La sicurezza nello sviluppo SW: come incentivarla giovedì 31 marzo 2011
Posted by andy in Information Security, Miglioramento.Tags: incentivazione, qualità, secure coding, sicurezza, sviluppo software
add a comment
Sempre più spesso leggo notizie in cui emergono incidenti (informatici, naturalmente!) derivanti da software sviluppato con pochi, o nulli, criteri di sicurezza.
Le lamentele vanno sempre in varie direzioni: i programmatori che pensano a tutto tranne che alla sicurezza, i project manager incapaci, le aziende che tagliano selvaggiamente su tutto, in primis sulla sicurezza …
Insomma, comanda il Time To Market ed il ribasso selvaggio …
Giusto o sbagliato che sia, il mercato attuale è così: il cliente non sa nulla di sicurezza, non è capace di valutare e confrontare le offerte, e peggio ancora non è capace di valutare i possibili danni derivanti da ‘incidenti informatici’.
E visto che ‘occhio non vede, cuore non duole’, si risparmia su tutto ciò che non si vede o non si conosce.
Ma il problema non è dei programmatori, o dei project manager.
Il problema è quello ribadito mille volte in mille articoli e blog diversi: pay peanuts, get monkeys.
Quello che manca è un ‘rating’ delle società che sviluppano software e, perché no? anche dei programmatori free lance.
Occorre introdurre nel mercato un meccanismo che dia visibilità ai clienti del fatto che lo sviluppo SW tenga conto o meno della sicurezza, e quanto.
Senza imbarcarsi in certificazioni di terza parte, che sono costose, ed in qualche misura si possono aggirare.
Varrebbe la pena predisporre una check-list dei principali aspetti della gestione della sicurezza nello sviluppo SW, di cui i clienti potrebbero richiedere la compilazione ai fornitori, che sarebbero così tenuti ad ufficializzare quali ‘controlli’ (nell’accezione inglese) implementano nel proprio processo di produzione SW.
I clienti potrebbero così confrontare i fornitori, e potrebbero paragonare i prezzi offerti in relazione alla sicurezza offerta.
Inoltre, in caso di incidente, il cliente potrebbe richiedere o meno la correzione dell’errore in relazione al fatto che il fornitore abbia o meno dichiarato i relativi controlli.
E a guardare più lontano, si potrebbe anche pensare di coinvolgere le assicurazioni, per la riduzione dei premi (ove applicabile).
Insomma, perché non puntare sullo scarico delle responsabilità? Se paghi per la sicurezza, hai diritto alla risoluzione dei problemi di sicurezza, altrimenti no.
Sui professionisti della gestione della sicurezza delle informazioni venerdì 18 febbraio 2011
Posted by andy in Miglioramento, pensieri.Tags: associazioni di categoria, cartello, costi ed investimenti, lobby, modifiche normative, privacy, sicurezza delle informazioni, valore della sicurezza
add a comment
Leggo sempre più spesso commenti di persone e professionisti nel settore della gestione della sicurezza delle informazioni che manifestano insoddisfazione per quanto non sia riconosciuta l’importanza del problema e dei professionisti in grado di trattarlo.
Ma qual’è, in sintesi, la situazione? Quali i problemi di fondo?
E cosa si può fare per migliorare?
Un momento di sintesi ogni tanto non fa male.
Contesto / situazione
——————————-
Direi che la discussione parte dal fatto che più o meno tutti quanti, e più o meno razionalmente, ci rendiamo conto che la sicurezza delle informazioni è sottovalutata, e così la professionalità di chi è in grado di gestirla.
Non ho informazioni dirette su quanto accade all’estero, ma dai commenti che circolano, mi pare che il problema sia più accentuato in Italia che all’estero.
Problema/i
———————————
I problemi, di fatto, son sempre i soliti: veniamo messi in competizione con il nipote dell’amico, che è capace di installare un server ‘Windows’, e che sa usare Ubuntu.
Eppoi non si può andare dal cliente a dirgli che la sua infrastruttura va bene per scolare la pasta …
Altro problema è che gli investimenti nella sicurezza delle informazioni (certificazioni personali ed aziendali) non vengono riconosciuti come tali, e quindi sono soggetti a ribasso in sede di gara; al contrario, i costi / investimenti per la sicurezza sul lavoro non possono essere soggetti a ribasso.
Dal punto di vista normativo poi la situazione è che la Telecom di turno soggiace alla medesima normativa sulla protezione delle informazioni che si applica al tornitore con due operai nel garage sottocasa (OK, dovrà forse avere qualche nulla osta, o essere presente nell’ennesimo albo che certifica ex-lege che è bravo, a prescindere da quello che accade realmente).
E sempre rimanendo in tema normativo, le leggi vengono sempre pensate per lasciare ampio spazio all’arbitrio, in modo che non sia possibile stabilire requisiti minimi, confrontare i fornitori ed il loro modo di operare, ed anche in caso di pasticci seri, una decisione definitiva la si ha dopo una quindicina d’anni, quando ormai l’appalto è concluso ed i soldi sono stati portati a casa comunque, indipendentemente dalla quantità ed entità dei guai combinati.
