jump to navigation

Quis custodiet ipsos custodes? mercoledì 8 ottobre 2014

Posted by andy in Politica.
Tags: , , ,
add a comment

Una tra le tante notizie che si leggono ormai sui giornali mi ha dato lo spunto per rispolverare questa antica frase: ‘chi controlla il controllore?’

In origine (e sono passati quasi due millenni), l’accezione era: ‘chi ha il potere di controllare chi ha il potere?’.

Oggi, in Italia, il significato si è completamente ribaltato: chi è che ha il potere di fare in modo che chi ha il potere lo eserciti?

In sostanza, una buona parte dei nostri guai deriva dal fatto non tanto dagli abusi di potere, ma dal mancato controllo che ha lo scopo di impedire, o almeno limitare, tali abusi.

Annunci

Contraccezione e sicurezza ICT mercoledì 9 luglio 2014

Posted by andy in Information Security, Internet e società.
add a comment

Dite la verità … non è facile trovare un nesso tra questi due temi …

Dopo aver letto questo articolo forse qualche preoccupazione potrebbe insorgere anche nei vostri pensieri.

Eppure ora è possibile controllare i periodi di fertilità delle donne con un chip wireless sottocutaneo.
È certamente comodo l’utilizzo di un telecomando, ma … se altri lo facessero al nostro posto, in modo trasversale o selettivo?

Quanto può valere la sicurezza o insicurezza di un dispositivo simile?

 

Spettacolare! Ecco il diritto all’oblio (alla -1)! venerdì 30 maggio 2014

Posted by andy in privacy.
Tags: , , ,
add a comment

Leggo la notizia dell’apertura di Google al diritto all’oblio.

Ovviamente non poteva rifiutare un trattamento delle informazioni degli utenti conforme alla normativa europea, pena l’essere sfrattata dai territori dell’unione.

Gli aspetti che hanno dello sensazionale direi che sono due:

  1. Google rimuoverà i collegamenti indesiderati (occorre quindi elencarli tutti), ma non parla di rimuovere i contenuti;
  2. per rimuovere tali collegamenti, Google si farà dare una serie di informazioni che ancora non possiede:
    • le proprie generalità reali (così potrà associare gli account, anche non identificativi, a delle identità reali);
    • una copia CHIARA E LEGGIBILE del documento di identità (così lo potrà associare alla nostra identità in Rete, ormai non più pseudonima);
    • nel caso si agisca per conto di un terzo, verrà stabilita una relazione di autorità legale tra richiedente e titolare delle pagine da rimuovere;
    • per ogni URL, dovrà essere fornita una chiara motivazione, di fatto aggiungendo un livello semantico al contenuto;

NOTA: il documento d’identità verrà rimosso dopo un mese dopo la chiusura della pratica, << a meno dei casi previsti dalla legge>>

Qui il modulo di richiesta: https://support.google.com/legal/contact/lr_eudpa?product=websearch

Internet fast lanes giovedì 15 maggio 2014

Posted by andy in Internet e società.
Tags: , , ,
add a comment

Da tempo in America si sta dibattendo sulla liceità di prevedere una ‘Internet a due velocità’.

In sostanza, si tratta di consentire a chi paga di avere più banda da e verso i propri servizi, privilegiandoli rispetto a quelli della concorrenza.

L’interesse commerciale è evidente: se ho un sito di streaming video che ‘funziona meglio’ di quelli della concorrenza, più utenti accederanno al mio piuttosto che agli altri.

La FCC americana (Federal Communications Commission) da tempo è stata chiamata ad esprimersi, ed è dibattuta tra l’interesse delle lobby e l’opinione pubblica (e non solo) che paventa (e non a torto) la fine di Internet come la conosciamo.

Sono al vaglio molte opzioni su come garantire o meno la neutralità della Rete, e su come trovare soluzioni di mediazione.

La cosa interessante e buffa allo stesso tempo è che alcune aziende hanno iniziato a limitare pesantemente tutto il traffico da e verso i siti della FCC a scopo dimostrativo, chiedendo che questa paghi un canone annuale per poter disporre della banda che viene concessa anche agli altri utenti.

Non ho tuttavia trovato da nessuna parte considerazioni sul fatto che la perdita della net neutrality andrebbe, direttamente o indirettamente, comunque a danneggiare il cittadino.

