Upload
alessandro-alessandroni
View
57
Download
3
Embed Size (px)
Citation preview
Seminario tecnico - Commissione ICT
L’affidabilità delle strutture ICT critiche
Parte 2 - Architetture ICT e soluzioni organizzative
per BC e DR, standard, normativa banche e PA
Alessandro Alessandroni
Lead Auditor ISO 22301
componente Commissione Sicurezza ICT
12 marzo 2014
12 marzo 2014
Indice degli argomenti:
1. La progettazione delle soluzioni tecniche e organizzative per
BC e DR
2. I principali standard internazionali
3. La normativa per gli intermediari finanziari
4. La normativa per le pubbliche ammnistrazioni
Alessandro Alessandroni
pag. 2
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
12 marzo 2014
Alessandro Alessandroni
1- La progettazione delle soluzioni
tecniche e organizzative
pag. 3
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
12 marzo 2014
Alessandro Alessandroni
1- La progettazione delle soluzioni
tecniche e organizzative
pag. 4
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
fasi del processo di BCM
(dalla metodologia ABI-Lab)
12 marzo 2014
Alessandro Alessandroni
pag. 5
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
analisi dell’impatto (BIA)
• Individuazione dei processi necessari a produrre i beni ed erogare i servizi
della organizzazione
• Valutazione dell’impatto nel tempo della indisponibilità del processo
• Definire i tempi entro i quali ripristinare i diversi processi
• Individuazione delle risorse ICT (data center, linee TLC, server, storage,
applicazioni, personale ICT, ecc.) e dei fornitori terzi di servizi che
supportano i processi
• Definire i requisiti di continuità:
– ripristino sistemi ICT (Recovery Time Obiective, RTO)
– salvaguardia dei dati (Recovery Point Obiective, RPO)
12 marzo 2014
Alessandro Alessandroni
pag. 6
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
fasi del disastro RPO e RTO
t-1 t2 t1 t0 t3
Operazioni
Normali Servizio
Ripristinato
Dati
persi Ricostruzione dei
Dati persi
Dati
Recuperati
Preparazione
Soluz. Recovery
Diagnosi Fase di Recovery
FUORI USO DEL CED
!
RPO
RTO ICT
RTO
12 marzo 2014
Alessandro Alessandroni
pag. 7
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
soluzioni di High Availability (HA) nel sito primario
12 marzo 2014
Alessandro Alessandroni
pag. 8
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
DR
in caso di disastro non basta HA: soluzioni di DR
12 marzo 2014
Alessandro Alessandroni
pag. 9
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
RTO
costi soluzioni DR in funzione del RTO
12 marzo 2014
Alessandro Alessandroni
pag. 10
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
soluzioni di DR
In base ai requisiti RPO/RTO e agli scenari di disastro, si sceglie:
la soluzione per l’allineamento dei dati: Trasferimento periodico dei supporti
Trasferimento on-line periodico
Replica asincrona
Replica sincrona
Il tipo di risorse elaborative nel sito di DR: Cold site
Warm site
Hot site
Clustering geografico
il numero di siti (2 o 3) , distanza e localizzazione
le caratteristiche infrastrutturali del DATA CENTER (antismicità, ridondanza impianti
elettrici, condizionamento, …)
le caratteristiche della rete TLC (banda disponibile, ridondanza..)
12 marzo 2014
Alessandro Alessandroni
pag. 11
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
RTO
livelli di soluzioni di DR (Tier)
12 marzo 2014
Alessandro Alessandroni
pag. 12
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
trend tecnologici nelle soluzioni di DR
Virtualizzazione
semplifica la replica e il ripristino dei sistemi con minori tempi e
costi
Cloud Computing
per PMI e piccole amministrazioni soluzioni cloud di “DR as a
Service”
Deduplicazione dei dati
replica più efficiente dei dati in rete (minore larghezza di banda,
tempi e costi minori)
12 marzo 2014
Alessandro Alessandroni
pag. 13
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
costo CED in funzione della disponibilità
(livelli TIA-942)
12 marzo 2014
Alessandro Alessandroni
pag. 14
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
caso a tre siti con campus
Disastro localizzato
TIER 6
RPO, RTO = 0
Disastro esteso
TIER 4
RPO < 5 min.
