Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

seminario DR 12 marzo 2014 versione finale

484 views

Published on

  • Be the first to comment

  • Be the first to like this

seminario DR 12 marzo 2014 versione finale

  1. 1. Seminario tecnico - Commissione ICT L’affidabilità delle strutture ICT critiche Parte 2 - Architetture ICT e soluzioni organizzative per BC e DR, standard, normativa banche e PA Alessandro Alessandroni Lead Auditor ISO 22301 componente Commissione Sicurezza ICT alessandroalessandroni@gmail.com 12 marzo 2014
  2. 2. 12 marzo 2014 Indice degli argomenti: 1. La progettazione delle soluzioni tecniche e organizzative per BC e DR 2. I principali standard internazionali 3. La normativa per gli intermediari finanziari 4. La normativa per le pubbliche ammnistrazioni Alessandro Alessandroni pag. 2 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
  3. 3. 12 marzo 2014 Alessandro Alessandroni 1- La progettazione delle soluzioni tecniche e organizzative pag. 3 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
  4. 4. 12 marzo 2014 Alessandro Alessandroni 1- La progettazione delle soluzioni tecniche e organizzative pag. 4 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” fasi del processo di BCM (dalla metodologia ABI-Lab)
  5. 5. 12 marzo 2014 Alessandro Alessandroni pag. 5 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” analisi dell’impatto (BIA) • Individuazione dei processi necessari a produrre i beni ed erogare i servizi della organizzazione • Valutazione dell’impatto nel tempo della indisponibilità del processo • Definire i tempi entro i quali ripristinare i diversi processi • Individuazione delle risorse ICT (data center, linee TLC, server, storage, applicazioni, personale ICT, ecc.) e dei fornitori terzi di servizi che supportano i processi • Definire i requisiti di continuità: – ripristino sistemi ICT (Recovery Time Obiective, RTO) – salvaguardia dei dati (Recovery Point Obiective, RPO)
  6. 6. 12 marzo 2014 Alessandro Alessandroni pag. 6 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” fasi del disastro RPO e RTO t-1 t2t1t0 t3 Operazioni Normali Servizio Ripristinato Dati persi Ricostruzione dei Dati persi Dati Recuperati Preparazione Soluz. Recovery Diagnosi Fase di Recovery FUORI USO DEL CED ! RPO RTO ICT RTO
  7. 7. 12 marzo 2014 Alessandro Alessandroni pag. 7 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” soluzioni di High Availability (HA) nel sito primario
  8. 8. 12 marzo 2014 Alessandro Alessandroni pag. 8 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” DR in caso di disastro non basta HA: soluzioni di DR
  9. 9. 12 marzo 2014 Alessandro Alessandroni pag. 9 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” RTO costi soluzioni DR in funzione del RTO
  10. 10. 12 marzo 2014 Alessandro Alessandroni pag. 10 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” soluzioni di DR In base ai requisiti RPO/RTO e agli scenari di disastro, si sceglie: la soluzione per l’allineamento dei dati: Trasferimento periodico dei supporti Trasferimento on-line periodico Replica asincrona Replica sincrona Il tipo di risorse elaborative nel sito di DR: Cold site Warm site Hot site Clustering geografico il numero di siti (2 o 3) , distanza e localizzazione le caratteristiche infrastrutturali del DATA CENTER (antismicità, ridondanza impianti elettrici, condizionamento, …) le caratteristiche della rete TLC (banda disponibile, ridondanza..)
