jump to navigation

La disinformazione per tentare ancora di nascondere i problemi reali domenica 1 dicembre 2013

Posted by andy in Miglioramento, Politica.
Tags: , , ,
add a comment

Le televisioni e la stampa continuano a portarci in giro, cercando di distrarre l’attenzione pubblica dai problemi reali.

Per tanti anni ci hanno fatto immaginare un futuro con fiumi di latte e miele, grazie all’esibizione delle grazie di bellissime fanciulle ed a fiumi di denaro regalati mediante giochi a premi di ogni sorta.

L’Italia non cambierà fino a che gli italiani non accetteranno le responsabilità.
Oneri ed onori: stipendi più alti devono implicare responsabilità e rischi più grandi, e viceversa: alle persone che investono e rischiano di più devono essere riconosciuti stipendi più alti.

Altro aspetto su cui occorre puntare è il senso della misura: non è giustificabile il fatto che persone con meno responsabilità ricevano stipendi superiori a coloro che li coordinano.

Parlando poi di buon senso, non è giustificabile che esistano persone che ricoprono decine di incarichi apicali, e che quindi non abbiano materialmente il tempo per dedicare più di una decina di giornate all’anno ad ogni incarico, ricevendo tuttavia emolumenti superiori a chi vi dedica tutto il proprio anno lavorativo ed i propri straordinari.

Altro aspetto ormai inaccettabile è quello delle ‘buone uscite’ con cifre da capogiro, nonostante l’operato del dimissionario abbia peggiorato le condizioni dell’ente o dell’azienda: riconoscimenti e provvigioni non dovrebbero mai essere legati al venduto o al fatturato, ma all’utile procurato.

D’altra parte da troppo tempo gli italiani si sono abituati a vendere il proprio voto, in alcuni luoghi per 50 Euro, in altri per non pagare l’IMU, in altri per il condono o per l’indulto, in altri per il posto di lavoro garantito senza alcun controllo sul proprio operato.
150 anni fa eravamo un agglomerato di regni, ducati, primcipati e piccole repubbliche, di corporazioni e notai, e ad oggi non abbiamo ancora trovato un’identità nazionale per cui i cittadini siano riusciti a comprendere il valore del bene comune.

C’è di buono che oggi sono finiti i soldi, e l’Euro ci impedisce di stampare ulteriore carta moneta, facendo ulteriori debiti all’insaputa dei cittadini: è arrivato il tempo di far quadrare realmente i bilanci dello stato.

Si cerca ancora di distrarre l’attenzione pubblica dai problemi reali, ma ormai i cittadini non possono più ignorare il bilancio familiare a fine mese.
Un aspetto degno di nota che vedo è che nella crisi e nelle difficoltà tante persone si rimboccano le maniche e si sforzano di aiutare gli altri, senza aspettare che ‘lo Stato provveda’.

Quanto siamo affezionati al bollino sulla patente martedì 26 marzo 2013

Posted by andy in Miglioramento, Pubblica Amministrazione.
add a comment

Circa 30 anni fa conobbi dei trasportatori turchi, e non ricordo come finimmo con il parlare delle patenti di guida (forse, tanto per ridere, per vedere come eravamo stati ritratti nelle diverse foto tessera).

Io mostrai la mia: la cara vecchia patente color rosa, coperta di bolli di rinnovo e di tasse di concessione.

Vidi nei loro occhi una strana luce: mi stavano guardando come se fossi un uomo di Neanderthal …

E poi capii, quando mi mostrarono la loro patente: era di plastica, ed aveva tutto l’aspetto di una carta di credito.

Siamo nel 2013, e pare che da quest’anno diverrà obbligatoria la ‘patente europea’ (ovverosia la tessera di plastica in formato carta di credito), e quindi anche quelle storiche di carta telata rosa dovranno essere sostituite.

‘Finalmente stiamo passando dal medioevo all’era moderna!’, ho pensato.

Niente più ‘bolli’ da appiccicare!

E invece no! L’italiano non può vivere senza carta e bolli!

Non ci credete? Ebbene, sulla nuova patente europea, il rinnovo periodico viene attestato dall’apposizione di un bollino sul retro della patente!

Se non vivessi qui e mi raccontassero una cosa del genere, penserei certamente ad uno scherzo!

Comunque sul certificato medico di rinnovo della patente ci sono:

  • N. 5 timbri, di varia foggia,
  • N. 2 firme
  • N. 1 marca da bollo
  • N. 1 fototessera (OK, questa può servire sul serio!)

 

Perché le PMI italiane non lavorano in modo strategico? martedì 5 marzo 2013

Posted by andy in Miglioramento.
Tags: , , ,
add a comment

Recentemente ho letto un articolo sul perché le aziende non lavorano per progetti (implicitamente suppongo che si riferiscano specificamente a quelle italiane).

Un fattore critico è, a parer mio, l’incapacità della proprietà, o comunque di chi amministra l’azienda, di delegare.
O meglio, quando si delega, lo si fa soltanto nella forma e non nella sostanza.
I motivi possono essere molti, dalla gelosia, alla presunzione, al voler mantenere posizioni e ruoli accentrando e non facendo circolare le informazioni.
Purtroppo la vera delega presuppone la fiducia e la stima della persona a cui si delega, oltre che l’assegnazione di budget e di autonomie decisionali e di spesa.

