jump to navigation

Il Piano Pandemia Nazionale: praticamente inutile mercoledì 15 luglio 2020

Posted by andy in Miglioramento, Politica, qualità.
Tags: , , , , ,
add a comment

Del senno di poi son pieni i fossi, suolsi dire …

Tuttavia non siamo ancora nella fase del ‘poi’, ma sulla gestione della pandemia da Covid-19 qualche considerazione e qualche somma la possiamo già tirare.

Mi concentro sul piano di gestione della pandemia predisposto dallo Stato, ed in parte anche su quello della Regione Lombardia (2009/2010?).

Innanzitutto una considerazione: tutti i piani pandemia che ho reperito (sia nazionali che della Regione Lombardia), nelle loro varie edizioni, non riportano da nessuna parte alcune informazioni chiave, come l’ente emittente e la data di pubblicazione.

Il Piano nazionale di preparazione e risposta ad una pandemia influenzale almeno riporta in copertina il logo del Centro nazionale per la prevenzione e il controllo delle malattie (ccm).

Ciò significa che nessuno è in grado di sapere se il documento che si trova a consultare in condizioni di emergenza sia quello aggiornato. Torneremo sulle implicazioni di questo aspetto più avanti.

Un altro aspetto critico di tutti i piani di gestione della pandemia che ho reperito è che sono stati emessi dal Ministero della Salute, o organismi omologhi a livello regionale, e che l’intera trattazione verte esclusivamente sugli aspetti medici della pandemia.

Tra i principali argomenti non trattati vi è quello relativo alla protezione e continuità operativa delle infrastrutture critiche identificate dallo Stato.

Il Governo si è trovato sostanzialmente a scoprire, a pandemia già conclamata, l’acqua calda, ovverosia che in caso di lock down la gente deve comunque mangiare, che deve essere garantita la continuità nella fornitura di acqua ed energia elettrica, nonché la distribuzione dei combustibili, oltre a molte altre cose.

Ciò implica che anche a fronte di una grave penuria di personale, dovuto a motivi sanitari o a quarantena, devono essere garantiti i trasporti, la rete di distribuzione dei generi di prima necessità, e la manutenzione ed il pronto intervento per mantenere in efficienza la rete elettrica, idrica, e così via.

I trasporti servono naturalmente a consegnare medicine e materiali per gli ospedali, nonché ai malati presso i propri domicili.

In caso di pandemia deve essere garantito anche il funzionamento della Giustizia, delle Forze dell’Ordine, delle carceri, per non parlare della centrale acquisti dello Stato e della rete di approvvigionamenti.

Già a fine 2010 la Regione Lombardia, a quei tempi governata da Roberto Formigoni, identificava la necessità di approvvigionarsi e di dotare il personale medico di mascherine ed altri presídi necessari per proteggere il personale medico e sanitario, ed il piano pandemico era disponibile già dal 2018.

Sempre in tale documento la Regione si era resa conto che i piani ASL e delle strutture sanitarie non erano aggiornati, a volte non presenti, e comunque poco operativi ai fini della gestione di un’emergenza.

In pratica abbiamo gestito la prevenzione di una pandemia con il tipico approccio italiano: paghiamo qualcuno perché produca tanta carta (tanto chi la va a leggere?) …

Un aspetto chiave della continuità operativa è quello di provare qualsiasi piano si progetti, per vedere se funziona (come per le esercitazioni antincendio, che qui in Italia facciamo alla stessa stregua del piano pandemia: … ah, c’è la prova di evacuazione? Bene, così andiamo a farci un caffè invece che lavorare …

Come per un piano di evacuazione ben collaudato può significare la differenza tra la vita e la morte delle persone, altrettanto vale per un piano pandemia.

Ad esempio, questo piano non è mai stato provato in uno scenario in cui venissero saturati tutti i posti di terapia intensiva.

Nessuno si è neppure posto il problema degli approvvigionamenti, e le tristi notizie su affidamenti diretti di milioni di Euro a faccendieri riportano alla mente che abbiamo tolto risorse a chi ne ha veramente necessità per sopravvivere.

E a proposito di scenari di valutazione, nei piani è previsto di dare la priorità nella vaccinazione ai medici ed al personale sanitario … tuttavia nessuno si è posto il problema che il vaccino potrebbe non esistere (come in questo caso, dove sarà disponibile probabilmente dopo un anno dall’inizio della pandemia). Un piccolo dettaglio, insomma …

Chiunque abbia avuto a che fare con una certificazione ISO9001 sa che non l’avrebbe mai passata producendo documenti senza ente emittente, data e validità.

Chiunque abbia avuto l’esigenza di garantire il funzionamento della propria attività sa che avrebbe dovuto chiudere senza alternative per gli approvvigionamenti e senza trovare un modo alternativo per far lavorare comunque il proprio personale.

Quanto sono costati i nostri piani pandemia ai contribuenti? Sicuramente tanto, anche soltanto tenendo conto dello stipendio delle persone coinvolte e della quantità di giornate che ci hanno dedicato (a livello governativo, regionale, ASL, ospedaliero, e così via …); se poi sono stati commissionati all’esterno, occorre anche aggiungere il ‘giusto margine’ dovuto a qualsiasi azienda commerciale (che ha come fine ultimo quello del lucro).

Ora naturalmente ci si muove in emergenza, come è normale in Italia, regalando soldi a pioggia, invece che investendoli dove serve di più (e i furbi e la malavita organizzata ringraziano).

Il piano nazionale, per come è scritto, è poi di scarsa utilità: è più un trattato sulle epidemie ed un riepilogo delle direttive dell’OMS; le parti più importanti sono sintetizzate in pochi elenchi di voci, che delegano (non è chiaro a chi) la predisposizione di piani specifici e programmi di formazione (evidentemente mai realizzati, visti i risultati).

Interessante il punto 7.7, ove è previsto di ‘Monitorare l’efficacia e l’efficienza delle misure intraprese’, per non parlare della ‘Standardizzazione delle procedure di rilevamento’, che come è noto a chi vedeva alla televisione alle 18 le conferenze stampa della Protezione Civile fornivano numeri meno attendibili delle estrazioni del Lotto.

Nonostante fosse prevista una campagna di informazione della popolazione, si è visto qualcosa soltanto sulle reti private, e per il resto si è fatto soltanto terrorismo.

Naturalmente è facile criticare (siamo in Italia, no?), ma guardando l’accaduto è anche possibile guardare avanti, chiedendosi cosa sarebbe opportuno fare per gestire meglio una situazione simile se dovesse ripresentarsi (e si ripresenterà di sicuro).

Mille cose avrebbero potuto essere fatte o fatte meglio, ma probabilmente poche di esse avrebbero potuto, con poco, fare moltissimo (ipotizzo che anche in questo caso valga il Principio di Pareto).

  • Una buona campagna di informazione (tipo Pubblicità Progresso) di tipo costruttivo e non per fare terrorismo, per spiegare cosa sia realmente il Covid-19, e soprattutto quali siano le buone pratiche da adottare e mantenere nel tempo, sino alla completa immunità della popolazione;
  • Acquisti: per le forniture di emergenza la centrale acquisti dello Stato dovrebbe avere una lista di fornitori certificati, ed accordi formalizzati per garantire tempi e quantità minime per forniture in situazioni di emergenza;
  • Evitare di fare helicopter money, con bonus per ogni cosa (incluso il bonus vacanze, che tanta credibilità ha fatto perdere all’Italia), e finanziando invece a fondo perduto ogni intervento finalizzato a mantenere la produzione garantendo la sicurezza dei lavoratori.
  • ovviamente le situazioni di rischio avrebbero comunque essere inibite, come assembramenti, eventi sportivi, concerti, discoteche, etc.
  • sul problema generato nelle residenze per anziani, forse sarebbe stato sufficiente che la politica avesse consultato ed ascoltato qualche persona competente: nessuna persona di buon senso, avendo degli anziani in casa, si sarebbe reso disponibile ad ospitare persone infette in casa propria; utilizzare caserme dismesse ed ospedali militari ormai deserti sarebbe costato poco ed avrebbe prevenuto un disastro.

