jump to navigation

Il Governo e la scuola al tempo del Covid lunedì 11 maggio 2020

Posted by andy in Politica, Pubblica Amministrazione.
Tags: , , , ,
add a comment

A volte viene da chiedersi se a Roma chi è incaricato di gestire l’istruzione italiana sia mai andato a scuola.

Se ne potrebbe parlare all’infinito, ma alcune proposte degli ultimi giorni fanno pensare …

Ad esempio, c’è chi ha proposto per la ripresa della scuola a Settembre di far entrare le classi scaglionandole una ogni quarto d’ora …

Comprendo benissimo che in questo periodo il Governo ha problemi colossali da risolvere, ma i ministri si avvalgono anche di schiere di consulenti specializzati che sono incaricati di occuparsi dei dettagli dei problemi, e che dovrebbero anche avere cognizione della materia di cui si deve occupare il ministero a cui sono assegnati …

È possibile che il ministro si sia circondato di incompetenti? È possibile che il ministro non abbia neppure uno straccio di senso critico per rimandare a casa persone che propongono cose assurde, invece che rimbalzarle assumendosi le responsabilità di ciò che propongono?

Ora, una scuola con 22 classi impiegherebbe circa 5 ore e mezza per far entrare tutti gli allievi, ed al termine dell’ingresso dell’ultima classe dovrebbe iniziare a far uscire gli allievi, per altre 5 ore e mezza.

In pratica, se il primo allievo entra alle 8, l’ultimo esce alle 19 …

Viene naturalmente chiedersi come sarebbe possibile organizzare le lezioni in questo modo, come potrebbero organizzarsi i genitori per portare a scuola i figli e per tornare a riprenderli ed infine cosa ne penserebbero docenti e sindacati …

Supponendo pure di avere due ingressi, si potrebbero ridurre i tempi a quasi tre ore: il problema non cambierebbe sostanzialmente ed i docenti si troverebbero a dover gestire delle lezioni ‘itineranti’ …

Ho usato soltanto somme, moltiplicazioni e divisioni: possibile che al Governo non sappiano fare neppure i conticini della massaia (roba da elementari)?

E non è finita: c’è anche chi propone di tenere gli esami di terza media durante le ultime settimane di scuola: un insegnante ad esempio di musica con tre corsi si trova ad avere circa 3 x 25 = 75  studenti che devono fare l’esame.

Supposto di dedicare (ottimisticamente) anche soltanto un quarto d’ora a studente, si riescono ad esaminare 4 allievi all’ora, per un totale di quasi 20 ore: in pratica tale docente si troverebbe ad avere tutto il proprio orario impegnato per seguire gli esami, senza poter essere in classe a tenere lezione.

Resta poi da chiedersi chi terrebbe le classi in tali ore …

Perché non posticipare gli esami a dopo il termine della didattica? I docenti sono comunque pagati per 12 mesi all’anno.

Non parliamo poi degli strumenti dedicati alla didattica a distanza, ove il Governo ha totalmente ignorato le proprie responsabilità, delegando ciecamente ogni scuola ad arrangiarsi con quello che trovava, con il prodotto che più o meno di grido, o che stava più o meno simpatico a questo o quel docente, senza considerare che tutti gli strumenti utilizzati (Zoom, GSuite, etc.) trasferiscono dati di minori negli Stati Uniti (extra UE) senza alcun accordo scritto sulla protezione dei dati e senza alcun coinvolgimento del Garante per la Privacy, che si è defilato anche questa volta, come per tutti gli strumenti adottati per lo ‘smart working‘ (o lavoro agile) della Pubblica Amministrazione.

Devo tuttavia osservare che vi sono anche proposte interessanti, come quella di organizzare la didattica in due sessioni, una mattutina ed una pomeridiana, sfalsate rispetto agli orari di punta, in modo da dimezzare la quantità di studenti presenti a scuola e ridurre la congestione dei mezzi negli orari di punta.

 

Il SW, lo Stato e l’Esportazione in USA delle Tasse dei Cittadini venerdì 1 maggio 2020

Posted by andy in FLOSS, Information Security, Miglioramento, Pubblica Amministrazione, tecnologia.
Tags: , , , , , , , , , , ,
add a comment

Premessa

Penso che siano pochi (sempre che esistano!) i paesi in cui tutti i contribuenti siano felici di pagare le tasse nella misura in cui le pagano: sorgono sempre dubbi sulle capacità dello Stato di spendere al meglio le risorse raccolte.

Con questo mio pensiero provo a sollevare anch’io qualche dubbio, proponendo naturalmente anche una soluzione (mai lamentarsi se non si ha qualcosa di meglio da proporre!).

Mi concentrerò in questo post su come vengano spesi i soldi per l’acquisto di software commerciale da parte della PA, suggerendo delle ipotesi per impiegare meglio almeno parte di tali fondi.

Una stima della spesa per il SW da parte della PA

Prendiamo il tema degli acquisiti di software commerciale da parte della Pubblica Amministrazione, dove la parte dei leoni la fanno sempre i soliti grandi nomi (Microsoft, Oracle, VMware, Adobe, etc.)

Escludo quindi qualsiasi software ‘custom’ sviluppato ad hoc per la PA, nonché qualsiasi servizio di assistenza, configurazione, etc.

Al paragrafo 3.2.3 (La spesa ICT per macrovoci hardware e software, pag. 32) della relazione di AgID sulla spesa ICT nella PA italiana, possiamo osservare che la spesa effettiva dal 2016 in poi, e previsionale per il 2019, è sempre stata superiore ai 700 milioni di Euro (addirittura 850 nel 2018).

Stiamo parlando di circa 12 Euro per cittadino italiano (inclusi infanti e pensionati) e di circa 64 Euro per ogni contribuente (escludendo quindi infanti, pensionati, persone con reddito minimo non soggetto a tassazione, disoccupati, etc.).

Dove vanno a finire tutti questi soldi? nella maggioranza dei casi, negli Stati Uniti.

È davvero necessario esportare tutti questi capitali, impoverendo lo Stato ed i contribuenti?

A cosa serve tutto questo SW?

