Data protection

Nuova proroga Avviso PNRR per migrare sul cloud di Polo Strategico Nazionale

La migrazione verso il sistema cloud computing è ormai diventata un’esigenza cruciale per aziende e Amministrazioni, l’unica via per perseguire l’efficienza operativa, la scalabilità delle risorse IT e la flessibilità. I servizi di migrazione al cloud di Polo Strategico Nazionale[1] sono mirati a garantire una trasformazione digitale sicura e controllata.

Qualsiasi azienda pubblica o privata, che intenda passare alla gestione in cloud, deve svolgere una valutazione approfondita dei requisiti di migrazione, fondamentale per il successo dell’intera operazione.

Il primo step concerne l’individuazione delle esigenze interne all’azienda, comprese le operazioni quotidiane e gli obiettivi strategici sul lungo periodo. Una visione così chiarificata può consentire l’identificazione di risorse e applicazioni essenziali per ottenere sia l’efficienza operativa che la capacità strategica.

Per raggiungere tali scopi gli aspetti da considerare sono i seguenti:

  1. La valutazione delle applicazioni critiche, che significa identificare e classificare le applicazioni in base alla loro criticità. Le applicazioni possono essere categorizzate come mission critical, business critical o non critiche. Ciò aiuta a definire le priorità di migrazione e a garantire che le applicazioni vitali per l’operatività siano gestite con la massima attenzione durante il processo di transizione.
  2. L’analisi delle dipendenze parte dal presupposto per cui le applicazioni di rado operano in maniera isolata. Per questo motivo è necessario condurre un’analisi dettagliata delle dipendenze e delle interconnessioni tra le applicazioni e i servizi. Comprendere come comunicano tra loro e dipendono da servizi esterni aiuta ad evitare interruzioni indesiderate durante il processo di migrazione al cloud e a mantenere stabili i servizi.
  3. La gestione degli intervalli di downtime si caratterizza per il fatto che detti intervalli variano notevolmente a seconda dell’azienda e delle operazioni poste in essere. Alcun eaziende possono tollerare solo brevi periodi di in’attività, mentre altre possono permettersi interruzioni più prolungate. La valutazione degli intervalli di downtime accettabili aiuta a pianificare il momento migliore per eseguire la migrazione di ciascuna applicazione, riducendo al minimo l’impatto sulle attività aziendali. Sono passaggi che diventano obbligatori alla stregua dello stabilire chiari obiettivi di performance per le applicazioni e i servizi che saranno migrati al cloud, includendo metriche di velocità e di affidabilità. Questa operazione consente di monitorare il successo della migrazione e apportare eventuali miglioramenti in base ai risultati ottenuti: un approccio metodico, in questa prima fase permette una migrazione ottimale sfruttando appieno le potenzialità del cloud computing.
  4. La classificazione dei dati e dei servizi svolge un ruolo chiave nell’orientare le Amministrazioni e le aziende private nella scelta delle soluzioni cloud più efficienti. L’ACN per facilitare le operazioni e schematizzare i passaggi da seguire, ha individuato tre classi specifiche che dettano i criteri di valutazione per la classificazione dei dati e che si basano principalmente sugli effetti che potenziali attacchi informatici potrebbero avere sul sistema. I dati possono essere classificati all’interno delle seguenti tre classi:
  5. Dato strategico[2]: la compromissione può incidere sulla sicurezza nazionale.
  6. Dato critico[3]: la compromissione può pregiudicare funzioni vitali per la società, la salute e il benessere economico e sociale del Paese.
  7. Dato ordinario[4]: la compromissione non determinerebbe l’interruzione di servizi dello Stato o un pregiudizio per il benessere economico e sociale del Paese.

La classificazione dei dati svolge un ruolo chiave nella salvaguardia della sicurezza nazionale. La divisione in tre categorie consente di identificare i dati e i servizi che, in caso di compromissione, potrebbero  minacciare la sicurezza di aziende e PA.

La classificazione fornisce una guida nella selezione delle infrastrutture cloud[5] più adatte. Attraverso la definizione di livelli di criticità, si stabiliscono le misure di sicurezza, qualità e affidabilità che i servizi cloud devono implementare.