  11. 11. 12 marzo 2014 Alessandro Alessandroni pag. 11 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” RTO livelli di soluzioni di DR (Tier)
  12. 12. 12 marzo 2014 Alessandro Alessandroni pag. 12 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” trend tecnologici nelle soluzioni di DR Virtualizzazione semplifica la replica e il ripristino dei sistemi con minori tempi e costi Cloud Computing per PMI e piccole amministrazioni soluzioni cloud di “DR as a Service” Deduplicazione dei dati replica più efficiente dei dati in rete (minore larghezza di banda, tempi e costi minori)
  13. 13. 12 marzo 2014 Alessandro Alessandroni pag. 13 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” costo CED in funzione della disponibilità (livelli TIA-942)
  14. 14. 12 marzo 2014 Alessandro Alessandroni pag. 14 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” caso a tre siti con campus Disastro localizzato TIER 6 RPO, RTO = 0 Disastro esteso TIER 4 RPO < 5 min. RTO < 72 ore Replica asincrona > 200 Km
  15. 15. 12 marzo 2014 Alessandro Alessandroni pag. 15 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” caso a tre siti con sito bunker (1/2)
  16. 16. 12 marzo 2014 Alessandro Alessandroni pag. 16 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” caso a tre siti con sito bunker (2/2)
  17. 17. 12 marzo 2014 Alessandro Alessandroni pag. 17 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” struttura organizzativa: compiti • Predisporre tutte le misure necessarie per ridurre l’impatto di un’emergenza • Mettere a disposizione risorse alternative a quelle non disponibili • Governare il sistema durante l’emergenza • Gestire il rientro alla normalità Comitato di gestione della crisi Gruppo di supporto Gruppo di assistenza agli utenti Gruppo di coordinamento tecnico
  18. 18. 12 marzo 2014 Alessandro Alessandroni pag. 18 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” componenti del PIANO BC /DR • Piano di DR, per la gestione della situazione di reale emergenza; • Piano di Test, per la simulazione periodica del recovery e verifica dell’efficacia della soluzione; • Piano di Gestione Ordinaria, per la quotidiana manutenzione e controllo della soluzione.
  19. 19. 12 marzo 2014 Alessandro Alessandroni 2- I principali standard internazionali pag. 19 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
  20. 20. 12 marzo 2014 Alessandro Alessandroni La rilevanza sempre maggiore assunta dalle problematiche relative al processo di gestione della Business Continuity ha portato recentemente alla pubblicazione di alcuni standard specifici: ISO 22301:2012 (“Societal security -- Buisiness continuity management systems – Requirements”), deriva in grande parte da BS 25999 del 2006 La norma specifica i requisiti per implementare, gestire e migliorare un sistema documentato di Business Continuity Management (BCMS) per preparare l’azienda a fronteggiare gli eventi distruttivi quando essi si verificano ISO 22313:2012 (“Societal security. Business continuity management systems. Guidance”) La norma fornisce una guida generale basata su best practices mondiali per la pianificazione, la implementazione, la gestione e il miglioramento costante di un sistema documentato di gestione della Business Continuity. pag. 20 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” standard relativi a BC e DR
  21. 21. 12 marzo 2014 Alessandro Alessandroni ISO/IEC 27031:2011 (“Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity”). La norma del tipo “buone pratiche” emessa nel 2011 è specificatamente dedicata alle componenti ICT dell’organizzazione, ripercorre quanto previsto nella ISO 22301 contestualizzandolo all’ICT; deriva in grande parte da BS 25777 ISO/IEC 24762 (“Information technology — Security techniques — Guidelines for information and communications technology disaster recovery services”); uno standard emesso nel 2008 (del tipo “buone pratiche”) che fornisce le indicazioni per progettare, realizzare e gestire i servizi di Disaster Recovery dell’ICT Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” pag. 21 standard relativi a BC e DR (ICT)