Intanto chiediamoci a cosa serve tutto questo software di cui acquistiamo licenze d’uso.

In generale, possiamo suddividere tutto questo software in tre categorie principali:

  • software ‘server side’, ovverosia sistemi di virtualizzazione (VMware, …), sistemi operativi server (Microsoft, e parzialmente RedHat, ora IBM), e motori di database (Oracle, Sybase, …);
  • sistemi operativi lato client (Microsoft);
  • software di office automation e programmi di utilità (Office, Skype, Teams della Microsoft, Acrobat Pro della Adobe, etc.)

È importante anche chiederci cosa effettivamente acquistiamo: si tratta di licenze d’uso, e non della proprietà dei prodotti: acquistiamo quindi la sola possibilità di utilizzare un prodotto, sottostando alle condizioni commerciali imposte dai fornitori.

 

Una stima della spesa per il SW da Parte della PA

Ho provato a cercare il numero di dipendenti pubblici in Italia, ed ho trovato varie stime, più o meno aggiornate, ma il numero supera sempre i 3.000.000 di persone.

Non so se quella che vado a fare sia una stima corretta, ma nell’era dell’informatizzazione ipotizzerò che circa 1.000.000 utilizzi un computer per svolgere almeno parte delle proprie attività; tenendo conto dei numeri dei ministeri, oltre a quelli delle regioni e dei comuni, credo che la stima possa essere considerata ragionevole.

Naturalmente non dispongo dei numeri effettivamente contrattati dalla PA, ma sono stime ragionevoli quelle di 84$/anno per Windows 10 Enterprise (volume licensing), mentre al dettaglio Office 2019 Professional viene 440$: farò una stima di 116$/anno con una licenza analoga a quella di Windows (tanto per fare una cifra tonda di 200$/anno).

Il tutto senza contare che molto spesso i computer vengono acquistati già dotati di una licenza Microsoft, a cui occorre aggiungere quella ministeriale acquistata nei contratti quadro tra PA e fornitore

L’importo non è esatto, ma certamente non si discosta molto dalla realtà; in ogni caso, se così fosse, 1.000.000 PC x 200$ / anno = 200 milioni di dollari all’anno per Microsoft.

Se ad ogni utente viene dato un PC con Windows ed Office, ed ipotizzando che CONSIP sia riuscita ad ottenere mediamente dei prezzi di mercato, una postazione di lavoro viene a costare, come software di base, circa 200$/anno – si vadano i conti precedenti.

Non entro nel merito dell’hardware, che purtroppo in alcuni contesti non viene aggiornato in relazione alle esigenze degli utenti, ma troppo spesso viene sostituito troppo presto nonostante la possibilità di funzionare egregiamente ancora per anni.

Le licenze server di Microsoft vengono al dettaglio circa 1.000$ / processore – ipotizziamo che per la PA vengano soltanto 600$/processore, che ripartite su un periodo di 3 anni fanno 200$/anno/processore.

Quanti server e quanti microprocessori avrà la PA? Ipotizziamo (e sto facendo l’ottimista) 10.000 server e 2 core ciascuno, per un totale di 20.000 core, e quindi 20.000 core x 200$/core/anno = 4.000.000$/anno.

Veniamo ora alla virtualizzazione: quante saranno le istanze di virtualizzazione attive in Italia? Al momento non sono riuscito a reperire (e penso che sia impossibile) un numero certo.

Utilizzerò come stima il valore di una istanza ogni 10 server, che dovrebbe ottimisticamente mediare tra le installazioni con un più elevato livello di consolidamento dei server e quelli ancora non virtualizzati (senza contare tutte le installazioni di disaster recovery, che di fatto raddoppiano il numero di istanze e quindi di licenze).

La licenza per un’istanza con il servizio di assistenza e supporto per tre anni viene circa 3.000€/anno, per un totale di circa 10.000 server / 10 x 3.000€/anno = 3.000.000€/anno.

E poi ci sono Oracle, RedHat ed altri software server side di produzione, con i relativi contratti di assistenza e supporto business.

Per Oracle, ipotizzando anche soltanto 1.000 installazioni in tutta Italia (in generale su sistemi con un discreto numero di processori), ipotizzando anche soltanto 10.000$/processore/anno e 4 processori/server, troviamo 1.000 x 4 x 10.000$/anno = 40.000.000$/anno.

Ed in quanto sopra riportato non sono stati conteggiati tutti i pacchetti e moduli software aggiuntivi per l’amministrazione, il monitoraggio, l’integrazione, l’alta affidabilità, etc. etc. etc.

Come potete vedere, facendo dei conti assolutamente conservativi, emergono rapidamente le centinaia di milioni di Euro all’anno, che regolarmente vengono trasferiti negli States.

Tutto questo software commerciale è realmente indispensabile?

Chiediamoci ora se realmente tutto il software di cui acquistiamo la licenza d’uso sia indispensabile, o se possa essere sostituito da altro più economico.

Per la parte server, esistono due tipi di sistemi: quelli cosiddetti ‘di produzione‘, e quelli di sviluppo, di test, o dedicato ad applicazioni non critiche.

Per la parte client (ovverosia il computer, fisso o portatile) assegnato agli utenti, occorre chiedersi quali siano le attività che vengono principalmente svolte dagli utenti, che sostanzialmente sono:

  • consultazione della posta elettronica;
  • navigazione su Internet mediante un browser;
  • condivisione di file tra utenti;
  • office automation (redazione di documenti, gestione dati mediante fogli elettronici, e qualche presentazione …)
  • comunicazioni e videoconferenze (questo è vero soprattutto da quando si è iniziato a fare smart working in seguito alla pandemia di Codiv-19).

Naturalmente gli usi sopra descritti sono riferibili soltanto alla grande maggioranza di utenti, e non a quelli che svolgono attività particolari).

È importante ora fare una considerazione: il pianeta (inteso come infrastrutture e servizi informatici) funziona sostanzialmente utilizzando software libero (libero nel senso di open source, e non di gratuito): il fatto che un software sia libero non esclude che si possano pagare servizi di assistenza e supporto:

Perché questa considerazione?