In questo modo si sarebbe ridotto il rischio di contagio, favorito il mantenimento e la ripresa della produzione, ed i soldi a fondo perduto sarebbero tornati nelle casse dello Stato sotto forma di IVA, imposte, accise sui carburanti, etc.

Il SW, lo Stato e l’Esportazione in USA delle Tasse dei Cittadini venerdì 1 maggio 2020

Posted by andy in FLOSS, Information Security, Miglioramento, Pubblica Amministrazione, tecnologia.
Tags: , , , , , , , , , , ,
add a comment

Premessa

Penso che siano pochi (sempre che esistano!) i paesi in cui tutti i contribuenti siano felici di pagare le tasse nella misura in cui le pagano: sorgono sempre dubbi sulle capacità dello Stato di spendere al meglio le risorse raccolte.

Con questo mio pensiero provo a sollevare anch’io qualche dubbio, proponendo naturalmente anche una soluzione (mai lamentarsi se non si ha qualcosa di meglio da proporre!).

Mi concentrerò in questo post su come vengano spesi i soldi per l’acquisto di software commerciale da parte della PA, suggerendo delle ipotesi per impiegare meglio almeno parte di tali fondi.

Una stima della spesa per il SW da parte della PA

Prendiamo il tema degli acquisiti di software commerciale da parte della Pubblica Amministrazione, dove la parte dei leoni la fanno sempre i soliti grandi nomi (Microsoft, Oracle, VMware, Adobe, etc.)

Escludo quindi qualsiasi software ‘custom’ sviluppato ad hoc per la PA, nonché qualsiasi servizio di assistenza, configurazione, etc.

Al paragrafo 3.2.3 (La spesa ICT per macrovoci hardware e software, pag. 32) della relazione di AgID sulla spesa ICT nella PA italiana, possiamo osservare che la spesa effettiva dal 2016 in poi, e previsionale per il 2019, è sempre stata superiore ai 700 milioni di Euro (addirittura 850 nel 2018).

Stiamo parlando di circa 12 Euro per cittadino italiano (inclusi infanti e pensionati) e di circa 64 Euro per ogni contribuente (escludendo quindi infanti, pensionati, persone con reddito minimo non soggetto a tassazione, disoccupati, etc.).

Dove vanno a finire tutti questi soldi? nella maggioranza dei casi, negli Stati Uniti.

È davvero necessario esportare tutti questi capitali, impoverendo lo Stato ed i contribuenti?

A cosa serve tutto questo SW?

Intanto chiediamoci a cosa serve tutto questo software di cui acquistiamo licenze d’uso.

In generale, possiamo suddividere tutto questo software in tre categorie principali:

  • software ‘server side’, ovverosia sistemi di virtualizzazione (VMware, …), sistemi operativi server (Microsoft, e parzialmente RedHat, ora IBM), e motori di database (Oracle, Sybase, …);
  • sistemi operativi lato client (Microsoft);
  • software di office automation e programmi di utilità (Office, Skype, Teams della Microsoft, Acrobat Pro della Adobe, etc.)

È importante anche chiederci cosa effettivamente acquistiamo: si tratta di licenze d’uso, e non della proprietà dei prodotti: acquistiamo quindi la sola possibilità di utilizzare un prodotto, sottostando alle condizioni commerciali imposte dai fornitori.

 

Una stima della spesa per il SW da Parte della PA

Ho provato a cercare il numero di dipendenti pubblici in Italia, ed ho trovato varie stime, più o meno aggiornate, ma il numero supera sempre i 3.000.000 di persone.

Non so se quella che vado a fare sia una stima corretta, ma nell’era dell’informatizzazione ipotizzerò che circa 1.000.000 utilizzi un computer per svolgere almeno parte delle proprie attività; tenendo conto dei numeri dei ministeri, oltre a quelli delle regioni e dei comuni, credo che la stima possa essere considerata ragionevole.

Naturalmente non dispongo dei numeri effettivamente contrattati dalla PA, ma sono stime ragionevoli quelle di 84$/anno per Windows 10 Enterprise (volume licensing), mentre al dettaglio Office 2019 Professional viene 440$: farò una stima di 116$/anno con una licenza analoga a quella di Windows (tanto per fare una cifra tonda di 200$/anno).

Il tutto senza contare che molto spesso i computer vengono acquistati già dotati di una licenza Microsoft, a cui occorre aggiungere quella ministeriale acquistata nei contratti quadro tra PA e fornitore

L’importo non è esatto, ma certamente non si discosta molto dalla realtà; in ogni caso, se così fosse, 1.000.000 PC x 200$ / anno = 200 milioni di dollari all’anno per Microsoft.

Se ad ogni utente viene dato un PC con Windows ed Office, ed ipotizzando che CONSIP sia riuscita ad ottenere mediamente dei prezzi di mercato, una postazione di lavoro viene a costare, come software di base, circa 200$/anno – si vadano i conti precedenti.

Non entro nel merito dell’hardware, che purtroppo in alcuni contesti non viene aggiornato in relazione alle esigenze degli utenti, ma troppo spesso viene sostituito troppo presto nonostante la possibilità di funzionare egregiamente ancora per anni.

Le licenze server di Microsoft vengono al dettaglio circa 1.000$ / processore – ipotizziamo che per la PA vengano soltanto 600$/processore, che ripartite su un periodo di 3 anni fanno 200$/anno/processore.

Quanti server e quanti microprocessori avrà la PA? Ipotizziamo (e sto facendo l’ottimista) 10.000 server e 2 core ciascuno, per un totale di 20.000 core, e quindi 20.000 core x 200$/core/anno = 4.000.000$/anno.

Veniamo ora alla virtualizzazione: quante saranno le istanze di virtualizzazione attive in Italia? Al momento non sono riuscito a reperire (e penso che sia impossibile) un numero certo.

Utilizzerò come stima il valore di una istanza ogni 10 server, che dovrebbe ottimisticamente mediare tra le installazioni con un più elevato livello di consolidamento dei server e quelli ancora non virtualizzati (senza contare tutte le installazioni di disaster recovery, che di fatto raddoppiano il numero di istanze e quindi di licenze).

La licenza per un’istanza con il servizio di assistenza e supporto per tre anni viene circa 3.000€/anno, per un totale di circa 10.000 server / 10 x 3.000€/anno = 3.000.000€/anno.

E poi ci sono Oracle, RedHat ed altri software server side di produzione, con i relativi contratti di assistenza e supporto business.

Per Oracle, ipotizzando anche soltanto 1.000 installazioni in tutta Italia (in generale su sistemi con un discreto numero di processori), ipotizzando anche soltanto 10.000$/processore/anno e 4 processori/server, troviamo 1.000 x 4 x 10.000$/anno = 40.000.000$/anno.

Ed in quanto sopra riportato non sono stati conteggiati tutti i pacchetti e moduli software aggiuntivi per l’amministrazione, il monitoraggio, l’integrazione, l’alta affidabilità, etc. etc. etc.

Come potete vedere, facendo dei conti assolutamente conservativi, emergono rapidamente le centinaia di milioni di Euro all’anno, che regolarmente vengono trasferiti negli States.

Tutto questo software commerciale è realmente indispensabile?

Chiediamoci ora se realmente tutto il software di cui acquistiamo la licenza d’uso sia indispensabile, o se possa essere sostituito da altro più economico.

Per la parte server, esistono due tipi di sistemi: quelli cosiddetti ‘di produzione‘, e quelli di sviluppo, di test, o dedicato ad applicazioni non critiche.

Per la parte client (ovverosia il computer, fisso o portatile) assegnato agli utenti, occorre chiedersi quali siano le attività che vengono principalmente svolte dagli utenti, che sostanzialmente sono:

  • consultazione della posta elettronica;
  • navigazione su Internet mediante un browser;
  • condivisione di file tra utenti;
  • office automation (redazione di documenti, gestione dati mediante fogli elettronici, e qualche presentazione …)
  • comunicazioni e videoconferenze (questo è vero soprattutto da quando si è iniziato a fare smart working in seguito alla pandemia di Codiv-19).

Naturalmente gli usi sopra descritti sono riferibili soltanto alla grande maggioranza di utenti, e non a quelli che svolgono attività particolari).

È importante ora fare una considerazione: il pianeta (inteso come infrastrutture e servizi informatici) funziona sostanzialmente utilizzando software libero (libero nel senso di open source, e non di gratuito): il fatto che un software sia libero non esclude che si possano pagare servizi di assistenza e supporto:

Perché questa considerazione?

Perché la stragrande maggioranza delle esigenze delle aziende e degli utenti possono essere soddisfatte con software libero, sia lato server che lato client.

Ciò che conta, in un ambiente di produzione, non è il ‘possesso’ di un prodotto (o almeno del diritto di utilizzarlo), ma un servizio di supporto che supporti il cliente nella risoluzione dei problemi che si presentano (e naturalmente di una consulenza per progettare e far evolvere i propri sistemi informativi).

Se leggete le condizioni di licenza dei diversi prodotti commerciali citati, noterete che sono previsti due tipi di importi da pagare: uno (obbligatorio) per acquisire il diritto di utilizzare il prodotto (alle condizioni imposte dal produttore), e l’altro (facoltativo) per avere il diritto di chiamare qualcuno chiedendo aiuto se qualcosa va storto …

Ecco, il software libero vi libera dalla prima voce, lasciandovi naturalmente la libertà di decidere se pagare un servizio di supporto o no per le applicazioni che ritenete più critiche.

Un aspetto interessante è che mentre nel caso di software proprietario, sia il costo della licenza che quello per i contratti di supporto vanno al produttore, nel caso di software libero avete (appunto!) la libertà di rivolgervi a chiunque riteniate sufficientemente qualificato per gestire i vostri potenziali problemi.

Un altro aspetto, fondamentale, che differenzia il software libero da quello proprietario, è la sua apertura: non è possibile trovarsi in situazioni di ‘lock-in’, ovverosia di essere costretti a mantenere un prodotto o un fornitore, perché le modalità in cui il produttore ha implementato alcune funzioni rende il prodotto incompatibile o non interoperabile con altri prodotti, liberi o di altre parti (limitando persino la possibilità di sviluppare in house del software di adattamento).

E concludo questo paragrafo sintetizzando il fatto che non è indispensabile utilizzare software proprietario: naturalmente esistono prodotti commerciali che sono migliori di prodotti liberi (così come è vero il contrario!); per applicazioni specifiche, in cui si ritiene che un prodotto commerciale sia più appropriato, è corretto selezionarlo ed utilizzarlo.

Ma ciò non è vero nella stragrande maggioranza dei casi.

Sicurezza nazionale

A parte ogni considerazione sugli aspetti economici, è da considerare anche l’aspetto della sicurezza nazionale; infatti come può lo Stato essere certo che non vi siano backdoor all’interno del software acquistato (anzi: licenziato) e che non vi siano meccanismi che possono consentire a ‘qualcuno’ di bloccare il funzionamento del software?

Di fatto il solo meccanismo dell’attivazione del software è un meccanismo simile: se il software non viene riconosciuto come valido dalla casa produttrice (o da un suo sistema installato nelle reti aziendali), il software smette di funzionare.

E c’è di peggio: l’utilizzo sconsiderato che si è recentemente iniziato a fare in occasione dello smart working di tecnologie quali Skype, Teams, WebEx, GSuite, Google Drive, OneDrive, (Dropbox?), ha di fatto messo in mano ad aziende private statunitensi una quantità smodata di documenti e conversazioni riservate ad ogni livello istituzionale.

C’è qualcuno che ha fatto un’analisi dei rischi? Ritengo di no, altrimenti si sarebbero prese altre strade da molto tempo.

Adozione del software libero nella PA

Con il CAD, la PA si è imposta delle regole finalizzare a razionalizzare la spesa e ridurre gli sprechi (e, perché no? anche l’impoverimento dello Stato con esportazione continua di capitali all’estero), imponendo la predilezione del software libero, a meno di motivatissime e documentate ragioni.

Ulteriore aspetto fondamentale è che la PA si è imposta l’obbligo dell’adozione di standard aperti, che garantiscono l’interoperabilità tra piattaforme di qualsiasi tipo: ciò di fatto esclude ogni software proprietario che implementa funzioni, o formati di dati, o protocolli, non interoperabili con le omologhe implementate mediante standard aperti.

Quanto sopra porta al fatto che la PA deve utilizzare soltanto software libero, a meno di specifiche e giustificate ragioni, e che qualsiasi software sviluppato per la PA deve conformarsi soltanto a standard aperti (per i formati dei dati, dei file, per i protocolli di comunicazione, etc.), e deve essere rilasciato sotto licenza libera.

Limiti e problemi nell’adozione del software libero nella PA

Quanto esposto al punto precedente è un ideale (speriamo che non sia un’utopia).

Cosa limita la PA nel rispetto del CAD che essa stessa si è data?

Le ragioni sono tante, e non penso di riuscire ad identificarle tutte in questo post; tuttavia, tra le tante, vediamo:

  • mancanza di informazione: se ogni dipendente statale venisse informato sul costo del software che pretende di utilizzare al posto di quello libero, e di quanto soldi ogni anno gli vengono trattenuti sullo stipendio per le tasse, probabilmente accetterebbe più favorevolmente l’evoluzione;
  • disinformazione diffusa: troppo spesso gira la voce che il software libero non è all’altezza di quello libero, ma se gli utenti sapessero che i propri smartphone utilizzano software libero, così come FaceBook, Google ed il proprio router Internet di casa, probabilmente proverebbero a considerare la cosa con maggior obiettività;
  • direttori e dirigenti non sufficientemente competenti, responsabili e motivati, che spesso vedono in queste attività soltanto la fatica immediata, le seccature derivanti nel breve termine, e qualche responsabilità da assumersi con scelte a volte non comode;
  • mancanza di adeguate competenze di committenti e responsabili di sistema, e dell’eventuale supporto specialistico, senza le quali non è possibile preparare adeguati capitolati e specifiche di collaudo;
  • … e (perché no?) potenziali interessi (visti i numeri in gioco) che esulano da quelli dello Stato (come si dice, a pensar male si fa peccato, ma spesso ci si azzecca …).

Cosa si può (e lo Stato dovrebbe) fare …

Premetto che so che lo Stato ha tempi lunghi, ed il CAD lo dimostra: è del 2005, ma a distanza di 15 anni ancora il software e le comunicazioni sono in mano agli Stati Uniti (si colga ora l’occasione per rileggere il paragrafo sulla sicurezza nazionale …).