Ecco, forse uno dei fattori critici è che in Italia si tende a vivere (e a gestire il business) alla giornata, e non strategicamente, pianificando a medio e a lungo termine.
Ovviamente le cause di ciò non sono da imputare interamente agli imprenditori: chi si trova a dover sbarcare il lunario in situazioni in cui lo Stato e le banche pretendono puntualmente quanto spetta loro, ‘dimenticandosi’ invece a loro volta di rispettare i propri impegni, non può certo fare affidamento su cash flow, pianificazioni e strategie: le cose si fanno quando si può, e non quando si vorrebbe.

Un altro fattore che si oppone alla delega è la ‘refrattarietà’ delle persone a farsi ‘misurare’: non esiste responsabilità: senza controllo.
La gente non ama ‘prendere brutti voti’ sul lavoro, e comunque per correre tale rischio vuole incentivi economici che le aziende, di solito non offrono.

Come dicono gli arabi, pagare moneta, vedere cammello ….
… e come gli anglosassoni, pay peanuts, get monkeys.
In Italia più semplicemente diciamo: chi più spende, meno spende.

Come informatizzare un processo nel peggiore dei modi sabato 19 gennaio 2013

Posted by andy in Miglioramento.
Tags: , , , , ,
add a comment

Faccio riferimento alla recente notizia per cui sono state annullate per un vizio di forma 110 condanne del processo ‘Infinito’ sulle cosche della ‘Ndrangheta.

Senza entrare nel merito della questione, ciò che vorrei analizzare in questo post è il processo informativo che ha portato a questo risultato.

Iniziamo a vedere cosa è accaduto: al momento della stampa della sentenza, delle 900 pagine del documento non ne sono stampate 120; può essersi trattato di un problema legato alla stampante o al processo informatico della stampa.

OK, può accadere nelle migliori famiglie, figuriamoci con un documento alto come un tomo di un’enciclopedia: appena ce ne si accorge, basta stampare le pagine mancanti e completare il documento stampato.

Purtroppo la Cassazione ha ritenuto non ammissibile secondo la legge l’integrazione del documento, con la conseguente invalidazione dell’intera sentenza e l’annullamento delle condanne che conteneva.

Vale la pena considerare alcuni effetti rilevanti di questo incidente:

  1. lo scopo del processo organizzativo della Giustizia non è stato raggiunto: lo Stato ha fatto lavorare moltissime persone (forse dell’ordine, magistrati, personale di cancelleria, commessi, fornitori esterni, etc.), utilizzato mezzi e risorse, ed ha realizzato sistemi informativi locali e nazionali per nulla;
  2. il costo per lo Stato di quanto sopra, sviluppato sui circa due anni dell’attività, non si calcola in centinaia di migliaia, ma in milioni di Euro;
  3. aggiungo anche la demotivazione di tutte le persone che hanno collaborato all’attività, che vedono vanificare e perdere di significato una parte importante della propria vita lavorativa.

E questi sono i fatti; veniamo ora alla sostanza del processo (non giudiziario, ma organizzativo) secondo cui è stato prodotto questo documento ‘incriminato’.

Provimao a chiederci quale sia stata la causa di questo problema:

  • è stata colpa della stampante? O di chi l’ha scelta? O di chi ne faceva la manutenzione?
  • o di qualche persona che non ha pensato di contare le pagine una per una per verificare che fossero state stampate tutte quante, e che fossero conformi all’originale?
  • o forse del programma di stampa, del sistema operativo, o della rete?
  • o forse la causa è un altra?

Mi permetto di osservare che l’Italia fa parte del G8, e che quindi occupa nel mondo una posizione che va oltre quella che poteva avere nel medio evo, e che il Governo da anni promuove (o almeno fà finta di farlo) l’efficienza dei propri organi, anche attraverso l’informatizzazione; a questo scopo sono prodotte delle leggi, tra cui il Codice per l’Amministrazione Digitale (CAD) e spese delle intere fortune per supportare questa evoluzione.

Vediamo ora come il nostro Governo ha pensato di informatizzare questo particolare processo della Giustizia:

Al magistrato è stato fornito un computer con un sistema operativo ed un programma per redigere testi, una stampante ed una rete locale per far parlare tra di loro il computer e la stampante; se la stampante è di tipo dipartimentale, probabilmente tra computer, software, infrastruttura e stampante stiamo parlando di alcune decine di migliaia di Euro.

Aggiungiamo poi i costi per l’acquisto, per l’installazione e per i servizi di conduzione e manutenzione dell’infrastruttura e del sistema.