Perché la stragrande maggioranza delle esigenze delle aziende e degli utenti possono essere soddisfatte con software libero, sia lato server che lato client.

Ciò che conta, in un ambiente di produzione, non è il ‘possesso’ di un prodotto (o almeno del diritto di utilizzarlo), ma un servizio di supporto che supporti il cliente nella risoluzione dei problemi che si presentano (e naturalmente di una consulenza per progettare e far evolvere i propri sistemi informativi).

Se leggete le condizioni di licenza dei diversi prodotti commerciali citati, noterete che sono previsti due tipi di importi da pagare: uno (obbligatorio) per acquisire il diritto di utilizzare il prodotto (alle condizioni imposte dal produttore), e l’altro (facoltativo) per avere il diritto di chiamare qualcuno chiedendo aiuto se qualcosa va storto …

Ecco, il software libero vi libera dalla prima voce, lasciandovi naturalmente la libertà di decidere se pagare un servizio di supporto o no per le applicazioni che ritenete più critiche.

Un aspetto interessante è che mentre nel caso di software proprietario, sia il costo della licenza che quello per i contratti di supporto vanno al produttore, nel caso di software libero avete (appunto!) la libertà di rivolgervi a chiunque riteniate sufficientemente qualificato per gestire i vostri potenziali problemi.

Un altro aspetto, fondamentale, che differenzia il software libero da quello proprietario, è la sua apertura: non è possibile trovarsi in situazioni di ‘lock-in’, ovverosia di essere costretti a mantenere un prodotto o un fornitore, perché le modalità in cui il produttore ha implementato alcune funzioni rende il prodotto incompatibile o non interoperabile con altri prodotti, liberi o di altre parti (limitando persino la possibilità di sviluppare in house del software di adattamento).

E concludo questo paragrafo sintetizzando il fatto che non è indispensabile utilizzare software proprietario: naturalmente esistono prodotti commerciali che sono migliori di prodotti liberi (così come è vero il contrario!); per applicazioni specifiche, in cui si ritiene che un prodotto commerciale sia più appropriato, è corretto selezionarlo ed utilizzarlo.

Ma ciò non è vero nella stragrande maggioranza dei casi.

Sicurezza nazionale

A parte ogni considerazione sugli aspetti economici, è da considerare anche l’aspetto della sicurezza nazionale; infatti come può lo Stato essere certo che non vi siano backdoor all’interno del software acquistato (anzi: licenziato) e che non vi siano meccanismi che possono consentire a ‘qualcuno’ di bloccare il funzionamento del software?

Di fatto il solo meccanismo dell’attivazione del software è un meccanismo simile: se il software non viene riconosciuto come valido dalla casa produttrice (o da un suo sistema installato nelle reti aziendali), il software smette di funzionare.

E c’è di peggio: l’utilizzo sconsiderato che si è recentemente iniziato a fare in occasione dello smart working di tecnologie quali Skype, Teams, WebEx, GSuite, Google Drive, OneDrive, (Dropbox?), ha di fatto messo in mano ad aziende private statunitensi una quantità smodata di documenti e conversazioni riservate ad ogni livello istituzionale.

C’è qualcuno che ha fatto un’analisi dei rischi? Ritengo di no, altrimenti si sarebbero prese altre strade da molto tempo.

Adozione del software libero nella PA

Con il CAD, la PA si è imposta delle regole finalizzare a razionalizzare la spesa e ridurre gli sprechi (e, perché no? anche l’impoverimento dello Stato con esportazione continua di capitali all’estero), imponendo la predilezione del software libero, a meno di motivatissime e documentate ragioni.

Ulteriore aspetto fondamentale è che la PA si è imposta l’obbligo dell’adozione di standard aperti, che garantiscono l’interoperabilità tra piattaforme di qualsiasi tipo: ciò di fatto esclude ogni software proprietario che implementa funzioni, o formati di dati, o protocolli, non interoperabili con le omologhe implementate mediante standard aperti.

Quanto sopra porta al fatto che la PA deve utilizzare soltanto software libero, a meno di specifiche e giustificate ragioni, e che qualsiasi software sviluppato per la PA deve conformarsi soltanto a standard aperti (per i formati dei dati, dei file, per i protocolli di comunicazione, etc.), e deve essere rilasciato sotto licenza libera.

Limiti e problemi nell’adozione del software libero nella PA

Quanto esposto al punto precedente è un ideale (speriamo che non sia un’utopia).

Cosa limita la PA nel rispetto del CAD che essa stessa si è data?

Le ragioni sono tante, e non penso di riuscire ad identificarle tutte in questo post; tuttavia, tra le tante, vediamo:

  • mancanza di informazione: se ogni dipendente statale venisse informato sul costo del software che pretende di utilizzare al posto di quello libero, e di quanto soldi ogni anno gli vengono trattenuti sullo stipendio per le tasse, probabilmente accetterebbe più favorevolmente l’evoluzione;
  • disinformazione diffusa: troppo spesso gira la voce che il software libero non è all’altezza di quello libero, ma se gli utenti sapessero che i propri smartphone utilizzano software libero, così come FaceBook, Google ed il proprio router Internet di casa, probabilmente proverebbero a considerare la cosa con maggior obiettività;
  • direttori e dirigenti non sufficientemente competenti, responsabili e motivati, che spesso vedono in queste attività soltanto la fatica immediata, le seccature derivanti nel breve termine, e qualche responsabilità da assumersi con scelte a volte non comode;
  • mancanza di adeguate competenze di committenti e responsabili di sistema, e dell’eventuale supporto specialistico, senza le quali non è possibile preparare adeguati capitolati e specifiche di collaudo;
  • … e (perché no?) potenziali interessi (visti i numeri in gioco) che esulano da quelli dello Stato (come si dice, a pensar male si fa peccato, ma spesso ci si azzecca …).

Cosa si può (e lo Stato dovrebbe) fare …

Premetto che so che lo Stato ha tempi lunghi, ed il CAD lo dimostra: è del 2005, ma a distanza di 15 anni ancora il software e le comunicazioni sono in mano agli Stati Uniti (si colga ora l’occasione per rileggere il paragrafo sulla sicurezza nazionale …).