Cause
———————————
Penso che una delle cause di fondo del problema sia da imputare al fatto che da noi la sicurezza viene vista come un costo e non come un investimento.
Altro aspetto è che la sicurezza non si può vendere: non si può misurare in Kg, in scatole di software, in linee di codice.
In sostanza, i commerciali, che di norma sono bravi a vendere, ma non sanno cosa vendono, non sono in grado di applicare un tariffario (2 computer = 2 licenze, questo lo sanno fare, ma …)
Altro aspetto per me rilevante è che sicurezza è una seccatura: se il professionista di turno scopre qualche vulnerabilità (o più probabilmente qualche voragine) nel software o nelle infrastrutture che ho messo in piedi dal cliente, questo mette in imbarazzo me fornitore, ma anche il cliente rischia la figuraccia per avermi dato il lavoro.
In pratica alla fine è meglio nascondere la polvere sotto al tappeto, e la si chiude a tarallucci e vino.
Ed infine agli occhi del management la sicurezza esiste a priori, fino a prova contraria.
Il professionista lo pago quando ormai è troppo tardi ed è accaduto qualcosa per cui si è finiti sui giornali).
Di conseguenza la sicurezza ordinaria può essere tranquillamente gestita da chi sa amministrare un server (i.e creare utenti e fare un backup).
Ecco, qui colgo l’essenza del problema: noi italiani siamo reattivi e non proattivi; in sostanza, non guardiamo avanti.
Sulle certificazioni
—————————
C’è chi le ritiene indispensabili, chi privilegia l’esperienza e le referenze, e chi ritiene le certificazioni soltanto un minimo sindacale.
La realtà probabilmente è un insieme delle tre visioni.
Da persone, e da professionisti, tendiamo a valorizzare al massimo la persona e le sue capacità: se uno è bravo e competente, lo è anche senza un pezzo di carta appeso al muro.
Ma d’altra parte proprio noi che dobbiamo basarci su criteri oggettivi per poter fare affermazioni sullo stato della sicurezza (o non sicurezza) delle informazioni, difficilmente possiamo pretendere che i clienti ritengano qualificate le persone che gli mandiamo, ‘perché lo diciamo noi’.
La certificazione non è garanzia della validità della persona, ma garantisce un livello minimo di competenze, così come la licenza elementare garantisce che una persona sappia leggere, scrivere e far di conto, ed il liceo classico che una persona conosca latino e greco.
Associazione / lobby / cartello
——————————————–
Certamente il peso che abbiamo come singoli non è quello che potremmo avere come associazione.
Purtroppo il cartello ex-lege (leggi: l’ordine professionale che certifica per legge che siamo gli unici bravi a fare certe cose) ce lo possiamo scordare.
Si possono fare associazioni, e tante già ne esistono.
Come qualcuno ha osservato, le associazioni si riducono ad essere l’ennesima tassa da pagare, per avere un ulteriore bollino sul proprio biglietto da visita.
Il problema è che, da bravi italiani, ci aspettiamo che l’associazione faccia qualcosa per noi. Purtroppo invece la cosa deve essere vista da un altro punto di vista: cosa possiamo fare noi per l’associazione?
E in aggiunta: un’associazione si costituisce in quattro e quattr’otto: il problema non è costituirla, ma sapere il perché costituirla.
Cosa possiamo (o vogliamo) fare come associazione che non possiamo fare come singoli?
Cosa vogliamo? Sederci in modo autorevole ai tavoli di chi legifera? Stabilire i canoni per la gestione della sicurezza nelle gare e nell’esecuzione degli appalti?
O semplicemente vogliamo il nostro tariffario, come notai ed avvocati? (cosa assolutamente lecita, ma forse un po’ riduttiva della nostra professionalità).
Certamente deprime già in partenza il sapere che, anche arrivando a sedersi ai tavoli giusti, qualsiasi cosa rimane aleatoria, indefinita per anni, senza arrivare a decisioni concrete entro tempi utili, e che la politica è in grado di vanificare anche la migliore proposta tecnico-operativa.
E quindi, che fare?
—————————
C’è molto da fare.
I tavoli giusti esistono, e si può pensare di poterci arrivare presentandosi con un cappello che non sia soltanto la propria referenza personale.
Di associazioni già ne esistono (leggi: CLUSIT), per occorre chiedersi se diversificare ulteriormente o dare maggior peso ad essa.
Divide et impera, dicevano i romani; l’ennesima associazione farebbe certamente un favore agli interlocutori, che si troverebbero a doversi interfacciare con tanti attori, e a non poter/voler dire a nessuno che non è quello con cui ci si può relazionare ufficialmente.
Se abbiamo voglia di rimboccarci le maniche, di proposte concrete da fare ce ne sono.
