BC-DR

           

   INGEGNERIA DELLA BUSINESS CONTINUITY E DEL DISASTER RECOVERY

                                                                      di

                                                            Sergio De Falco

Il testo trae origine dalla lunga attività professionale dell’autore nel campo dell’ingegneria dell’ICT, arricchita dalla concomitante esperienza accademica di docente del corso di “gestione delle tecnologie informatiche nelle imprese”.  Esso è pensato innanzitutto per i progettisti di sistemi informatici, ma può essere di utilità anche ai manager, agli imprenditori ed agli studenti che intendono meglio comprendere gli aspetti legati alla regolarità di esercizio degli impianti informatici e telematici. L‘argomento è esclusivamente quello della progettazione della Business Continuity e del Disaster Recovery e non quello della progettazione in generale, i cui principi e modalità tecniche si intendono per noti e propedeutici a quanto nel presente testo illustrato. L’approccio è di tipo deterministico e non di tipo empirico, come di fatto nella pratica quotidiana quasi sempre avviene. È prassi molto diffusa infatti da parte dei progettisti di sistemi informatici, curare con attenzione i soli aspetti architetturali, limitandosi viceversa a dimensionare i componenti strutturali del Sistema esclusivamente sulla base della propria esperienza, sulla base di quanto proposto dai vendors, sulla base del budget messo a disposizione dal committente. Ora, se questo è accettabile nel caso dei piccoli sistemi informativi, o comunque dei sistemi che non richiedono elevati requisiti di continuità di esercizio, non è così nel caso di grandi sistemi mission-critical, dove l’approccio deterministico basato su procedure di calcolo precise è assolutamente indispensabile.

           PUO’ ESSERE ACQUISTATO ESCLUSIVAMENTE ON LINE ACCEDENDO AL SITO

                                                             www.ilmiolibro.it

Commenta oppure leggi i commenti.

LIT

LIT è una soluzione di virtualizzazione dell’infrastruttura IT aziendale

Cicca qui per l’articolo completo.

Commenta oppure leggi i commenti.

La fragilità digitale come pericolosità sociale

Sergio de Falco

BUSINESS CONTINUITY
la fragilità
dei sistemi informativi aziendali
come pericolosità sociale

QUADERNI D’INFORMATICA – n° 2

Proprietà letteraria riservata di Sergio de Falco
È vietata ogni riproduzione non autorizzata, anche parziale e con qualsiasi mezzo.

sergiodefalco@fastwebnet.it

Finito di stampare nel mese di aprile 2016
presso la tipografia digitale Piukestampa srl – Napoli

Abstract

Il saggio si propone di indagare la “pericolosità sociale” dei sistemi informativi aziendali, esclusivamente in relazione alle loro eventuali irregolarità di servizio(discontinuità operativa). Non rientra pertanto nella presente analisi la “pericolosità sociale” dovuta ad altre cause, quali ad esempio la violazione dei dati da parte di hackers, il cattivo uso delle informazioni, la pervasività e perniciosità di internet, il cyberbullismo, le azioni di intelligence illegale da parte di istituzioni private o governative, l’attività di organizzazioni criminali,etc. Cause queste, che pur importantissime e di enorme portata e valenza, non vengono prese qui in esame m rinviate ad altro momento di indagine.
Vengono preliminarmente date le definizioni di “continuità operativa aziendale” , di “fragilità digitale” , di “pericolosità in generale” e di ” pericolosità sociale”. Si spiega perchè la “discontinuità operativa” comporta “pericolosità sociale”.
Vengono riportati alcuni esempi di casi reali dove appare evidente la pericolosità sociale conseguente a situazioni di accentuata discontinuità operativa. Si accenna alle più importanti normative nazionali e sovranazionali volte a limitare, per quanto possibile, i fenomeni di tale discontinuità digitale.
Si pone in luce come l’immunità totale dei sistemi informativi aziendali non è un obbiettivo concretamente raggiungibile e che tale rischio, comunque sempre presente, va evidenziato preliminarmente all’utenza in termini di indice di probabilità.
Vengono evidenziati in considerazione della illustrata pericolosità sociale, anche i risvolti etici della progettazione dei sistemi informativi, non meno importanti di quelli tecnici ed economici.
Si accenna infine al nuovo scenario dell’Internet of Things, crescente ad un ritmo tumultuosa, ed al suo impatto sulla pericolosità sociale di cui si è trattato.
Lo studio è rivolto in special modo ai politici, agli amministratori pubblici, agli imprenditori, ai capi d’azienda, ai manager, ai docenti di discipline sociali e tecnologiche, per la responsabilità che tutti questi soggetti hanno nei confronti di tale problematica, nell’ambito dei loro rispettivi ruoli: politici, professionali, accademici.