Cosa si potrebbe fare? occorre agire almeno sui seguenti fronti:

  • tecnico / legale: predisporre specifici allegati standard, sia tecnici che legali, che devono essere acclusi ad ogni bando di gara per forniture software, chiarendo quali sono gli standard (aperti!) adottati dalla PA e quali sono le modalità standard per l’interoperazione e collaborazione tra sistemi; tali documenti devono definire anche in modo chiaro e formale come devono essere predisposte le specifiche di collaudo ed accettazione, in modo da evitare situazioni in cui la PA è costretta ad accettare delle forniture inadeguate perché i requisiti progettuali sono stati prodotti da persone non competenti o senza cognizione della destinazione d’uso del prodotto da realizzare;
  • formazione delle stazioni appaltanti: è indispensabile formare e fornire gli strumenti alle stazioni appaltanti per verificare la conformità normativa delle richieste di acquisto per software commerciale e per lo sviluppo di software applicativo per la PA;
    per il primo, deve esistere la necessaria analisi prevista dal CAD, sottoscritta da una persona competente e responsabile per il progetto da realizzare, e
    per il secondo, occorre accludere ai bandi gli allegati standard di cui sopra per tutte le commesse di sviluppo software, in cui sia chiarito che qualunque prodotto che non si conformi a standard aperti, e che non si conformi alle architetture ed ai requisiti standard definite dalla PA non potrà essere collaudato né accettato;
  • client: questa è la nota dolente: l’utente finale è estremamente refrattario ai cambiamenti; tuttavia piattaforme client non standard lasciano aperta la strada ai fornitori per lo sviluppo e la fornitura di sistemi che mantengono il lock-in del cliente; occorre pertanto fare un censimento incrociato delle applicazioni utilizzate e degli utenti che le utilizzano (non tutti usano tutto), ed iniziare a riconfigurare tutte le postazioni che non hanno requisiti particolari con postazioni basate interamente su software libero;
    mano a mano che si procede emergono le applicazioni non standard, per cui la PA dovrà appaltare l’adeguamento), ed il cosiddetto shadow software, ovverosia tutti quei programmi sviluppati autonomamente dagli utenti e dagli Uffici, in mancanza di strumenti previsti e realizzati dall’Amministrazione; per tutti questi occorrerà procedere all’adattamento a software libero (e meglio ancora all’assimilazione del software trasversalmente più utile a livello nazionale), e quindi al conseguente aggiornamento a software libero dei computer degli utenti;
  • server: pur essendo vero che per alcune applicazioni possono essere necessari prodotti commerciali specifici, ciò non è necessariamente vero per tutte le applicazioni e per tutti i contesti; molte volte viene utilizzato software proprietari (e molto costoso) dove in realtà non vengono utilizzate funzionalità specifiche, ma soltanto quelle standard (penso ad esempio al file management, o al linguaggio SQL per i database); inoltre anche per gli ambienti di sviluppo e prova è spesso possibile utilizzare software libero (penso ad esempio agli ambienti di virtualizzazione, ai sistemi operativi ed ai database).
    Esistono inoltre piattaforme di amministrazione e gestione (software libero) che consentono di amministrare e gestire in modo uniforme ambienti e piattaforme liberi e non, così da non richiedere la duplicazione di know-how, competenze e persone per la gestione dei sistemi.
  • middleware: software legacy, datato, non conforme agli standard e che presuppone l’esistenza di software non standard lato server o, peggio, lato client, deve essere rapidissimamente aggiornato o sostituito, in quanto è un anello chiave nella catena che tiene legato il cliente ai produttori di software proprietario;
  • educazione: praticamente in tutte le scuole i docenti utilizzano software proprietario (si legga, Windows e MS Office), privando gli allievi della necessaria informazione per scegliere liberamente, e costringendo i genitori a spendere soldi per acquistare qualcosa che non è necessario (e di questi tempi i soldi non piovono dal cielo …); se poi una famiglia ha più figli, le licenze per il sistema operativo e per la suite di office automation si moltiplicano ….
    I genitori stessi non sanno di avere una scelta: lo Stato deve fare informazione.
  • divulgazione: lo Stato dovrebbe provvedere all’informazione e all’educazione dei cittadini; un semplice spot della Pubblicità Progresso, anche trasmesso non frequentemente, potrebbe iniziare a far girare la voce che esistono delle alternative …

Approccio economico

L’obiettivo di questo mio post non è quello di portare a tagli sconsiderati e ad un risparmio selvaggio: in medio stat virtus, diceva Aristotele (ovviamente lo diceva in greco antico) …

Ritengo che un buon obiettivo potrebbe essere quello di mantenere una spesa di 200 milioni per il software critico o per cui non vi è un’adeguata alternativa libera (e questo include principalmente il software server side).

Dei restanti circa 500 milioni, se ne potrebbero dedicare inizialmente 200 per l’adeguamento e la normalizzazione di tutti gli applicativi non conformi al CAD, ed i 300 rimanenti potrebbero essere ripartiti con un piccolo risparmio per lo Stato (100) ed un investimento (200) in formazione del personale della PA e per la creazione di posti di lavoro per un nuovo ecosistema di persone ed aziende italiane specializzate nel supporto al software libero ed al supporto agli applicativi della PA.

A tendere (nell’arco di 3-4 anni) su può puntare ai soliti 200 milioni per software critico, 250 di risparmi per lo Stato, e 250 di investimenti nell’ecosistema del software libero e delle aziende specializzate nel supporto ed evoluzione dello stesso.

Nel suo piccolo, quest’idea porterebbe ad un risparmi di 1 miliardo di Euro ogni quattro anni, e ad un investimento analogo nella creazione di posti di lavoro.

Conclusioni

L’Italia soffre oggi di un retaggio derivante dal periodo delle ‘vacche grasse’ del boom economico, della lottizzazione politica e degli interessi particolari posti sopra a quelli dello Stato.

L’inerzia delle Istituzioni, la mancanza di competenze e la deresponsabilizzazione ad ogni livello (ed attualmente anche la pandemia Covid-19) hanno portato l’Italia ad accumulare un debito spaventoso.

Non esiste una soluzione unica che possa risolvere questo problema, ma anche un rapido intervento sul risparmio sul software potrebbe portare lo Stato a ridurre il continuo impoverimento dei cittadini mediante esportazione dei capitali, riducendo al contempo le spese, ed investendo almeno parte delle risorse recuperate nella creazione di posti di lavoro.

Riferimenti

 

Quanto è affidabile la catena di assicurazione della Qualità? lunedì 27 aprile 2020

Posted by andy in Etica, Miglioramento, qualità.
Tags: , , , , , , , ,
add a comment

Vi racconto un fatto realmente accadutomi:

ormai parecchio tempo fa, ho inviato alcuni quesiti ad un’importante azienda pubblica di Milano, che per non fare nomi identificherò con A (tutti quesiti ragionevoli e leciti, di cui uno riguardava il trattamento dei miei dati personali) attraverso il suo portale di attenzione al cliente.

Non ho ricevuto risposte entro i tempi dichiarati sul sito, e nonostante molteplici solleciti attraverso vari canali, l’azienda ha continuato a negarmi le risposte dovute.

Ho quindi coinvolto l’Autorità Garante per la Protezione dei Dati Personali, che ha intimato all’azienda di rispondermi, cosa che è stata fatta (limitatamente al quesito sui dati personali) a pochi giorni dallo scadere dei termini per un procedimento penale.

Ho quindi scritto alla società che ha certificato A rispetto alla norma ISO9001 (anche per i servizi di attenzione al cliente) l’azienda in oggetto (identificherò questa con C).

Tale società non mi ha dato riscontro per quasi un anno, e mi ha risposto soltanto dopo una raccomandata a mano al direttore generale, asserendo di essersi persa la mia comunicazione durante una transizione di sistemi informativi (evidentemente devono essersi persi soltanto la mia, altrimenti l’azienda si sarebbe fermata completamente!).

