Descrizione dell'intervento
CLOUD@ME si pone in linea con il Piano Nazionale di razionalizzazione dei CED della PA e con Piano Triennale dell’Innovazione: “Il principale obiettivo dell'Amministrazione è la totale, stabile, progressiva ed irreversibile unificazione delle risorse informatiche dei Dipartimenti attualmente decentrati verso un unico Centro Elaborazione Dati.”
Esso prevede l’ammodernamento hardware e degli spazi fisici necessario per garantire gli opportuni standard per l’erogazione dei servizi all’intera Area Metropolitana.
L’ammodernamento riguarderà pertanto sia aspetti sistemistici e di rete, sia impiantistici (elettrici, di condizionamento) sia di sicurezza fisica dei locali del CED in modo da poter ospitare e gestire un numero elevato di apparecchiature informatiche e garantirne la sicurezza gestionale e fisica.
I servizi saranno esposti secondo le seguenti modalità:
• SaaS (Software as a Service): in questo modello ad essere erogati come servizi sono i software. Ad esempio office e la posta elettronica.
• PaaS (Platform as a Service): rientrano in questo paradigma le infrastrutture necessarie che permettono di sviluppare, testare e distribuire un’applicazione. In questo modello vengono forniti ai Comuni dei servizi in grado di eseguire applicazioni, Database, File server, elaborare informazioni e così via.
• IaaS (Infrastructure as a Service): in questo modello ad essere erogata è l’intera infrastruttura IT. Il Comune può avere a disposizione un proprio ambiente virtualizzato, la potenza di calcolo necessaria, macchine virtuali, spazio disco, servizi di rete per poter erogare in autonomia i propri servizi o le proprie applicazioni.
Nel processo che porta dalla gestione dal sistema informativo tradizionale al sistema in Cloud, sono stati valutati due approcci differenti: da una parte il Public Cloud che può offrire scalabilità di servizio e maggiore flessibilità e permette di variare di volta in volta i costi e semplificare la gestione infrastrutturale e applicativa, permettendo di focalizzare le attività delle risorse umane; dall’altra parte, il Private Cloud, che richiede investimenti ed un approccio interno orientato a creare le condizioni abilitanti al Cloud.
La valutazione di questi due approcci ha portato alla scelta del Cloud Ibrido mantenendo il core della infrastruttura Cloud on Premise e lasciando comunque aperta la possibilità di beneficiare di servizi Cloud esterni.
Per raggiugere tale obiettivo sono previste una serie di attività che mirano all’implementazione della suddetta architettura.
Gli interventi sono di natura tecnologica (Aggiornamento tecnologico Hardware, Software e connettività) ma anche organizzativa (Formazione e crescita professionale del personale, semplificazione dei processi di gestione).
Le attività previste nella realizzazione del progetto sono:
• Assessment infrastruttura ed applicazioni per definire una mappa dei sistemi attuali e delle applicazioni da far convergere sul Cloud. Nell’ambito di questo assessment saranno inoltre individuati i requisiti evolutivi del sistema per effettuare un adeguato dimensionamento in funzione delle esigenze degli utenti del Cloud;
• Scouting tecnologia: Hardware e software selection per individuare la soluzione più idonea per soddisfare i requisiti di progetto;
• Formazione per gli operatori: Acquisire internamente il know how necessario per gestire l’infrastruttura virtuale;
• Setup ambiente e Virtualizzazione delle risorse di elaborazione, di storage, di rete ed eventualmente anche dei client, con l’obiettivo di semplificare la gestione delle componenti Hardware;
• Standardizzazione ed integrazione degli strumenti di hypervisioning ed implementazione degli opportuni tool di gestione avanzata delle risorse. Questo per definire procedure standard ed automatizzate su infrastrutture convergenti che consentono di raggiungere una astrazione sempre maggiore dell’attività sistemistica sottostante e abilitando modalità di gestione molto più flessibili ed efficienti di quelle tradizionali;
• Attivazione e monitoraggio del sistema;
• Valutazione di piattaforme esterne per soluzioni di Disaster Recovery.
Unitamente alle attività al cloud vero e proprio è necessario affrontare anche l’altra faccia della medaglia rappresentata dalla garanzia di sicurezza del dato custodito. Infatti i servizi che il territorio metropolitano si presta ad erogare dovranno garantire al cittadino un elevato grado di sicurezza dei dati sensibili secondo le norme in materia.