La strategia Cloud Italia, pubblicata a settembre 2021, sottolinea l’importanza della sicurezza dei dati e dei servizi della PA. La classificazione è un elemento cardine di questa strategia, consentendo un salto di qualità nella cybersicurezza e qualificando l’Italia come leader nell’innovazione digitale europea.

In questo panorama, il polo Strategico nazionale rappresenta la soluzione ad alta affidabilità ideale per garantire la sicurezza e l’efficienza delle PA che gestiscono i dati strategici critici. L’infrastruttura nazionale per l’erogazione dei servizi cloud offre un elevato grado di resilienza e indipendenza aprendo la strada al raggiungimento dell’autonomia tecnologica.

Però, pianificare la migrazione al cloud non basta: un elemento centrale del passaggio al cloud è prevedere una chiara consequenzialità dei processi di migrazione così da definire fasi ben strutturate e interdipendenti.

Le applicazioni e i dati dovrebbero essere suddivisi in fasi distinte, con l’attenzione alla sequenziazione logica e alla gestione dei rischi. Per esempio, le applicazioni non critiche o meno complesse possono essere spostate nelle prime fasi, permettendo un apprendimento graduale e la correzione di eventuali problemi prima del passaggio alle applicazioni critiche.

Solo in questo modo tutti gli attori coinvolti nel processo potranno implementare fasi di test approfonditi che serviranno a compiere una migrazione efficace minimizzando i rischi e prevenendo, potenziali interruzioni delle attività.

In questo contesto, il futuro digitale della PA in Italia inizia con il cloud.

A tale proposito è stato pubblicato il bando dedicato allo sviluppo di tecnologico dei servizi pubblici, all’interno della Missione 1.1 del PNRR[6], finanziato dalla UE nel contesto dell’iniziativa NextGenerationEU[7].

L’avviso offre l’opportunità a 165 Pubbliche Amministrazioni Centrali di migrare sul cloud sicuro e sovrano del Polo Strategico Nazionale.

L’avviso che ha una dotazione finanziaria di 150 milioni di euro è rivolto ai seguenti Soggetti Pubblici:

  • Organi di rilievo costituzionale
  • Enti di regolazione dell’attività economica
  • Enti produttori di servizi tecnici ed economici
  • Autorità amministrative indipendenti
  • Enti a struttura associativa
  • Enti produttori di servizi assistenziali, ricreativi e culturali
  • Enti e istituzioni di ricerca
  • Enti nazionali di previdenza e assistenza sociale.

[1] “Polo Strategico Nazionale S.p.A. è l’infrastruttura cloud per la Pubblica Amministrazione italiana. La società, di nuova costituzione partecipata da TIM, Leonardo, CDP Equity e Sogei, nasce dall’esigenza di mettere in sicurezza i dati critici e strategici, i sistemi e le applicazioni delle Amministrazioni. L’infrastruttura tecnologica rende più snelli i servizi dedicati ai cittadini e permette all’Italia di raggiungere tutti gli obiettivi del PNRR per ricevere i fondi europei destinati alla digitalizzazione del Paese. L’obiettivo di Polo Strategico Nazionale è portare il 75% delle Amministrazioni italiane a migrare verso i servizi cloud entro il 2026.”

[2] Un “dato strategico” è un tipo di informazione la cui compromissione potrebbe avere un impatto significativo sulla sicurezza nazionale, come funzioni e servizi essenziali dello Stato. La compromissione di dati strategici può compromettere la stabilità del Paese e la sicurezza dei suoi cittadini. 

Ulteriori dettagli:

Classificazione dei dati:

I dati possono essere classificati in base al loro livello di importanza e al rischio di compromissione. I dati strategici sono quelli che, in caso di compromissione, potrebbero avere un impatto significativo sulla sicurezza nazionale. 

Esempi di dati strategici:

Esempi di dati strategici includono informazioni riservate sulla difesa nazionale, informazioni sulla salute pubblica, informazioni finanziarie, e informazioni economiche. Importanza della protezione dei dati strategici: La protezione dei dati strategici è fondamentale per garantire la sicurezza e la stabilità del Paese. I dati strategici devono essere protetti da accessi non autorizzati e da attacchi informatici.