Insistendo, e dopo approfondimenti vari, la società di certificazione C ha inserito dei controlli nella successiva visita di mantenimento della certificazione di A; tuttavia ha pensato bene di includere soltanto i controlli sul reclamo al Garante, e non quelli relativi agli altri quesiti che avevo posto ad A.

In seguito a ciò, C ha affermato di non aver riscontrato problemi nei processi di attenzione al cliente di A (inspiegabilmente, visto che i miei quesiti rimanevano ancora senza risposta!).

Chiaramente insoddisfatto, ho segnalato e documentato tutta la vicenda ad ACCREDIA, chiedendo che venissero effettuate verifiche nella società C sulle modalità di pianificazione degli audit.

Dopo lungo tempo ACCREDIA ha risposto di aver effettuato una visita documentale presso la società C, e di non aver riscontrato anomalie.

Ovviamente insoddisfatto dei controlli effettuati da ACCREDIA, ho inoltrato tutto l’accaduto ad EA (European Accreditation), che dopo lunga attesa mi ha risposto che non era cosa di sua competenza.

Dopo che ho fatto notare ad EA che la sua mission prevede anche di vigilare sull’etica e sul corretto operato dei membri accreditati, EA ha lasciato cadere ogni ulteriore comunicazione.

In sintesi, nonostante tutta la documentazione e le evidenze fornite:

  • un’importante azienda certificata ISO9001 non ha rispettato i propri impegni di certificazione, arrivando anche a violare la legge;
  • la società che ne certifica la conformità ha violato i propri obblighi di due diligence (presumibilmente in relazione all’importanza del cliente coinvolto, per non essere costretta a sospendere o revocare la certificazione di cui era garante);
  • ACCREDIA ha violato i propri obblighi di due diligence nel verificare il comportamento della società di certificazione (probabilmente per non essere costretta a mettere in discussione il suo accreditamento);
  • EA ha violato gli obblighi derivanti dalla propria mission, non assicurando la competenza, imparzialità ed integrità di ACCREDIA.

In conclusione, visto che tutti e quattro i livelli di assicurazione della qualità hanno fallito, quanto oggi si può ritenere affidabile e degna di credibilità una qualsiasi certificazione?

Abbiamo evidenza che almeno quattro persone, titolari o amministratori delegati di importanti aziende ed organizzazioni, sono hanno impostato la gestione del business delle rispettive organizzazioni in modo da privilegiandone l’immagine ed il ritorno economico, venendo meno ai propri obblighi etici.

Occorre infine ricordare che lo stipendio di tali persone è, in ultima analisi, pagato dall’utente finale (in questo caso, anche da me); infatti quando l’utente finale paga il prezzo per il servizio atteso, a sua insaputa corrisponde anche una quota per la gestione della qualità, e quindi delle certificazioni, dei servizi delle società di certificazione, e quindi risalendo anche delle quote di associazione che queste devono corrispondere ad ACCREDIA, e questa ad EA.

In sintesi, ho pagato per due servizi che non ho ricevuto: l’assistenza al cliente, e l’assicurazione della qualità di tale servizio, che è venuta a mancare.

Sulla valutazione degli insegnanti e delle scuole domenica 26 aprile 2020

Posted by andy in Miglioramento.
Tags: , , , , , , , , , , , ,
add a comment

Concedetemi una breve dissertazione sul tema della valutazione degli insegnanti, tema estremamente indigesto sia a loro che ai sindacati.

In passato ho avuto accese discussioni sul tema con alcuni genitori, docenti ed allievi, che affermavano l’impossibilità oggettiva di valutare (nel senso di ‘dare un voto’ e fare una classifica) docenti e scuole.

Ognuno ha le proprie idee ed opinioni, ma provo a raccogliere alcune idee per dimostrare che in realtà una tale classifica può essere fatta, ed in realtà già viene fatta.

In primo luogo iniziamo a chiederci a chi una tale classifica, se fosse possibile, andrebbe indigesta: certamente ci sono i docenti che cercano di fare il minimo sindacale per portare a casa lo stipendio (non voglio offendere la categoria: sono pochi, ma esistono), e certamente i sindacati, che con la scusa della difesa dei diritti di tutti puntano sempre all’appiattimento, in modo da far avere poco a tutti, invece che incentivare le eccellenze e favorire la competizione verso il miglioramento.

Per inciso la scuola è il fondamento del futuro delle persone e degli stati: senza un’adeguata formazione ed incentivo alla crescita culturale e professionale, le future generazioni dovranno sempre più competere (al ribasso) sul mercato del lavoro non qualificato (e quindi mal retribuito), e quindi sempre più in competizione con l’automazione industriale, che sostituisce la manodopera con i robot.

Vale la pena osservare anche che portare un ragazzo alla laurea costa allo stato ed alla sua famiglia non meno di 250.000 ~ 300.000 Euro (almeno 18 anni di studio, senza contare stage e master e specializzazioni), includendo naturalmente il costo per le strutture, per i docenti, per il mantenimento, per i libri, etc. etc. etc.

Ogni volta che un giovane si trasferisce all’estero per cercare lavoro, perché in Italia il lavoro non si trova oppure è retribuito in modo non competitivo con le offerte all’estero, lo Stato si impoverisce di un quarto di milione di Euro (in altre parole, i cittadini hanno pagato altrettante tasse per finanziare le aziende estere che assumono i nostri giovani).

Immaginate di possedere un’azienda, e di dover assumere una persona per svolgere un lavoro qualificato; avete due alternative: o assumete una persona non qualificata e la formate a spese vostre (si legga: spendete centinaia di migliaia di Euro per fargli fare tutti i corsi necessari ed aspettate anni perché il neoassunto sia preparato), oppure gli offrite qualche spicciolo più di quanto gli avrebbero offerto in Italia (1.000 Euro al mese bastano) per portarvi in casa una persona che ha già un bagaglio culturale e di conoscenze da un quarto di milione di Euro.

Detto ciò, entriamo nel merito dell’oggetto di questo post.

Come ogni genitore, nel corso degli anni mi sono dovuto confrontare con il problema della selezione della scuola ove iscrivere i propri figli.

Non esistono classifiche formali che diano un voto alle scuole, che tra l’altro dovrebbe basarsi anche su un voto assegnato ai singoli docenti.

Guai a parlare di classifiche e di meritocrazia.

Tuttavia, all’interno di ogni scuola si sa quali siano i docenti migliori e quelli incompetenti o che ‘tirano a campare’ in attesa della pensione.

Altrettanto vale per la selezione delle scuole: mi è capitato di ascoltare discorsi di altri genitori, in cui la discriminante era, ad esempio, la quantità di compiti assegnati e da svolgere a casa: c’era chi cercava una scuola che spremessi i figli e li preparasse molto bene per il ciclo di studi successivo (o per il mondo del lavoro), ed altri a cui bastava che i figli non venissero oberati di compiti a casa …

Ora, ditemi voi se queste non sono classifiche tra docenti e tra scuole!

Guardando cosa è accaduto negli anni scorsi, abbiamo visto un tentativo di orientarsi verso una meritocrazia (anche se in versione ‘lite’) con il premio per il merito dei docenti.

Purtroppo la cosa è andata indigesta a molti, che invece che ingegnarsi per migliorare la propria offerta, hanno preferito invidiare chi lo ha fatto, e spingere per una riconversione per un ‘premio’ a pioggia per tutti.

Tra l’altro, per come era stata pensata la valutazione del merito, rattrista vedere come venissero equiparate attività finalizzate agli studenti ed altre finalizzate alla pura apparenza del docente, ove la produzione di tanta carta veniva valutata alla stregua di un grande sforzo didattico.