  22. 22. 12 marzo 2014 Alessandro Alessandroni SICUREZZA ICT •ISO/IEC 27001:2013 (“Information technology — Security techniques — Information security management systems – Requirements”) • fornisce i requisiti di un sistema di gestione della sicurezza ICT •include tra gli obiettivi di controllo la “information security continuity” •ISO/IEC 27002:2013 (“Information technology — Security techniques — Code of practice for information security management”) standard del tipo “buone pratiche” GESTIONE SERVIZI ICT •ISO/IEC 20000-1:2011 (Information technology – Service Management – Part 1: Specification) •fornisce i requisiti di un sistema di gestione dei servizi ICT •include tra i servizi la gestione della continuità dei servizi •ISO/IEC 20000-2:2012 (Information technology – Service Management – Part 1: Code of practice) standard del tipo “buone pratiche” pag. 22 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” Standard collegati
  23. 23. 12 marzo 2014 Alessandro Alessandroni Contesto della organizzazione Leadership Pianificazione Supporto Business Impact Analysis (BIA): Risk Assessment (RA): Strategia di business continuity Piani di business continuity e DR: Esercitazioni e test valutazione delle prestazioni Miglioramento pag. 23 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” principali punti dello standard ISO 22301
  24. 24. 12 marzo 2014 Alessandro Alessandroni La Banca d’Italia, a partire dal 2004, ha impartito disposizioni che rendono obbligatorio per gli intermediari finanziari la realizzazione di un piano di continuità (Business Continuity Plan – BCP) Il piano deve garantire che, anche in caso di incidenti o disastri, i servizi aziendali più importanti continuino a funzionare o siano ripristinati in tempi accettabili. il piano deve essere aggiornato e, almeno annualmente, è soggetto a verifiche e controlli da parte sia di funzioni interne (BC Manager, Compliance, Internal Audit, Collegio Sindacale) sia esterne (Banca d’Italia). pag. 24 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” linee guida e Best Practice
  25. 25. 12 marzo 2014 Alessandro Alessandroni Internazionali (2002) Stati Uniti - Sarbanes-Oxley (SOX): società di capitale quotate negli USA (2006) Europa - EURO-SOX: società di capitale (2001) Europa - Basilea 2 e (2007) Basilea 3: banche Nazionali (2003) Garante per la protezione dei dati personali per tutti i soggetti che trattano dati personali (2004) Banca di Italia per il settore bancario (2010) Codice Amministrazione digitale per la pubblica amministrazione pag. 25 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” norme che richiedono soluzioni di CO e DR
  26. 26. 12 marzo 2014 Alessandro Alessandroni 3 - La normativa per gli intermediari finanziari pag. 26 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
  27. 27. 12 marzo 2014 Alessandro Alessandroni pag. 27 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” iniziative BdI e ABI • La Banca d’Italia, a partire dal 2004, ha impartito disposizioni che rendono obbligatorio per gli intermediari finanziari la realizzazione di un piano di continuità (Business Continuity Plan – BCP) • Il piano deve garantire che, anche in caso di incidenti o disastri, i servizi aziendali più importanti continuino a funzionare o siano ripristinati in tempi accettabili. • il piano deve essere aggiornato e, almeno annualmente, è soggetto a verifiche e controlli da parte sia di funzioni interne (BC Manager, Compliance, Internal Audit, Collegio Sindacale) sia esterne (Banca d’Italia).