Visto che la banda non è una risorsa infinita, qualsiasi ‘corsia preferenziale’ penalizza tutti gli altri utenti.

Se avete una strada a due corsie, ed una la riservate soltanto al 5% delle auto, il restante 95% delle auto dovrà circolare su una corsia sola.

E questo implica che qualsiasi corsia preferenziale in Rete penalizzerebbe, tra l’altro, anche i siti governativi, servizi di emergenza, e così via, che hanno l’obbligo istituzionale di fornire i propri servizi ai cittadini, e quindi in ultima istanza i cittadini stessi.

In alternativa, anche i siti governativi potrebbero pagare il proprio ‘pedaggio’ per non rimanere penalizzati, e per farlo dovrebbero aumentare le tasse ai cittadini, quindi penalizzandoli anche in questo caso.

Anonymous, Wikileaks, Datagate … perché? giovedì 20 marzo 2014

Posted by andy in Internet e società, Uncategorized.
Tags: , , ,
add a comment

Ieri, al Security Summit di Milano, in occasione dell’Hacking Film Festival, ci siamo trovati a dibattere sul fenomeno di Anonymous, e sul perché sia nato.

Mi sono reso conto che, in questa occasione come in Rete, ci si trova sempre a girare intorno a motivazioni concernenti l’etica, l’oppressione, la privacy, la contestazione, e così via.

Non ricordo di aver mai sentito presentare motivazioni per questi fenomeni che abbiano una visione generale ed unificante.

Colgo quindi l’occasione per presentare una mia interpretazione del fenomeno, visto nel suo complesso.

Il ragionamento parte con il considerare Internet (in senso lato, con tutte le sue reti, i suoi elaboratori, programmi, e persone ed istituzioni che contribuiscono a gestirla ed a trattare le informazioni) come un organismo.

Tutto sommato, fin qui niente di nuovo: come il funzionamento ed il comportamento di città e metropoli viene studiato utilizzando anche con approcci biologici, ha assolutamente senso farlo anche ad una scala superiore.

In quest’ottica la mia visione mi porta a considerare tutti i sistemi di accentramento, analisi e controllo dell’informazione come tumori, che per vivere ed accrescere tolgono risorse all’organismo che li ospita.

L’organismo, a sua volta, sviluppa degli anticorpi per cercare di tenere sotto controllo, se non eliminare, la malattia.

Con un occhio più realista e concreto, basta andare a dare un’occhiata ai bilanci degli stati per rendersi conto di quante risorse economiche questi enti (NSA, etc.) tolgano ai bilanci dei rispettivi governi.

Un’ulteriore interpretazione può essere di tipo energetico: qualunque sistema fisico tende a portarsi ad uno stato di minima energia, mentre sistemi come la NSA, che tendono a consumare energia per non produrre nulla(*) in favore del funzionamento generale del sistema.

———-

(*) in un un’ottica generale che non considera la necessità di sistemi di compensazione per organi antagonisti (i Servizi degli altri stati).

Pubblicate in G.U. le Regole tecniche: arriva il nuovo “sistema di conservazione” dei documenti informatici sabato 15 marzo 2014

Posted by andy in Information Security, tecnologia.
Tags: , , , ,
add a comment

Sono state pubblicate in G.U. le Regole tecniche per il nuovo “sistema di conservazione” dei documenti informatici.

Una delle novità riguarda il concetto di “sistema di conservazione“, che viene definito come un sistema che, in tutto il ciclo di vita del documento, deve assicurarne la conservazione con i metadati a essi associati, tramite l’adozione di regole, procedure e tecnologie idonee a garantirne le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità.

Non intendo qui entrare nel merito delle caratteristiche di autenticità, integrità, affidabilità e reperibilità, che sono di fatto da anni oggetto degli obblighi derivanti dalla Legge sulla Privacy (d.Lgs. 196/2003), e successive integrazioni e modifiche.

Grazie alla redazione del DPS, tali obblighi hanno in sostanza portato all’attenzione del top management delle aziende ed anche dei professionisti la necessità di gestire la sicurezza delle informazioni in tutto il loro ciclo di vita.