Il perché sia importante promuovere ed incentivare la meritocrazia l’ho già illustrato prima: ogni studente che resta in Italia è un capitale che abbiamo investito per costruire un futuro migliore per il Paese, invece che impoverirci per arricchire gli altri.

Veniamo ora a come sarebbe possibile realizzare un sistema di valutazione e competitività per il nostro sistema scolastico (naturalmente quanto segue è soltanto uno spunto di riflessione, e non una verità che cerco di imporre al lettore.

Quali sono le persone coinvolte in una valutazione? Sono tante, e certamente vi sono allievi e genitori; tuttavia anche i docenti hanno voce in capitolo, nei confronti delle classi e dei dirigenti, ed i dirigenti stessi nei confronti dei docenti e del livello dell’utenza.

Come valutare i docenti durante il corso di studi? Questo è più difficile, perché in itinere una valutazione dello studente potrebbe risultare condizionata dalle valutazioni ricevute.

Potrebbe essere un indicatore interessante quanto gli allievi (ovviamente mediamente) si appassionino e ritengano interessante una materia: il mero nozionismo porta soltanto a considerare noiosa la materia e a non vederne il valore

Le prove INVALSI, se correttamente effettuate, sarebbero un ottimo parametro di confronto; tuttavia esistono zone d’Italia in cui i genitori si aspettano che siano i docenti a dover aiutare gli allievi ad effettuare la prova, commettendo il grave errore di pensare che la prova serva per valutare gli allievi, mentre in realtà è finalizzata a valutare la preparazione che i docenti e la scuola forniscono ai propri figli.

Una valutazione a posteriori delle scuole può essere fatta valutando quanti studenti proseguono gli studi invece che fermarsi, e quanti proseguono con indirizzi attinenti alla formazione ricevuta, senza contare la percentuale di promossi / laureati al ciclo di studi successivo.

Certamente si possono pensare anche indicatori a medio termine, come una valutazione fatta dagli studenti dei propri docenti del ciclo scolastico precedente: a posteriori infatti uno studente non valuterà positivamente un docente che elargiva ottime valutazioni senza fornire invece un’ottima preparazione, e viceversa, una buona preparazione ricevuta verrà valutata molto positivamente indipendentemente dalle valutazioni ricevute, se questa consente di affrontare il nuovo ciclo di studi con adeguate competenze.

E comunque, qualsiasi indicatore che coinvolga la scuola deve anche essere pesato in relazione a parametri di contesto sociale, come il livello medio dell’utenza, i fondi disponibili, la continuità didattica dei docenti, e così via.

In conclusione, ciò che deve cambiare in Italia è l’approccio alla meritocrazia, che non deve essere considerata come uno strumento per penalizzare, ma per incentivare al miglioramento.

L’appiattimento porta a smorzare qualsiasi tendenza al miglioramento, e valorizza l’inedia e disincentiva alla crescita professionale di docenti e dirigenti.

Pur dovendo garantire (giustamente) una dignitosa retribuzione a ciascuno, è doveroso riconoscere a chi fa più del dovuto gli sforzi sostenuti (nell’ottica del valore trasferito agli allievi, e non all’apparenza formale della quantità di carta prodotta).

 

 

 

Tutti ecologisti, tutti inquinatori lunedì 15 ottobre 2018

Posted by andy in Miglioramento.
Tags: , , , ,
add a comment

Vivo a Milano, una città con un’ottima rete di trasporto urbano.

Ogni giorno dell’anno (almeno in quelli lavorativi), vengono offerti gratuitamente agli ingressi alle metropolitane dei ‘quotidiani’ che riportano un paio di notizie affogate in un mare di pubblicità.

Scendendo in metropolitana, i passeggeri ne prendono una copia, la leggono quel tanto che basta per attendere il prossimo treno, e la gettano via (i più arditi la conservano sino al termine del proprio viaggio, pochi minuti dopo).

A voler fare qualche semplice conticino, vediamo cosa si può scoprire …

  • a Milano vi sono 4 linee metropolitane (tra qualche anno 5);
  • il numero complessivo di fermate è circa 110;
  • ad ogni fermata vi sono almeno 4 accessi;
  • e ad ogni accesso ogni mattina vi è una persona che distribuisce pacchi di questi giornali (ad occhio, direi che per difetto sono almeno 20 chili di carta);
  • e i giorni lavorativi dell’anno sono circa 220 …

Ed ecco il conticino:

110 fermate x 4 accessi x 220 giorni x 20 kg di carta = 2.000 tonnellate di carta che vive in media per una decina di minuti, prima di essere gettata via, senza neppure fare raccolta differenziata.

Senza contare naturalmente l’inquinamento derivante dalla produzione della carta, della stampa, del trasporto, della raccolta e dello smaltimento …

Eppure sono convinto che se chiedeste ad una qualsiasi delle persone che ‘leggono’ ogni mattina quella carta vuota di notizie e piena di pubblicità se sono contro gli sprechi e l’inquinamento, vi risponderebbe assolutamente di si.

 

La disinformazione per tentare ancora di nascondere i problemi reali domenica 1 dicembre 2013

Posted by andy in Miglioramento, Politica.
Tags: , , ,
add a comment

Le televisioni e la stampa continuano a portarci in giro, cercando di distrarre l’attenzione pubblica dai problemi reali.

Per tanti anni ci hanno fatto immaginare un futuro con fiumi di latte e miele, grazie all’esibizione delle grazie di bellissime fanciulle ed a fiumi di denaro regalati mediante giochi a premi di ogni sorta.

L’Italia non cambierà fino a che gli italiani non accetteranno le responsabilità.
Oneri ed onori: stipendi più alti devono implicare responsabilità e rischi più grandi, e viceversa: alle persone che investono e rischiano di più devono essere riconosciuti stipendi più alti.

Altro aspetto su cui occorre puntare è il senso della misura: non è giustificabile il fatto che persone con meno responsabilità ricevano stipendi superiori a coloro che li coordinano.

Parlando poi di buon senso, non è giustificabile che esistano persone che ricoprono decine di incarichi apicali, e che quindi non abbiano materialmente il tempo per dedicare più di una decina di giornate all’anno ad ogni incarico, ricevendo tuttavia emolumenti superiori a chi vi dedica tutto il proprio anno lavorativo ed i propri straordinari.

Altro aspetto ormai inaccettabile è quello delle ‘buone uscite’ con cifre da capogiro, nonostante l’operato del dimissionario abbia peggiorato le condizioni dell’ente o dell’azienda: riconoscimenti e provvigioni non dovrebbero mai essere legati al venduto o al fatturato, ma all’utile procurato.

D’altra parte da troppo tempo gli italiani si sono abituati a vendere il proprio voto, in alcuni luoghi per 50 Euro, in altri per non pagare l’IMU, in altri per il condono o per l’indulto, in altri per il posto di lavoro garantito senza alcun controllo sul proprio operato.
150 anni fa eravamo un agglomerato di regni, ducati, primcipati e piccole repubbliche, di corporazioni e notai, e ad oggi non abbiamo ancora trovato un’identità nazionale per cui i cittadini siano riusciti a comprendere il valore del bene comune.

C’è di buono che oggi sono finiti i soldi, e l’Euro ci impedisce di stampare ulteriore carta moneta, facendo ulteriori debiti all’insaputa dei cittadini: è arrivato il tempo di far quadrare realmente i bilanci dello stato.

Si cerca ancora di distrarre l’attenzione pubblica dai problemi reali, ma ormai i cittadini non possono più ignorare il bilancio familiare a fine mese.
Un aspetto degno di nota che vedo è che nella crisi e nelle difficoltà tante persone si rimboccano le maniche e si sforzano di aiutare gli altri, senza aspettare che ‘lo Stato provveda’.