[3] Un “dato critico”   un dato che, se compromesso, può avere un impatto significativo e negativo sulla società, la salute, la sicurezza e il benessere economico e sociale di un paese. È un elemento chiave per il mantenimento di funzioni rilevanti, come la pubblica sicurezza o i servizi essenziali. 

Più specificatamente, un dato critico è: Un raggruppamento logico di colonne importanti: tra tabelle nelle origini dati. Un dato la cui compromissione può determinare un pregiudizio: al mantenimento di funzioni rilevanti per la società. Un elemento strategico: che, se violato, potrebbe avere un impatto sulla sicurezza nazionale, come ad esempio dati sensibili relativi a infrastrutture critiche. In altre parole, un dato critico è un dato che merita una protezione extra e un’attenzione particolare per la sua importanza. Esempi di dati critici: Dati personali (come quelli contenuti in banche dati di pazienti, clienti o cittadini).  Informazioni relative a infrastrutture critiche (come la rete elettrica, i trasporti, le telecomunicazioni).  Dati finanziari sensibili.  Dati relativi alla sicurezza nazionale (come informazioni militari, politiche di sicurezza).  Dati che costituiscono elementi essenziali per il funzionamento di servizi pubblici (come il trasporto pubblico, l’erogazione di energia, l’accesso ai servizi sanitari).  Perché è importante proteggere i dati critici? Per garantire il funzionamento dei servizi essenziali: e proteggere la salute, la sicurezza e il benessere della popolazione.  Per tutelare la riservatezza dei cittadini: e impedire abusi o violazioni dei loro diritti. Per prevenire attacchi informatici e cybercrime: che potrebbero mettere a rischio l’infrastruttura nazionale e la sicurezza.  Per preservare la stabilità economica e sociale: e evitare conseguenze negative derivanti da una perdita o compromissione dei dati critici

[4] Un “dato ordinario”, in un contesto di classificazione dei dati, si riferisce a dati e servizi che non causano un pregiudizio significativo per il benessere sociale ed economico del paese se compromessi. La compromissione di dati ordinari non porta a interruzioni dei servizi statali. In altre parole, sono dati meno sensibili rispetto a quelli classificati come “riservati” o “strettamente riservati”. La classificazione dei dati è un processo che permette di organizzare e proteggere le informazioni in base al loro livello di sensibilità. Questo processo è fondamentale per garantire la sicurezza delle informazioni e la compliance con le normative sulla protezione dei dati, come il GDPR. Esempio di classificazione: Pubblico: Dati disponibili al pubblico senza restrizioni. A uso interno: Dati utilizzati all’interno dell’organizzazione, non destinati alla diffusione esterna. Riservato: Dati di una certa sensibilità, che necessitano di protezione e accesso limitato. Strettamente riservato: Dati di elevata sensibilità, che richiedono la massima protezione e accesso estremamente limitato.

