Gestire lo sviluppo in sicurezza (da http://innovazione.cnipa.gov.it/)

Il presente articolo è stato pubblicato da InnovAzione (CNIPA Innovazione, periodico a cura del CNIPA Centro Nazionale Per l'Informatica nella P.A.), anno 5 numero 4 - Luglio 2007, con licenza Creative Commons di tipo Attribuzione - Non opere derivate 2.5. L’originale è disponibile qui.

Gestire lo sviluppo in sicurezza

"Razionalizzazione delle infrastrutture significa consolidare in un numero limitato di sedi l’insieme della potenza elaborativa necessaria, costruendo centri caratterizzati da superiore robustezza fisica, tecnologica e organizzativa, e nello stesso tempo capaci di condurre ad elevate economie di scala". Questa relazione ha evidenziato che l’utilizzo delle ICT è ormai molto diffuso nella pubblica amministrazione. I sistemi informatici costituiscono quotidianamente la base insostituibile dell’operatività corrente in tutti i settori, dalla fiscalità all’istruzione, dai trasporti all’economia, dalla salute alla sicurezza, alla giustizia. I servizi ai cittadini e alle imprese erogati dalle amministrazioni centrali e da quelle territoriali cominciano a rendere la pubblica amministrazione più efficiente, più trasparente, più vicina ai cittadini. Le reti di interconnessione fanno comunicare tra loro gli uffici pubblici e stanno consentendo la trasformazione della pubblica amministrazione in un’amministrazione digitale interattiva.
Lo sviluppo di questi sistemi è stato caratterizzato negli anni da approcci differenti, generalmente autonomi nelle scelte e nelle modalità di realizzazione. Ogni amministrazione, talvolta ogni settore o ogni dipartimento, ha privilegiato la ricerca di una risposta, quale che sia, alle pressanti esigenze di miglioramento rispetto alla necessità di una visione prospettica. È stato uno sviluppo addirittura impetuoso, almeno in alcune fasi, che ha costruito molti sistemi, non mettendo però in atto, se non in casi molto specifici, i necessari elementi di robustezza e stabilità.
Da questo panorama, così variegato, scaturisce la necessità di una riflessione a tutto campo sulla affidabilità complessiva del sistema informatico pubblico, un sistema di cui non si può fare più a meno e che, anzi, rappresenta il principale strumento abilitante per l'ammodernamento della pubblica amministrazione e, quindi, per lo sviluppo del Paese.
Il censimento dei sistemi elaborativi dell'amministrazione centrale, ricordato prima, evidenzia la presenza di 1.033 differenti Centri di Elaborazione Dati, con 31 mainframe e 9.600 server applicativi, che occupano uno spazio di 60.000 mq - l’equivalente di 10 campi di calcio - che richiedono l’impiego di 7.300 addetti al presidio e che costano 450 milioni di euro all’anno.
Come è intuitivo, questi centri di calcolo presentano situazioni molto diverse e spesso carenti in termini di qualità ed economicità di gestione, sicurezza, resilienza rispetto a malfunzionamenti o eventi disastrosi.
Si tratta, in buona sostanza, di una situazione che presenta dei rischi, di cui è opportuno avere piena coscienza per poterli affrontare e risolvere. Occorre “mettere in sicurezza” il sistema informatico pubblico italiano.
Quando si dice "mettere in sicurezza" il sistema informatico pubblico italiano, bisogna chiarire che gli aspetti da considerare sono molteplici e vanno dalla razionalizzazione delle infrastrutture di calcolo, alla gestione sicura e consapevole dei dati, alla qualificazione del personale preposto, alla gestione operativa delle applicazioni, alla continuità di servizio e alla sua qualità, alla stabilità dei finanziamenti per le infrastrutture comuni.
Razionalizzazione delle infrastrutture significa consolidare in un numero limitato di sedi l’insieme della potenza elaborativa necessaria, costruendo centri caratterizzati da superiore robustezza fisica, tecnologica e organizzativa, e nello stesso tempo capaci di condurre ad elevate economie di scala.
Gestione sicura e consapevole dei dati significa eliminare ogni duplicazione e ridondanza, individuare soggetti responsabili dei dati, attivare procedure che garantiscano correttezza e aggiornamento continuo, assicurare la disponibilità e la diffusione tempestiva dei dati a tutti gli aventi diritto, evitare ogni utilizzo indebito.
Qualificazione del personale preposto significa assicurare la necessaria formazione tecnica, organizzativa e manageriale per poter gestire consapevolmente ad ogni livello progetti ed attività complesse, nonché l’interlocuzione con clienti e fornitori. Gestione operativa delle applicazioni, con garanzia di continuità di servizio e qualità, significa progettare e rendere operative tutte le misure, tecniche e organizzative, necessarie ad assicurare affidabilità e sicurezza, sia a livello di gestione dei sistemi, sia nel loro utilizzo, a partire dall’effettiva generalizzazione dell’accesso sicuro tramite uno strumento di identificazione.
Stabilità dei finanziamenti per le infrastrutture comuni significa disporre di fondi certi e pluriennali, capaci di rispondere alle esigenze di stabilità organizzativa e finanziaria di medio-lungo periodo, indispensabile a gestire progetti, contratti e innovazioni di ampio respiro, inevitabilmente pluriennali. Non è certo garantita la continuità, quando diventa necessario ricercare ogni anno la copertura finanziaria per il funzionamento di infrastrutture comuni su cui poggia l’intero sistema.
Per costruire un sistema informatico pubblico con un adeguato grado di sicurezza, continuità e affidabilità è necessario che questo approccio, queste misure e queste azioni siano fatte proprie e messe in atto da tutte le amministrazioni pubbliche. L’interconnessione e la cooperazione tra i vari sistemi, e quindi la loro interdipendenza, rende necessario superare l’attuale situazione in cui ogni amministrazione opera in maniera differenziata, e con diversa intensità, su questi temi. A tutte le amministrazioni va dato un ampio sostegno lungo questo cammino da chi ha la capacità, la professionalità e la competenza per farlo. Il CNIPA lo ha sempre fatto ed è pronto a farlo in futuro.
È anche indispensabile accentuare la verifica sull’effettiva progressiva messa in opera delle soluzioni necessarie. È necessario costruire un quadro di regole cogenti, valide per tutti i soggetti pubblici, e avere la possibilità di verificare che ognuno si adegui ad esse. Occorre inoltre poter intervenire in sussidiarietà in tutte le situazioni che presentino particolari aspetti critici.
È una sfida ambiziosa, difficile e che richiede tempi certo non brevi per essere vinta. Ma si può vincere. Ne è una riprova la diversa situazione delle reti, settore ove si è agito con chiarezza di obbiettivi condivisi, coordinamento delle azioni, rigorosa pianificazione. La rete unitaria ha normalizzato l’architettura dei sistemi di telecomunicazione e tenuto sotto controllo i costi, con un risparmio di circa il 50% sui canoni per la sola connettività nel periodo di esercizio. Il passaggio al Sistema Pubblico di Connettività porta a uno sviluppo ancora più organico, a una reale concorrenza fra i provider, alla realizzazione di sistemi di interoperabilità e cooperazione applicativa di assoluta avanguardia, alla disponibilità di servizi integrati con rilevanti risparmi per le amministrazioni.
La questione che viene posta è di grande rilevanza istituzionale. È necessaria un’assunzione di responsabilità complessiva nell’interesse primario della pubblica amministrazione e quindi del Paese.

Articoli collegati

Link

AG-Vocabolario: