jump to navigation

Un nuovo passo verso il futuro del software venerdì 19 giugno 2009

Posted by andy in Futurologia, Internet e società.
Tags: , , , , , , ,
add a comment

Opera ha presentato il suo nuovo prodotto, che di speciale ha l’idea alla sua base.

Il browser diventa non più soltanto uno strumento per accedere al mondo, ma anche uno strumento per condividere con il mondo.

La novità sta nel fatto che l’utente torna ad essere al centro della gestione dei propri dati, sul proprio sistema, invece che appoggiarsi a strutture esterne che offrono mille vantaggi tecnologici ed un solo svantaggio: la totale perdita di riservatezza delle proprie informazioni.

È vero che ciò si può fare da sempre utilizzando software di ottima qualità, ma ciò veniva al prezzo del costo dell’installazione e della manutenzione di tanti pezzi di software diversi.

Tra le mie osservazioni e leggendo qua e la, i principali pro e contro che ho identificato sono:

Pro:

  • l’utente torna a controllare i propri dati, invece che consegnarli incondizionatamente a società ed da sistemi delocalizzati;
  • l’utente deve manutenere / aggiornare un solo programma (il browser), invece che la pletora di quelli necessari per offrire i medesimi servizi di Opera Unite;

Contro:

  • il sistema non funziona per i sistemi NAT’ati;
  • l’accesso dall’esterno ai dati è limitato dalla banda disponibile, che in generale è asimmetrica (ADSL), a sfavore del traffico in uscita;
  • l’accesso ai dati dall’esterno è possibile soltanto se il sistema è acceso: qualcuno ha fatto un semplice conto, rilevando che il costo per mantenere sempre acceso il proprio PC è superiore al canone per un virtual server ospitato da un ISP;
  • si apre un nuovo universo di rischi per la sicurezza, in quanto gli attaccanti ora potranno concentrarsi su un unico elemento che offre molte più funzionalità che in passato e, quel che è peggio, ora agisce anche da server.

Ciò nondimeno, è stata tracciata una nuova rotta, divergente rispetto a quella dei grandi fornitori di servizi (SaaS).

Un altro altro mattone fondamentale è stato quello dei servizi ospitati presso terzi (webmail, siti web, GoogleDocs, etc.), che hanno risolto in una volta i problemi di amministrazione e manutenzione dei sistemi, della conservazione dei dati e del consumo energetico.
La controparte è che il fornitore ‘possiede’ il mio account ed i miei dati, ed in generale si riserva il diritto di farci ciò che vuole (chi avesse dei dubbi può andare a leggersi un po’ di contratti di licenza).

Altra pietra miliare nell’evoluzione è quella del cloud computing che offre come aspetto più importante, a parer mio, la delocalizzazione dell’informazione; in tal modo elimina i costi di backup e fa tendere a zero il rischio di discontinuità nella disponibilità dell’informazione.
Il comportamento è un po’ simile a quello del nostro cervello, in cui l’informazione non viene legata ad un singolo neurone, ma è ‘spalmata’ un po’ ovunque, e grazie a ciò può essere recuperata anche a fronte di ‘guasti’ locali.

Il futuro a cui stiamo tendendo è la composizione di quanto sopra: il cloud computing ci garantirà ovunque la disponibilità delle nostre informazioni, ma queste saranno criptate (ovviamente soltanto quelle per cui ciò ha senso) in modo che siano protette come se risiedessero su un singolo server sotto il nostro totale controllo.

Ciò solleverà però un problema legato al modello di business: oggi Google & co. campano grazie al fatto che possono controllare la totalità delle informazioni che noi mettiamo in rete; l’approccio di cui ho parlato sopra escluderà da tale controllo tutte le informazioni che noi vorremo, e queste in generale sono quelle che valgono di più.

Probabilmente si arriverà ad un approccio collaborativo, in cui le proprie aree personali verranno condivise mediante P2P, ma criptate.

Annunci

Pagare per vendere … giovedì 18 giugno 2009

Posted by andy in Internet e società.
Tags: , , , ,
add a comment

Credo che questo sia un segno dei tempi, e di come si stiano rivoluzionando e stravolgendo i modelli di business.

Il software open source (non tutto, ovviamente) ha raggiunto e superato in qualità quello commerciale.

Pur essendo gratuito, Internet Explorer 8 è stato escluso dalla distribuzione europea di Windows 7, a causa delle decisioni della commissione antitrust europea.