RTO < 72 ore
Replica asincrona
> 200 Km
12 marzo 2014
Alessandro Alessandroni
pag. 15
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
caso a tre siti con sito bunker (1/2)
12 marzo 2014
Alessandro Alessandroni
pag. 16
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
caso a tre siti con sito bunker (2/2)
12 marzo 2014
Alessandro Alessandroni
pag. 17
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
struttura organizzativa: compiti
• Predisporre tutte le misure necessarie per ridurre l’impatto di
un’emergenza
• Mettere a disposizione risorse alternative a quelle non disponibili
• Governare il sistema durante l’emergenza
• Gestire il rientro alla normalità
Comitato di gestione della crisi
Gruppo di supporto
Gruppo di assistenza
agli utenti
Gruppo di coordinamento tecnico
12 marzo 2014
Alessandro Alessandroni
pag. 18
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
componenti del PIANO BC /DR
• Piano di DR, per la gestione della situazione di reale emergenza;
• Piano di Test, per la simulazione periodica del recovery e verifica dell’efficacia della soluzione;
• Piano di Gestione Ordinaria, per la quotidiana manutenzione e controllo della soluzione.
12 marzo 2014
Alessandro Alessandroni
2- I principali standard internazionali
pag. 19
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
12 marzo 2014
Alessandro Alessandroni
La rilevanza sempre maggiore assunta dalle problematiche relative al processo di
gestione della Business Continuity ha portato recentemente alla pubblicazione di alcuni
standard specifici:
ISO 22301:2012 (“Societal security -- Buisiness continuity management systems –
Requirements”), deriva in grande parte da BS 25999 del 2006
La norma specifica i requisiti per implementare, gestire e migliorare un sistema
documentato di Business Continuity Management (BCMS) per preparare l’azienda a
fronteggiare gli eventi distruttivi quando essi si verificano
ISO 22313:2012 (“Societal security. Business continuity management systems. Guidance”)
La norma fornisce una guida generale basata su best practices mondiali per la
pianificazione, la implementazione, la gestione e il miglioramento costante di un sistema
documentato di gestione della Business Continuity.
pag. 20
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
standard relativi a BC e DR
12 marzo 2014
Alessandro Alessandroni
ISO/IEC 27031:2011 (“Information technology — Security techniques — Guidelines for
information and communication technology readiness for business continuity”).
La norma del tipo “buone pratiche” emessa nel 2011 è specificatamente dedicata alle
componenti ICT dell’organizzazione, ripercorre quanto previsto nella ISO 22301
contestualizzandolo all’ICT; deriva in grande parte da BS 25777
ISO/IEC 24762 (“Information technology — Security techniques — Guidelines for
information and communications technology disaster recovery services”); uno standard
emesso nel 2008 (del tipo “buone pratiche”) che fornisce le indicazioni per progettare,
realizzare e gestire i servizi di Disaster Recovery dell’ICT
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
pag. 21
standard relativi a BC e DR (ICT)
12 marzo 2014
Alessandro Alessandroni
SICUREZZA ICT
•ISO/IEC 27001:2013 (“Information technology — Security techniques — Information
security management systems – Requirements”)
• fornisce i requisiti di un sistema di gestione della sicurezza ICT
•include tra gli obiettivi di controllo la “information security continuity”
•ISO/IEC 27002:2013 (“Information technology — Security techniques — Code of practice
for information security management”) standard del tipo “buone pratiche”
GESTIONE SERVIZI ICT
•ISO/IEC 20000-1:2011 (Information technology – Service Management – Part 1:
Specification)
•fornisce i requisiti di un sistema di gestione dei servizi ICT
•include tra i servizi la gestione della continuità dei servizi
•ISO/IEC 20000-2:2012 (Information technology – Service Management – Part 1: Code of
practice) standard del tipo “buone pratiche”
pag. 22
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
Standard collegati
12 marzo 2014
Alessandro Alessandroni
Contesto della organizzazione
Leadership
Pianificazione
Supporto
Business Impact Analysis (BIA):
Risk Assessment (RA):
Strategia di business continuity
Piani di business continuity e DR:
Esercitazioni e test
valutazione delle prestazioni
Miglioramento
pag. 23
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
principali punti dello standard ISO 22301
12 marzo 2014
Alessandro Alessandroni
La Banca d’Italia, a partire dal 2004, ha impartito disposizioni che
rendono obbligatorio per gli intermediari finanziari la realizzazione di un
piano di continuità (Business Continuity Plan – BCP)
Il piano deve garantire che, anche in caso di incidenti o disastri, i servizi
aziendali più importanti continuino a funzionare o siano ripristinati in
tempi accettabili.