Al riguardo il Comune di Messina nell’ambito delle varia azioni previste dal PON Metro e che prevedono interazioni digitali tra user e PA sta intraprendendo delle azioni finalizzate a :
• dotarsi degli strumenti necessari alla gestione informatica dei procedimenti;
• garantire l’identificazione informatica univoca e sicura del cittadino che accede a servizi on-line del Comune di Messina.;
• accettare istanze e dichiarazioni, presentate per via telematica, sottoscritte mediante firma digitale;
• rendere disponibili in formato aperto e accessibile tutti i dati pubblici prodotti e gestiti dal Comune di Messina.;
• realizzare dei siti istituzionali secondo i principi dell’accessibilità, dell’usabilità, della reperibilità e completezza delle informazioni e dei servizi in essi contenuti
Pertanto, lo scenario che si profila nel futuro prossimo prevede che il Comune di Messina dovrà trattare una mole considerevole di dati personali, dovendone al contempo garantire la libera circolazione e la sicurezza.
È evidente che le nuove opportunità in termini di servizi al cittadino, attrarranno, potenzialmente, nuove minacce che renderanno i sistemi informatici su cui essi si basano più vulnerabili agli attacchi di quanti (criminali, hacker, terroristi) intenderanno comprometterli, danneggiarli o sfruttarli per ottenere, in modo fraudolento, informazioni personali.
Si osserva, inoltre, che Il Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) e disciplina all’ articolo 33 un obbligo di notifica all'Autorità di controllo relativamente alla rilevata violazione dei dati personali trattati (anche detto “DATA BREACH”).
Tale articolo prevede che la violazione accertata (inerente i dati trattati) debba essere notificata all’Autorità di Controllo entro 72 ore. Il Responsabile dei Sistemi Informativi della generica Pubblica Amministrazione dovrà, quindi, avere cura, relativamente ai sistemi gestiti, dell’implementazione di tutte le misure di sicurezza (fisiche-logiche ed organizzative) atte ad impedire il verificarsi di tali incidenti (o quantomeno abbatterne il rischio).
Per quanto sopra detto, il Comune di Messina, intende intraprendere delle misure di sicurezza logiche ed organizzative atte ad impedire il verificarsi di tali incidenti (o quantomeno abbatterne il rischio). Il Comune di Messina intende inoltre verificare il grado di conformità dei processi di gestione alle normative di legge significative ai fini della sicurezza informatica con particolare riferimento a:
• D.Lgs. 30 giugno 2003, n. 196: "Codice in materia di protezione dei dati personali" e successive modificazioni;
• Provvedimenti Garante Privacy applicabili;
Nello specifico si descrivono, qui di seguito, i servizi che si intendono attuare:
1. Servizi per la gestione delle identità digitali finalizzati all’identificazione, autenticazione ed autorizzazione di utenti esterni che richiedano l’accesso al portale dell’Amministrazione o ai servizi da essa erogati in rete;
2. Servizi finalizzati alla prevenzione degli incidenti informatici attraverso l’analisi delle vulnerabilità delle applicazioni web e delle app per dispositivi mobili;
3. Servizi che consentano la verifica dello stato di sicurezza dell’infrastruttura e dello stato di esposizione alle vulnerabilità dell’Amministrazione rispetto ad attacchi interni ed esterni;
4. Servizi che permettano di effettuare una vasta gamma di controlli relativi alla sicurezza per la protezione dei database nel loro complesso (dati, procedure o funzioni stored, sistema di gestione, server e collegamenti di rete associati) allo scopo di salvaguardare la riservatezza, integrità e disponibilità delle basi dati proteggendole in tempo reale da minacce esterne o interne;
5. Servizi di protezione delle applicazioni web dai tentativi di attacco web più moderni e diffusi (ad es. Injection, XSS) e che garantiscano una maggiore tutela rispetto ai tradizionali sistemi di Firewalling di rete;
6. Servizi che garantiscano di bloccare l’accesso a siti web potenzialmente malevoli aggiornando la propria base dati in maniera automatica e di riconoscere il download di applicazioni potenzialmente dannose.
