di rischio e l’individuazione azioni correttive (Policy di sicurezza, climatizzazione, alimentazione, collegamenti geografici, ecc);
    4. l’ Analisi dei contratti di manutenzione;
    5. l’ individuazione di Fornitori critici;
    6. l’ Analisi delle postazioni di lavoro critiche e alle periferiche.

    Attività di Business Impact Analysis (BIA) e Autovalutazione per:

    1. definire l’elenco dei (macro) servizi oggetto di indagine;
    2. correlarli con la struttura organizzativa;
    3. individuare i referenti per ciascun servizio;
    4. gestire la raccolta dati e le interviste ai referenti dei servizi;
    5. analizzare i rischi e stimare gli impatti;
    6. verificare le procedure alternative e gli asset non IT;
    7. verificare ricicli e normalizzazione dei risultati.
  • Attività: studio di fattibilità definizione procedure di acquisizione
    Output: studio di fattibilità tecnica - budget - capitolati per beni/servizi

    Durante questa attività occorre:

    1. valutare l’opportunità di uniformare le soluzioni tecnologiche limitando il numero dei tier;
    2. individuare le soluzioni tecnologiche, adottare il principio della semplicità, riferendosi a tecniche facilmente reperibili sul mercato anche sottoforma di servizio.

    I tier 5 e 6 implicano costi molto elevati per l’allestimento ed il mantenimento e richiedono che l’intera architettura applicativa funzioni active/active e una reazione della struttura organizzativa e gestionale con tempi coerenti con RTO/RPO prossimi a zero.

    Inoltre occorre tener conto anche dei seguenti elementi che influenzano significativamente le soluzioni da adottare:

    1. analisi Costi/Benefici per ciascuna contromisura o soluzione tecnica individuata, indicarne i costi di acquisizione, allestimento, mantenimento;
    2. rischio residuo: alcuni rischi non saranno coperti con misure preventive. Si dovrà stabilire quali misure verranno messe in campo;
    3. quali servizi escludere dallo studio e per quale motivo;
    4. la scelta del sito secondario: la differenziazione del rischio;
    5. la scelta della connessione geografica con il sito secondario (parametri come la movimentazione giornaliera, traffico utente, limitazione accessi).
  • Attività: realizzazione infrastrutture ICT
    Output: redazione piani di CO e DR - contratti di acquisizione beni/servizi

    In questa fase vanno ricomprese tutte le attività per la redazione del Piano di Continuità Operativa e del Piano di Disaster Recovery e per la realizzazione della infrastruttura ICT.

    Il Piano di continuità operativa (PCO) fissa gli obiettivi e i principi da perseguire, descrive i ruoli, le responsabilità, i sistemi di escalation e le procedure per la gestione della continuità operativa, tenuto conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche. Il piano di continuità può essere solo un documento di primo livello, cui vanno associati documenti di secondo livello, quali procedure relative a servizi e/o sistemi specifici e finanche documenti di terzo livello (per esempio sotto la forma di istruzioni di lavoro che riportano le indicazioni operative specifiche).

    Il PCO deve prendere in esame:

    1. la definizione degli scenari valutati per il piano;
    2. la definizione della struttura organizzativa che viene dedicata al governo della Continuità operativa (Comitato di crisi dell’Amministrazione, Unità di coordinamento della Continuità operativa, Gruppi di supporto);
    3. l’individuazione dei criteri oggettivi per la definizione dell’evento disastroso (es.: criteri per avviare le procedure di escalation nelle diverse situazioni previste, criteri per la stima dei danni, criteri per la stima dei tempi di ritorno alla normalità “in sito”, ecc);
    4. la predisposizione di un template di “scheda valutazione evento”;
    5. la predisposizione di elenchi nominativi, ruoli e rubriche;
    6. l’organizzazione della comunicazione interna e esterna e la formazione del personale del comune.

    Il Piano di Disaster Recovery (PDR), costituisce parte integrante del Piano di Continuità Operativa e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. In particolare il PDR deve prendere in esame:

    1. le procedure organizzative per la gestione del processo di DR ovvero chi chiamare e dove recarsi;
    2. le procedure tecniche gestite mediante la predisposizione di un apposito cruscotto (Processo di gestione dell’escalation e valutazione dell’evento, Fase di avvio dei servizi nel sito di Disaster Recovery, Fase di ritorno alla normalità);
    3. le simulazioni;
    4. l’organizzazione dei test;
    5. il Piano di rientro nella normalità.

    Per la Realizzazione della infrastruttura ICT, l’Amministrazione, a seguito dei tier che sono stati individuati nello SFT e delle soluzioni ICT che vengono elaborate nella FASE 2, deve procedere alla concreta implementazione di tali soluzioni stabilendo il “sito secondario” e avviare i test di start-up per il backup remoto delle applicazioni oggetto di Disaster Recovery.

  • Attività: gestione del sistema - mantenimento
    Output: manuale di gestione e monitoraggio

    La fase di mantenimento si riferisce alle seguenti attività:

    1. mantenimento delle infrastrutture ICT;
    2. mantenimento del piano di Disaster recovery;
    3. mantenimento del Piano di Continuità Operativa;

    In particolare le azioni che devono essere assicurate da parte del Comune sono le seguenti:

    1. aggiornamento dell’Analisi BIA/RA;
    2. aggiornamento delle informazioni organizzative;
    3. aggiornamento elenchi, rubriche, password;
    4. aggiornamento procedure (organizzative e tecniche);
    5. rielaborazione dei piani;
    6. pianificazione dei test (una volta ogni anno);
    7. estensione del PCO a settori non presi in esame.

.