L’errore dietro alle “quote rosa” sabato 23 gennaio 2010
Posted by andy in Miglioramento, pensieri, vita quotidiana.Tags: parità tra i sessi, penalizzazione per le donne, quote rosa, Svezia, uguaglianza tra i sessi
add a comment
Tempo fa sono capitato su una notizia (qui su La Repubblica) che mi ha confermato un’idea che ho già da parecchio tempo.
Le cosiddette ‘quote rosa’ (le pari opportunità garantite alle donne riservando un numero definito a priori di posti in una particolare istituzione) sono uno sbaglio ed un’offesa al gentil sesso.
Pur non avendo difficoltà ad apprezzare lo spirito soggiacente all’idea, che cerca di ristabilire un equilibrio in un mondo controllato, per varie ragioni, dal sesso maschile, continuo ad avere delle notevoli perplessità sul modo.
Ma veniamo alla notizia: in Svezia, per equità, sono garantiti alle donne il 50% dei posti disponibili alle donne, ma (e qui sta la vera notizia) l’altro 50% è invece garantito agli uomini.
Ebbene, le donne hanno scoperto che vi sono delle professioni in cui il proprio sesso prevale, per numero e competenza, rispetto a quello maschile, e si sono trovate penalizzate, dovendo lasciare il 50% dei posti disponibili ad uomini anche meno qualificati di loro.
In sostanza, si è scoperto che una legge fatta nell’interesse delle donne in realtà in particolari contesti può divenire per loro penalizzante.
Ma qual’è il vero problema alla base di tutto questo? A parere mio si tratta di una confusione di termini.
Da troppi anni la gente fa una sostanziale confusione tra uguaglianza e parità tra i sessi.
Mentre è doveroso dover riconosce la parità di diritti tra i sessi, è altrettanto importante capire che questi non sonno uguali, e non lo possono essere neppure se lo vuole la legge.
Uomini e donne sono sostanzialmente diversi nella propria natura, sia fisicamente che psicologicamente ed attitudinalmente (ovviamente parlando in senso generale e non assoluto).
È inconfutabile che vi sono discipline, arti e mestieri in cui eccellono principalmente uomini, ed altri in cui eccellono le donne.
Questo fatto non significa che un sesso sia migliore dell’altro: significa soltanto che la Natura ci ha diversificati, rendendoci complementari.
Dal punto di vista normativo, si conferma che garantire un posto per ‘diritto divino‘ (la legge), invece che per merito porta a penalizzare i più meritevoli.
Dal punto di vista pratico, le leggi sulle quote rosa sono, a parer mio, una soluzione temporanea ormai superata al problema; forse iniziano ad essere maturi i tempi e la consapevolezza per rivedere le norme, sostituendo le quote rosa con regole e criteri più onesti per premiare il merito, criteri che devono essere realmente imparziali rispetto al sesso.
Adottare il FLOSS nella PA e nelle grandi aziende mercoledì 30 dicembre 2009
Posted by andy in Internet e società, Miglioramento.Tags: 231/2001, copyright, FLOSS, importazione, investimento, licenze software, open source, responsabilità d'azienda, risparmio economici, software libero, utilizzo illecito
add a comment
La lotta tra il software libero e quello proprietario si fonda ancora oggi su pregiudizi che sono controproducenti sia al primo che al secondo.
Le guerre di religione fanno perdere di vista l’obiettivo, rinunciando ai benefici dell’uno e dell’altro.
Senza la presunzione di voler essere esaustivo, considero in questo articolo un particolare aspetto relativo all’adozione o meno di software libero (FLOSS) nelle grandi realtà (P.A. e grandi aziende).
Non che le considerazioni non si applichino a realtà più piccole, ma i numeri sono meno importanti e quindi meno significativi ai fini del ragionamento che intendo presentare.
Le ragioni con cui si tende a sostenere l’acquisto di software proprietario sono molte, ma in generale non sono oggettivamente correlate ad una reale valutazione dell’effettiva necessità.
Non metto in dubbio che Office della MS sia più evoluto, etc. etc. etc., ma il 99% degli utenti non utilizza il 99% delle funzioni non disponibili in prodotti liberi.
In pratica chi è responsabile dei sistemi dovrebbe iniziare a ragionare ed a chiedersi quali utenti e quali servizi aziendali realmente necessitino di un software più evoluto (suite di office, di CAD, etc.) tali da richiedere un software specifico.
In questo modo risulterebbe possibile concentrare gli investimenti là dove servono, invece che sprecarli a pioggia su tutti gli utenti indistintamente.
Dal punto di vista commerciale questo approccio avrebbe un ulteriore vantaggio, in quanto si premierebbe la Qualità del software proprietario, che potrebbe essere venduto a cifre superiori (anche molto) per unità.