Cosa si potrebbe fare? occorre agire almeno sui seguenti fronti:

  • tecnico / legale: predisporre specifici allegati standard, sia tecnici che legali, che devono essere acclusi ad ogni bando di gara per forniture software, chiarendo quali sono gli standard (aperti!) adottati dalla PA e quali sono le modalità standard per l’interoperazione e collaborazione tra sistemi; tali documenti devono definire anche in modo chiaro e formale come devono essere predisposte le specifiche di collaudo ed accettazione, in modo da evitare situazioni in cui la PA è costretta ad accettare delle forniture inadeguate perché i requisiti progettuali sono stati prodotti da persone non competenti o senza cognizione della destinazione d’uso del prodotto da realizzare;
  • formazione delle stazioni appaltanti: è indispensabile formare e fornire gli strumenti alle stazioni appaltanti per verificare la conformità normativa delle richieste di acquisto per software commerciale e per lo sviluppo di software applicativo per la PA;
    per il primo, deve esistere la necessaria analisi prevista dal CAD, sottoscritta da una persona competente e responsabile per il progetto da realizzare, e
    per il secondo, occorre accludere ai bandi gli allegati standard di cui sopra per tutte le commesse di sviluppo software, in cui sia chiarito che qualunque prodotto che non si conformi a standard aperti, e che non si conformi alle architetture ed ai requisiti standard definite dalla PA non potrà essere collaudato né accettato;
  • client: questa è la nota dolente: l’utente finale è estremamente refrattario ai cambiamenti; tuttavia piattaforme client non standard lasciano aperta la strada ai fornitori per lo sviluppo e la fornitura di sistemi che mantengono il lock-in del cliente; occorre pertanto fare un censimento incrociato delle applicazioni utilizzate e degli utenti che le utilizzano (non tutti usano tutto), ed iniziare a riconfigurare tutte le postazioni che non hanno requisiti particolari con postazioni basate interamente su software libero;
    mano a mano che si procede emergono le applicazioni non standard, per cui la PA dovrà appaltare l’adeguamento), ed il cosiddetto shadow software, ovverosia tutti quei programmi sviluppati autonomamente dagli utenti e dagli Uffici, in mancanza di strumenti previsti e realizzati dall’Amministrazione; per tutti questi occorrerà procedere all’adattamento a software libero (e meglio ancora all’assimilazione del software trasversalmente più utile a livello nazionale), e quindi al conseguente aggiornamento a software libero dei computer degli utenti;
  • server: pur essendo vero che per alcune applicazioni possono essere necessari prodotti commerciali specifici, ciò non è necessariamente vero per tutte le applicazioni e per tutti i contesti; molte volte viene utilizzato software proprietari (e molto costoso) dove in realtà non vengono utilizzate funzionalità specifiche, ma soltanto quelle standard (penso ad esempio al file management, o al linguaggio SQL per i database); inoltre anche per gli ambienti di sviluppo e prova è spesso possibile utilizzare software libero (penso ad esempio agli ambienti di virtualizzazione, ai sistemi operativi ed ai database).
    Esistono inoltre piattaforme di amministrazione e gestione (software libero) che consentono di amministrare e gestire in modo uniforme ambienti e piattaforme liberi e non, così da non richiedere la duplicazione di know-how, competenze e persone per la gestione dei sistemi.
  • middleware: software legacy, datato, non conforme agli standard e che presuppone l’esistenza di software non standard lato server o, peggio, lato client, deve essere rapidissimamente aggiornato o sostituito, in quanto è un anello chiave nella catena che tiene legato il cliente ai produttori di software proprietario;
  • educazione: praticamente in tutte le scuole i docenti utilizzano software proprietario (si legga, Windows e MS Office), privando gli allievi della necessaria informazione per scegliere liberamente, e costringendo i genitori a spendere soldi per acquistare qualcosa che non è necessario (e di questi tempi i soldi non piovono dal cielo …); se poi una famiglia ha più figli, le licenze per il sistema operativo e per la suite di office automation si moltiplicano ….
    I genitori stessi non sanno di avere una scelta: lo Stato deve fare informazione.
  • divulgazione: lo Stato dovrebbe provvedere all’informazione e all’educazione dei cittadini; un semplice spot della Pubblicità Progresso, anche trasmesso non frequentemente, potrebbe iniziare a far girare la voce che esistono delle alternative …

Approccio economico

L’obiettivo di questo mio post non è quello di portare a tagli sconsiderati e ad un risparmio selvaggio: in medio stat virtus, diceva Aristotele (ovviamente lo diceva in greco antico) …

Ritengo che un buon obiettivo potrebbe essere quello di mantenere una spesa di 200 milioni per il software critico o per cui non vi è un’adeguata alternativa libera (e questo include principalmente il software server side).

Dei restanti circa 500 milioni, se ne potrebbero dedicare inizialmente 200 per l’adeguamento e la normalizzazione di tutti gli applicativi non conformi al CAD, ed i 300 rimanenti potrebbero essere ripartiti con un piccolo risparmio per lo Stato (100) ed un investimento (200) in formazione del personale della PA e per la creazione di posti di lavoro per un nuovo ecosistema di persone ed aziende italiane specializzate nel supporto al software libero ed al supporto agli applicativi della PA.

A tendere (nell’arco di 3-4 anni) su può puntare ai soliti 200 milioni per software critico, 250 di risparmi per lo Stato, e 250 di investimenti nell’ecosistema del software libero e delle aziende specializzate nel supporto ed evoluzione dello stesso.

Nel suo piccolo, quest’idea porterebbe ad un risparmi di 1 miliardo di Euro ogni quattro anni, e ad un investimento analogo nella creazione di posti di lavoro.

Conclusioni

L’Italia soffre oggi di un retaggio derivante dal periodo delle ‘vacche grasse’ del boom economico, della lottizzazione politica e degli interessi particolari posti sopra a quelli dello Stato.

L’inerzia delle Istituzioni, la mancanza di competenze e la deresponsabilizzazione ad ogni livello (ed attualmente anche la pandemia Covid-19) hanno portato l’Italia ad accumulare un debito spaventoso.