  28. 28. 12 marzo 2014 Alessandro Alessandroni pag. 28 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” le norme di BdI • Banca d’Italia, “Continuità operativa in casi di emergenza”, in Bollettino di Vigilanza Numero 7, luglio 2004 in http://www.bancaditalia.it/vigilanza/pubblicazioni/bollvig/04/Bolvig_07_04.pdf (pagg. 7 -13) • Banca d’Italia, “Linee guida per la continuità di servizio delle infrastrutture qualificate dei sistemi di pagamento”, 2004, in http://www.bancaditalia.it/sispaga/sms/infrastrutture/bi/linee/Linee_guida_SSP.pdf • Banca d’Italia , “Linee guida per la continuità di servizio dei mercati all’ingrosso e dei sistemi di supporto”, ottobre 2004, in http://www.bancaditalia.it/sispaga/sms/docum/prinstasorv/guidelines/Linee_Guida_B_C_28ottobre2004.pdf • Banca d’Italia, “Disposizioni di vigilanza - requisiti particolari per la continuità operativa dei processi a rilevanza sistemica”, marzo 2007, in http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/requisiti_processi_rilevanza_sistemica.pdf • Banca d’Italia, “Terms of Reference (ToR) per la continuità operativa”, 4 dicembre 2007, in http://www.bancaditalia.it/sispaga/sms/infrastrutture/bi/tor/TOR_Business_continuityt.pdf • Nuove disposizioni di vigilanza prudenziale per le banche (Circ. n. 263 del 27 dicembre 2006) – 15° aggiornamento “Sistema dei controlli interni, sistema informativo e continuità operativa” https://www.bancaditalia.it/vigilanza/normativa/norm_bi/circ-reg/vigprud/agg_15_del_02072013/263CIRC_15AGG.pdf
  29. 29. 12 marzo 2014 Alessandro Alessandroni pag. 29 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” scenari di crisi • distruzione o inaccessibilità di strutture nelle quali sono allocate unità operative o apparecchiature critiche; • indisponibilità di sistemi informativi critici; • indisponibilità di personale essenziale per il funzionamento dei processi aziendali; • interruzione del funzionamento delle infrastrutture (tra cui energia elettrica, reti di telecomunicazione, reti interbancarie, mercati finanziari); • alterazione dei dati o indisponibilità dei sistemi a seguito di attacchi perpetrati dall'esterno attraverso reti telematiche;
  30. 30. 12 marzo 2014 Alessandro Alessandroni pag. 30 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” contenuti principali del piano di CO • modalità per: – la dichiarazione dello stato di emergenza, – l'organizzazione e le procedure da seguire in situazione di crisi, – l'iter per la ripresa della normale operatività • tempo massimo accettabile di ripartenza di sistemi e processi critici • individuazione dei siti alternativi • indicazione di spazi e infrastrutture logistiche e di comunicazione adeguate per il personale coinvolto nell'emergenza • regole di conservazione delle copie dei documenti importanti (ad es. contratti) in luoghi remoti rispetto ai documenti originali.
  31. 31. 12 marzo 2014 Alessandro Alessandroni pag. 31 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” siti di recovery • I siti di recovery dei processi a rilevanza sistemica sono situati a congrua distanza dai siti primari in modo da assicurare un elevato grado di indipendenza tra i due insediamenti. • In generale, i siti di recovery sono ubicati all’esterno dell’area metropolitana nella quale sono presenti i siti primari; inoltre, essi utilizzano servizi (telecomunicazioni, energia, acqua, ecc.) distinti da quelli impiegati in produzione. • Laddove ciò non avvenga è necessaria una valutazione rigorosa, supportata da pareri di parti terze qualificate (ad es. Protezione Civile, accademici, professionisti) e compiutamente documentata, che il rischio di indisponibilità contemporanea dei siti primari e secondari è trascurabile.
  32. 32. 12 marzo 2014 Alessandro Alessandroni pag. 32 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” la normativa sui requisiti sistemici Provvedimento del 20 marzo 2007 Aggiornamento n. 15 luglio 2013 circolare BdI n.236/2006 1. Definizione dei criteri per la individuazione dei soggetti coinvolti – Banche/gruppi con quote di mercato (FINT) > 5% – Rilevanza nei servizi di pagamento/regolamento 2. Elencazione dei processi a rilevanza sistemica da tutelare con misure di continuità rafforzate – Sistemi di pagamento – Accesso ai mercati rilevanti per la liquidità – Servizi di compensazione e regolamento 3. Requisiti particolari aggiuntivi a quelli previsti per la generalità degli intermediari – Il tempo di ripartenza per i processi a rilevanza sistemica < 2ore – Il tempo di ripristino (comprende tempi di analisi e decisione) per i processi a rilevanza sistemica < 4 ore – sono considerate adeguate le soluzioni basate su architetture tecnologiche che effettuino la duplicazione in linea dei dati operativi in modo da eliminare o ridurre al minimo la perdita di informazioni. – l’intervallo di tempo che intercorre fra il punto di ripristino e il momento dell’incidente (RPO) è pari o prossimo a zero.