Ed ora vediamo la sequenza delle operazioni:

  1. Il magistrato, utilizzando il computer in dotazione, redige il documento della sentenza, lo salva sul disco locale, e quindi lo manda in stampa;
  2. la stampante fa il suo mestiere (purtroppo in questo caso l’ha fatto male);
  3. il magistrato avrebbe dovuto controllarsi, una per una, tutte le 900 pagine del documento stampato, confrontandole con l’originale digitale per verificare la conformità dello stampato (cosa che per qualche motivo non è stata possibile fare);
  4. il documento viene firmato e timbrato al fine di autenticarlo;
  5. il documento stampato viene depositato in cancelleria;
  6. la cancelleria effettua la scansione del documento (tipicamente senza farne l’OCR), ed archivia la nuova versione digitale;
  7. l’avvocato della parte interessata viene in cancelleria, paga i diritti di copia previsti dalla legge, e si porta a casa un CD contenente la scansione del documento del magistrato (fino a non molto tempo fa si sarebbe portato via una copia cartacea delle 900 pagine della sentenza);

Ad averne voglia, si potrebbe anche fare l’esercizio di provare a cacolare quanto tempo uomo occorre per effettuare tutte queste operazioni, ma mi affido all’intuizione del lettore per comprendere che non stiamo parlando di una sola persona e di secondi o minuti …

Come è facile intuire, tutto questo processo non è frutto del caso, ed a monte di tutti gli investimenti fatti c’è sicuramente un gruppo di persone adeguatamente remunerate che hanno dedicato parecchio tempo a pensare, analizzare, progettare, riunirsi, confrontarsi, deliberare, documentare, etc. per poi fare i necessari investimenti su base nazionale per realizzare quanto analizzato, progettato e deliberato. Ovviamente queste persone sono partite e si sono basate sulle leggi e sulle linee guida stabilite dal Governo con il CAD.

Proviamo ora ad immaginare un flusso informativo diverso, come potremmo dire … informatizzato! Ecco, si, utilizziamo questo termine: un flusso informativo informatizzato:

  1. il magistrato redige il uo documento utilizzando gli strumenti che gli sono stati messi a disposizione;
  2. il magistrato salva su un CD il documento prodotto;
  3. il magistrato deposita in cancelleria il CD;
  4. l’avvocato interessato passa in cancelleria e chiede una copia del CD.

Non male! abbiamo già risparmiato il denaro per stampanti e scanner, e per tutto il tempo necessario per stampare e verificare lo stampato, per movimentare ed archiviare la carta, e per farne la scansione.

Ma così non è abbastanza, e purtroppo non può funzionare: sul documento digitale prodotto dal magistrato mancano timbri e firme.

Facciamo allora un altro passo, e rivediamo ulteriormente il processo:

  1. il magistrato redige il documento;
  2. il magistrato firma digitalmente il documento prodotto;
  3. il magistrato invia telematicamente (salvandolo su un server, inviandolo via e-mail, o altro) il documento firmato
  4. l’avvocato paga via Internet con la propria carta di credito i diritti di copia;
  5. l’avvocato riceve una copia del file firmato digitalmente via e-mail (oppure riceve i riferimenti per scaricarne via Internet una copia da un server);

Potrebbe funzionare: la legge riconosce l’equivalenza della firma digitale rispetto a firme autografe e timbri; allora forse tutto il processo è bloccato dalla mancanza di una smart card per firmare digitalmente il documento … ebbene, NO! Il magistrato è stato dotato dallo Stato anche di una smart card, del relativo lettore, e del relativo servizio di installazione e configurazione del suo computer.

Viene allora da chiedersi perché il magistrato non abbia pensato di firmare digitalmente il proprio documento e di depositarlo così com’è in cancelleria:

  • non è capace?
  • nessuno gli ha insegnato come fare?
  • è pigro?

Ebbene, niente di tutto questo! Semplicemente, chi ha riprogettato l’informatizzazione dei processi della Giustizia si è ‘dimenticato’ di modificare la legge per cui il documento che fà fede e che ha valore legale è ancora di carta! Anche se il magistrato avesse firmato digitalmente il suo documento originale, avrebbe comunque dovuto stamparlo, firmarlo, timbrarlo e depositare la carta in cancelleria!

Vogliamo chiederci quale danno questi grandi e ben retruibuiti professori a Roma hanno portato alle finanze dello stato per questa piccola ‘svista’? Oltre al loro stipendio (ed emolumenti vari, e non voglio sapere quante consulenze esterne sono state commissionate!), questi signori hanno caricato i contribuenti dei costi per:

  • migliaia di stampanti dipartimentali;
  • migliaia di tonnellate di carta;
  • migliaia di giorni uomo per la movimentazione ed archiviazione della carta;
  • ovviamente, i costi per gli archivi, per i relativi impianti di protezione, etc.
  • migliaia di giorni di ritardo nella giustizia a causa dei tempi necessari per movimentare la carta;
  • migliaia di giorni uomo sprecati dagli avvocati e dalle loro segretarie per richiedere le copie degli atti;
  • migliaia di masterizzatori;
  • migliaia di supporti (CD, DVD, etc.) che si sarebbero potuti evitare con trasferimenti telematici
  • … devo andare avanti …?

In conclusione, l’errore alla base de problema occorso è uno solo: occorre capire che l’informatizzazione non deve replicare i flussi informativi cartacei esistenti, bensí li deve eliminare!