Non esiste una soluzione unica che possa risolvere questo problema, ma anche un rapido intervento sul risparmio sul software potrebbe portare lo Stato a ridurre il continuo impoverimento dei cittadini mediante esportazione dei capitali, riducendo al contempo le spese, ed investendo almeno parte delle risorse recuperate nella creazione di posti di lavoro.

Riferimenti

 

“Prendiamo impegni troviamo soluzioni” – Call for solution di FORUM PA domenica 16 febbraio 2014

Posted by andy in Pubblica Amministrazione, Uncategorized.
Tags: , , , , ,
add a comment

Sono esterrefatto dal bando che è stato pubblicato da ForumPA.

Da una parte apprezzo moltissimo l’iniziativa per raccogliere idee e soluzioni da portare all’attenzione della PA.

La cosa sconvolgente è che la nostra PA da decenni fa programmi, recepisce indicazioni (a volte in forma coatta!), ma il massimo che riesce ad ‘inventare’ è la PEC.

E per tutto questo stipendiamo, da decenni, ministri e ministeri, segretari, sottosegretari, direttori generali, consulenti, specialisti …

… ma proviamo a guardare gli argomenti oggetti di invito a dare proposte:

1) PA digitale 1.1 Come dematerializzare efficacemente archivi e documenti mantenendone l’accessibilità e la corretta memoria.I produttori sono tanti, con hardware e software più o meno sofisticati e costosi; il problema è che occorre far sparire la carta nel ciclo di vita delle informazioni.L’approccio più pratico, a lungo termine, è quello di ricodificare i documenti cartacei, ogni qualvolta tornano ad essere ‘vivi’, ed oggetto di aggiornamento.Tutto il resto della carta deve essere sottoposto a scansione prima della distruzione (sempre che l’informazione abbia ancora un valore legale o storico).1.2 Come realizzare veramente lo switch-off al digitale per i più importanti processi amministrativi.Come sopra: il dato deve nascere ed esistere soltanto digitalmente; Le applicazioni digitali che sostituiscono quelle tradizionali devono essere utilizzate per ogni nuova pratica; ogni pratica nata precedentemente o viene trattata ancora secondo il vecchio processo, o viene reinserito nel circolo digitale alla prima necessità.La scelta tra i due metodi deve essere fatta in base alla previsione di quante pratiche ante-digitale dovranno in pprevisione essere trasferite al digitale, o andranno a morire su carta.1.3 Come usare le tecnologie disponibili per ridurre il numero dei datacenter pubblici incrementando sicurezza e qualità del servizio erogato.

Certamente occorre adottare standard aperti (leggi OpenStack, etc.) per evitare il lock-in della PA su un particolare fornitore di tecnologie.

Inoltre occorre proteggere i dati dei cittadini, e per questo è difficilmente accettabile l’outsourcing dei datacenter ed il delegare la gestione della sicurezza di infrastrutture così complesse.

La PA deve fare l’insourcing del know-how necessario al padroneggiare sia i datacenter che le tecnologiie di virtualizzazione che la gestione della sicurezza delle informazioni in tutto il loro ciclo di vita. È ASSOLUTAMENTE IMPENSABILE l’idea di delegare fornitori terzi (tra cui i soliti noti …) a gestire e garantire la protezione delle informazioni.

1.4 Come rendere sempre possibile ed economico lo scambio di dati e informazioni tra amministrazioni.

Open standard, open standard, ed ancora open standard.

E formati aperti pubblicati ed accessibili a qualunque fornitore.

1.5 Come gestire in forma totalmente digitale tutti i pagamenti della PA sia in entrata sia in uscita.

Come fanno tutti: accettando pagamenti elettronici, mediante home banking e carte di credito.

1.6 Come introdurre competenze e consapevolezza dell’utilizzo degli strumenti informatici nella scuola e nei programmi scolastici.

Formando i formatori: è indispensabile incentivare le scuole ed i docenti a formarsi ed acquisire le necessarie competenze, ed introdurre nel Piano dell’Offerta Formativa le appropriate competenze.

È FONDAMENTALE CHE LA SCUOLA COMPRENDA CHE LA SICUREZZA NON È TECNOLOGIA.


2) Open Government 2.1 Come favorire la partecipazione dei cittadini e la cittadinanza attiva.Raccolte digitale delle firme per la proposta di referendum abrogativi e di leggi di iniziativa popolare.2.2 Come favorire l’accesso, la divulgazione e l’uso di dati pubblici e la loro corretta interpretazione.

Pubblicazione di dati grezzi sotto licenza OpenData, ed integrazione di tali dati con quelli richiesti dal pubblico.

Estensione dei dati pubblicati dall’ISTAT.

Realizzazione di un sistema per la realizzazione di interrogazioni personalizzate da parte del pubblico.

2.3 Come favorire accountability e controllo sociale sull’operato della Pubblica Amministrazione.

(Vedi 2.2)

2.4 Come favorire la collaborazione e la partnership tra i diversi attori sociali, economici, culturali e istituzionali.

Responsabilizzazione: nel momento in cui gli onori non saranno più ‘diritti acquisiti’, ma funzione degli oneri, delle responsabilità e dei rischi, ogni persona sarà motivata a darsi obiettivi concreti ed a raggiungerli.

2.5 Come favorire la sussidiarietà orizzontale, la collaborazione e la partecipazione nel settore chiave del turismo e del corretto uso dei beni culturali e ambientali nell’ambito di un’offerta territoriale sempre più integrata per lo sviluppo sostenibile dei territori.

Condivisione delle informazioni, realizzazione di sistemi informativi unificati, libera concorrenza di mercato e soprattutto controllo dell’efficacia ed efficienza dell’utilizzo delle risorse.


3) Revisione della spesa pubblica 3.1 Come introdurre strumenti di procurement innovativo e Partnership Pubblico-Privato per la fornitura di servizi e prodotti innovativi che permettono risparmi.Valorizzare le eccellenze sul territorio, prendere a riferimento le buone pratiche delle amministrazioni locali, e prevedere incentivi per miglioramenti rispetto ai parametri di riferimento.