INDICE

I.
continuità operativa aziendale e fragilità digitale
II.
definizione di pericolosità sociale
III.
alcuni casi reali esemplificativi
IV.
normative nazionali ed internazionali in materia di
business continuity
V.
irraggiungibilità dell’immunità totale
VI.
risvolti etici della progettazione dei sistemi informativi
VII.
un nuovo scenario dal grande impatto pratico:
IoT – Internet of Things

Conclusioni

I. Continuità operativa aziendale e fragilità digitale

La “continuità operativa aziendale”, o “business continuity” , sta ad indicare l’assenza o comunque la scarsità di interruzioni di funzionamento del sistema informativo di un’azienda, di un ente, di una istituzione, e più in generale di una qualsivoglia organizzazione, privata o pubblica, piccola media o grande che sia.

Essa significa anche ed inoltre, piena integrità dei dati gestiti. Affinchè il funzionamento del sistema informativo sia “continuo” occorre infatti non solo che esso non soffra di interruzioni significative , ma anche che i suoi dati non vengano distrutti, alterati o sottratti. Per inciso, può essere interessante ricordare che una recente indagine di un istituto di ricerca statunitense ha messo in luce che delle imprese che hanno subito pesanti perdite di dati, circa il 43% non ha ripreso l’attività, il 51% ha chiuso entro due anni e solo il 6% è riuscita a sopravvivere nel lungo termine.

Strettamente legato al concetto di “continuità operativa” è quello di “fragilità digitale” , e cioè del fatto che per quanto ci si adoperi a realizzare la massima business continuity mediante sistemi informativi robusti e sicuri, ben progettati, ben realizzati e ben gestiti, non si potrà mai essere certi al 100% che tali sistemi, sia perchè oggetti di attacchi esterni sia perchè affetti da disfunzioni interne, non presentino delle falle più o meno gravi tali da bloccarli in tutto o in parte o tali da comprometterne i suoi dati.

Fragilità che può essere dovuta a varie e differenti cause:
-assenza o inadeguatezza dei sistemi di protezione para-ict (impianti di continuità elettrica, impianti di climatizzazione, impianti anti-incendio, impianti anti-allagamento, impianti anti-furto ed antintrusione, strutture anti-sismiche, vigilanza fisica, etc)

-assenza o inadeguatezza dei sistemi di protezione ICT(Antivirus, Firewall, Appliance IDPS-Intrusion Detection and Prevention Systems, etc)

-carente infrastruttura hardware-software

-cattiva organizzazione aziendale

-azioni legali o giudiziarie(software senza licenza, attività aziendali illegali collegate al sistema informativo,etc)

-problematiche finanziarie(mancati investimenti, insolvenza nei confronti di terzi

-contesto territoriale(aree geografiche mal servite da vie di comunicazione, da reti di trasmissione dati, da reti di alimentazione elettrica,etc)

-atti di terrorismo(attualmente in misura sempre crescente)

-fattori umani(scarsa sensibilità del management agli aspetti della sicurezza informatica, scarsa competenza professionale del personale

II. Definizione di pericolosità sociale

Ai concetti di “continuità operativa” e “fragilità digitale” dei sistemi informativi è da associare il concetto di “pericolosità sociale”.

