jump to navigation

La sicurezza nello sviluppo SW: come incentivarla giovedì 31 marzo 2011

Posted by andy in Information Security, Miglioramento.
Tags: , , , ,
add a comment

Sempre più spesso leggo notizie in cui emergono incidenti (informatici, naturalmente!) derivanti da software sviluppato con pochi, o nulli, criteri di sicurezza.

Le lamentele vanno sempre in varie direzioni: i programmatori che pensano a tutto tranne che alla sicurezza, i project manager incapaci, le aziende che tagliano selvaggiamente su tutto, in primis sulla sicurezza …

Insomma, comanda il Time To Market ed il ribasso selvaggio …

Giusto o sbagliato che sia, il mercato attuale è così: il cliente non sa nulla di sicurezza, non è capace di valutare e confrontare le offerte, e peggio ancora non è capace di valutare i possibili danni derivanti da ‘incidenti informatici’.

E visto che ‘occhio non vede, cuore non duole’, si risparmia su tutto ciò che non si vede o non si conosce.

Ma il problema non è dei programmatori, o dei project manager.

Il problema è quello ribadito mille volte in mille articoli e blog diversi: pay peanuts, get monkeys.

Quello che manca è un ‘rating’ delle società che sviluppano software e, perché no? anche dei programmatori free lance.

Occorre introdurre nel mercato un meccanismo che dia visibilità ai clienti del fatto che lo sviluppo SW tenga conto o meno della sicurezza, e quanto.

Senza imbarcarsi in certificazioni di terza parte, che sono costose, ed in qualche misura si possono aggirare.

Varrebbe la pena predisporre una check-list dei principali aspetti della gestione della sicurezza nello sviluppo SW, di cui i clienti potrebbero richiedere la compilazione ai fornitori, che sarebbero così tenuti ad ufficializzare quali ‘controlli’ (nell’accezione inglese) implementano nel proprio processo di produzione SW.
I clienti potrebbero così confrontare i fornitori, e potrebbero paragonare i prezzi offerti in relazione alla sicurezza offerta.

Inoltre, in caso di incidente, il cliente potrebbe richiedere o meno la correzione dell’errore in relazione al fatto che il fornitore abbia o meno dichiarato i relativi controlli.

E a guardare più lontano, si potrebbe anche pensare di coinvolgere le assicurazioni, per la riduzione dei premi (ove applicabile).

Insomma, perché non puntare sullo scarico delle responsabilità? Se paghi per la sicurezza, hai diritto alla risoluzione dei problemi di sicurezza, altrimenti no.

Annunci

Opportunità per la riduzione degli sprechi nella PA mercoledì 10 settembre 2008

Posted by andy in Miglioramento.
Tags: , , , , ,
add a comment

Occupandomi di Qualità ed ottimizzazione di processo per un’azienda che opera come fornitrice di servizi ICT per la Pubblica Amministrazione, mi sono messo per curiosità a fare quattro conti sui risparmi che si potrebbero ottenere adottando delle semplici politiche di risparmio energetico presso un edificio della PA di Milano, con alcune migliaia di PC.

Utilizzando parametri pessimistici, è emerso un possibile risparmio per il solo utilizzo di PC che varia dai 500.000 ai 2.500.000 Euro all’anno.

Il valore dei 500.000 Euro corrisponde al caso migliore (quello in cui gli utenti già stanno molto attenti al risparmio energetico), mentre quello dei 2.500.000 corrisponde al caso in cui nessun utente presti attenzione ai propri consumi.

Ritengo più che probabile che sia più che realistico un possibile risparmio di 1.000.000 Euro / anno.

Ora, con tutti questi soldi si potrebbe aggiornare il parco macchine più obsoleto, conseguendo un ulteriore risparmio energetico dovuto all’hardware di nuova generazione.

E fin qui tutto bene.

Ho quindi sottoposto la questione al referente per l’Informatica per tali uffici, che ha apprezzato l’idea, ma che mi ha spiegato perché è sostanzialmente irrealizzabile.

La situazione è infatti la seguente: la bolletta della corrente viene pagata non dall’ente ospitato nel palazzo, ma dal Comune di Milano, che a sua volta gira i costi al Ministero, dal quale viene riconosciuto un rimborso dell’80%.

In pratica, qualunque soluzione venisse adottata per ridurre, anche drasticamente, i costi, non darebbe margini di manovra all’ente ospitato, in quanto l’energia non è una voce del proprio budget.
Qualsiasi proposta al Comune non solleverebbe particolare interesse, in quanto il delta di interesse sarebbe soltanto il 20% sull’effettivo risparmio, ed il Ministero che sostiene i costi non prevede incentivi al risparmio.

In pratica nessuno ha un concreto interesse a diminuire tali costi.

Purtroppo la bolletta della corrente consumata da questo palazzo fa il giro d’Italia, passando di ufficio in ufficio, senza che qualcuno possa trarre qualche beneficio da un eventuale risparmio (cosa che motiverebbe ad intervenire in qualche modo).

E da quanto sopra, alcune idee per incentivare il risparmio:
la PA potrebbe offrire come extra budget ad ogni ente il 50% del risparmio conseguito su ogni voce.
Tale budget potrebbe essere utilizzato in parte (il 5%?) come bonus per i promotori delle soluzioni di risparmio, ed il resto per ulteriori interventi orientati al risparmio energetico, alla sicurezza degli ambienti ed al miglioramento del servizio e delle infrastrutture in generale.

Si pone ovviamente una condizione di responsabilità: i bonus accordati devono essere corrisposti a distanza di qualche anno dal conseguimento del risparmio, in modo che possano essere revocati nel caso in cui le scelte effettuate non siano valide (o addirittura penalizzanti) a breve o lungo termine (è troppo facile tagliare selvaggiamente per incassare gli incentivi, per poi creare situazioni di peggior disservizio).

Tenendo conto della quantità di uffici presenti in Italia, ed estendendo l’approccio ad altri capitoli di spesa, ritengo che i numeri possano diventare molto interessanti.