[5] L’infrastruttura cloud è il termine con cui si indicano i componenti hardware e software che consentono la delivery dei servizi di cloud computing. Questi includono server, software, rete, archiviazione e tecnologia di virtualizzazione. L’infrastruttura cloud viene distribuita in data center remoti e vi si accede tramite Internet per fornire risorse di elaborazione on-demand ai clienti. L’infrastruttura cloud si basa sulla virtualizzazione per estrarre potenza di elaborazione e capacità di storage dall’hardware e dai server effettivi che la forniscono. Ciò consente agli utenti di qualsiasi parte del mondo di accedere e utilizzare l’infrastruttura cloud dai propri computer. Virtualizzando e quindi raggruppando in pool un gran numero di server e altro hardware, i provider di servizi cloud possono offrire ai clienti pool di infrastrutture cloud virtualizzate, consentendo una scalabilità pressoché illimitata. Il software di automazione e gli strumenti di gestione consentono ai clienti di eseguire il provisioning dell’infrastruttura cloud autonomamente, accedendo alle risorse di elaborazione ogni volta che ne hanno bisogno. I componenti dell’infrastruttura cloud includono: Server. Il fulcro dell’infrastruttura cloud è rappresentato dai server che forniscono la potenza di elaborazione ed eseguono le attività richieste. Sono inclusi i server che ospitano i database cloud, i server web che forniscono applicazioni commerciali e non commerciali, i server di posta che consentono l’invio di e-mail tramite Internet, i file server che gestiscono grandi quantità di informazioni e altri tipi di server. Storage. Lo storage nel cloud consente alle aziende di archiviare grandi quantità di dati in posizioni remote, piuttosto che dover installare e gestire il proprio storage all’interno dei data center locali. Rete. L’infrastruttura di rete include cablaggi fisici, switch, sistemi di bilanciamento del carico e router che collegano gli altri componenti dell’infrastruttura cloud e la rendono disponibile ai clienti tramite Internet o una connessione di rete privata. Virtualizzazione. La virtualizzazione viene abilitata da un software chiamato hypervisor che consente a più ambienti di accedere in modo sicuro allo stesso hardware sottostante in molte configurazioni diverse. Ciò consente effettivamente ai consumatori di scegliere le risorse di elaborazione, storage e memoria di cui hanno bisogno. Dopo aver estratto memoria, potenza di elaborazione e storage da un server, la tecnologia di virtualizzazione crea un pool virtualizzato di risorse centralizzate, noto come cloud.

[6] La Missione 1 del PNRR, “Digitalizzazione, innovazione, competitività e cultura”, mira a promuovere la digitalizzazione, l’innovazione, la competitività e lo sviluppo culturale, per rilanciare il sistema paese. All’interno della Missione 1, l’Investimento 1.1 “Infrastrutture digitali” si concentra sulla migrazione al Polo Strategico Nazionale (PSN), un’infrastruttura cloud di nuova generazione, per efficientare la Pubblica Amministrazione e accelerare la digitalizzazione. La Missione 1 del PNRR è uno dei pilastri fondamentali del Piano Nazionale di Ripresa e Resilienza, con l’obiettivo di trasformare il paese attraverso la digitalizzazione, l’innovazione e la competitività. Questa missione si focalizza su diversi aspetti, tra i quali, per quanto di stretto interesse in questa sede: Digitalizzazione: La transizione digitale è un obiettivo chiave, sia per la Pubblica Amministrazione che per il settore privato. L’Investimento 1.1, “Infrastrutture digitali”, prevede la migrazione dei servizi pubblici verso il Polo Strategico Nazionale (PSN), un’infrastruttura cloud di livello europeo, per garantire maggiore efficienza, sicurezza e interoperabilità. Innovazione: La missione promuove l’innovazione in diversi settori, tra cui la ricerca e lo sviluppo, per rafforzare la competitività del sistema produttivo.

[7] NextGenerationEU sta stimolando l’economia europea e rendendo le nostre società più forti e più resilienti, ottenendo risultati tangibili per gli europei attraverso i suoi numerosi progetti. È il più grande pacchetto di incentivi mai adottato nell’UE che sta dando l’esempio e definendo il piano per un nuovo modello di crescita basato su un’economia pulita, innovativa e inclusiva e sulla sovranità digitale e tecnologica. Investendo nell’assistenza sanitaria, contribuisce a una società più equa e più attenta agli altri, in grado di affrontare le sfide che ci attendono.  Sostenendo l’istruzione e le competenze, contribuisce a preparare la nostra forza lavoro a nuove opportunità in un mondo guidato dalla tecnologia.  Assistendo le nostre PMI e i giovani imprenditori, alimenta anche l’innovazione, crea posti di lavoro e stimola la crescita futura. 

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

Contratti_2
anticorruzione

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Cibersicurezza
La Direttiva NIS 2 – I chiarimenti dell’Agenzia per la Cibersicurezza
25 Febbraio 2025
TELEMARKETING
la raccolta dati attraverso il Web per lo svolgimento di attività di telemarketing e di teleselling: il garante fa il punto della questione.
29 Marzo 2025
Medico Competente
Il ruolo del Medico Competente in materia di igiene e sicurezza sul luogo di lavoro nel trattamento dei dati personali dei lavoratori.
19 Febbraio 2024

Start typing and press Enter to search