  33. 33. 12 marzo 2014 Alessandro Alessandroni 4- La normativa per la pubblica amministrazione pag. 33 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”
  34. 34. 12 marzo 2014 Alessandro Alessandroni pag. 34 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” prima dell’obbligo introdotto dall’art.50 bis del nuovo CAD (2010) •Iniziative prevalentemente limitate alle organizzazioni più critiche e complesse quali ad es. Ministero Finanze, Istituti previdenziali e assicurativi •attenzione soprattutto alle soluzioni tecniche •2005 – istituzione del Centro di competenza sulla continuità operativa presso CNIPA •2006 Linee guida alla continuità operativa nella PA – Quaderno CNIPA n.28 •2008 La Continuità operativa nella PA: Casi di studio – Quaderno n. 35 (MEF/Sogei, Min. P.I., Min. Trasporti, Istituti Previdenziali e assicurativi, CSI Piemonte)
  35. 35. 12 marzo 2014 Alessandro Alessandroni pag. 35 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” continuità Operativa Nuovo Codice dell’Amministrazione Digitale (CAD) l’articolo 50-bis (Continuità operativa) Dlgs 30.12.2010, n.235 1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività. 2. Il Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.
  36. 36. 12 marzo 2014 Alessandro Alessandroni pag. 36 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” continuità Operativa Nuovo Codice dell’Amministrazione Digitale (CAD) (segue) 3.A tali fini, le pubbliche amministrazioni definiscono : a) il piano di continuità operativa: fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale; b) il piano di disaster recovery: stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione. 4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA.
  37. 37. 12 marzo 2014 Alessandro Alessandroni pag. 37 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” Ruoli e funzioni per attuazione art. 50-bis del CAD AGID : Emette le Linee Guida (LG) prima versione novembre 2011 seconda versione settembre 2013 AGID: emette pareri su SFT (ad oggi oltre 900) PP.AA*. : Predispongono e sottopongono al parere di AID studi di fattibilità tecnica (SFT), (ad oggi oltre 1050) AGID: verifica annualmente i’aggiornamento dei piani di DR PP.AA.: Implementano le soluzioni e predi-spongono i piani di CO e di DR sulla base dello SFT e del parere di AGID; Verificano con cadenza biennale la funzionalità del Piano di CO ; Garantiscono la manutenzione della soluzione e informando AGID Inviano a AGID annualmente l’aggiornamento del piano di DR Il Ministro assicura l’omogeneità delle soluzioni informando con cadenza annuale il Parlamento* PAC e PAL (Regioni, Province, Comuni, ASL e AO, Università, Istituti scolastici, Camere Commercio, Società controllate
  38. 38. TierTier 11 MediaMediaBassaBassa AltaAlta CriticaCritica Network CRITICITÀ TierTier 22 TierTier 33 TierTier 44 TierTier 66 TierTier 55 TierTier 11 MediaMediaBassaBassa AltaAlta CriticaCritica NetworkNetwork CRITICITÀ TierTier 22 TierTier 33 TierTier 44 TierTier 66 TierTier 55Tier 3: soluzione simile a quella di Tier 2 ma il trasferimento dei dati tra il sito primario e quello di DR avviene attraverso un collegamento di rete tra i due siti. : la soluzione prevede che le risorse elaborative, garantite coerenti con quelle del centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in tempi rapidi : la soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi aggiornamenti. : la soluzione prevede che nel sito di DR le risorse elaborative, oltre ad essere sempre attive, siano funzionalmente speculari a quelle del sito primario, rendendo così possibile ripristinare l’operatività dell’IT in tempi molto rapidi Le soluzioni di DR nelle linee guida : backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza soluzione simile a quella di Tier 1 ma le risorse elaborative, già presenti, possono essere disponibili in tempi più brevi