Quanto siamo affezionati al bollino sulla patente martedì 26 marzo 2013

Posted by andy in Miglioramento, Pubblica Amministrazione.
add a comment

Circa 30 anni fa conobbi dei trasportatori turchi, e non ricordo come finimmo con il parlare delle patenti di guida (forse, tanto per ridere, per vedere come eravamo stati ritratti nelle diverse foto tessera).

Io mostrai la mia: la cara vecchia patente color rosa, coperta di bolli di rinnovo e di tasse di concessione.

Vidi nei loro occhi una strana luce: mi stavano guardando come se fossi un uomo di Neanderthal …

E poi capii, quando mi mostrarono la loro patente: era di plastica, ed aveva tutto l’aspetto di una carta di credito.

Siamo nel 2013, e pare che da quest’anno diverrà obbligatoria la ‘patente europea’ (ovverosia la tessera di plastica in formato carta di credito), e quindi anche quelle storiche di carta telata rosa dovranno essere sostituite.

‘Finalmente stiamo passando dal medioevo all’era moderna!’, ho pensato.

Niente più ‘bolli’ da appiccicare!

E invece no! L’italiano non può vivere senza carta e bolli!

Non ci credete? Ebbene, sulla nuova patente europea, il rinnovo periodico viene attestato dall’apposizione di un bollino sul retro della patente!

Se non vivessi qui e mi raccontassero una cosa del genere, penserei certamente ad uno scherzo!

Comunque sul certificato medico di rinnovo della patente ci sono:

  • N. 5 timbri, di varia foggia,
  • N. 2 firme
  • N. 1 marca da bollo
  • N. 1 fototessera (OK, questa può servire sul serio!)

 

Perché le PMI italiane non lavorano in modo strategico? martedì 5 marzo 2013

Posted by andy in Miglioramento.
Tags: , , ,
add a comment

Recentemente ho letto un articolo sul perché le aziende non lavorano per progetti (implicitamente suppongo che si riferiscano specificamente a quelle italiane).

Un fattore critico è, a parer mio, l’incapacità della proprietà, o comunque di chi amministra l’azienda, di delegare.
O meglio, quando si delega, lo si fa soltanto nella forma e non nella sostanza.
I motivi possono essere molti, dalla gelosia, alla presunzione, al voler mantenere posizioni e ruoli accentrando e non facendo circolare le informazioni.
Purtroppo la vera delega presuppone la fiducia e la stima della persona a cui si delega, oltre che l’assegnazione di budget e di autonomie decisionali e di spesa.

Ecco, forse uno dei fattori critici è che in Italia si tende a vivere (e a gestire il business) alla giornata, e non strategicamente, pianificando a medio e a lungo termine.
Ovviamente le cause di ciò non sono da imputare interamente agli imprenditori: chi si trova a dover sbarcare il lunario in situazioni in cui lo Stato e le banche pretendono puntualmente quanto spetta loro, ‘dimenticandosi’ invece a loro volta di rispettare i propri impegni, non può certo fare affidamento su cash flow, pianificazioni e strategie: le cose si fanno quando si può, e non quando si vorrebbe.

Un altro fattore che si oppone alla delega è la ‘refrattarietà’ delle persone a farsi ‘misurare’: non esiste responsabilità: senza controllo.
La gente non ama ‘prendere brutti voti’ sul lavoro, e comunque per correre tale rischio vuole incentivi economici che le aziende, di solito non offrono.

Come dicono gli arabi, pagare moneta, vedere cammello ….
… e come gli anglosassoni, pay peanuts, get monkeys.
In Italia più semplicemente diciamo: chi più spende, meno spende.

Come informatizzare un processo nel peggiore dei modi sabato 19 gennaio 2013

Posted by andy in Miglioramento.
Tags: , , , , ,
add a comment

Faccio riferimento alla recente notizia per cui sono state annullate per un vizio di forma 110 condanne del processo ‘Infinito’ sulle cosche della ‘Ndrangheta.

Senza entrare nel merito della questione, ciò che vorrei analizzare in questo post è il processo informativo che ha portato a questo risultato.

Iniziamo a vedere cosa è accaduto: al momento della stampa della sentenza, delle 900 pagine del documento non ne sono stampate 120; può essersi trattato di un problema legato alla stampante o al processo informatico della stampa.

OK, può accadere nelle migliori famiglie, figuriamoci con un documento alto come un tomo di un’enciclopedia: appena ce ne si accorge, basta stampare le pagine mancanti e completare il documento stampato.

Purtroppo la Cassazione ha ritenuto non ammissibile secondo la legge l’integrazione del documento, con la conseguente invalidazione dell’intera sentenza e l’annullamento delle condanne che conteneva.

Vale la pena considerare alcuni effetti rilevanti di questo incidente:

  1. lo scopo del processo organizzativo della Giustizia non è stato raggiunto: lo Stato ha fatto lavorare moltissime persone (forse dell’ordine, magistrati, personale di cancelleria, commessi, fornitori esterni, etc.), utilizzato mezzi e risorse, ed ha realizzato sistemi informativi locali e nazionali per nulla;
  2. il costo per lo Stato di quanto sopra, sviluppato sui circa due anni dell’attività, non si calcola in centinaia di migliaia, ma in milioni di Euro;
  3. aggiungo anche la demotivazione di tutte le persone che hanno collaborato all’attività, che vedono vanificare e perdere di significato una parte importante della propria vita lavorativa.

E questi sono i fatti; veniamo ora alla sostanza del processo (non giudiziario, ma organizzativo) secondo cui è stato prodotto questo documento ‘incriminato’.

Provimao a chiederci quale sia stata la causa di questo problema:

  • è stata colpa della stampante? O di chi l’ha scelta? O di chi ne faceva la manutenzione?
  • o di qualche persona che non ha pensato di contare le pagine una per una per verificare che fossero state stampate tutte quante, e che fossero conformi all’originale?
  • o forse del programma di stampa, del sistema operativo, o della rete?
  • o forse la causa è un altra?

Mi permetto di osservare che l’Italia fa parte del G8, e che quindi occupa nel mondo una posizione che va oltre quella che poteva avere nel medio evo, e che il Governo da anni promuove (o almeno fà finta di farlo) l’efficienza dei propri organi, anche attraverso l’informatizzazione; a questo scopo sono prodotte delle leggi, tra cui il Codice per l’Amministrazione Digitale (CAD) e spese delle intere fortune per supportare questa evoluzione.

Vediamo ora come il nostro Governo ha pensato di informatizzare questo particolare processo della Giustizia:

Al magistrato è stato fornito un computer con un sistema operativo ed un programma per redigere testi, una stampante ed una rete locale per far parlare tra di loro il computer e la stampante; se la stampante è di tipo dipartimentale, probabilmente tra computer, software, infrastruttura e stampante stiamo parlando di alcune decine di migliaia di Euro.

Aggiungiamo poi i costi per l’acquisto, per l’installazione e per i servizi di conduzione e manutenzione dell’infrastruttura e del sistema.