il piano deve essere aggiornato e, almeno annualmente, è soggetto a
verifiche e controlli da parte sia di funzioni interne (BC Manager,
Compliance, Internal Audit, Collegio Sindacale) sia esterne (Banca
d’Italia). pag. 24
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
linee guida e Best Practice
12 marzo 2014
Alessandro Alessandroni
Internazionali
(2002) Stati Uniti - Sarbanes-Oxley (SOX): società di capitale quotate negli USA
(2006) Europa - EURO-SOX: società di capitale
(2001) Europa - Basilea 2 e (2007) Basilea 3: banche
Nazionali
(2003) Garante per la protezione dei dati personali per tutti i soggetti che trattano
dati personali
(2004) Banca di Italia per il settore bancario
(2010) Codice Amministrazione digitale per la pubblica amministrazione
pag. 25
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
norme che richiedono soluzioni di CO e DR
12 marzo 2014
Alessandro Alessandroni
3 - La normativa per gli
intermediari finanziari
pag. 26
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
12 marzo 2014
Alessandro Alessandroni
pag. 27
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
iniziative BdI e ABI
• La Banca d’Italia, a partire dal 2004, ha impartito disposizioni che rendono
obbligatorio per gli intermediari finanziari la realizzazione di un piano di
continuità (Business Continuity Plan – BCP)
• Il piano deve garantire che, anche in caso di incidenti o disastri, i servizi
aziendali più importanti continuino a funzionare o siano ripristinati in tempi
accettabili.
• il piano deve essere aggiornato e, almeno annualmente, è soggetto a verifiche
e controlli da parte sia di funzioni interne (BC Manager, Compliance, Internal
Audit, Collegio Sindacale) sia esterne (Banca d’Italia).
12 marzo 2014
Alessandro Alessandroni
pag. 28
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
le norme di BdI
• Banca d’Italia, “Continuità operativa in casi di emergenza”, in Bollettino di Vigilanza Numero 7, luglio 2004 in
http://www.bancaditalia.it/vigilanza/pubblicazioni/bollvig/04/Bolvig_07_04.pdf (pagg. 7 -13)
• Banca d’Italia, “Linee guida per la continuità di servizio delle infrastrutture qualificate dei sistemi di pagamento”,
2004, in http://www.bancaditalia.it/sispaga/sms/infrastrutture/bi/linee/Linee_guida_SSP.pdf
• Banca d’Italia , “Linee guida per la continuità di servizio dei mercati all’ingrosso e dei sistemi di supporto”, ottobre
2004, in http://www.bancaditalia.it/sispaga/sms/docum/prinstasorv/guidelines/Linee_Guida_B_C_28ottobre2004.pdf
• Banca d’Italia, “Disposizioni di vigilanza - requisiti particolari per la continuità operativa dei processi a rilevanza
sistemica”, marzo 2007, in
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/requisiti_processi_rilevanza_sistemica.pdf
• Banca d’Italia, “Terms of Reference (ToR) per la continuità operativa”, 4 dicembre 2007, in
http://www.bancaditalia.it/sispaga/sms/infrastrutture/bi/tor/TOR_Business_continuityt.pdf
• Nuove disposizioni di vigilanza prudenziale per le banche (Circ. n. 263 del 27 dicembre 2006) – 15° aggiornamento
“Sistema dei controlli interni, sistema informativo e continuità operativa”
https://www.bancaditalia.it/vigilanza/normativa/norm_bi/circ-reg/vigprud/agg_15_del_02072013/263CIRC_15AGG.pdf
12 marzo 2014
Alessandro Alessandroni
pag. 29