Tanto per fare un esempio concreto, in una grande azienda si può dare OpenOffice a tutte le segreterie, ma dare prodotti commerciali evoluti ai grafici, all’editoria, etc. predisponendo workstation ben carrozzate, invece che essere costretti a comperare dei super-computer anche alla segretaria che più che scrivere lettere e leggere le e-mail non fà, soltanto perché il sistema operativo vuole hardware dell’ultima generazione e disco e RAM da fantascienza soltanto per farci gli effetti (sceno)grafici.
In questo modo non ci si trova poi a dover piangere miseria quando un grafico si lamenta dell’esiguità della memoria e della CPU del proprio PC.
E giusto per fare contenti i top manager (vedi anche legge sul copyright e 231/2001) si avrebbero un mare di preoccupazioni in meno per la continua necessità di censire le licenze del software installato, per scoprire che, chissà come, ce n’è sempre qualcuna non autorizzata …
A compendio di quanto detto sopra, osservo come la gente tenda a dimenticare che il sistema operativo (Windows, Linux, OSX, e chi più ne ha, più ne metta …) è soltanto una ‘propaggine’ dell’hardware destinata a consentire l’interazione tra l’utente e l’hardware stesso.
Un grave errore che viene oggi fatto (un po’ per ignoranza e un po’ per l’indisponibilità di alcuni importanti prodotti su piattaforme libere) è di condizionare la scelta del sistema operativo al software che si vuole utilizzare, o peggio, pensare che S.O. e software siano due entità inscindibili.
Della Litoinformatica lunedì 16 novembre 2009
Posted by andy in Internet e società, Miglioramento, tecnologia.Tags: autenticità, autocertificazione, burocrazia, certificazione, copia autentica, firma digitale, integrità, Litoinformatica
add a comment
Colgo l’occasione per coniare un neologismo: la ‘LitoInformatica‘.
Trattasi di parola composta, ovviamente, dal termine ‘informatica’, e dalla radice della parola greca ‘lithos’, ovverosia pietra.
Perché pietra? Perché l’informatica di oggi in Italia, e specificamente nella Pubblica Amministrazione è ancora gestita più o meno scolpendo messaggi nella pietra, e spostando messaggi di travertino da un ufficio all’altro.
Probabilmente qui in Italia non viviamo neppure nel periodo Neolitico dell’informatica, bensì del paleolitico.
Ma andiamo con ordine.
Pochi giorni fa mi sono trovato a richiedere all’ufficio del Comune l’autenticazione di un Certificato di Qualità di un’azienda con cui collaboro, da allegare alla documentazione amministrativa per una gara.
L’autenticazione di copia consiste nell’attestare che la copia di un documento è conforme all’originale, con il quale deve essere contestualmente confrontato.
Una prima cosa buffa è che il pubblico ufficiale ha di fatto dichiarato il falso: l’”originale” che ho presentato era semplicemente la stampa di un documento in formato PDF, del quale avevo fatto anche una fotocopia da autenticare.
In effetti l’unico vero originale consiste in un documento in formato PDF non firmato digitalmente, che l’ente certificatore ci ha inviato via e-mail su posta tradizionale.
Ah, dimenticavo la chicca! Sapete come viene fatta l’autentica della copia del documento?
Grazie ad un sofisticato software viene stampata un’etichetta adesiva che riporta un numero di protocollo univoco per l’autentica, la quale viene apposta sul retro del documento autenticato.
Ciò fatto, si procede con l’apposizione del timbro e della firma del pubblico ufficiale che effettua l’autentica!
In effetti la vera innovazione è che non si utilizzano più la ceralacca e l’anello con il sigillo del casato …
Un secondo aspetto buffo (se non vogliamo deprimerci) è che ta tempo, per legge, i documenti diretti verso le Pubbliche Amministrazioni ed i gestori di pubblici servizi non richiedono più nessuna autenticazione: è sufficiente ricorrere all’autocertificazione.
Niente di più falso: nei disciplinari di gara vengono ancora richieste copie autentiche, di fatto a pena di esclusione.
E questi sono i fatti: ora proviamo ad analizzarli un po’ più in profondità, per poi vedere come in realtà dovrebbero, o almeno potrebbero, funzionare le cose.
- L’ente appaltante pretende un documento di carta che richiede tempo e denaro sia da parte di chi deve produrre il documento, sia da parte delle istituzioni che devono mantenere in vita una struttura (uffici, personale, computer, stampanti, rotoli di carta adesiva, timbri, …), il tutto solo per attestare che due pezzi di carta appaiono simili;
- L’ente appaltante si accontenta di un documento che può essere assolutamente falso, ma viene ritenuto vero soltanto perché vi è stato apposto il sigillo di una persona autorizzata;
- L’ente appaltante non solo non accetta autocertificazioni, ma peggio ancora non accetta come evidenza la presenza del certificato sul sito web dell’ente certificatore;
- lo strumento di verifica dell’autenticità del documento si riduce ad essere un essere umano, un dipendente pubblico l’intelligenza del cui incarico è paragonabile a quella di un semplice programma di ‘file compare‘ disponibile su tutti i più semplice home computer fin dalle loro origini;
- Il reale documento originale (il file in formato PDF) non porta con sé alcuna informazione di autenticità né di integrità; in nessun modo è possibile verificare se il documento sia stato realmente prodotto dall’ente certificatore o meno;
- Il contenuto del certificato è, di fatto, quasi un’immagine di difficile se non nulla fruibilità.