Eliminare ogni requisito che possa portare al vendor lock-in.

Lasciare alle PA locali ogni margine conseguito rispetto ai parametri presi a riferimento.

3.2 Come gestire meglio il patrimonio immobiliare pubblico aumentandone l’efficienza e la sostenibilità ambientale

pubblicazione dei valori di mercato per prezzi ed affitti, e dei valori attuali dei prezzi di vendita e di affitto.

Utilizzo di revisori esterni che valutino la correttezza delle valutazioni e dell’operato dei pubblici amministratori.

Ovviamente, licenziamento dalla PA di qualsiasi dipendente che abbia perseguito interessi personali nello svolgimento dei propri incarichi.

3.3 Come rendere più efficienti i servizi pubblici locali a rete.

Centralizzazione dei workflow con pubblicazione delle interfacce per agganciarsi ai sistemi informativi della PA, in modo da poter fornire ai cittadini ed alle imprese dei servizi informatizzati di base a cui agganciare il proprio business.

3.4 Come combattere l’evasione e l’elusione dei tributi locali.

Non ammettere alle gare per le forniture pubbliche ogni azienda che abbia, a qualsiasi livello della proprietà, società in paradisi fiscali od assimilati.

Pubblicazione on-line di ogni gara, di ogni aggiudicatario e dei verbali di aggiudicazione.

Pubblicazione on-line dei parametri di qualità di ogni fornitore e di ogni commessa, in modo che il cittadino possa verificare quanto la qualità erogata dai fornitori sia all’altezza dei requisiti; inoltre, pubblicazione on-line dei livelli di servizio, del loro raggiungimento e dell’effettiva applicazione delle penali contrattuali.

3.5 Come ottenere risparmi con l’introduzione della identità digitale unificata e dell’anagrafe nazionale della popolazione residente.

Cos’è? Una tautologia? I risparmi si conseguono <<con l’introduzione della identità digitale unificata e dell’anagrafe nazionale della popolazione residente>>.

Unificare la carta d’identità, il codice fiscale, la tessera sanitaria, la patente, la tessera dei mezzi pubblici, etc. etc. etc. porta ad economie di scala nella quantità di supporti (tessere) da gestire, nella quantità di sistemi preposti alla gestione dell’anagrafe, e nella quantità di persone da adibire alla gestione delle identità.

Inoltre sparirebbero i problemi legati all’allineamento e sincronizzazione delle basi dati e al disallinamento dei dati.

3.6 Come usare l’innovazione istituzionale, organizzativa e tecnologica per un welfare e una sanità sostenibile.

In parte, vedi 3.1.


4) Sviluppo del tessuto produttivo locale 4.1 Come favorire lo sviluppo di un’imprenditoria moderna e innovativa fondata su la collaborazione e le reti di impresa.

La PA deve mettere a disposizione dell’impresa tutti i servizi di supporto alla gestione del rapporto con la PA: contabilità, amministrazione, burocrazia, gestione del bilancio, incasso crediti e pagamento delle imposte, notifica e gestione delle scadenze, ed indicazione dei contatti per ogni esigenza e pratica non standard.

Ciò include anche l’apertura e chiusura delle imprese, e la gestione dell’assetto societario completamente on-line, grazie all’identità digitale del cittadino.

Quanto sopra porterebbe ad una drastica riduzione dei costi per tutti i consulenti e professionisti che le imprese sono costrette a pagare per mediare il proprio rapporto con la PA.

4.2 Come promuovere l’internazionalizzazione delle imprese.

La PA deve divenire proattiva nei confronti delle imprese, segnalando ogni opportunità, agevolazione ed incentivazione, semplificando l’accesso alle pratiche ed al disbrigo della burocrazia.

4.3 Come favorire la digitalizzazione delle PMI attraverso la formazione delle competenze digitali.

Riduzione di tributi ed imposte per tutte le aziende che stabiliscono un rapporto digitale con la PA, che a loro volta ridurrebbero i costi di gestione per la PA stessa.

4.4 Come ridurre effettivamente gli oneri burocratici per le imprese attraverso la semplificazione degli adempimenti amministrativi.

Vedi 4.1 e 4.3.

Business Continuity e Disaster Recovery nella PA sabato 30 novembre 2013

Posted by andy in Business Continuity, Pubblica Amministrazione.
Tags: , , , , ,
1 comment so far

Il 18 novembre scorso l’Agenzia per l’Italia Digitale (DigitPA) ha pubblicato una serie di indicazioni sulla continuità operativa dei propri processi di business.

Colgo l’occasione per fare qualche considerazione che, ahimé, vedo che sfgge ai più, e tutto sommato credo anche alla DigitPA: pur accennando che “La sfera di interesse della continuità operativa va oltre il solo ambito informatico, interessando l’intera funzionalità di un’organizzazione”, si concentra essenzialmente sui soli aspetti informatici.

Inoltre produce una quantità di documenti, modelli e procedure che vanno ampiamente al di là delle competenze e delle disponibilità di tempo e di risorse degli enti coinvolti e dei relativi referenti.

La scadenza prefissata di 15 mesi dall’emissione del decreto è stata ampiamente superata senza che le PA possano garantire ai cittadini una reale continuità dei propri servizi.

Come ai tempi del DPS ci si concentrava sulla sicurezza delle informazioni limitandosi soltanto all’aspetto informatico, oggi si pensa alla continuità operativa (ed al disaster recovery come suo processo di supporto) limitandosi agli aspetti informatici.

Certamente al giorno d’oggi non è possibile pensare alla continuità operativa di qualunque processo o servizio pubblico senza includere come elemento essenziale l’IT (altrettanto vale, naturalmente, per la sicurezza delle informazioni).

Tuttavia noto che ci sta concentrando da anni praticamente esclusivamente sull’IT, dimenticando che questo è soltanto uno strumento di supporto ai processi di business.

Purtroppo si progettano sistemi ed architetture a prova di qualsiasi cosa, senza considerare che, in caso di disastro, l’unica cosa che rimarrebbe in piedi sarebbe probabilmente proprio l’IT.