Desidero invece concentrarmi su uno dei termini invece ha delle implicazioni che probabilmente sfuggono ai più: la ‘leggibilità‘.
Supposto che siamo in grado di assicurare una lunga vita al documento informatico, siamo altrettanto in grado di garantirne la sua leggibilità?
Già oggi è estremamente difficile trovare del software che sia in grado di aprire documenti realizzati con le prime versioni di Word, Access, etc. (per non parlare di quelli redatti con i programmi di office automation che giravano prima su DOS e su altre piattaforme (Commodore, Sinclair, etc.).
E se anche inseriste nel vostro ciclo di vita di gestione delle informazioni anche la preservazione del software necessario, il giorno che vi occorresse, sareste ancora in grado di utilizzarlo?
Potrebbe essere definitivamente scaduta la licenza d’uso, o non essere più supportato dall’ultima versione del sistema operativo che avete adottato a livello aziendale …
Senza voler fare dell’allarmismo, già oggi esistono parecchie criticità nell’utilizizare all’interno di WIndows 7 applicativi scritti per versioni precedenti di Windows e del DOS – vedi il workaround del XPmode).
Windows 8.1 prevede l’utilizzo del DRM: il che significa che Microsoft avrà il controllo sul software che utilizzerete; a fronte di una licenza scaduta, il produttore del software potrebbe impedire l’esecuzione del programma, o addirittura forzarne la disinstallazione.
In sostanza, garantire la leggibilità di un documento potrà divenire potenzialmente impossibile.

Ovviamente esistono anche gli standard aperti ed il software libero, ma queste sono scelte strategiche che in pochi sono in grado di affrontare.

 

A proposito …
visto che per poter rendere ‘leggibile’ un documento possono essere necessari dell’hardware obsoleto ed anche una o più licenze di software anch’essi potenzialmente obsoleti, in caso di giudizio quale delle parti ha l’onere di fornire la piattaforma per poter presentare il documento?

Ed il giudice stesso, volendo consultare gli atti del processo può avere necessità di fare accesso al documento stesso; anche nell’ottica della dematerializzazione deve andare da una delle parti e farsi stampare tutto?
O si fa mettere a disposizione una copia del sistema informatico necessario per poter leggere il documento?

“Prendiamo impegni troviamo soluzioni” – Call for solution di FORUM PA domenica 16 febbraio 2014

Posted by andy in Pubblica Amministrazione, Uncategorized.
Tags: , , , , ,
add a comment

Sono esterrefatto dal bando che è stato pubblicato da ForumPA.

Da una parte apprezzo moltissimo l’iniziativa per raccogliere idee e soluzioni da portare all’attenzione della PA.

La cosa sconvolgente è che la nostra PA da decenni fa programmi, recepisce indicazioni (a volte in forma coatta!), ma il massimo che riesce ad ‘inventare’ è la PEC.

E per tutto questo stipendiamo, da decenni, ministri e ministeri, segretari, sottosegretari, direttori generali, consulenti, specialisti …

… ma proviamo a guardare gli argomenti oggetti di invito a dare proposte:

1) PA digitale 1.1 Come dematerializzare efficacemente archivi e documenti mantenendone l’accessibilità e la corretta memoria.I produttori sono tanti, con hardware e software più o meno sofisticati e costosi; il problema è che occorre far sparire la carta nel ciclo di vita delle informazioni.L’approccio più pratico, a lungo termine, è quello di ricodificare i documenti cartacei, ogni qualvolta tornano ad essere ‘vivi’, ed oggetto di aggiornamento.Tutto il resto della carta deve essere sottoposto a scansione prima della distruzione (sempre che l’informazione abbia ancora un valore legale o storico).1.2 Come realizzare veramente lo switch-off al digitale per i più importanti processi amministrativi.Come sopra: il dato deve nascere ed esistere soltanto digitalmente; Le applicazioni digitali che sostituiscono quelle tradizionali devono essere utilizzate per ogni nuova pratica; ogni pratica nata precedentemente o viene trattata ancora secondo il vecchio processo, o viene reinserito nel circolo digitale alla prima necessità.La scelta tra i due metodi deve essere fatta in base alla previsione di quante pratiche ante-digitale dovranno in pprevisione essere trasferite al digitale, o andranno a morire su carta.1.3 Come usare le tecnologie disponibili per ridurre il numero dei datacenter pubblici incrementando sicurezza e qualità del servizio erogato.