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
scenari di crisi
• distruzione o inaccessibilità di strutture nelle quali sono allocate
unità operative o apparecchiature critiche;
• indisponibilità di sistemi informativi critici;
• indisponibilità di personale essenziale per il funzionamento dei
processi aziendali;
• interruzione del funzionamento delle infrastrutture (tra cui energia
elettrica, reti di telecomunicazione, reti interbancarie, mercati
finanziari);
• alterazione dei dati o indisponibilità dei sistemi a seguito di attacchi
perpetrati dall'esterno attraverso reti telematiche;
12 marzo 2014
Alessandro Alessandroni
pag. 30
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
contenuti principali del piano di CO
• modalità per:
– la dichiarazione dello stato di emergenza,
– l'organizzazione e le procedure da seguire in situazione di crisi,
– l'iter per la ripresa della normale operatività
• tempo massimo accettabile di ripartenza di sistemi e processi critici
• individuazione dei siti alternativi
• indicazione di spazi e infrastrutture logistiche e di comunicazione adeguate
per il personale coinvolto nell'emergenza
• regole di conservazione delle copie dei documenti importanti (ad es.
contratti) in luoghi remoti rispetto ai documenti originali.
12 marzo 2014
Alessandro Alessandroni
pag. 31
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
siti di recovery
• I siti di recovery dei processi a rilevanza sistemica sono situati a congrua distanza dai siti
primari in modo da assicurare un elevato grado di indipendenza tra i due insediamenti.
• In generale, i siti di recovery sono ubicati all’esterno dell’area metropolitana nella quale
sono presenti i siti primari; inoltre, essi utilizzano servizi (telecomunicazioni, energia, acqua,
ecc.) distinti da quelli impiegati in produzione.
• Laddove ciò non avvenga è necessaria una valutazione rigorosa, supportata da pareri di
parti terze qualificate (ad es. Protezione Civile, accademici, professionisti) e compiutamente
documentata, che il rischio di indisponibilità contemporanea dei siti primari e
secondari è trascurabile.
12 marzo 2014
Alessandro Alessandroni
pag. 32
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
la normativa sui requisiti sistemici
Provvedimento del 20 marzo 2007
Aggiornamento n. 15 luglio 2013 circolare BdI n.236/2006
1. Definizione dei criteri per la individuazione dei soggetti coinvolti
– Banche/gruppi con quote di mercato (FINT) > 5%
– Rilevanza nei servizi di pagamento/regolamento
2. Elencazione dei processi a rilevanza sistemica da tutelare con misure di continuità rafforzate
– Sistemi di pagamento
– Accesso ai mercati rilevanti per la liquidità
– Servizi di compensazione e regolamento
3. Requisiti particolari aggiuntivi a quelli previsti per la generalità degli intermediari
– Il tempo di ripartenza per i processi a rilevanza sistemica < 2ore
– Il tempo di ripristino (comprende tempi di analisi e decisione) per i processi a rilevanza sistemica < 4 ore
– sono considerate adeguate le soluzioni basate su architetture tecnologiche che effettuino la duplicazione in linea dei dati
operativi in modo da eliminare o ridurre al minimo la perdita di informazioni.
– l’intervallo di tempo che intercorre fra il punto di ripristino e il momento dell’incidente (RPO) è pari o prossimo a zero.