Ed ora vediamo la sequenza delle operazioni:

  1. Il magistrato, utilizzando il computer in dotazione, redige il documento della sentenza, lo salva sul disco locale, e quindi lo manda in stampa;
  2. la stampante fa il suo mestiere (purtroppo in questo caso l’ha fatto male);
  3. il magistrato avrebbe dovuto controllarsi, una per una, tutte le 900 pagine del documento stampato, confrontandole con l’originale digitale per verificare la conformità dello stampato (cosa che per qualche motivo non è stata possibile fare);
  4. il documento viene firmato e timbrato al fine di autenticarlo;
  5. il documento stampato viene depositato in cancelleria;
  6. la cancelleria effettua la scansione del documento (tipicamente senza farne l’OCR), ed archivia la nuova versione digitale;
  7. l’avvocato della parte interessata viene in cancelleria, paga i diritti di copia previsti dalla legge, e si porta a casa un CD contenente la scansione del documento del magistrato (fino a non molto tempo fa si sarebbe portato via una copia cartacea delle 900 pagine della sentenza);

Ad averne voglia, si potrebbe anche fare l’esercizio di provare a cacolare quanto tempo uomo occorre per effettuare tutte queste operazioni, ma mi affido all’intuizione del lettore per comprendere che non stiamo parlando di una sola persona e di secondi o minuti …

Come è facile intuire, tutto questo processo non è frutto del caso, ed a monte di tutti gli investimenti fatti c’è sicuramente un gruppo di persone adeguatamente remunerate che hanno dedicato parecchio tempo a pensare, analizzare, progettare, riunirsi, confrontarsi, deliberare, documentare, etc. per poi fare i necessari investimenti su base nazionale per realizzare quanto analizzato, progettato e deliberato. Ovviamente queste persone sono partite e si sono basate sulle leggi e sulle linee guida stabilite dal Governo con il CAD.

Proviamo ora ad immaginare un flusso informativo diverso, come potremmo dire … informatizzato! Ecco, si, utilizziamo questo termine: un flusso informativo informatizzato:

  1. il magistrato redige il uo documento utilizzando gli strumenti che gli sono stati messi a disposizione;
  2. il magistrato salva su un CD il documento prodotto;
  3. il magistrato deposita in cancelleria il CD;
  4. l’avvocato interessato passa in cancelleria e chiede una copia del CD.

Non male! abbiamo già risparmiato il denaro per stampanti e scanner, e per tutto il tempo necessario per stampare e verificare lo stampato, per movimentare ed archiviare la carta, e per farne la scansione.

Ma così non è abbastanza, e purtroppo non può funzionare: sul documento digitale prodotto dal magistrato mancano timbri e firme.

Facciamo allora un altro passo, e rivediamo ulteriormente il processo:

  1. il magistrato redige il documento;
  2. il magistrato firma digitalmente il documento prodotto;
  3. il magistrato invia telematicamente (salvandolo su un server, inviandolo via e-mail, o altro) il documento firmato
  4. l’avvocato paga via Internet con la propria carta di credito i diritti di copia;
  5. l’avvocato riceve una copia del file firmato digitalmente via e-mail (oppure riceve i riferimenti per scaricarne via Internet una copia da un server);

Potrebbe funzionare: la legge riconosce l’equivalenza della firma digitale rispetto a firme autografe e timbri; allora forse tutto il processo è bloccato dalla mancanza di una smart card per firmare digitalmente il documento … ebbene, NO! Il magistrato è stato dotato dallo Stato anche di una smart card, del relativo lettore, e del relativo servizio di installazione e configurazione del suo computer.

Viene allora da chiedersi perché il magistrato non abbia pensato di firmare digitalmente il proprio documento e di depositarlo così com’è in cancelleria:

  • non è capace?
  • nessuno gli ha insegnato come fare?
  • è pigro?

Ebbene, niente di tutto questo! Semplicemente, chi ha riprogettato l’informatizzazione dei processi della Giustizia si è ‘dimenticato’ di modificare la legge per cui il documento che fà fede e che ha valore legale è ancora di carta! Anche se il magistrato avesse firmato digitalmente il suo documento originale, avrebbe comunque dovuto stamparlo, firmarlo, timbrarlo e depositare la carta in cancelleria!

Vogliamo chiederci quale danno questi grandi e ben retruibuiti professori a Roma hanno portato alle finanze dello stato per questa piccola ‘svista’? Oltre al loro stipendio (ed emolumenti vari, e non voglio sapere quante consulenze esterne sono state commissionate!), questi signori hanno caricato i contribuenti dei costi per:

  • migliaia di stampanti dipartimentali;
  • migliaia di tonnellate di carta;
  • migliaia di giorni uomo per la movimentazione ed archiviazione della carta;
  • ovviamente, i costi per gli archivi, per i relativi impianti di protezione, etc.
  • migliaia di giorni di ritardo nella giustizia a causa dei tempi necessari per movimentare la carta;
  • migliaia di giorni uomo sprecati dagli avvocati e dalle loro segretarie per richiedere le copie degli atti;
  • migliaia di masterizzatori;
  • migliaia di supporti (CD, DVD, etc.) che si sarebbero potuti evitare con trasferimenti telematici
  • … devo andare avanti …?

In conclusione, l’errore alla base de problema occorso è uno solo: occorre capire che l’informatizzazione non deve replicare i flussi informativi cartacei esistenti, bensí li deve eliminare!

A proposito! Occorre anche ricordare che la legge promuove la dematerializzazione, ovverosia l’eliminazione della necessità di produrre, gestire ed archiviare la carta; dove è possibile ritrovare questo aspetto nei processi informatizzati riprogettati da questi grandi professionisti, professori e consulenti?

Forse se i cittadini iniziassero a chiedere a costoro di rimborsare il danno provocato alle finanze dello Stato, molti imparerebbero a pensare di più e a spendere di meno.

 

La sicurezza nello sviluppo SW: come incentivarla giovedì 31 marzo 2011

Posted by andy in Information Security, Miglioramento.
Tags: , , , ,
add a comment

Sempre più spesso leggo notizie in cui emergono incidenti (informatici, naturalmente!) derivanti da software sviluppato con pochi, o nulli, criteri di sicurezza.

Le lamentele vanno sempre in varie direzioni: i programmatori che pensano a tutto tranne che alla sicurezza, i project manager incapaci, le aziende che tagliano selvaggiamente su tutto, in primis sulla sicurezza …

Insomma, comanda il Time To Market ed il ribasso selvaggio …

Giusto o sbagliato che sia, il mercato attuale è così: il cliente non sa nulla di sicurezza, non è capace di valutare e confrontare le offerte, e peggio ancora non è capace di valutare i possibili danni derivanti da ‘incidenti informatici’.

E visto che ‘occhio non vede, cuore non duole’, si risparmia su tutto ciò che non si vede o non si conosce.

Ma il problema non è dei programmatori, o dei project manager.

Il problema è quello ribadito mille volte in mille articoli e blog diversi: pay peanuts, get monkeys.

Quello che manca è un ‘rating’ delle società che sviluppano software e, perché no? anche dei programmatori free lance.

Occorre introdurre nel mercato un meccanismo che dia visibilità ai clienti del fatto che lo sviluppo SW tenga conto o meno della sicurezza, e quanto.

Senza imbarcarsi in certificazioni di terza parte, che sono costose, ed in qualche misura si possono aggirare.

Varrebbe la pena predisporre una check-list dei principali aspetti della gestione della sicurezza nello sviluppo SW, di cui i clienti potrebbero richiedere la compilazione ai fornitori, che sarebbero così tenuti ad ufficializzare quali ‘controlli’ (nell’accezione inglese) implementano nel proprio processo di produzione SW.
I clienti potrebbero così confrontare i fornitori, e potrebbero paragonare i prezzi offerti in relazione alla sicurezza offerta.

Inoltre, in caso di incidente, il cliente potrebbe richiedere o meno la correzione dell’errore in relazione al fatto che il fornitore abbia o meno dichiarato i relativi controlli.

E a guardare più lontano, si potrebbe anche pensare di coinvolgere le assicurazioni, per la riduzione dei premi (ove applicabile).

Insomma, perché non puntare sullo scarico delle responsabilità? Se paghi per la sicurezza, hai diritto alla risoluzione dei problemi di sicurezza, altrimenti no.