Il tema della continuità operativa, intesa come capacità di un’organizzazione di continuare la gestione del proprio core business anche a fronte di eventi avversi (di origine naturale o delittuosa), è di rilevanza assolutamente strategica anche (se non “soprattutto”) per quanto riguarda la pubblica amministrazione e la sanità.
Risulta sufficientemente agghiacciante pensare a un crash di sistema in un ospedale: prenotazioni, schedulazioni di interventi chirurgici, richieste e ritorni di referti, tutto in panne mentre centinaia di pazienti attendono invano e altrettante centinaia di medici e infermieri rimangono basiti a guardare monitor spenti o balbuzienti.
Il Codice dell’Amministrazione Digitlae, vigente anche in ambito sanitario perlomeno per quanto attiene alle strutture gestite direttamente dal Servizio Sanitario Nazionale, prevede all’art. 50-bis l’obbligatorietà di adozione di piani di business continuity e disaster recovery con tanto di piano dettagliato di fattibilità e rilascio di un parere da parte dell’AgID.
L’obiettivo “minimo” è rappresentato dall’adozione di soluzioni capaci di assicurare la continuità delleoperazioni indispensabili per il servizio e il ritorno alla normale operatività. Sino ad arrivare al livello “top”, dove il sistema riparte istantaneamente anche a fronte di eventi avversi di straordinaria gravità essendo replicato “altrove” in tutta la sua consistenza e complessità.
Ma come sono messe le Aziende Sanitarie e Ospedaliere italiane rispetto al problema?
L’Osservatorio Netics ha effettuato una survey su un campione di 65 ASL e AO pubbliche, chiedendo ai CIO di rispondere a una serie di domande finalizzate a comprendere lo stato dell’arte.
28 di queste Aziende sono state intervistate tra il mese di maggio e quello di settembre 2014 nell’ambito della rilevazione annuale eseguita per conto di AISIS, l’associazione dei CIO della Sanità; ulteriori 37 Aziende sono state intervistate telefonicamente tra ottobre e novembre 2014.
I risultati non sono entusiasmanti, anche se va detto che si è rilevato un significativo progresso rispetto ad una rilevazione analoga effettuata nel 2013.
Partiamo dalle buone notizie: il 75,3% degli intervistati dichiara di aver predisposto un piano di business continuity con relativo studio di fattibilità, sottoposto a richiesta di parere da parte di AgID nel 57% dei casi.
Nel 50,7% dei casi, le ASL e AO hanno attivato soluzioni di disaster recovery. Prevale (di pochissimo) la scelta di dislocare l’infrastruttura di disaster recovery in una sede diversa da quella che ospita il data center principale; la distanza media fra data center principale e disaster recovery è di circa 12 chilometri.
Soltanto un quarto delle Aziende dotate di un’infrastruttura di disaster recovery ha adottato soluzioni di replica sincrona, garantendo quindi un RPO (recovery point objective) praticamente tendente a zero.
Come prevedibile, le Aziende maggiormente fault tolerant sono quelle (ospedaliere) di maggiori dimensioni (più di 1.000 posti letto), localizzate al Nord.
Volendo sintetizzare e semplificare: tre ospedali su quattro non sono in grado di garantire una ripartenza immediata nel caso di eventi avversi di particolare gravità. Uno su quattro non può fare altro che affidarsi all’ultimo backup effettuato, una volta ripristinata l’infrastruttura hardware.
Una buona metà delle strutture è in grado, nella migliore delle ipotesi, di ripartire nel giro di qualche giorno “se tutto va bene”.
Le ragioni di questa situazione risiedono abbondantemente, secondo le risposte degli intervistati, nella ormai cronica mancanza di fondi da destinare a investimenti: i CIO “si arrendono” di fronte all’impossibilità di adottare soluzioni di disaster recovery a replica sincrona verso sedi geograficamente “suficientemente distanti” dal data center.
Non è un caso se la stragrande maggioranza (quasi l’80%) di questi CIO si dichiara fortemente interessata a valutare, già nel corso del 2015, soluzioni di IaaS capaci di garantire fault tolerance a “investimento zero” e pienamente conformi alle norme e alle indicazioni del Garante per la protezione dei dati personali.
Interessante anche la discreta disponibilità, dichiarata da una buona decina di CIO intervistati, rispetto a ipotesi di consolidamento “associativo”: più aziende sanitarie e/o ospedaliere che “mettono insieme” i loro data center creando una infrastruttura consolidata di dimensioni sufficienti a garantire maggiore economicità e un significativo incremento di prestazioni e di sicurezza e fault tolerance.
Cloud e cooperazione, in estrema sintesi: queste le parole chiave a partire dalle quali all’offerta non resta che bussare alla porta e alla domanda non resta che crederci sino in fondo.