Certamente occorre adottare standard aperti (leggi OpenStack, etc.) per evitare il lock-in della PA su un particolare fornitore di tecnologie.

Inoltre occorre proteggere i dati dei cittadini, e per questo è difficilmente accettabile l’outsourcing dei datacenter ed il delegare la gestione della sicurezza di infrastrutture così complesse.

La PA deve fare l’insourcing del know-how necessario al padroneggiare sia i datacenter che le tecnologiie di virtualizzazione che la gestione della sicurezza delle informazioni in tutto il loro ciclo di vita. È ASSOLUTAMENTE IMPENSABILE l’idea di delegare fornitori terzi (tra cui i soliti noti …) a gestire e garantire la protezione delle informazioni.

1.4 Come rendere sempre possibile ed economico lo scambio di dati e informazioni tra amministrazioni.

Open standard, open standard, ed ancora open standard.

E formati aperti pubblicati ed accessibili a qualunque fornitore.

1.5 Come gestire in forma totalmente digitale tutti i pagamenti della PA sia in entrata sia in uscita.

Come fanno tutti: accettando pagamenti elettronici, mediante home banking e carte di credito.

1.6 Come introdurre competenze e consapevolezza dell’utilizzo degli strumenti informatici nella scuola e nei programmi scolastici.

Formando i formatori: è indispensabile incentivare le scuole ed i docenti a formarsi ed acquisire le necessarie competenze, ed introdurre nel Piano dell’Offerta Formativa le appropriate competenze.

È FONDAMENTALE CHE LA SCUOLA COMPRENDA CHE LA SICUREZZA NON È TECNOLOGIA.


2) Open Government 2.1 Come favorire la partecipazione dei cittadini e la cittadinanza attiva.Raccolte digitale delle firme per la proposta di referendum abrogativi e di leggi di iniziativa popolare.2.2 Come favorire l’accesso, la divulgazione e l’uso di dati pubblici e la loro corretta interpretazione.

Pubblicazione di dati grezzi sotto licenza OpenData, ed integrazione di tali dati con quelli richiesti dal pubblico.

Estensione dei dati pubblicati dall’ISTAT.

Realizzazione di un sistema per la realizzazione di interrogazioni personalizzate da parte del pubblico.

2.3 Come favorire accountability e controllo sociale sull’operato della Pubblica Amministrazione.

(Vedi 2.2)

2.4 Come favorire la collaborazione e la partnership tra i diversi attori sociali, economici, culturali e istituzionali.

Responsabilizzazione: nel momento in cui gli onori non saranno più ‘diritti acquisiti’, ma funzione degli oneri, delle responsabilità e dei rischi, ogni persona sarà motivata a darsi obiettivi concreti ed a raggiungerli.

2.5 Come favorire la sussidiarietà orizzontale, la collaborazione e la partecipazione nel settore chiave del turismo e del corretto uso dei beni culturali e ambientali nell’ambito di un’offerta territoriale sempre più integrata per lo sviluppo sostenibile dei territori.

Condivisione delle informazioni, realizzazione di sistemi informativi unificati, libera concorrenza di mercato e soprattutto controllo dell’efficacia ed efficienza dell’utilizzo delle risorse.


3) Revisione della spesa pubblica 3.1 Come introdurre strumenti di procurement innovativo e Partnership Pubblico-Privato per la fornitura di servizi e prodotti innovativi che permettono risparmi.Valorizzare le eccellenze sul territorio, prendere a riferimento le buone pratiche delle amministrazioni locali, e prevedere incentivi per miglioramenti rispetto ai parametri di riferimento.

Eliminare ogni requisito che possa portare al vendor lock-in.

Lasciare alle PA locali ogni margine conseguito rispetto ai parametri presi a riferimento.

3.2 Come gestire meglio il patrimonio immobiliare pubblico aumentandone l’efficienza e la sostenibilità ambientale

pubblicazione dei valori di mercato per prezzi ed affitti, e dei valori attuali dei prezzi di vendita e di affitto.

Utilizzo di revisori esterni che valutino la correttezza delle valutazioni e dell’operato dei pubblici amministratori.

Ovviamente, licenziamento dalla PA di qualsiasi dipendente che abbia perseguito interessi personali nello svolgimento dei propri incarichi.