Ma vediamo ora come potrebbe funzionare un giro più semplice per fornire questa semplice informazione …
- Il certificato potrebbe essere semplicemente una stringa di testo, magari in formato XML, contenente tutte le informazioni necessarie, e quindi firmato digitalmente; tra le informazioni da riportare, ovviamente, la data di emissione e di scadenza del certificato, oltre che l’oggetto; questo implicherebbe naturalmente che l’ente certificatore si dotasse di un proprio certificato digitale;
- L’ente certificatore potrebbe / dovrebbe pubblicare il certificato sul proprio sito web, per la libera consultazione di chiunque sia interessato a verificare la veridicità dell’autocertificazione del dichiarante; sarebbe sufficiente la verifica mediante chiave pubblica dell’ente certificatore …
- L’ente appaltante potrebbe ‘accontentarsi’ di richiedere l’autocertificazione del numero di certificato richiesto, riservandosi di verificarne l’esistenza e la conformità sul sito dell’ente certificatore.
In questo modo si ridurrebbero drasticamente tempi e costi: niente più bolli, niente più code agli sportelli, e addirittura niente più sportelli!
Meno carta, più sicurezza sulla veridicità delle informazioni, possibilità di verificare in un istante la veridicità delle autocertificazioni dei concorrenti …
Ma questo dovrebbe essere il presente; ora scusatemi: siamo ancora nell’era Litoinformatica, e dovendo preparare una nuova offerta, devo tornare a scolpire i certificati da presentare al Ministero.
Provvedimento del Garante sugli amministratori di sistema: troppa teoria e nessuna pratica martedì 9 giugno 2009
Posted by andy in Internet e società, Miglioramento, privacy.Tags: provvedimento del Garante 27/11/2008
add a comment
Ho letto molti commenti sul tema.
Mi sono stupito della consultazione del Garante dopo aver fatto la legge, ma … ben venga; il tema è spinoso e prima lo si sviscera e meglio è.
Il problema che permane però, a parer mio, e che nessuno credo abbia ancora affrontato, è quello della correlazione tra l’impatto dell’attuazione del provvedimento sulle aziende rispetto alle capacità ed ai benefici.
I requisiti posti dal Garante non sono ‘scalabili’: sono un ‘tutto o niente’, e il niente è male per la legge.
Con ‘niente’ non intendo lo stare a guardare e girare i pollici: intendo invece adottare misure e spendere soldi per ottenere qualcosa che, di fatto, non risolve il problema.
Manca una prospettiva, e manca la definizione degli obiettivi.
Provo ora a sintetizzare un po’ dei problemi che si sono incontrati, per poi passare ad una proposta costruttiva.
I principali problemi che il provvedimento solleva sono:
1. L’amministratore di sistema viene caricato di responsabilità anche penali;
2. L’amministratore di sistema, nella maggior parte dei casi, non ha le competenze per affrontare il problema in modo risolutivo;
3. L’amministratore di sistema, in generale, non viene pagato per le responsabilità che ci si aspetta egli si assuma;
4. L’amministratore di sistema, in generale, non ha potere decisionale né di spesa per quanto riguarda l’implementazione delle soluzioni che ritiene necessarie;
5. Le aziende sono realtà che possono essere Telecom, banche, il Ministero della Giustizia, ma anche imprese a conduzione familiare, che hanno da proteggere soltanto i dati di qualche collaboratore.
Il punto 5. ha due implicazioni fondamentali:
a. l’azienda può gestire dati estremamente sensibili (medici, giudiziari, etc.), indipendentemente da quanti ne tratta;
b. l’azienda può gestire dati non molto sensibili, o anche soltanto riservati, ma in quantità enormi.
Con quanto sopra ho, credo, evidenziato il fatto che il provvedimento del Garante è sproporzionato (verso l’alto o verso il basso) rispetto alla realtà; anzi, proprio non ha correlazioni rispetto ai fattori in gioco.
E vengo ora alla parte propositiva.
A parer mio occorre:
1. creare un collegamento tra responsabilità, competenze e retribuzione degli Amministratori di Sistema;
ovverosia: dato il livello di responsabilità richiesta, deve essere corrispondentemente richiesto un adeguato livello di certificazione della persona (e perché no? anche di irreprensibilità), ed in cambio deve essere stabilito un compenso minimo adeguato ai requisiti di cui sopra;
2. stabilito il tipo di trattamento di dati necessario all’azienda, stabilire quale siano i requisiti minimi in termini di professionalità e numero di persone necessarie;
ovverosia: il tipo di trattamento dei dati deve essere correlato alla loro sensibilità / importanza, ed alla loro quantità; in relazione a ciò devono essere stabilite delle risorse minime necessarie per assicurare la protezione dei dati e la correttezza dell’utilizzo delle infrastrutture (rammento che le aziende hanno serie sanzioni per la responsabilità amministrativa).