A proposito! Occorre anche ricordare che la legge promuove la dematerializzazione, ovverosia l’eliminazione della necessità di produrre, gestire ed archiviare la carta; dove è possibile ritrovare questo aspetto nei processi informatizzati riprogettati da questi grandi professionisti, professori e consulenti?

Forse se i cittadini iniziassero a chiedere a costoro di rimborsare il danno provocato alle finanze dello Stato, molti imparerebbero a pensare di più e a spendere di meno.

 

La sicurezza nello sviluppo SW: come incentivarla giovedì 31 marzo 2011

Posted by andy in Information Security, Miglioramento.
Tags: , , , ,
add a comment

Sempre più spesso leggo notizie in cui emergono incidenti (informatici, naturalmente!) derivanti da software sviluppato con pochi, o nulli, criteri di sicurezza.

Le lamentele vanno sempre in varie direzioni: i programmatori che pensano a tutto tranne che alla sicurezza, i project manager incapaci, le aziende che tagliano selvaggiamente su tutto, in primis sulla sicurezza …

Insomma, comanda il Time To Market ed il ribasso selvaggio …

Giusto o sbagliato che sia, il mercato attuale è così: il cliente non sa nulla di sicurezza, non è capace di valutare e confrontare le offerte, e peggio ancora non è capace di valutare i possibili danni derivanti da ‘incidenti informatici’.

E visto che ‘occhio non vede, cuore non duole’, si risparmia su tutto ciò che non si vede o non si conosce.

Ma il problema non è dei programmatori, o dei project manager.

Il problema è quello ribadito mille volte in mille articoli e blog diversi: pay peanuts, get monkeys.

Quello che manca è un ‘rating’ delle società che sviluppano software e, perché no? anche dei programmatori free lance.

Occorre introdurre nel mercato un meccanismo che dia visibilità ai clienti del fatto che lo sviluppo SW tenga conto o meno della sicurezza, e quanto.

Senza imbarcarsi in certificazioni di terza parte, che sono costose, ed in qualche misura si possono aggirare.

Varrebbe la pena predisporre una check-list dei principali aspetti della gestione della sicurezza nello sviluppo SW, di cui i clienti potrebbero richiedere la compilazione ai fornitori, che sarebbero così tenuti ad ufficializzare quali ‘controlli’ (nell’accezione inglese) implementano nel proprio processo di produzione SW.
I clienti potrebbero così confrontare i fornitori, e potrebbero paragonare i prezzi offerti in relazione alla sicurezza offerta.

Inoltre, in caso di incidente, il cliente potrebbe richiedere o meno la correzione dell’errore in relazione al fatto che il fornitore abbia o meno dichiarato i relativi controlli.

E a guardare più lontano, si potrebbe anche pensare di coinvolgere le assicurazioni, per la riduzione dei premi (ove applicabile).

Insomma, perché non puntare sullo scarico delle responsabilità? Se paghi per la sicurezza, hai diritto alla risoluzione dei problemi di sicurezza, altrimenti no.

Sui professionisti della gestione della sicurezza delle informazioni venerdì 18 febbraio 2011

Posted by andy in Miglioramento, pensieri.
Tags: , , , , , , ,
add a comment

Leggo sempre più spesso commenti di persone e professionisti nel settore della gestione della sicurezza delle informazioni che manifestano insoddisfazione per quanto non sia riconosciuta l’importanza del problema e dei professionisti in grado di trattarlo.

Ma qual’è, in sintesi, la situazione? Quali i problemi di fondo?

E cosa si può fare per migliorare?

Un momento di sintesi ogni tanto non fa male.
Contesto / situazione
——————————-
Direi che la discussione parte dal fatto che più o meno tutti quanti, e più o meno razionalmente, ci rendiamo conto che la sicurezza delle informazioni è sottovalutata, e così la professionalità di chi è in grado di gestirla.
Non ho informazioni dirette su quanto accade all’estero, ma dai commenti che circolano, mi pare che il problema sia più accentuato in Italia che all’estero.

Problema/i
———————————
I problemi, di fatto, son sempre i soliti: veniamo messi in competizione con il nipote dell’amico, che è capace di installare un server ‘Windows’, e che sa usare Ubuntu.
Eppoi non si può andare dal cliente a dirgli che la sua infrastruttura va bene per scolare la pasta …

Altro problema è che gli investimenti nella sicurezza delle informazioni (certificazioni personali ed aziendali) non vengono riconosciuti come tali, e quindi sono soggetti a ribasso in sede di gara; al contrario, i costi / investimenti per la sicurezza sul lavoro non possono essere soggetti a ribasso.

Dal punto di vista normativo poi la situazione è che la Telecom di turno soggiace alla medesima normativa sulla protezione delle informazioni che si applica al tornitore con due operai nel garage sottocasa (OK, dovrà forse avere qualche nulla osta, o essere presente nell’ennesimo albo che certifica ex-lege che è bravo, a prescindere da quello che accade realmente).

E sempre rimanendo in tema normativo, le leggi vengono sempre pensate per lasciare ampio spazio all’arbitrio, in modo che non sia possibile stabilire requisiti minimi, confrontare i fornitori ed il loro modo di operare, ed anche in caso di pasticci seri, una decisione definitiva la si ha dopo una quindicina d’anni, quando ormai l’appalto è concluso ed i soldi sono stati portati a casa comunque, indipendentemente dalla quantità ed entità dei guai combinati.