  39. 39. 12 marzo 2014 Alessandro Alessandroni pag. 39 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” normativa in materia di razionalizzazione dei CED della PA ▪ D.L. 18 Ottobre 2012 n.179 convertito nella legge 221/12 , Art. 33 septies: “Consolidamento dei siti e delle infrastrutture digitali del paese” ▪ L’Agenzia per l’Italia Digitale elabora le linee guida, basate sulle principali metriche di efficienza internazionalmente riconosciute, finalizzate alla definizione di un piano triennale di razionalizzazione dei CED delle PP.AA. ▪ Il Piano di razionalizzazione dovrà: – portare alla diffusione di standard comuni di interoperabilità – a crescenti livelli di efficienza e di sicurezza – a una più rapida erogazione dei servizi ai cittadini e alle imprese ▪ Entro il 30 Settembre 2013, AGID trasmette al Presidente del Consiglio dei Ministri dopo una consultazione pubblica : – I risultati del censimento effettuato – Le linee guida per la razionalizzazione dell’infrastruttura digitale della PA ▪ Entro i successivi novanta giorni, il Governo, adotta il piano triennale di razionalizzazione dei CED delle pubbliche amministrazioni di cui al comma 1, aggiornato annualmente Ricognizione dei CED della PP.AA Elaborazione e trasmissione alla PCM delle linee guida Decreto di Adozione del Piano triennale
  40. 40. 12 marzo 2014 Alessandro Alessandroni pag. 40 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” risultati del censimento In assenza di interventi di razionalizzazione, i CED delle Regioni non sono in grado di ospitare tutto il fabbisogno pubblico dei propri territori La distribuzione geografica CED evidenzia una eccessiva frammentazione 986 CED Censiti
  41. 41. 12 marzo 2014 Alessandro Alessandroni pag. 41 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” l’infrastruttura nei CED delle PA L’adeguamento puntuale di tutti i CED censiti è ovviamente diseconomico, è urgente procedere al piano di razionalizzazione per la conservazione efficiente e sicura dei dati pubblici. L’adeguamento puntuale di tutti i CED censiti è ovviamente diseconomico, è urgente procedere al piano di razionalizzazione per la conservazione efficiente e sicura dei dati pubblici.
  42. 42. 12 marzo 2014 Alessandro Alessandroni pag. 42 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” le Linee Guida: direttrici di intervento Il processo di razionalizzazione richiede che i CED della PA rispondano a requisiti: 1) Infrastrutturali: caratteristiche minime Data Center TIER III secondo lo standard TIA-942 2) Relativi all’ICT, Hardware e Software (% virtualizzazione, aggiornamento tecnologico HW e SW, NAS e SAN, connessioni FO) 3) miglioramento delle caratteristiche infrastrutturali IT e di tipo energetico da raggiungere nel corso dei tre anni del piano (PUE < 1,6)
  43. 43. 12 marzo 2014 Alessandro Alessandroni pag. 43 Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche” il Piano Triennale di Razionalizzazione: obiettivi finalizzato a razionalizzazione e consolidamento dei CED della PA verso i nuovi Data Center conformi almeno al TIER III secondo lo standard TIA-942 La razionalizzazione, il consolidamento, il risparmio energetico e la scalabilità delle infrastrutture informatiche prevedono 3 step fondamentali: 1) Razionalizzazione degli spazi 2) Razionalizzazione degli apparati 3) Razionalizzazione degli applicativi Il Piano Triennale si pone l’obiettivo di completare i primi due punti e verifica la conformità degli applicativi in uso, rispetto al Cloud PAC: Individuazione di alcuni poli nazionali per il consolidamento di CED, razionalizzazione e migrazione PAL: in ogni regione consolidamento e migrazione in uno o più siti dell’infrastruttura IT di tutto il relativo territorio

×