IE8 è gratuito, come Firefox e praticamente tutti i browser più diffusi, ma si diversifica da essi in due aspetti: in primo luogo è closed source, e soprattutto è un cavallo di troia fondamentale per la Microsoft per mantenere la propria posizione dominante sul mercato dei sistemi operativi.

MS-IE8-treasure È così importante che la Microsoft è arrivata a promettere donazioni in beneficenza per ogni download del suo browser, e addirittura per creare una caccia ad un tesoro di 10.000$, che potranno essere trovati soltanto da un utilizzatore di IE8.

Godiamo oggi i benefici di una guerra iniziata tanti anni fa, tra Netscape ed Internet Explorer, una guerra fatta soprattutto di fuga dagli standard, per ‘fidelizzare’gli utenti (oggi si dice ‘lock-in’).

Viene da pensare allo scontro tra Davide e Golia ma … è davvero così?

In realtà no:non è più il tempo dei sognatori, che dedicavano il proprio tempo per lasciare al mondo una parte di sé, nella forma di programmi.

Ormai si tratta di uno scontro tra titani: da una parte la potenza economica della Microsoft, e dall’altra quella di tutte quelle aziende che hanno speso fortune per inseguire il mercato che la Microsoft anno dopo anno creava (vedi anche FUD).

Troppi denari sono stati spesi per sviluppare software che fosse compatibile sia con gli standard ufficiali, sia con quelli modificati ad arte dalla Microsoft.

Il browser è ormai diventato la finestra sul business; il sistema operativo non è più l’elemento facilitante per lo svolgimento delle proprie attività; è invece ormai la nuova generazione del BIOS, quel pezzo di software che tutti i computer devono avere per poter essere utilizzati.

Il business non è più sul software da installare, ma sui servizi da utilizzare.

Gestire il proprio computer, installare ed aggiornare il software, effettuare il backup dei propri dati sono diventate operazioni non banali, e soprattutto operazioni che portano via tempo ai propri interessi ed al proprio business, oltre che essere un costo che in generale si tende ad evitare (con tutti i rischi del caso).

Ed ecco che il mercato si difende, investendo cifre non indifferenti in tecnologie che consentono di svincolare gli utenti dal monopolio della Microsoft.

Un tempo si sviluppava software per guadagnare … oggi Microsoft è messa alle corde, e si trova costretta a pagare perché gli utenti non si rivolgano alla concorrenza.

Il mondo sta davvero cambiando.

Provvedimento del Garante sugli amministratori di sistema: troppa teoria e nessuna pratica martedì 9 giugno 2009

Posted by andy in Internet e società, Miglioramento, privacy.
Tags:
add a comment

Ho letto molti commenti sul tema.
Mi sono stupito della consultazione del Garante dopo aver fatto la legge, ma … ben venga; il tema è spinoso e prima lo si sviscera e meglio è.

Il problema che permane però, a parer mio, e che nessuno credo abbia ancora affrontato, è quello della correlazione tra l’impatto dell’attuazione del provvedimento sulle aziende rispetto alle capacità ed ai benefici.

I requisiti posti dal Garante non sono ‘scalabili’: sono un ‘tutto o niente’, e il niente è male per la legge.

Con ‘niente’ non intendo lo stare a guardare e girare i pollici: intendo invece adottare misure e spendere soldi per ottenere qualcosa che, di fatto, non risolve il problema.

Manca una prospettiva, e manca la definizione degli obiettivi.

Provo ora a sintetizzare un po’ dei problemi che si sono incontrati, per poi passare ad una proposta costruttiva.

I principali problemi che il provvedimento solleva sono:
1. L’amministratore di sistema viene caricato di responsabilità anche penali;
2. L’amministratore di sistema, nella maggior parte dei casi, non ha le competenze per affrontare il problema in modo risolutivo;
3. L’amministratore di sistema, in generale, non viene pagato per le responsabilità che ci si aspetta egli si assuma;
4. L’amministratore di sistema, in generale, non ha potere decisionale né di spesa per quanto riguarda l’implementazione delle soluzioni che ritiene necessarie;
5. Le aziende sono realtà che possono essere Telecom, banche, il Ministero della Giustizia, ma anche imprese a conduzione familiare, che hanno da proteggere soltanto i dati di qualche collaboratore.

