Con approssimativi 10 giorni di audit a biennio, gli auditor hanno certamente modo e maniera di identificare ed indicare eventuali lacune all’analisi dei rischi che invece, dovuta, è già specifica per i processi, le attività, i controlli e i rischi previsti per il Servizio di conservazione. Diversamente AgID potrebbe richiedere per la sola conservazione per tutti i SaaS, la visione dell’analisi dei rischi stessa, indicando magari un elenco puntuale di controlli immancabili, ad esempio su precisa indicazione delle ISO o TS di riferimento (es. ISO27018, ISO27017, ecc)?
Questo passaggio (che naturalmente, come ogni azione, ricade anche nell’analisi dei rischi) potrebbe essere anticipato da alcuni attesi chiarimenti, ad esempio sul casi concreti di PDA non conformi o non più validi, diverso da “MT scadute” (in che senso, se apposte quando erano valide?), ad esempio per la rilevazione di file virati/corrotti (da elidere o bloccare), la richiesta/necessità di conversione e riversamento (obsolescenza formati), ecc.
La raccomandazione è quella di identificare, come indicato dalla stessa AgID, la Conservazione Digitale all’interno dei servizi SaaS per la PA, in modo omogeneo ed organico, e in questo senso considerare l’insieme di evidenze e piani richiesti (su tutti un piano per la sicurezza, un piano per la cessazione) intervenendo sui Manuali del singolo servizio o nei suoi giusti rimani ed allegati - SOA, analisi dei rischi, ecc - puntualmente, dove necessario, utilizzando terminologie specifiche e inequivocabili, supportate da riferimenti normativi, standard e atti di indirizzo non interpretabili.