Certamente ci si dimentica che i disastri possono essere anche non distruttivi, ma biologici: un’importante epidemia di influenza potrebbe mettere in ginocchio molti processi di business, così come potrebbero farlo seri rischi di attentato.

Ogni tanto provo a chiedere cosa accadrebbe un qualunque lunedì mattina se durante il week-end il palazzo di Giustizia dovesse crollare, o semplicemente divenire completamente inagibile per una qualsiasi ragione (rischio epidemico, rischio bomba, o altro).

Tutto il personale operativo non potrebbe accedere ai propri uffici ed alle proprie postazioni di lavoro; ci si troverebbe quindi nella situazione in cui l’informatica sarebbe perfettamente efficiente, ma non potrebbe essere utilizzata da nessuno.

E nel frattempo ci si troverebbe con code di cittadini ed avvocati che attandono le proprie udienze, persone che attendono di essere scarcerate entro i termini di legge, ed altre per cui devono essere convalidati per tempo i relativi fermi, pena la loro liberazione.
Altre persone potrebbero avere la necessità di ottenere certificati per poter essere assunti, o per convalidare un permesso di soggiorno.

Cosa accadrebbe in caso di indisponibilità degli uffici del Comune, della Regione, e così via?

Già un giorno di chiusura potrebbe procurare danni seri, ma se invece di un giorno si dovesse trattare di una o più settimane, il disastro sarebbe probabilmene irreparabile.

In sostanza, nessuno pensa alla continuità operativa legata al processo, una continuità che potrebbe essere assicurata anche con semplici ed economici accordi con altri enti pubbliici (ad esempio, quelli del Comune), e con i Vigili Urbani, per informare ed instradare gli utenti verso le nuove modalità operative.

Troppo spesso manca purtroppo una visione d’insieme, e si lascia l’onere di gestire la continuità ai responsabili dei vari servizi, che per forza di cose hanno visibilità soltanto sulle aree di propria competenza.

Tra le cause occorre certamente annoverare:

  • la mancanza di una visione d’insieme da parte delle istituzioni, che non affrontando concretamente il problema, non riescono a fare sistema, sfruttando le opportunità di collaborazione tra i diversi enti;
  • la mancanza di risorse specifiche per la progettazione e la gestione dei piani di continuità (occorrono dei professionisti del settore, e non la buona volontà dei referenti che si rimboccano le maniche per imparare una materia che esula completamente dai propri compiti istituzionali);
  • la mancanza di risorse da dedicare alla formazione del personale, per la gestione, manutenzione e prova dei piani di continuità;
  • l’eccesso di risorse destinate all’IT, dimenticando che l’IT è soltanto uno degli strumenti di supporto ai processi di business, e non l’unico.

 

 

Quanto siamo affezionati al bollino sulla patente martedì 26 marzo 2013

Posted by andy in Miglioramento, Pubblica Amministrazione.
add a comment

Circa 30 anni fa conobbi dei trasportatori turchi, e non ricordo come finimmo con il parlare delle patenti di guida (forse, tanto per ridere, per vedere come eravamo stati ritratti nelle diverse foto tessera).

Io mostrai la mia: la cara vecchia patente color rosa, coperta di bolli di rinnovo e di tasse di concessione.

Vidi nei loro occhi una strana luce: mi stavano guardando come se fossi un uomo di Neanderthal …

E poi capii, quando mi mostrarono la loro patente: era di plastica, ed aveva tutto l’aspetto di una carta di credito.

Siamo nel 2013, e pare che da quest’anno diverrà obbligatoria la ‘patente europea’ (ovverosia la tessera di plastica in formato carta di credito), e quindi anche quelle storiche di carta telata rosa dovranno essere sostituite.

‘Finalmente stiamo passando dal medioevo all’era moderna!’, ho pensato.

Niente più ‘bolli’ da appiccicare!

E invece no! L’italiano non può vivere senza carta e bolli!

Non ci credete? Ebbene, sulla nuova patente europea, il rinnovo periodico viene attestato dall’apposizione di un bollino sul retro della patente!

Se non vivessi qui e mi raccontassero una cosa del genere, penserei certamente ad uno scherzo!

Comunque sul certificato medico di rinnovo della patente ci sono:

  • N. 5 timbri, di varia foggia,
  • N. 2 firme
  • N. 1 marca da bollo
  • N. 1 fototessera (OK, questa può servire sul serio!)

 

Il nuovo CAD e la continuità operativa: un nuovo DPS? giovedì 21 febbraio 2013

Posted by andy in Business Continuity, Pubblica Amministrazione.
add a comment

Il 22 Dicembre 2010 è stato definitivamente approvato il nuovo CAD (Codice per l’Amministrazione Digitale).

Oltre ai tanti obiettivi di qualità, efficienza e riduzione dei costi, all’art. 50 bis il testo prevede l’obbligo per tutti gli enti e le strutture della PA di dotarsi. entro 15 mesi, di un piano di continuità operativa e di uno per il disaster recovery.

I 15 mesi stanno per scadere, e ci si viene a trovare in una situazione analoga a quella in cui scattò l’obbligo della redazione del DPS (Documento Programmatico sulla Sicurezza), previsto dal D.Lgs. 196/2003, e obbligatorio a decorrere dal 31 Marzo 2006.

Seppur con meno fibrillazione della precedente scadenza per il DPS, qualcosa inizia a muoversi; proverò a fare il punto su quali siano realmente le implicazioni dell’art. 50 bis ed a scattare una fotografia sui diversi approcci emergenti, così da consentire a chi non avesse provato ad analizzare la situazione da vari punti di vista possa collocare l’approccio adottato e valutare le alternative.

Focalizziamoci in primo luogo su quali siano realmente gli obblighi: le pubbliche amministrazioni devono definire:

a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;

b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.

Venendo ora ai principali approcci che riscontro, i più rilevanti appaiono essere i seguenti:

  1. l’ufficio non fa nulla, per la mancanza di risorse;
  2. l’ufficio prova ad analizzare realmente quali siano i punti su cui può intervenire.
  3. l’ufficio si affida ai fornitori, che garantiscono la compliance normativa attraverso la semplice adozione di soluzioni commerciali hardware e/o software.