In linea generale si dice esistere uno stato di “pericolosità” quando si è in presenza di una minaccia, di un possibile danno, di un probabile inconveniente, di una mancanza di sicurezza a cose o a persone.

Quando poi tale “pericolosità” ed i relativi possibili danni sono riferiti specificamente ad uno o a più esseri umani, e cioè a delle persone fisiche, si parla di “pericolosità sociale” . Il termine “sociale” infatti, dal latino “socius”, sta ad indicare l’alleato, il compagno, il socio e quindi in senso esteso la persona umana.

Nel caso particolare delle prestazioni di servizio, di qualunque natura esse siano, è prassi parlare di “pericolosità sociale” connessa alla non regolare erogazione di tali prestazioni(discontinuità operativa), soltanto in due casi, e cioè:

1.quando il detto malfunzionamento investe una moltitudine di persone e tale impatto è di grande rilevanza per i suoi effetti sulle dette numerose persone;
2.oppure quando esso investe anche un individuo solo o pochi di essi, ma in termini di danno fisico ed attentato alla loro salute;

Di fatto, molte delle prestazioni di servizio, anche non informatiche, presentano una spiccata pericolosità sociale nel senso anzi detto. Ad esempio: la fornitura di alimentazione elettrica, il trasporto(ferroviario, aereo, navale), i servizi bancari, l’assistenza sanitaria ed in generale la quasi totalità dei servizi pubblici e para-pubblici.

Nel caso specifico dei sistemi informativi aziendali la pericolosità sociale, legata a problemi di discontinuità operativa, è del tutto evidente se si pensa alla attuale diffusione e pervasività dei detti sistemi informativi, che usciti dal chiuso dei vecchi Centri Elaborazione Dati(CED), sono divenuti presenti e disponibili ovunque,
nello spazio e nel tempo
-nello “spazio” perchè gli utenti vi possono accedere da qualsiasi luogo, purchè connessi
-nel “tempo” perchè le informazioni on-line sono sempre disponibili, di giorno,di notte , qualunque sia il fuso orario dove ci si trova.

Una volta, a differenza dello scenario attuale, le elaborazioni informatiche avvenivano tutte localmente e si concretizzavano in una serie di stampe(tabulati, cedolini, fatture,etc) distribuite poi manualmente agli utenti. In un secondo momento, con lo sviluppo del teleprocessing(TP), è divenuto possibile collegarsi anche da remoto ad un mainframe centrale a mezzo cavi appositamente stesi ed a mezzo terminali video e stampanti, ma ancora in una logica computer-centrica. Soltanto in tempi relativamente recenti però le informazioni sono divenute accessibili sempre ed ovunque, e ciò grazie al nuovo modello elaborativo di “informatica distribuita”. Nuovo modello reso possibile dalla nascita del Personal Computer, dallo sviluppo del concetto di Server, dall’affermazione del protocollo ethernet per le reti locali(semplice ed economico da implementare), dalla globalizzazione di Internet, dalla liberalizzazione delle telecomunicazioni, con il conseguente crollo delle tariffe e con l’altrettanta conseguente diffusione dei dispositivi mobili(tablet e smartphone). Questo nuovo scenario tecnologico ha fatto si che i servizi di natura informativa erogati sia dalle imprese che dagli enti pubblici, siano sempre fruibili dall’utente, per essere gli stessi disponibili in rete in misura sempre crescente: commercio on-line, banca on-line, booking on-line (alberghi – aerei – treni – navi – etc), messaggistica personale, posta elettronica certificata, smart work (telelavoro), sanità digitale, giustizia digitale, fisco on-line, identità digitale, smart cities (telecamere di sorveglianza – semafori centralizzati – wifi gratuito e diffuso), visure e certificazioni on-line. L’altra faccia della medaglia di questo nuovo scenario è però costituito dalla intrinseca fragilità di qualsivoglia sistema fisico, che di fatto attenta a questa continua e regolare disponibilità, sulla quale però si è andata configurando l’operatività dell’utenza, che abbandonando i modelli e le procedure tradizionali sempre più si è resa totalmente dipendente da questi nuovi, efficaci, vantaggiosi ma potenzialmente labili strumenti tecnologici.