Cause
———————————
Penso che una delle cause di fondo del problema sia da imputare al fatto che da noi la sicurezza viene vista come un costo e non come un investimento.
Altro aspetto è che la sicurezza non si può vendere: non si può misurare in Kg, in scatole di software, in linee di codice.
In sostanza, i commerciali, che di norma sono bravi a vendere, ma non sanno cosa vendono, non sono in grado di applicare un tariffario (2 computer = 2 licenze, questo lo sanno fare, ma …)

Altro aspetto per me rilevante è che sicurezza è una seccatura: se il professionista di turno scopre qualche vulnerabilità (o più probabilmente qualche voragine) nel software o nelle infrastrutture che ho messo in piedi dal cliente, questo mette in imbarazzo me fornitore, ma anche il cliente rischia la figuraccia per avermi dato il lavoro.
In pratica alla fine è meglio nascondere la polvere sotto al tappeto, e la si chiude a tarallucci e vino.

Ed infine agli occhi del management la sicurezza esiste a priori, fino a prova contraria.
Il professionista lo pago quando ormai è troppo tardi ed è accaduto qualcosa per cui si è finiti sui giornali).
Di conseguenza la sicurezza ordinaria può essere tranquillamente gestita da chi sa amministrare un server (i.e creare utenti e fare un backup).

Ecco, qui colgo l’essenza del problema: noi italiani siamo reattivi e non proattivi; in sostanza, non guardiamo avanti.

Sulle certificazioni
—————————
C’è chi le ritiene indispensabili, chi privilegia l’esperienza e le referenze, e chi ritiene le certificazioni soltanto un minimo sindacale.
La realtà probabilmente è un insieme delle tre visioni.
Da persone, e da professionisti, tendiamo a valorizzare al massimo la persona e le sue capacità: se uno è bravo e competente, lo è anche senza un pezzo di carta appeso al muro.
Ma d’altra parte proprio noi che dobbiamo basarci su criteri oggettivi per poter fare affermazioni sullo stato della sicurezza (o non sicurezza) delle informazioni, difficilmente possiamo pretendere che i clienti ritengano qualificate le persone che gli mandiamo, ‘perché lo diciamo noi’.
La certificazione non è garanzia della validità della persona, ma garantisce un livello minimo di competenze, così come la licenza elementare garantisce che una persona sappia leggere, scrivere e far di conto, ed il liceo classico che una persona conosca latino e greco.

Associazione / lobby / cartello
——————————————–
Certamente il peso che abbiamo come singoli non è quello che potremmo avere come associazione.
Purtroppo il cartello ex-lege (leggi: l’ordine professionale che certifica per legge che siamo gli unici bravi a fare certe cose) ce lo possiamo scordare.
Si possono fare associazioni, e tante già ne esistono.
Come qualcuno ha osservato, le associazioni si riducono ad essere l’ennesima tassa da pagare, per avere un ulteriore bollino sul proprio biglietto da visita.

Il problema è che, da bravi italiani, ci aspettiamo che l’associazione faccia qualcosa per noi. Purtroppo invece la cosa deve essere vista da un altro punto di vista: cosa possiamo fare noi per l’associazione?

E in aggiunta: un’associazione si costituisce in quattro e quattr’otto: il problema non è costituirla, ma sapere il perché costituirla.
Cosa possiamo (o vogliamo) fare come associazione che non possiamo fare come singoli?
Cosa vogliamo? Sederci in modo autorevole ai tavoli di chi legifera? Stabilire i canoni per la gestione della sicurezza nelle gare e nell’esecuzione degli appalti?
O semplicemente vogliamo il nostro tariffario, come notai ed avvocati? (cosa assolutamente lecita, ma forse un po’ riduttiva della nostra professionalità).

Certamente deprime già in partenza il sapere che, anche arrivando a sedersi ai tavoli giusti, qualsiasi cosa rimane aleatoria, indefinita per anni, senza arrivare a decisioni concrete entro tempi utili, e che la politica è in grado di vanificare anche la migliore proposta tecnico-operativa.

E quindi, che fare?
—————————
C’è molto da fare.
I tavoli giusti esistono, e si può pensare di poterci arrivare presentandosi con un cappello che non sia soltanto la propria referenza personale.
Di associazioni già ne esistono (leggi: CLUSIT), per occorre chiedersi se diversificare ulteriormente o dare maggior peso ad essa.
Divide et impera, dicevano i romani; l’ennesima associazione farebbe certamente un favore agli interlocutori, che si troverebbero a doversi interfacciare con tanti attori, e a non poter/voler dire a nessuno che non è quello con cui ci si può relazionare ufficialmente.

Se abbiamo voglia di rimboccarci le maniche, di proposte concrete da fare ce ne sono.

L’errore dietro alle “quote rosa” sabato 23 gennaio 2010

Posted by andy in Miglioramento, pensieri, vita quotidiana.
Tags: , , , ,
add a comment

Tempo fa sono capitato su una notizia (qui su La Repubblica) che mi ha confermato un’idea che ho già da parecchio tempo.