L’approccio 1. può essere comprensibile: in effetti con i continui tagli alle risorse degli ultimi anni, e con quelli che prevedibilmente continueranno ad arrivare, gli uffici si trovano spesso talmente oberati di lavoro che non risulta fattibile distogliere risorse dai propri incarichi per affrontare, gestire e portare a compimento un progetto di questo tipo. In effetti, qualsiasi progetto non può ragionevolmente essere avviato senza la preventiva assegnazione di adeguate risorse.

Approccio 2: è l’ideale; si affronta oggettivamente il problema, si effettua una spassionata analisi dei rischi, e sulla base delle priorità e delle disponibilità si definisce un piano per gli interventi possibili;

L’approccio 3 è il più pericoloso: l’obiettivo passa dall’interesse della PA all’interesse del fornitore, che tende a massimizzare il proprio ritorno riducendo i costi e massimizzare i margini; a seconda dei casi, al cliente verranno proposte soluzioni che saranno un mix di consulenze, hardware e software.

Ovviamente niente è mai così semplice e definito, e le situazioni reali fanno spesso un mix dei vari approcci, fondendo i vari approcci, in base alle capacità e disponibilità dei referenti degli uffici, e dalla capacità ed insistenza dei fornitori.

Dopo tutto questo preambolo, doveroso per scattare una foto di quella che appare essere la realtà, desidero dedicare qualche parola anche alla sostanza.

Per farlo, focalizziamoci sugli obiettivi imposti dal CAD: un piano di continuità operativa, ed un piano di disaster recovery.

L’IT al giorno d’oggi è di fatto il fondamento di ogni processo operativo, e viene quindi naturale pensare che i termini ‘continuità’ e ‘disaster recovery’ vengano immediatamente associate ai sistemi informativi.

Questo è un grave errore, perché ci porta a dimenticare che l’IT non è il fine, ma il mezzo.

I sistemi, il software, la connettività non sono ciò che dobbiamo proteggere, ma strumenti a supporto dei processi che dobbiamo proteggere.

Prendendo ad esempio un qualunque edificio pubblico, come il palazzo del Comune, o quello di Giustizia, cosa accadrebbe se un terremoto che occorresse la Domenica notte ne compromettesse gravemente la struttura?

Ci si troverebbe alle 8 del Lunedì mattina con tutti gli utenti che si assiepano fuori dal palazzo, con le proprie esigenze, i propri certificati da richiedere, i propri atti da registrare, e nessun ufficio aperto, nessun sistema accessibile.

Certamente i sistemi informativi saranno stati realizzati a regola d’arte; i computer continueranno a funzionare, nel palazzo o in un’altra sede predisposta per il disaster recovery.

Ma i dipendenti dell’ufficio non sapranno cosa fare, dove sedersi, su quale tastiera mettere le mani.

È inverno, e fà piuttosto freddo; la folla all’esterno inizia a rumoreggiare; gli anziani sono già in coda dalla primissima mattina.

Inizia ad arrivare qualche vigile urbano, che non sa cosa fare, o cosa dire, se non che non è possibile accedere ai locali dell’edificio per motivi di sicurezza.

Qualcuno si è preso una giornata di permesso dal lavoro per richiedere un certificato, e senza una tempestiva ordinanza qualche condannato verrà rimesso in libertà per decorrenza dei termini di custodia cautelare.

Passa mezza giornata, e nulla è cambiato; qualche dirigente cerca di organizzarsi come può, ma non sà dove e come allestire le decine o centinaia di postazioni di lavoro per i propri dipendenti, per poter continuare a fornire il servizio dovuto ai cittadini.

Eppure i server e le applicazioni funzionano e i dati ci sono: una perfetta configurazione di disaster recovery, costata tanto hardware, software, consulenze, tempo uomo per l’installazione, le prove ed i collaudi …

E la morale qual’è? Che la continuità operativa, così come la sicurezza, non è uno ‘stato’, ma un processo, ed un processo, per essere tale, deve esistere nel tempo.

Probabilmente per l’emissione di molti certificati sarebbe stato sufficiente predisporre un piano per trasferire temporaneamente il personale presso gli uffici periferici, attivando una connessione ad hoc verso i server, ed informare i vigili urbani sulle informazioni da dare ai cittadini che si fosser presentati agli ingressi del palazzo; anche un comunicato stampa via Internet ed alle televisioni locali e regionali avrebbero potuto essere d’aiuto.

Il numero degli scenari che si possono verificare è naturalmente limitato soltanto dalla fantasia.

Tuttavia, per quanto si possa spendere in tecnologia, il giorno che accade qualcosa di anomalo, è estremamente improbabile che questa consenta di affrontare i problemi, se non è parte di un piano coordinato in cui tutte le persone coinvolte sanno come comportarsi.

Dedico anche qualche riga a tutti quei software progettati per aiutare le organizzazioni ad effettuare le proprie analisi dei rischi e a definire i propri piani di continuità e di recovery.

Si tratta di software veramente notevoli, che più sono completi ed evoluti e più costano.

Tali software hanno tuttavia alcuni difetti:

  • per essere utilizzati correttamente necessitano di specialisti ben preparati;
  • per fornire risultati realistici ed attendibili devono essere compilati in modo puntuale ed esaustivo;
  • devono essere tenuti continuamente aggiornati a fronte di qualsiasi variazione;

Purtroppo gli specialisti sono in generale molto bravi ad utilizzare il software, ma non hanno la minima idea di quali siano i reali rischi che l’organizzazione corre, ed i risultati che emergono sono spesso in conflitto con ciò che il buon senso e l’esperienza indica come prioritario.

In pratica, il miglior compromesso per le PMI e per le organizzazioni anche grandi ma poco mature nella gestione dei propri rischi è quello di avere il supporto di uno specialista che faciliti il percorso di maturazione del processo della gestione della continuità operativa, da cui poi, con il tempo, può derivare naturalmente l’acquisto di software di supporto e di tecnologia per ridurre i costi di ripristino in caso di eventi anomali.