Di qui la “pericolosità”, che per andare ad impattare su esseri umani, diviene “pericolosità sociale”.

E’ inoltre ancora da osservare che la peculiarità e l’elevata criticità dei servizi ICT rispetto ad altri servizi, anche di natura tecnologica avanzata, è costituita dalla presenza dei dati, la cui compromissione può avere effetti che possono andare al di la della sola e semplice fase interruttiva del servizio.

La discontinuità operativa può infatti determinare una perdita dei dati generati dinamicamente(transazioni on-line) difficilmente recuperabili in quanto difficilmente individuabili proprio per la loro natura dinamica. E’ questo un aspetto cui l’ingegneria della business continuity è particolarmente sensibile, tant’è che uno dei parametri fondamentali presi in esame nella progettazione delle piattaforme di disaster recovery è proprio quello che misura tale possibile perdita di dati: l’RPO- Recovery Point Objective, che indica il tempo intercorrente tra la produzione di un dato e la sua messa in sicurezza.

Va a questo punto sottolineato che nel caso di piccoli sistemi informativi, operanti esclusivamente all’interno delle procedure aziendali, tutto quanto fin qui evidenziato non è a loro applicabile. Sono esclusivamente le grandi aziende, gli enti pubblici, le istituzioni governative a dover porre la massima attenzione, all’atto della progettazione, revisione ed implementazione dei propri sistemi informativi, agli aspetti della qui descritta pericolosità sociale.

III. Alcuni casi reali esemplificativi

Qualche esempio chiarificatore:

 Per ben 3 volte negli ultimi anni si sono verificate delle lunghe interruzioni di servizio, durate ciascuna vari giorni, da parte di una nota ed affermata società italiana di web-hosting, co-location, cloud service ed internet providing, presente anche su molti mercati europei. La prima nell’ottobre 2010 a causa del maltempo e dei conseguenti allagamenti e danneggiamenti dei locali, la seconda il 29 aprile 2011 per un incendio nel locale degli UPS, la terza infine l’8 luglio 2011, sempre per cause di natura para-ict. Il malcontento manifestato da parte di tutta la clientela dell’azienda, ha portato alla completa revisione dell’infrastruttura fisica dei data center aziendali, attualmente certificati a livello Tier IV del “Tier Classification System” dell’Uptime Institute. Da allora non si sono più verificate criticità legate ad interruzioni di servizio.
Come attualmente rilevato dal suo sito web, la detta società ha cifre di tutto rispetto: 4,7 milioni di clienti – 12,4 milioni di end-user – 2,1 milioni di domini registrati – 1,25 milioni di siti web – 4,1 milioni di caselle PEC (Posta Elettronica Certificata). Anche se negli anni in cui si sono manifestati gli accennati problemi la clientela avrebbe potuto ipoteticamente essere più ridotta, appare tuttavia immediatamente evidente che il numero di persone fisiche che hanno risentito delle evidenziate discontinuità di servizio è stato comunque enorme e che pertanto l’impatto sociale degli inconvenienti verificatisi è stato di immensa portata.

 Di recente un virus, del tipo trojan, denominato Cryptolocker, ha messo fuori servizio per molti giorni la rete della corte di appello di un grande tribunale italiano, bloccando il regolare funzionamento delle relative attività giudiziarie, comprese quelle della Procura. Questo virus è chiamato CryptoLocker perché cripta tutti i file e assegna ad ognuno di essi una password nota solo all’hacker, cui poi in genere segue un messaggio con una richiesta di denaro per ottenerne il ripristino. Nel caso evidenziato CryptoLocker ha bucato l’antivirus centrale dal Ministero della Giustizia a Roma, con ripercussioni , come detto, fino in periferia e conseguenze operative per un gran numero di persone: operatori ed utenti.