Le cosiddette ‘quote rosa’ (le pari opportunità garantite alle donne riservando un numero definito a priori di posti in una particolare istituzione) sono uno sbaglio ed un’offesa al gentil sesso.

Pur non avendo difficoltà ad apprezzare lo spirito soggiacente all’idea, che cerca di ristabilire un equilibrio in un mondo controllato, per varie ragioni, dal sesso maschile, continuo ad avere delle notevoli perplessità sul modo.

Ma veniamo alla notizia: in Svezia, per equità, sono garantiti alle donne il 50% dei posti disponibili alle donne, ma (e qui sta la vera notizia) l’altro 50% è invece garantito agli uomini.

Ebbene, le donne hanno scoperto che vi sono delle professioni in cui il proprio sesso prevale, per numero e competenza, rispetto a quello maschile, e si sono trovate penalizzate, dovendo lasciare il 50% dei posti disponibili ad uomini anche meno qualificati di loro.

In sostanza, si è scoperto che una legge fatta nell’interesse delle donne in realtà in particolari contesti può divenire per loro penalizzante.

Ma qual’è il vero problema alla base di tutto questo? A parere mio si tratta di una confusione di termini.

Da troppi anni la gente fa una sostanziale confusione tra uguaglianza e parità tra i sessi.

Mentre è doveroso dover riconosce la parità di diritti tra i sessi, è altrettanto importante capire che questi non sonno uguali, e non lo possono essere neppure se lo vuole la legge.

Uomini e donne sono sostanzialmente diversi nella propria natura, sia fisicamente che psicologicamente ed attitudinalmente (ovviamente parlando in senso generale e non assoluto).

È inconfutabile che vi sono discipline, arti e mestieri in cui eccellono principalmente uomini, ed altri in cui eccellono le donne.

Questo fatto non significa che un sesso sia migliore dell’altro: significa soltanto che la Natura ci ha diversificati, rendendoci complementari.

Dal punto di vista normativo, si conferma che garantire un posto per ‘diritto divino‘ (la legge), invece che per merito porta a penalizzare i più meritevoli.

Dal punto di vista pratico, le leggi sulle quote rosa sono, a parer mio, una soluzione temporanea ormai superata al problema; forse iniziano ad essere maturi i tempi e la consapevolezza per rivedere le norme, sostituendo le quote rosa con regole e criteri più onesti per premiare il merito, criteri che devono essere realmente imparziali rispetto al sesso.

Adottare il FLOSS nella PA e nelle grandi aziende mercoledì 30 dicembre 2009

Posted by andy in Internet e società, Miglioramento.
Tags: , , , , , , , , , ,
add a comment

La lotta tra il software libero e quello proprietario si fonda ancora oggi su pregiudizi che sono controproducenti sia al primo che al secondo.
Le guerre di religione fanno perdere di vista l’obiettivo, rinunciando ai benefici dell’uno e dell’altro.

Senza la presunzione di voler essere esaustivo, considero in questo articolo un particolare aspetto relativo all’adozione o meno di software libero (FLOSS) nelle grandi realtà (P.A. e grandi aziende).

Non che le considerazioni non si applichino a realtà più piccole, ma i numeri sono meno importanti e quindi meno significativi ai fini del ragionamento che intendo presentare.

Le ragioni con cui si tende a sostenere l’acquisto di software proprietario sono molte, ma in generale non sono oggettivamente correlate ad una reale valutazione dell’effettiva necessità.

Non metto in dubbio che Office della MS sia più evoluto, etc. etc. etc., ma il 99% degli utenti non utilizza il 99% delle funzioni non disponibili in prodotti liberi.

In pratica chi è responsabile dei sistemi dovrebbe iniziare a ragionare ed a chiedersi quali utenti e quali servizi aziendali realmente necessitino di un software più evoluto (suite di office, di CAD, etc.) tali da richiedere un software specifico.

In questo modo risulterebbe possibile concentrare gli investimenti là dove servono, invece che sprecarli a pioggia su tutti gli utenti indistintamente.

Dal punto di vista commerciale questo approccio avrebbe un ulteriore vantaggio, in quanto si premierebbe la Qualità del software proprietario, che potrebbe essere venduto a cifre superiori (anche molto) per unità.

Tanto per fare un esempio concreto, in una grande azienda si può dare OpenOffice a tutte le segreterie, ma dare prodotti commerciali evoluti ai grafici, all’editoria, etc. predisponendo workstation ben carrozzate, invece che essere costretti a comperare dei super-computer anche alla segretaria che più che scrivere lettere e leggere le e-mail non fà, soltanto perché il sistema operativo vuole hardware dell’ultima generazione e disco e RAM da fantascienza soltanto per farci gli effetti (sceno)grafici.

In questo modo non ci si trova poi a dover piangere miseria quando un grafico si lamenta dell’esiguità della memoria e della CPU del proprio PC.