3.3 Come rendere più efficienti i servizi pubblici locali a rete.

Centralizzazione dei workflow con pubblicazione delle interfacce per agganciarsi ai sistemi informativi della PA, in modo da poter fornire ai cittadini ed alle imprese dei servizi informatizzati di base a cui agganciare il proprio business.

3.4 Come combattere l’evasione e l’elusione dei tributi locali.

Non ammettere alle gare per le forniture pubbliche ogni azienda che abbia, a qualsiasi livello della proprietà, società in paradisi fiscali od assimilati.

Pubblicazione on-line di ogni gara, di ogni aggiudicatario e dei verbali di aggiudicazione.

Pubblicazione on-line dei parametri di qualità di ogni fornitore e di ogni commessa, in modo che il cittadino possa verificare quanto la qualità erogata dai fornitori sia all’altezza dei requisiti; inoltre, pubblicazione on-line dei livelli di servizio, del loro raggiungimento e dell’effettiva applicazione delle penali contrattuali.

3.5 Come ottenere risparmi con l’introduzione della identità digitale unificata e dell’anagrafe nazionale della popolazione residente.

Cos’è? Una tautologia? I risparmi si conseguono <<con l’introduzione della identità digitale unificata e dell’anagrafe nazionale della popolazione residente>>.

Unificare la carta d’identità, il codice fiscale, la tessera sanitaria, la patente, la tessera dei mezzi pubblici, etc. etc. etc. porta ad economie di scala nella quantità di supporti (tessere) da gestire, nella quantità di sistemi preposti alla gestione dell’anagrafe, e nella quantità di persone da adibire alla gestione delle identità.

Inoltre sparirebbero i problemi legati all’allineamento e sincronizzazione delle basi dati e al disallinamento dei dati.

3.6 Come usare l’innovazione istituzionale, organizzativa e tecnologica per un welfare e una sanità sostenibile.

In parte, vedi 3.1.


4) Sviluppo del tessuto produttivo locale 4.1 Come favorire lo sviluppo di un’imprenditoria moderna e innovativa fondata su la collaborazione e le reti di impresa.

La PA deve mettere a disposizione dell’impresa tutti i servizi di supporto alla gestione del rapporto con la PA: contabilità, amministrazione, burocrazia, gestione del bilancio, incasso crediti e pagamento delle imposte, notifica e gestione delle scadenze, ed indicazione dei contatti per ogni esigenza e pratica non standard.

Ciò include anche l’apertura e chiusura delle imprese, e la gestione dell’assetto societario completamente on-line, grazie all’identità digitale del cittadino.

Quanto sopra porterebbe ad una drastica riduzione dei costi per tutti i consulenti e professionisti che le imprese sono costrette a pagare per mediare il proprio rapporto con la PA.

4.2 Come promuovere l’internazionalizzazione delle imprese.

La PA deve divenire proattiva nei confronti delle imprese, segnalando ogni opportunità, agevolazione ed incentivazione, semplificando l’accesso alle pratiche ed al disbrigo della burocrazia.

4.3 Come favorire la digitalizzazione delle PMI attraverso la formazione delle competenze digitali.

Riduzione di tributi ed imposte per tutte le aziende che stabiliscono un rapporto digitale con la PA, che a loro volta ridurrebbero i costi di gestione per la PA stessa.

4.4 Come ridurre effettivamente gli oneri burocratici per le imprese attraverso la semplificazione degli adempimenti amministrativi.

Vedi 4.1 e 4.3.

… forse manca una strategia per la formazione a livello nazionale … domenica 2 febbraio 2014

Posted by andy in Information Security, Internet e società, Politica.
Tags: , , , , , ,
add a comment

È di pochi giorni fa la notizia che per il ministro dell’Istruzione, Maria Chiara Carrozza “A scuola non serve insegnare il digitale”.
In sostanza, la sua visione del futuro digitale dei giovani è che debbano imparare a muoversi con sicurezza in Rete perché a scuola utilizzeranno il computer per studiare sui nuovi libri digitali.

Il fatto che la sicurezza in Rete sia un problema di tutti i cittadini non risolve il problema di come si potrà educare un’intera popolazione, composta di generazioni con culture informatiche differenti (spesso inesistenti).