Tutto ciò, per legge.
Ovvio che la legge risulta troppo ‘lasca’ nel rapporto responsabilità / retribuzioni, nessuno farà più l’amministratore e le aziende si troveranno inadempienti nei confronti della legge.
L’aspetto delle certificazioni è facilmente risolto: ve ne sono di ogni tipo, sia personali che aziendali.
C’è anche da dire, infine, che il Garante potrebbe assumere un atteggiamento più costruttivo, coinvolgendo il CNIPA nella definizione di strumenti e regole operative minime tali da garantire il rispetto della legge.
Dovrebbe in sostanza venire incontro a tutte quelle mini e micro-aziende che non hanno né budget né competenze, per consentire anche ad esse di mettersi in regola senza doversi ipotecare la casa.
L’aspetto tecnologico di come realizzare un sistema economico che soddisfi i requisiti del Garante, li svilupperò in un altro post.
Etica d’impresa e responsabilità sociale giovedì 23 aprile 2009
Posted by andy in Etica, Miglioramento.Tags: azienda, business, correttezza, crisi, Etica, fiducia, formazione, impresa, ripresa
add a comment
C’è chi pensa che il crollo di tutta l’economia virtuale possa diventare una opportunità per riportare la produzione al centro dell’azienda. Tutto ciò dovrebbe passare attraverso una nuova formazione, ad una forte Etica sul lavoro. La futura impresa Etica, prima di tutto dovrebbe saper vendere prima di tutto fiducia sul mercato, e quindi anche un prodotto. L’imprenditore per essere Etico, dovrebbe coinvolgere tutte le risorse umane all’interno dell’azienda, creando quel circolo virtuoso basato sulla fiducia reciproca, da cui tutti traggano benefici, comprese le future generazioni.
Ma forse questa è utopia.
La crisi è certamente un’opportunità di crescita, ma non necessariamente per (o soltanto per) coloro che adottano un approccio etico; anzi, è proprio nei momenti di crisi che appaiono gli sciacalli.
L’Etica è principalmente un fatto personale; se ce l’hai, la applichi in tutte le cose che fai, a partire dalle relazioni personali, e quindi anche in quelle con i collaboratori diretti, fino all’ultimo anello della catena commerciale su cui hai influenza.
Ma l’Etica in un mondo di furbi ti pone in una posizione di estrema vulnerabilità, proprio perché in generale si tende ad esporre il fianco a coloro che vogliono approfittare della tua correttezza.
Un approccio etico sta in generale in piedi finché il business è relativamente limitato, e quindi è limitato il numero di persone con cui si collabora, e la quantità di soldi che vengono gestite.
Appena il business cresce, in generale emerge qualcuno che baratta volentieri la propria etica per una maggior quantità di denaro.
E questo significa rapporti incrinati con i collaboratori, ed una gestione finanziaria che tende ad essere sempre meno trasparente e meno orientata al bene generale dell’azienda.
Pertanto, per avere un’azienda che possa fregiarsi di una reale Etica, in generale occorre che il proprietario sia uno solo (padre padrone …), o che esistano regole e controlli tali da impedire comportamenti scorretti.
In questi anni stanno emergendo nuove certificazioni (SA8000, OHSAS18001, etc.), nonché normative (responsabilità delle persone giuridiche) e concetti come il bilancio sociale.
Sono tutte manifestazioni di un mercato malato che cerca di reagire creando i presupposti per difendersi più facilmente dai furbetti.
Il problema è che siamo in Italia, ed anche queste certificazioni tendono ad essere viste ed approcciate come dei semplici ‘bollini blu’ dietro a cui nascondersi continuando ad operare come prima.
Sarebbe interessante studiare e sviluppare degli indicatori di eticità dell’azienda, indicatori oggettivi, intendo, tali da poter essere pubblicati e confrontati.
Qualcosa di simile al rating dato ai post o ai venditori su Paypal, ma ovviamente oggettivi e non ‘taroccabili’.
The Pirate Bay: uno scontro da superare mercoledì 22 aprile 2009
Posted by andy in Internet e società, Miglioramento.add a comment
Uno dei temi più caldi su Internet in queste ultime settimane riguarda il processo a The Pirate Bay: è l’ultimo atto di un conflitto iniziato tanti anni fa con la chiusura di Napster, proseguito con innumerevoli cause a cittadini colpevoli e non, e culminato nel colpevolizzare uno dei mediatori del P2P.
Non credo di aver letto mai un commento non schierato da una parte o dall’altra.
Da una parte i produttori di materiale coperto da copyright (audio, video, libri, etc.) e dall’altra il popolo della rete, i primi lamentando perdite da capogiro (poco credibili, in verità), gli altri perdendo il senso etico e quello del rispetto della legge.