Il punto 5. ha due implicazioni fondamentali:
a. l’azienda può gestire dati estremamente sensibili (medici, giudiziari, etc.), indipendentemente da quanti ne tratta;
b. l’azienda può gestire dati non molto sensibili, o anche soltanto riservati, ma in quantità enormi.

Con quanto sopra ho, credo, evidenziato il fatto che il provvedimento del Garante è sproporzionato (verso l’alto o verso il basso) rispetto alla realtà; anzi, proprio non ha correlazioni rispetto ai fattori in gioco.

E vengo ora alla parte propositiva.

A parer mio occorre:
1. creare un collegamento tra responsabilità, competenze e retribuzione degli Amministratori di Sistema;
ovverosia: dato il livello di responsabilità richiesta, deve essere corrispondentemente richiesto un adeguato livello di certificazione della persona (e perché no? anche di irreprensibilità), ed in cambio deve essere stabilito un compenso minimo adeguato ai requisiti di cui sopra;

2. stabilito il tipo di trattamento di dati necessario all’azienda, stabilire quale siano i requisiti minimi in termini di professionalità e numero di persone necessarie;
ovverosia: il tipo di trattamento dei dati deve essere correlato alla loro sensibilità / importanza, ed alla loro quantità; in relazione a ciò devono essere stabilite delle risorse minime necessarie per assicurare la protezione dei dati e la correttezza dell’utilizzo delle infrastrutture (rammento che le aziende hanno serie sanzioni per la responsabilità amministrativa).

Tutto ciò, per legge.
Ovvio che la legge risulta troppo ‘lasca’ nel rapporto responsabilità / retribuzioni, nessuno farà più l’amministratore e le aziende si troveranno inadempienti nei confronti della legge.

L’aspetto delle certificazioni è facilmente risolto: ve ne sono di ogni tipo, sia personali che aziendali.

C’è anche da dire, infine, che il Garante potrebbe assumere un atteggiamento più costruttivo, coinvolgendo il CNIPA nella definizione di strumenti e regole operative minime tali da garantire il rispetto della legge.
Dovrebbe in sostanza venire incontro a tutte quelle mini e micro-aziende che non hanno né budget né competenze, per consentire anche ad esse di mettersi in regola senza doversi ipotecare la casa.

L’aspetto tecnologico di come realizzare un sistema economico che soddisfi i requisiti del Garante, li svilupperò in un altro post.

Il valore dell’informazione lunedì 8 giugno 2009

Posted by andy in Internet e società.
Tags: ,
add a comment

È da tempo che i principali giornale si interrogano su come ricavare soldi dalla pubblicazione delle informazioni su Internet.

Il vecchio modello della vendita della carta stampata sta morendo.

Togliere le proprie testate da Internet non è neppure immaginabile.

E allora che fare? Fare cartello con tutte le altre testate, in modo che l’informazione sia accessibile solo dietro pagamento.

Eppure in tanti danno per perdente quest’idea; la ragione? Ormai siamo talmente abituati a trovare tutto gratis su Internet, che non siamo più capaci né di immaginare né di chiedere cosa abbia un valore, e se e quando valga la pena di essere pagato.

Se da sempre c’è stato qualcuno che ha pagato delle persone per raccogliere e riportare informazioni, un motivo ci deve essere.

Ed il motivo è che l’informazione giusta al momento giusto porta potere e vantaggi commerciali.

Se una persona si occupa di investimenti, avere prima degli altri certe informazioni può portare vantaggi.

Ma, come spesso accade, non ci si concentra sul significato di ciò di cui si parla.
l'”Informazione” non è semplicemente riportare un accadimento; lo è invece il correlarlo ad altri accadimenti, per evincere connessioni e collegamenti di causa-effetto che ci consentono di prevedere cose per nulla evidenti.

Sono questi collegamenti il valore aggiunto dell’informazione, e sono quelli che dovrebbero giustificare lo stipendio dei giornalisti (di quelli veri, intendo).
Oggi invece ormai il giornalismo è diventato un po’ troppo sensazionalismo, spesso andando a pescare notizie non vere, e pubblicandole senza alcun controllo pur di fare lo scoop.

Ci troveremo, penso, ad avere un’informazione a due velocità: le notizie (gratis), e le vere informazioni (a pagamento, e coperte da copyright); in questo modo nessuno potrà pubblicarle attraverso il Google News di turno senza aver prima stretto accordi e pagato i diritti.