Il ministro non fa i conti con il fatto che tra una decina d’anni i ragazzi che oggi stanno finendo le medie già si occuperanno di politica, e che tra una dozzina d’anni saranno già responsabili della sicurezza delle informazioni che gestiranno nell’ambito della Pubblica Amministrazione e di aziende che, tramite l’innovazione, dovranno trainare l’economia del Paese.

Il problema non è tanto l’introruzione di ore specifiche di insegnamento, ma quello dei contenuti da insegnare: l’idea di insegnare l’Etica in Rete all’interno delle ore di Educazione Civica non è sbagliata, ma non può prescindere dalle tecnologie utilizzate (la crittografia, tanto per indicarne una), e non può prescindere dal fornire adeguate competenze ai docenti.

E l’altro aspetto che sembra sfuggire è che, mentre la stampa ha semplicemente accelerato e democratizzato l’accesso all’informazione per tutta la popolazione, oggi è la popolazione che crea e pubblica informazione: si è in sostanza reso bidirezionale (o meglio, multidirezionale) il flusso delle informazioni.

Politici ricattabili, e persone che si faranno ‘sfilare’ da sotto il naso informazioni aziendali riservate non contribuiranno certamente ad una crescita politica ed economica del Paese.

La disinformazione per tentare ancora di nascondere i problemi reali domenica 1 dicembre 2013

Posted by andy in Miglioramento, Politica.
Tags: , , ,
add a comment

Le televisioni e la stampa continuano a portarci in giro, cercando di distrarre l’attenzione pubblica dai problemi reali.

Per tanti anni ci hanno fatto immaginare un futuro con fiumi di latte e miele, grazie all’esibizione delle grazie di bellissime fanciulle ed a fiumi di denaro regalati mediante giochi a premi di ogni sorta.

L’Italia non cambierà fino a che gli italiani non accetteranno le responsabilità.
Oneri ed onori: stipendi più alti devono implicare responsabilità e rischi più grandi, e viceversa: alle persone che investono e rischiano di più devono essere riconosciuti stipendi più alti.

Altro aspetto su cui occorre puntare è il senso della misura: non è giustificabile il fatto che persone con meno responsabilità ricevano stipendi superiori a coloro che li coordinano.

Parlando poi di buon senso, non è giustificabile che esistano persone che ricoprono decine di incarichi apicali, e che quindi non abbiano materialmente il tempo per dedicare più di una decina di giornate all’anno ad ogni incarico, ricevendo tuttavia emolumenti superiori a chi vi dedica tutto il proprio anno lavorativo ed i propri straordinari.

Altro aspetto ormai inaccettabile è quello delle ‘buone uscite’ con cifre da capogiro, nonostante l’operato del dimissionario abbia peggiorato le condizioni dell’ente o dell’azienda: riconoscimenti e provvigioni non dovrebbero mai essere legati al venduto o al fatturato, ma all’utile procurato.

D’altra parte da troppo tempo gli italiani si sono abituati a vendere il proprio voto, in alcuni luoghi per 50 Euro, in altri per non pagare l’IMU, in altri per il condono o per l’indulto, in altri per il posto di lavoro garantito senza alcun controllo sul proprio operato.
150 anni fa eravamo un agglomerato di regni, ducati, primcipati e piccole repubbliche, di corporazioni e notai, e ad oggi non abbiamo ancora trovato un’identità nazionale per cui i cittadini siano riusciti a comprendere il valore del bene comune.

C’è di buono che oggi sono finiti i soldi, e l’Euro ci impedisce di stampare ulteriore carta moneta, facendo ulteriori debiti all’insaputa dei cittadini: è arrivato il tempo di far quadrare realmente i bilanci dello stato.

Si cerca ancora di distrarre l’attenzione pubblica dai problemi reali, ma ormai i cittadini non possono più ignorare il bilancio familiare a fine mese.
Un aspetto degno di nota che vedo è che nella crisi e nelle difficoltà tante persone si rimboccano le maniche e si sforzano di aiutare gli altri, senza aspettare che ‘lo Stato provveda’.

Business Continuity e Disaster Recovery nella PA sabato 30 novembre 2013

Posted by andy in Business Continuity, Pubblica Amministrazione.
Tags: , , , , ,
add a comment

Il 18 novembre scorso l’Agenzia per l’Italia Digitale (DigitPA) ha pubblicato una serie di indicazioni sulla continuità operativa dei propri processi di business.