E giusto per fare contenti i top manager (vedi anche legge sul copyright e 231/2001) si avrebbero un mare di preoccupazioni in meno per la continua necessità di censire le licenze del software installato, per scoprire che, chissà come, ce n’è sempre qualcuna non autorizzata …

A compendio di quanto detto sopra, osservo come la gente tenda a dimenticare che il sistema operativo (Windows, Linux, OSX, e chi più ne ha, più ne metta …) è soltanto una ‘propaggine’ dell’hardware destinata a consentire l’interazione tra l’utente e l’hardware stesso.

Un grave errore che viene oggi fatto (un po’ per ignoranza e un po’ per l’indisponibilità di alcuni importanti prodotti su piattaforme libere) è di condizionare la scelta del sistema operativo al software che si vuole utilizzare, o peggio, pensare che S.O. e software siano due entità inscindibili.

Della Litoinformatica lunedì 16 novembre 2009

Posted by andy in Internet e società, Miglioramento, tecnologia.
Tags: , , , , , , ,
add a comment

Colgo l’occasione per coniare un neologismo: la ‘LitoInformatica‘.

Trattasi di parola composta, ovviamente, dal termine ‘informatica’, e dalla radice della parola greca ‘lithos’, ovverosia pietra.

Perché pietra? Perché l’informatica di oggi in Italia, e specificamente nella Pubblica Amministrazione è ancora gestita più o meno scolpendo messaggi nella pietra, e spostando messaggi di travertino da un ufficio all’altro.

Probabilmente qui in Italia non viviamo neppure nel periodo Neolitico dell’informatica, bensì del paleolitico.

Ma andiamo con ordine.

Pochi giorni fa mi sono trovato a richiedere all’ufficio del Comune l’autenticazione di un Certificato di Qualità di un’azienda con cui collaboro, da allegare alla documentazione amministrativa per una gara.

L’autenticazione di copia consiste nell’attestare che la copia di un documento è conforme all’originale, con il quale deve essere contestualmente confrontato.

Una prima cosa buffa è che il pubblico ufficiale ha di fatto dichiarato il falso: l'”originale” che ho presentato era semplicemente la stampa di un documento in formato PDF, del quale avevo fatto anche una fotocopia da autenticare.

In effetti l’unico vero originale consiste in un documento in formato PDF non firmato digitalmente, che l’ente certificatore ci ha inviato via e-mail su posta tradizionale.

Ah, dimenticavo la chicca! Sapete come viene fatta l’autentica della copia del documento?

Grazie ad un sofisticato software viene stampata un’etichetta adesiva che riporta un numero di protocollo univoco per l’autentica, la quale viene apposta sul retro del documento autenticato.

Ciò fatto, si procede con l’apposizione del timbro e della firma del pubblico ufficiale che effettua l’autentica!

In effetti la vera innovazione è che non si utilizzano più la ceralacca e l’anello con il sigillo del casato …

Un secondo aspetto buffo (se non vogliamo deprimerci) è che ta tempo, per legge, i documenti diretti verso le Pubbliche Amministrazioni ed i gestori di pubblici servizi non richiedono più nessuna autenticazione: è sufficiente ricorrere all’autocertificazione.

Niente di più falso: nei disciplinari di gara vengono ancora richieste copie autentiche, di fatto a pena di esclusione.

E questi sono i fatti: ora proviamo ad analizzarli un po’ più in profondità, per poi vedere come in realtà dovrebbero, o almeno potrebbero, funzionare le cose.

  1. L’ente appaltante pretende un documento di carta che richiede tempo e denaro sia da parte di chi deve produrre il documento, sia da parte delle istituzioni che devono mantenere in vita una struttura (uffici, personale, computer, stampanti, rotoli di carta adesiva, timbri, …), il tutto solo per attestare che due pezzi di carta appaiono simili;
  2. L’ente appaltante si accontenta di un documento che può essere assolutamente falso, ma viene ritenuto vero soltanto perché vi è stato apposto il sigillo di una persona autorizzata;
  3. L’ente appaltante non solo non accetta autocertificazioni, ma peggio ancora non accetta come evidenza la presenza del certificato sul sito web dell’ente certificatore;
  4. lo strumento di verifica dell’autenticità del documento si riduce ad essere un essere umano, un dipendente pubblico l’intelligenza del  cui incarico è paragonabile a quella di un semplice programma di ‘file compare‘ disponibile su tutti i più semplice home computer fin dalle loro origini;
  5. Il reale documento originale (il file in formato PDF) non porta con sé alcuna informazione di autenticità né di integrità; in nessun modo è possibile verificare se il documento sia stato realmente prodotto dall’ente certificatore o meno;
  6. Il contenuto del certificato è, di fatto, quasi un’immagine di difficile se non nulla fruibilità.

Ma vediamo ora come potrebbe funzionare un giro più semplice per fornire questa semplice informazione …

  1. Il certificato potrebbe essere semplicemente una stringa di testo, magari in formato XML, contenente tutte le informazioni necessarie, e quindi firmato digitalmente; tra le informazioni da riportare, ovviamente, la data di emissione e di scadenza del certificato, oltre che l’oggetto; questo implicherebbe naturalmente che l’ente certificatore si dotasse di un proprio certificato digitale;
  2. L’ente certificatore potrebbe / dovrebbe pubblicare il certificato sul proprio sito web, per la libera consultazione di chiunque sia interessato a verificare la veridicità dell’autocertificazione del dichiarante; sarebbe sufficiente la verifica mediante chiave pubblica dell’ente certificatore …
  3. L’ente appaltante potrebbe ‘accontentarsi’ di richiedere l’autocertificazione del numero di certificato richiesto, riservandosi di verificarne l’esistenza e la conformità sul sito dell’ente certificatore.