Nel mezzo, una legislazione troppo repressiva, ed un diritto d’autore con una durata che invece che adeguarsi alla rapida evoluzione del mercato tende sempre più a coprire la seconda e la terza generazione di discendenti degli autori.
Con questo post non intendo schierarmi da una o dall’altra parte.
Vorrei soltanto tornare alle origini, per vedere quale sia il valore aggiunto delle case di produzione nella catena che va dalla produzione alla fruizione dell’opera di ingegno …
In origine il loro scopo era quello di fare la ricerca dei talenti, e di fare gli investimenti per la produzione (sale di incisione, set ove girare i film, tipografie …) – costi che nessun privato avrebbe potuto sostenere.
In aggiunta ci andavano anche i costi di distribuzione, di commercializzazione, di promozione, etc.
Data la quantità di soldi necessaria, le case di produzione erano costrette a fare selezione, insomma a scegliere i migliori musicanti, i migliori attori, i migliori testi …
D’altra parte si trovavano nella posizione (che credo oggi potrebbe essere ritenuta antidemocratica) di decidere cosa fosse il meglio, ed in che direzione avrebbero dovuto orientarsi i gusti dei fruitori.
Sostanzialmente erano nella posizione di poter orientare la cultura.
Oggi buona parte degli elementi sopra esposti sono venuti meno, così come i relativi costi: quelli di produzione e di distribuzione si sono drasticamente ridotti grazie alla tecnologia.
Addirittura, buona parte dei costi si sono di fatto azzerati, perché li sostiene direttamente l’utente finale, con la sua banda (larga?), il suo CD, il suo masterizzatore, la sua stampante, …
Molto democraticamente, ora tutti possono accedere alla grande distribuzione, ed è così venuto meno anche il costo della selezione: non solo il talent scouting sembra ormai svanito, ma anche per un autore che ‘imbrocca’ un buon pezzo, si produce il CD anche se gli altri brani non valgono un soldo bucato …
Forse è ora di tornare alle origini, e a ridare un significato al lavoro dei produttori, facendo selezione e guadagnando giustamente per il lavoro fatto.
Chi vuole accedere al mondo senza passare attraverso un filtro lo può fare comunque, attraverso Internet, attraverso altri tipi licenza.
Colui che utilizzi queste licenze e si riservi i diritti di sfruttamento commerciale, il giorno che dovesse ‘imbroccare’ un buon pezzo o un buon testo, potrebbe sempre decidere di cedere tali diritti ad un grosso produttore, che si farebbe carico dei costi per la sua promozione, anche internazionale (con traduzione, marketing, etc.).
Ma non posso chiudere questo post senza andare a cercare un senso anche per la SIAE e similari.
La proprietà dei diritti su un opera ha un valore laddove l’utilizzo dell’opera produca valore.
Questo valore, per l’utilizzo personale, è destinato a tendere a zero, sia perché i costi di distribuzione tendono a zero, sia perché la sempre crescente quantità di contenuti di cui fruire tende a spalmare la medesima capacità di spesa su un numero maggiore di autori.
Per il futuro il vero valore aggiunto deriverà dall’utilizzo commerciale (pubblicità, proiezione in televisione, etc.) e rappresentazioni pubbliche.
Sostanzialmente si tornerà a dare un valore diverso alla qualità, sia perché un brano dal vivo è diverso da quello registrato, sia perché una buona opera vale realmente più del ciarpame.
La SIAE deve pertanto cedere sia il monopolio, che è retaggio di tempi ormai passati di dazi e gabelle (e qui, per inciso, ci mettiamo anche l’iniquo compenso sui supporti vergini), sia l’idea di poter cavare sangue dalla rape, concentrandosi sul reale sfruttamento commerciale delle opere.
E, forse, la politica dovrà iniziare a porsi il problema di definire cosa sia la vera cultura, evitando di delegare questa decisione a chi chiama ‘cultura’ tutto ciò che al momento gli conviene vendere.
L’Europa e Microsoft raggirano i consumatori venerdì 6 marzo 2009
Posted by andy in Internet e società, Miglioramento, vita quotidiana.Tags: antitrust, Comunità Europea, guerrra dei browser, seven, windows 7, windows seven
add a comment
Sfugge la notizia che Internet Explorer 8 verrà scorporato da Windows 7.
Proprio quando ancora una volta rischiano di abbattersi su Microsoft nuove sanzioni da parte dell’Antitrust della Comunità Europea.
Stavo per mettere in oggetto ‘hanno raggirato la Comunità Europea’, ma mentre stavo scrivendo mi è venuto il sospetto che essa non sia tanto ignara di ciò che sta accadendo.
La considerazione da cui parto è che non è IE da togliere da Windows, ma le feature nel software Microsoft lato server.
Come ho già evidenziato più volte, alcune caratteristiche ‘avanzate’ di Exchange, SharePoint, etc. sono accessibili soltanto da coloro che accedono ai servizi attraverso IE.