CLOUD@ME consentirà pertanto di:
• creare ambienti più sicuri e affidabili;
• contenere i costi di manutenzione e gestione, inclusi quelli relativi alla componente energetica;
• mettere a fattor comune risorse tra soggetti diversi, ovvero l’utilizzo e la condivisione delle stesse infrastrutture da più Amministrazioni;
• realizzare DataCenter con classificazione “TIER III”;
• realizzare una infrastruttura CLOUD che soddisfi i requisiti di prestazioni, continuità operativa e sicurezza e che sia in grado di ospitare i servizi IT per i comuni dell’area metropolitana;
• semplificare le procedure di gestione della infrastruttura IT mediante l’adozione di strumenti di template Macchine virtuali, self provisionig e monitoraggio dell’infrastruttura;
• consolidare le piattaforme IT del comune di Messina e dove necessario dei comuni, considerati nodi strategici, dell’Area Metropolitana;
• conseguire un risparmio energetico grazie all’adozione di apparati di nuova generazione in ottica Green Computing.
Inoltre sarà possibile:
• Semplificare l’accesso ai servizi digitali senza penalizzare la sicurezza e la privacy;
• Proteggere i dati sensibili del cittadino;
• Mantenere una completa e aggiornata visione delle proprie vulnerabilità e dei relativi rischi connessi;
• Migliorare l’immagine dell’Amministrazione favorendo l’adozione dei servizi on line con un’adeguata affidabilità e credibilità;
• Proteggere il proprio patrimonio informativo estendendo tale protezione ai dati e alle informazioni di cittadini e imprese.
Il progetto prevede, infine, quali elementi abilitanti per la corretta erogazione del servizio:
• il potenziamento locale del cablaggio strutturato ed hardware;
• l’adeguamento fisico dei locali ospitanti il data center;
• eventi di formazione ed informazioni dei portatori di interesse ed in particolare del personale operante nel CED al quale sarà somministrata una formazione certificata;
• ideazione di un vero e proprio brand, essenziale per promuovere l'uso dei servizi online secondo una identità visiva riconoscibile.
Esso prevede l’ammodernamento hardware e degli spazi fisici necessario per garantire gli opportuni standard per l’erogazione dei servizi all’intera Area Metropolitana.
L’ammodernamento riguarderà pertanto sia aspetti sistemistici e di rete, sia impiantistici (elettrici, di condizionamento) sia di sicurezza fisica dei locali del CED in modo da poter ospitare e gestire un numero elevato di apparecchiature informatiche e garantirne la sicurezza gestionale e fisica.
I servizi saranno esposti secondo le seguenti modalità:
• SaaS (Software as a Service): in questo modello ad essere erogati come servizi sono i software. Ad esempio office e la posta elettronica.
• PaaS (Platform as a Service): rientrano in questo paradigma le infrastrutture necessarie che permettono di sviluppare, testare e distribuire un’applicazione. In questo modello vengono forniti ai Comuni dei servizi in grado di eseguire applicazioni, Database, File server, elaborare informazioni e così via.
• IaaS (Infrastructure as a Service): in questo modello ad essere erogata è l’intera infrastruttura IT. Il Comune può avere a disposizione un proprio ambiente virtualizzato, la potenza di calcolo necessaria, macchine virtuali, spazio disco, servizi di rete per poter erogare in autonomia i propri servizi o le proprie applicazioni.
Nel processo che porta dalla gestione dal sistema informativo tradizionale al sistema in Cloud, sono stati valutati due approcci differenti: da una parte il Public Cloud che può offrire scalabilità di servizio e maggiore flessibilità e permette di variare di volta in volta i costi e semplificare la gestione infrastrutturale e applicativa, permettendo di focalizzare le attività delle risorse umane; dall’altra parte, il Private Cloud, che richiede investimenti ed un approccio interno orientato a creare le condizioni abilitanti al Cloud.
La valutazione di questi due approcci ha portato alla scelta del Cloud Ibrido mantenendo il core della infrastruttura Cloud on Premise e lasciando comunque aperta la possibilità di beneficiare di servizi Cloud esterni.
Per raggiugere tale obiettivo sono previste una serie di attività che mirano all’implementazione della suddetta architettura.