In questo modo si ridurrebbero drasticamente tempi e costi: niente più bolli, niente più code agli sportelli, e addirittura niente più sportelli!

Meno carta, più sicurezza sulla veridicità delle informazioni, possibilità di verificare in un istante la veridicità delle autocertificazioni dei concorrenti …

Ma questo dovrebbe essere il presente; ora scusatemi:  siamo ancora nell’era Litoinformatica, e dovendo preparare una nuova offerta,  devo tornare a scolpire i certificati da presentare al Ministero.

Provvedimento del Garante sugli amministratori di sistema: troppa teoria e nessuna pratica martedì 9 giugno 2009

Posted by andy in Internet e società, Miglioramento, privacy.
Tags:
add a comment

Ho letto molti commenti sul tema.
Mi sono stupito della consultazione del Garante dopo aver fatto la legge, ma … ben venga; il tema è spinoso e prima lo si sviscera e meglio è.

Il problema che permane però, a parer mio, e che nessuno credo abbia ancora affrontato, è quello della correlazione tra l’impatto dell’attuazione del provvedimento sulle aziende rispetto alle capacità ed ai benefici.

I requisiti posti dal Garante non sono ‘scalabili’: sono un ‘tutto o niente’, e il niente è male per la legge.

Con ‘niente’ non intendo lo stare a guardare e girare i pollici: intendo invece adottare misure e spendere soldi per ottenere qualcosa che, di fatto, non risolve il problema.

Manca una prospettiva, e manca la definizione degli obiettivi.

Provo ora a sintetizzare un po’ dei problemi che si sono incontrati, per poi passare ad una proposta costruttiva.

I principali problemi che il provvedimento solleva sono:
1. L’amministratore di sistema viene caricato di responsabilità anche penali;
2. L’amministratore di sistema, nella maggior parte dei casi, non ha le competenze per affrontare il problema in modo risolutivo;
3. L’amministratore di sistema, in generale, non viene pagato per le responsabilità che ci si aspetta egli si assuma;
4. L’amministratore di sistema, in generale, non ha potere decisionale né di spesa per quanto riguarda l’implementazione delle soluzioni che ritiene necessarie;
5. Le aziende sono realtà che possono essere Telecom, banche, il Ministero della Giustizia, ma anche imprese a conduzione familiare, che hanno da proteggere soltanto i dati di qualche collaboratore.

Il punto 5. ha due implicazioni fondamentali:
a. l’azienda può gestire dati estremamente sensibili (medici, giudiziari, etc.), indipendentemente da quanti ne tratta;
b. l’azienda può gestire dati non molto sensibili, o anche soltanto riservati, ma in quantità enormi.

Con quanto sopra ho, credo, evidenziato il fatto che il provvedimento del Garante è sproporzionato (verso l’alto o verso il basso) rispetto alla realtà; anzi, proprio non ha correlazioni rispetto ai fattori in gioco.

E vengo ora alla parte propositiva.

A parer mio occorre:
1. creare un collegamento tra responsabilità, competenze e retribuzione degli Amministratori di Sistema;
ovverosia: dato il livello di responsabilità richiesta, deve essere corrispondentemente richiesto un adeguato livello di certificazione della persona (e perché no? anche di irreprensibilità), ed in cambio deve essere stabilito un compenso minimo adeguato ai requisiti di cui sopra;

2. stabilito il tipo di trattamento di dati necessario all’azienda, stabilire quale siano i requisiti minimi in termini di professionalità e numero di persone necessarie;
ovverosia: il tipo di trattamento dei dati deve essere correlato alla loro sensibilità / importanza, ed alla loro quantità; in relazione a ciò devono essere stabilite delle risorse minime necessarie per assicurare la protezione dei dati e la correttezza dell’utilizzo delle infrastrutture (rammento che le aziende hanno serie sanzioni per la responsabilità amministrativa).

Tutto ciò, per legge.
Ovvio che la legge risulta troppo ‘lasca’ nel rapporto responsabilità / retribuzioni, nessuno farà più l’amministratore e le aziende si troveranno inadempienti nei confronti della legge.

L’aspetto delle certificazioni è facilmente risolto: ve ne sono di ogni tipo, sia personali che aziendali.

C’è anche da dire, infine, che il Garante potrebbe assumere un atteggiamento più costruttivo, coinvolgendo il CNIPA nella definizione di strumenti e regole operative minime tali da garantire il rispetto della legge.
Dovrebbe in sostanza venire incontro a tutte quelle mini e micro-aziende che non hanno né budget né competenze, per consentire anche ad esse di mettersi in regola senza doversi ipotecare la casa.

L’aspetto tecnologico di come realizzare un sistema economico che soddisfi i requisiti del Garante, li svilupperò in un altro post.