Ma ciò di cui parlo esiste già da tanti anni, soltanto che non ci facciamo più caso: sono i servizi a pagamento di aggiornamento normativo, finanziario, rassegne stampa, etc.

Ciò di cui si sta parlando oggi, in realtà, non è di inventare l’acqua calda: stanno invece soltanto cercando di trovare quali siano i tipi di aggregazione a maggior valore aggiunto delle informazioni.

Gli obblighi per gli Amministratori di Sistema: una proposta concreta dopo tanta teoria giovedì 4 giugno 2009

Posted by andy in Internet e società, privacy, tecnologia.
Tags: , , , ,
add a comment

Riprendo il discorso sul tema del provvedimento del Garante 27/11/2008 sulle Misure e accorgimenti relativamente alle attribuzioni delle funzioni di amministratore di sistema.

Il Garante ha fatto della teoria; si è quindi reso conto di avere creato un mostro che non sa gestire, ed ha fatto ricorso alla consultazione pubblica (che avrebbe dovuto essere stata fatta prima, e non dopo), da cui speriamo si arrivi a qualcosa di concreto e di realistico.

I propositi sono buoni, ma la generalità della cosa ha reso di fatto inutile ai fini pratici la nuova norma.

L’auditing sull’accesso ai dati sensibili (di fatto, è di questo che si parla) si può fare in vari modi, e soprattutto con vari livelli di profondità.

Le esigenze di una Telecom, di un ISP e di un’azienda che fabbrica bulloni sono completamente differenti.

E cosa è che fa la differenza? Il rischio.
Riuscire ad accedere ai database di una Telecom o dellla Sanità, o del Ministero della Giustizia, comporta rischi incredibilmente più elevati che riuscire ad accedere al database dei dipendenti dell’impresa a conduzione familiare che produce bulloni nel garage sottocasa.

In aggiunta, la protezione dei dati ha un costo, in particolare in materia di competenze.

Ciò che avrebbe dovuto fare il Garante è di stabilire una griglia, in cui tenere conto della quantità e della qualità dei dati gestiti.

La qualità è ovviamente un fattore fondamentale: i dati giudiziari o sanitari, piuttosto che quelli finanziari, comportano intrinsecamente più rischi che i puri dati anagrafici.

Altro fattore fondamentale è la quantità: una cosa è gestire un database dei 5 o 10 nominativi dei dipendenti dell’azienda, un’altra è gestire database che contengono milioni di anagrafiche, e magari per ciascuna anche il tracciato telefonico e l’identificazione delle celle che hanno servito le telefonate.

In sintesi, il Garante avrebbe potuto stabilire dei requisiti minimi in termini di:
– certificazioni di sicurezza dell’azienda, e dei suoi eventuali subfornitori;
– professionalità degli amministratori (certificazioni personali, etc.)
– integerrimità del personale responsabile;
– quantità e dettaglio dei log di auditing, in relazione ai dati gestiti;
– elenco minimo delle informazioni da auditare;
– modalità e durata della conservazione dei log (personalmente, li farei criptare con la chiave pubblica di un certificato della Magistratura);

Forse c’è anche altro, ma l’elenco di cui sopra serve già a dare un’idea di cosa intendo significare.

Faccio invece una digressione sulla criptazione dei supporti su cui vengono conservati i log.
Nel caso la cosa non fosse chiara a tutti, la disposizione del Garante, così com’è, mi risulta essere sostanzialmente inutile.
Oltre al fatto che in generale i log possono essere ‘epurati’ prima di essere trasferiti su un supporto non riscrivibile (a meno di soluzioni non banali), essi possono essere modificati anche dopo: è sufficiente scaricare il contenuto del supporto, modificare il contenuto dei log, e ri-masterizzare il tutto su un nuovo supporto, da sostituire all’originale.

In sostanza, i log devono come minimo essere accompagnati da una marca temporale certa, che ne garantisca l’immutabilità.
Visto poi che tali log sono necessari, di fatto, soltanto in caso di indagini della Magistratura, se questi fossero criptati con la chiave pubblica di un certificato della stessa, tali log non potrebbero essere aperti se non in caso di indagine.

In questo modo si preserva la privacy di tutti (anche degli amministratori di sistema), non si fa telecontrollo, ed i log stessi non possono divenire interessanti per compiere un furto (per fare un esempio, ad un malintenzionato i log della Telecom di turno possono raccontare molte cose sull’architettura dei sistemi e dei servizi).