Gli interventi sono di natura tecnologica (Aggiornamento tecnologico Hardware, Software e connettività) ma anche organizzativa (Formazione e crescita professionale del personale, semplificazione dei processi di gestione).
Le attività previste nella realizzazione del progetto sono:
• Assessment infrastruttura ed applicazioni per definire una mappa dei sistemi attuali e delle applicazioni da far convergere sul Cloud. Nell’ambito di questo assessment saranno inoltre individuati i requisiti evolutivi del sistema per effettuare un adeguato dimensionamento in funzione delle esigenze degli utenti del Cloud;
• Scouting tecnologia: Hardware e software selection per individuare la soluzione più idonea per soddisfare i requisiti di progetto;
• Formazione per gli operatori: Acquisire internamente il know how necessario per gestire l’infrastruttura virtuale;
• Setup ambiente e Virtualizzazione delle risorse di elaborazione, di storage, di rete ed eventualmente anche dei client, con l’obiettivo di semplificare la gestione delle componenti Hardware;
• Standardizzazione ed integrazione degli strumenti di hypervisioning ed implementazione degli opportuni tool di gestione avanzata delle risorse. Questo per definire procedure standard ed automatizzate su infrastrutture convergenti che consentono di raggiungere una astrazione sempre maggiore dell’attività sistemistica sottostante e abilitando modalità di gestione molto più flessibili ed efficienti di quelle tradizionali;
• Attivazione e monitoraggio del sistema;
• Valutazione di piattaforme esterne per soluzioni di Disaster Recovery.
Unitamente alle attività al cloud vero e proprio è necessario affrontare anche l’altra faccia della medaglia rappresentata dalla garanzia di sicurezza del dato custodito. Infatti i servizi che il territorio metropolitano si presta ad erogare dovranno garantire al cittadino un elevato grado di sicurezza dei dati sensibili secondo le norme in materia.
Al riguardo il Comune di Messina nell’ambito delle varia azioni previste dal PON Metro e che prevedono interazioni digitali tra user e PA sta intraprendendo delle azioni finalizzate a :
• dotarsi degli strumenti necessari alla gestione informatica dei procedimenti;
• garantire l’identificazione informatica univoca e sicura del cittadino che accede a servizi on-line del Comune di Messina.;
• accettare istanze e dichiarazioni, presentate per via telematica, sottoscritte mediante firma digitale;
• rendere disponibili in formato aperto e accessibile tutti i dati pubblici prodotti e gestiti dal Comune di Messina.;
• realizzare dei siti istituzionali secondo i principi dell’accessibilità, dell’usabilità, della reperibilità e completezza delle informazioni e dei servizi in essi contenuti
Pertanto, lo scenario che si profila nel futuro prossimo prevede che il Comune di Messina dovrà trattare una mole considerevole di dati personali, dovendone al contempo garantire la libera circolazione e la sicurezza.
È evidente che le nuove opportunità in termini di servizi al cittadino, attrarranno, potenzialmente, nuove minacce che renderanno i sistemi informatici su cui essi si basano più vulnerabili agli attacchi di quanti (criminali, hacker, terroristi) intenderanno comprometterli, danneggiarli o sfruttarli per ottenere, in modo fraudolento, informazioni personali.
Si osserva, inoltre, che Il Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) e disciplina all’ articolo 33 un obbligo di notifica all'Autorità di controllo relativamente alla rilevata violazione dei dati personali trattati (anche detto “DATA BREACH”).
Tale articolo prevede che la violazione accertata (inerente i dati trattati) debba essere notificata all’Autorità di Controllo entro 72 ore. Il Responsabile dei Sistemi Informativi della generica Pubblica Amministrazione dovrà, quindi, avere cura, relativamente ai sistemi gestiti, dell’implementazione di tutte le misure di sicurezza (fisiche-logiche ed organizzative) atte ad impedire il verificarsi di tali incidenti (o quantomeno abbatterne il rischio).