E questo perché alcuni componenti di IE sono nel sistema operativo; e questo spiega perché disinstallandolo o applicando patch occorrono i reboot.
Ora, immaginate cosa accadrà nelle grandi realtà che dovessero optare per il rinnovamento del proprio parco client senza adottare IE, e si trovassero la sorpresina …
Cosa potrebbero andare a dire alla Microsoft?
E l’Europa secondo me è cosciente di questo, e per far contento il popolo fa passare questa imposizione alla Microsoft, per la quale non cambierà proprio nulla.
Infatti, già oggi chi preferisce un altro browser, lo utilizza tranquillamente senza preoccuparsi di IE, che però viene mantenuto proprio per quei casi in cui il sito è stato disegnato appositamente per IE (e ce ne sono) o per cui il software server lo pretende.
Cosa occorrerebbe fare?
Secondo me due semplici cose risolverebbero definitivamente il problema:
- l’Europa impone che qualsiasi software adottato debba basarsi soltanto su standard ufficiali o comunque aperti (senza royalies di sorta);
- l’Europa impone che la vendita di hardware e software debbano essere distinte; se voglio Windows lo pago a parte, con una voce esplicita sullo scontrino.
La beneficenza della Microsoft mercoledì 21 gennaio 2009
Posted by andy in Internet e società, Miglioramento.Tags: antitrust, beneficenza, Microsoft, poca trasparenza
add a comment
Leggo oggi due notizie che riguardano la Microsoft.
Da una parte, la Commissione Europea per l’Antitrust che sta valutando seriamente la possibilità di comminare un’ulteriore sanzione alla Microsoft, oltre alla precedente da 800 M€.
Dall’altra, Microsoft che regala ad una scuola superiore pugliese hardware e software per VOIP e per stupire gli spettatori con effetti speciali, ed accaparrarsi l’approvazione del Ministero della Pubblica Amministrazione e dell’Innovazione, e del ministro Brunetta in persona.
Mi rendo conto che per molti lettori quanto segue potrà sembrare un’ovvietà, ma non fa mai male avere un punto di vista diverso.
- Microsoft finanzia a fondo perduto (fatto da verificare anche nel medio e lungo termine) la realizzazione di qualche progetto pilota;
- il risultato alla fine funziona (o perché funziona sul serio, o perché chi deve approvare il collaudo non vuole assumersi la responsabilità di aver sbagliato);
- la volta che c’è l’imprimatur di qualche dirigente o politico di turno (questa volta è il turno di Brunetta), si parte con la replica del progetto in altre realtà; a questo punto si scopre che gli altri progetti non sono omaggiati dal finanziatore filantropo, e quindi qualcuno si rimbocca le maniche, e senza sollevare troppo polverone, inizia a rastrellare milioni di Euro per pagare il tutto;
Conseguenze:
- con l’esborso di qualche PC e qualche schermo per fare grande effetto, il filantropo di turno ha messo un ipoteca su tutte le future installazioni;
- a parte i PC inizialmente regalati, tutti gli altri che dovranno adeguarsi alla nuova infrastruttura dovranno essere sostituiti, perché Windows XP non è più supportato e bisogna per forza comprare Vista, e perché Vista non ce la fà girare sull’hardware esistente;
- il contribuente paga;
- si condiziona ulteriormente il mercato, condizionando gli utenti che poi a casa propria continueranno a comperare Windows pre-installato, non perché lo vogliono, ma perché non hanno neppure mai visto le alternative;
- si è persa l’ennesima occasione per dare spazio a società private ed alle università di realizzare un progetto pilota equivalente, con software libero, che preservi gli investimenti già fatti in hardware e software, e che dia una spinta all’innovazione;
- si è persa un’altra occasione per avere un po’ di trasparenza nelle scelte, e soprattutto organismi come il CNIPA o sono stati messi da parte, o non hanno saputo fare il proprio mestiere;
- dopo qualche anno il filantropo bussa alla porta del Ministero di turno, e chiede una verifica delle licenze installate; siccome nessuno è in grado di garantire che non ci siano in giro licenze non autorizzate, si provvede all’ennesima sanatoria comprando licenze corporate per mettersi in regola (senza neppure sapere se davvero esistano o meno delle irregolarità).
Mi rendo conto che le considerazioni di cui sopra possano ad alcuni apparire un po’ pesanti, ma sfido chiunque nella PA a tirare fuori dal cilindro direttive e numeri reali in relazione all’agevolazione dell’adozione del software FLOSS nella PA; in particolare:
- la quantità di licenze client e server installate, per ogni tipo di sistema operativo;
- le direttive che impongono l’utilizzo di software FLOSS a meno di insormontabili incompatibilità con i servizi da supportare;
- i costi sostenuti ogni anno per software proprietario;
- i costi sostenuti per promuovere e sviluppare progetti ed infrastrutture su software FLOSS.