Colgo l’occasione per fare qualche considerazione che, ahimé, vedo che sfgge ai più, e tutto sommato credo anche alla DigitPA: pur accennando che “La sfera di interesse della continuità operativa va oltre il solo ambito informatico, interessando l’intera funzionalità di un’organizzazione”, si concentra essenzialmente sui soli aspetti informatici.

Inoltre produce una quantità di documenti, modelli e procedure che vanno ampiamente al di là delle competenze e delle disponibilità di tempo e di risorse degli enti coinvolti e dei relativi referenti.

La scadenza prefissata di 15 mesi dall’emissione del decreto è stata ampiamente superata senza che le PA possano garantire ai cittadini una reale continuità dei propri servizi.

Come ai tempi del DPS ci si concentrava sulla sicurezza delle informazioni limitandosi soltanto all’aspetto informatico, oggi si pensa alla continuità operativa (ed al disaster recovery come suo processo di supporto) limitandosi agli aspetti informatici.

Certamente al giorno d’oggi non è possibile pensare alla continuità operativa di qualunque processo o servizio pubblico senza includere come elemento essenziale l’IT (altrettanto vale, naturalmente, per la sicurezza delle informazioni).

Tuttavia noto che ci sta concentrando da anni praticamente esclusivamente sull’IT, dimenticando che questo è soltanto uno strumento di supporto ai processi di business.

Purtroppo si progettano sistemi ed architetture a prova di qualsiasi cosa, senza considerare che, in caso di disastro, l’unica cosa che rimarrebbe in piedi sarebbe probabilmente proprio l’IT.

Certamente ci si dimentica che i disastri possono essere anche non distruttivi, ma biologici: un’importante epidemia di influenza potrebbe mettere in ginocchio molti processi di business, così come potrebbero farlo seri rischi di attentato.

Ogni tanto provo a chiedere cosa accadrebbe un qualunque lunedì mattina se durante il week-end il palazzo di Giustizia dovesse crollare, o semplicemente divenire completamente inagibile per una qualsiasi ragione (rischio epidemico, rischio bomba, o altro).

Tutto il personale operativo non potrebbe accedere ai propri uffici ed alle proprie postazioni di lavoro; ci si troverebbe quindi nella situazione in cui l’informatica sarebbe perfettamente efficiente, ma non potrebbe essere utilizzata da nessuno.

E nel frattempo ci si troverebbe con code di cittadini ed avvocati che attandono le proprie udienze, persone che attendono di essere scarcerate entro i termini di legge, ed altre per cui devono essere convalidati per tempo i relativi fermi, pena la loro liberazione.
Altre persone potrebbero avere la necessità di ottenere certificati per poter essere assunti, o per convalidare un permesso di soggiorno.

Cosa accadrebbe in caso di indisponibilità degli uffici del Comune, della Regione, e così via?

Già un giorno di chiusura potrebbe procurare danni seri, ma se invece di un giorno si dovesse trattare di una o più settimane, il disastro sarebbe probabilmene irreparabile.

In sostanza, nessuno pensa alla continuità operativa legata al processo, una continuità che potrebbe essere assicurata anche con semplici ed economici accordi con altri enti pubbliici (ad esempio, quelli del Comune), e con i Vigili Urbani, per informare ed instradare gli utenti verso le nuove modalità operative.

Troppo spesso manca purtroppo una visione d’insieme, e si lascia l’onere di gestire la continuità ai responsabili dei vari servizi, che per forza di cose hanno visibilità soltanto sulle aree di propria competenza.

Tra le cause occorre certamente annoverare:

  • la mancanza di una visione d’insieme da parte delle istituzioni, che non affrontando concretamente il problema, non riescono a fare sistema, sfruttando le opportunità di collaborazione tra i diversi enti;
  • la mancanza di risorse specifiche per la progettazione e la gestione dei piani di continuità (occorrono dei professionisti del settore, e non la buona volontà dei referenti che si rimboccano le maniche per imparare una materia che esula completamente dai propri compiti istituzionali);
  • la mancanza di risorse da dedicare alla formazione del personale, per la gestione, manutenzione e prova dei piani di continuità;
  • l’eccesso di risorse destinate all’IT, dimenticando che l’IT è soltanto uno degli strumenti di supporto ai processi di business, e non l’unico.