12 marzo 2014
Alessandro Alessandroni
4- La normativa per la pubblica
amministrazione
pag. 33
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
12 marzo 2014
Alessandro Alessandroni
pag. 34
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
prima dell’obbligo introdotto dall’art.50 bis del nuovo CAD (2010)
•Iniziative prevalentemente limitate alle organizzazioni più critiche e complesse quali ad es. Ministero Finanze, Istituti previdenziali e assicurativi
•attenzione soprattutto alle soluzioni tecniche
•2005 – istituzione del Centro di competenza sulla continuità operativa presso CNIPA
•2006 Linee guida alla continuità operativa nella PA – Quaderno CNIPA n.28
•2008 La Continuità operativa nella PA: Casi di studio – Quaderno n. 35 (MEF/Sogei, Min. P.I., Min. Trasporti, Istituti Previdenziali e assicurativi, CSI Piemonte)
12 marzo 2014
Alessandro Alessandroni
pag. 35
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
continuità Operativa Nuovo Codice dell’Amministrazione Digitale (CAD)
l’articolo 50-bis (Continuità operativa) Dlgs 30.12.2010, n.235
1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.
2. Il Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.
12 marzo 2014
Alessandro Alessandroni
pag. 36
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
continuità Operativa Nuovo Codice dell’Amministrazione Digitale (CAD) (segue)
3.A tali fini, le pubbliche amministrazioni definiscono :
a) il piano di continuità operativa: fissa gli obiettivi e i principi da perseguire,
descrive le procedure per la gestione della continuità operativa, anche affidate a
soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse
umane, strutturali, tecnologiche e contiene idonee misure preventive. Le
amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa
con cadenza biennale;
b) il piano di disaster recovery: stabilisce le misure tecniche e organizzative per
garantire il funzionamento dei centri di elaborazione dati e delle procedure
informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il
Garante per la protezione dei dati personali, definisce le linee guida per le
soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni
informatiche, verifica annualmente il costante aggiornamento dei piani di disaster
recovery delle amministrazioni interessate e ne informa annualmente il Ministro per
la pubblica amministrazione e l’innovazione.
4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA.
12 marzo 2014
Alessandro Alessandroni
pag. 37
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
Ruoli e funzioni per attuazione art. 50-bis del CAD
AGID : Emette le Linee Guida (LG)
prima versione novembre 2011 seconda versione settembre 2013
AGID: emette pareri su SFT
(ad oggi oltre 900)
PP.AA*. : Predispongono e
sottopongono al parere di AID studi di fattibilità tecnica (SFT),
(ad oggi oltre 1050)
AGID:
verifica annualmente i’aggiornamento dei piani di DR
PP.AA.:
Implementano le soluzioni e predi-spongono i piani di CO e di DR sulla base dello SFT e del parere di AGID;
Verificano con cadenza biennale la funzionalità del Piano di CO ;
Garantiscono la manutenzione della soluzione e informando AGID
Inviano a AGID annualmente l’aggiornamento del piano di DR
Il Ministro assicura l’omogeneità delle soluzioni informando con cadenza annuale il Parlamento
* PAC e PAL (Regioni, Province, Comuni, ASL e AO, Università, Istituti scolastici, Camere Commercio, Società controllate
TierTier 1 1
MediaMediaBassaBassa AltaAlta CriticaCritica
Network
CRITICITÀ
TierTier 2 2
TierTier 3 3
TierTier 44
TierTier 66
TierTier 55
TierTier 1 1
MediaMediaBassaBassa AltaAlta CriticaCritica
NetworkNetwork
CRITICITÀ
TierTier 2 2
TierTier 3 3
TierTier 44
TierTier 66
TierTier 55Tier 3: soluzione simile a quella di Tier 2 ma il trasferimento dei dati tra il sito primario e quello di DR avviene attraverso un collegamento di rete tra i due siti.
: la soluzione prevede che le risorse elaborative, garantite coerenti con quelle del centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in tempi rapidi
: la soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi
aggiornamenti.