Per quanto sopra detto, il Comune di Messina, intende intraprendere delle misure di sicurezza logiche ed organizzative atte ad impedire il verificarsi di tali incidenti (o quantomeno abbatterne il rischio). Il Comune di Messina intende inoltre verificare il grado di conformità dei processi di gestione alle normative di legge significative ai fini della sicurezza informatica con particolare riferimento a:
• D.Lgs. 30 giugno 2003, n. 196: "Codice in materia di protezione dei dati personali" e successive modificazioni;
• Provvedimenti Garante Privacy applicabili;
Nello specifico si descrivono, qui di seguito, i servizi che si intendono attuare:
1. Servizi per la gestione delle identità digitali finalizzati all’identificazione, autenticazione ed autorizzazione di utenti esterni che richiedano l’accesso al portale dell’Amministrazione o ai servizi da essa erogati in rete;
2. Servizi finalizzati alla prevenzione degli incidenti informatici attraverso l’analisi delle vulnerabilità delle applicazioni web e delle app per dispositivi mobili;
3. Servizi che consentano la verifica dello stato di sicurezza dell’infrastruttura e dello stato di esposizione alle vulnerabilità dell’Amministrazione rispetto ad attacchi interni ed esterni;
4. Servizi che permettano di effettuare una vasta gamma di controlli relativi alla sicurezza per la protezione dei database nel loro complesso (dati, procedure o funzioni stored, sistema di gestione, server e collegamenti di rete associati) allo scopo di salvaguardare la riservatezza, integrità e disponibilità delle basi dati proteggendole in tempo reale da minacce esterne o interne;
5. Servizi di protezione delle applicazioni web dai tentativi di attacco web più moderni e diffusi (ad es. Injection, XSS) e che garantiscano una maggiore tutela rispetto ai tradizionali sistemi di Firewalling di rete;
6. Servizi che garantiscano di bloccare l’accesso a siti web potenzialmente malevoli aggiornando la propria base dati in maniera automatica e di riconoscere il download di applicazioni potenzialmente dannose.
CLOUD@ME consentirà pertanto di:
• creare ambienti più sicuri e affidabili;
• contenere i costi di manutenzione e gestione, inclusi quelli relativi alla componente energetica;
• mettere a fattor comune risorse tra soggetti diversi, ovvero l’utilizzo e la condivisione delle stesse infrastrutture da più Amministrazioni;
• realizzare DataCenter con classificazione “TIER III”;
• realizzare una infrastruttura CLOUD che soddisfi i requisiti di prestazioni, continuità operativa e sicurezza e che sia in grado di ospitare i servizi IT per i comuni dell’area metropolitana;
• semplificare le procedure di gestione della infrastruttura IT mediante l’adozione di strumenti di template Macchine virtuali, self provisionig e monitoraggio dell’infrastruttura;
• consolidare le piattaforme IT del comune di Messina e dove necessario dei comuni, considerati nodi strategici, dell’Area Metropolitana;
• conseguire un risparmio energetico grazie all’adozione di apparati di nuova generazione in ottica Green Computing.
Inoltre sarà possibile:
• Semplificare l’accesso ai servizi digitali senza penalizzare la sicurezza e la privacy;
• Proteggere i dati sensibili del cittadino;
• Mantenere una completa e aggiornata visione delle proprie vulnerabilità e dei relativi rischi connessi;
• Migliorare l’immagine dell’Amministrazione favorendo l’adozione dei servizi on line con un’adeguata affidabilità e credibilità;
• Proteggere il proprio patrimonio informativo estendendo tale protezione ai dati e alle informazioni di cittadini e imprese.
Il progetto prevede, infine, quali elementi abilitanti per la corretta erogazione del servizio:
• il potenziamento locale del cablaggio strutturato ed hardware;
• l’adeguamento fisico dei locali ospitanti il data center;
• eventi di formazione ed informazioni dei portatori di interesse ed in particolare del personale operante nel CED al quale sarà somministrata una formazione certificata;
• ideazione di un vero e proprio brand, essenziale per promuovere l'uso dei servizi online secondo una identità visiva riconoscibile.
Città
Codice Progetto
ME1.1.1.e
Ambito
Azione
Soggetto attuatore
Comune di Messina
Codice Unico Progetto - CUP
R.U.P.
Vincenzo Brunello
Data inizio
30-04-2018
Data fine
31-01-2023
Avanzamento finanziario
Importo Programmato
€ 2.700.000,00
Importo Ammesso A Finanziamento
€ 2.700.000,00
Importo Giuridicamente Vincolante
€ 1.212.270,66
Importo Erogato
€ 839.610,94
Photogallery
Foto non disponibili
Documentazione
Documenti non disponibili