: la soluzione prevede che nel sito di DR le risorse elaborative, oltre ad essere sempre attive, siano funzionalmente speculari a quelle del sito primario, rendendo così possibile ripristinare l’operatività dell’IT in tempi molto rapidi
Le soluzioni di DR nelle linee guida
: backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza
soluzione simile a quella di Tier 1 ma le risorse elaborative, già presenti, possono essere disponibili in tempi più brevi
12 marzo 2014
Alessandro Alessandroni
pag. 39
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
normativa in materia di razionalizzazione dei CED della PA
▪ D.L. 18 Ottobre 2012 n.179 convertito nella legge 221/12 , Art. 33 septies: “Consolidamento dei
siti e delle infrastrutture digitali del paese”
▪ L’Agenzia per l’Italia Digitale elabora le linee guida, basate sulle principali metriche di efficienza
internazionalmente riconosciute, finalizzate alla definizione di un piano triennale di
razionalizzazione dei CED delle PP.AA.
▪ Il Piano di razionalizzazione dovrà:
– portare alla diffusione di standard comuni di interoperabilità
– a crescenti livelli di efficienza e di sicurezza
– a una più rapida erogazione dei servizi ai cittadini e alle imprese
▪ Entro il 30 Settembre 2013, AGID trasmette al Presidente del Consiglio dei Ministri dopo una
consultazione pubblica :
– I risultati del censimento effettuato
– Le linee guida per la razionalizzazione dell’infrastruttura digitale della PA
▪ Entro i successivi novanta giorni, il Governo, adotta il piano triennale di razionalizzazione dei
CED delle pubbliche amministrazioni di cui al comma 1, aggiornato annualmente
Ricognizione dei CED della PP.AA
Elaborazione e trasmissione alla PCM delle linee
guida
Decreto di Adozione del
Piano triennale
12 marzo 2014
Alessandro Alessandroni
pag. 40
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
risultati del censimento
In assenza di interventi di razionalizzazione, i CED delle Regioni non sono in grado di ospitare tutto il fabbisogno pubblico dei propri territori
La distribuzione
geografica CED
evidenzia una
eccessiva
frammentazione
986 CED Censiti
12 marzo 2014
Alessandro Alessandroni
pag. 41
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
l’infrastruttura nei CED delle PA
L’adeguamento puntuale di tutti i CED censiti è ovviamente diseconomico, è urgente procedere al piano di razionalizzazione per la conservazione efficiente e sicura dei dati pubblici.
L’adeguamento puntuale di tutti i CED censiti è ovviamente diseconomico, è urgente procedere al piano di razionalizzazione per la conservazione efficiente e sicura dei dati pubblici.
12 marzo 2014
Alessandro Alessandroni
pag. 42
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
le Linee Guida: direttrici di intervento
Il processo di razionalizzazione richiede che i CED della PA rispondano a
requisiti:
1) Infrastrutturali: caratteristiche minime Data Center TIER III secondo lo
standard TIA-942
2) Relativi all’ICT, Hardware e Software (% virtualizzazione, aggiornamento
tecnologico HW e SW, NAS e SAN, connessioni FO)
3) miglioramento delle caratteristiche infrastrutturali IT e di tipo energetico
da raggiungere nel corso dei tre anni del piano (PUE < 1,6)
12 marzo 2014
Alessandro Alessandroni
pag. 43
Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
il Piano Triennale di Razionalizzazione: obiettivi
finalizzato a razionalizzazione e consolidamento dei CED della PA verso i
nuovi Data Center conformi almeno al TIER III secondo lo standard TIA-942
La razionalizzazione, il consolidamento, il risparmio energetico e la scalabilità
delle infrastrutture informatiche prevedono 3 step fondamentali:
1) Razionalizzazione degli spazi
2) Razionalizzazione degli apparati
3) Razionalizzazione degli applicativi
Il Piano Triennale si pone l’obiettivo di completare i primi due punti e verifica la
conformità degli applicativi in uso, rispetto al Cloud
PAC: Individuazione di alcuni poli nazionali per il consolidamento di CED,
razionalizzazione e migrazione
PAL: in ogni regione consolidamento e migrazione in uno o più siti
dell’infrastruttura IT di tutto il relativo territorio