 Gli attacchi dell’11 settembre 2001 alle Twin Towers di New York rappresentano l’esempio più drammatico e più significativo delle conseguenze di atti di terrorismo.

Tra i danni principali quelli registrati alle infrastrutture finanziarie: blocco del sistema di comunicazione interna della Bank of New York e interruzione di lunga durata del sistema di contrattazioni della Borsa di Wall Street. Tutto ciò perchè di fatto per tali istituzioni non erano state predisposte adeguate piattaforme di disaster recovery. Il danno sociale, per il suo impatto su un elevatissimo numero di soggetti, anche in questo caso è evidente

 Una multinazionale italiana fornitrice di servizi informatici all’Ente Regione Sicilia, creditrice, a tutto il 2015 nei confronti del suddetto ente di circa 114 milioni di euro per fatture non onorate, dopo numerosi solleciti e messe in mora, ha infine deciso unilateralmente di interrompere l’erogazione dei detti suoi servizi. Ecco quanto riferito dalle cronache giornalistiche locali:
“…………………… la situazione più allarmante riguarda le aziende sanitarie ed ospedaliere dove sono bloccati i ricoveri, le prenotazioni delle prestazioni specialistiche, i pagamenti dei fornitori, in forse anche il pagamento degli stipendi a tutti i dipendenti regionali, inattivo il sito web ed il sistema di posta elettronica, milioni di cittadini stanno risentendo di questa gravissima situazione ………………….”
Dopo 2 giorni di trattative volte alla definizione del piano di rientro del debito, il servizio è stato infine ripristinato.

 A seguito di una prolungata discontinuità operativa della rete metropolitana di trasmissione dati gestita da uno dei principali carrier nazionali, l’Ente per la protezione ambientale di una grande città del sud Italia, nel gennaio 2016, non è stato messo in condizione di ricevere i dati acquisiti in tempo reale dalle centraline dislocate su tutto il territorio cittadino per il rilevamento del tasso di polveri sottili presenti nell’aria. Questa circostanza ha mandato in tilt il sistema di allerta per il blocco delle auto, creando grandi disagi sia alla polizia municipale che a decine di migliaia di automobilisti.

 Sempre nel gennaio 2016, la compagnia aerea statunitense United Airlines, a seguito di un blocco di circa 2 ore del proprio sistema informativo, non ha potuto far partire 3.500 aerei pronti al decollo, sia negli USA che in vari altri paesi del mondo. Il numero di persone che hanno risentito di tale inconveniente è stato stimato pari ad oltre 500.000 unità.

IV. Normative nazionali ed internazionali in materia di business continuity

La pericolosità sociale dei sistemi informativi aziendali a ragione della loro intrinseca fragilità, è da tempo percepita da numerose istituzioni, nazionali e sovranazionali, sia governative che private. Tali istituzioni hanno conseguentemente, ciascuna per proprio conto, provveduto a emanare specifiche disposizioni volte a contenere, per quanto possibile, tale rischio.

Il Garante italiano per la Privacy, nell’allegato B del Codice della Privacy (Disciplinare Tecnico in materia di misure minime di sicurezza), prescrive una numerosa serie di misure tecniche di sicurezza da doversi obbligatoriamente adottare da parte dei soggetti che gestiscono dati personali. Tali prescrizioni nascono dalla volontà di tutelare i dati personali aziendali, e non da quella di tutelare l’operatività del sistema informativo dell’azienda, ma poiché, come è evidente, l’integrità e l’accessibilità dei dati richiede che il sistema informativo sia corrispondentemente sempre in regolare funzione, ecco che le dette misure di fatto concorrono ad assicurare anche la continuità di servizio dei sistemi informativi cui vanno applicate.

L’AGID-Agenzia per l’Italia Digitale, nel nuovo CAD-Codice Amministrazione Digitale, all’articolo 51, ha emanato specifiche disposizioni in merito alla continuità operativa delle pubbliche amministrazioni. In particolare, ha espressamente previsto che esse debbano predisporre appositi piani di emergenza idonei ad assicurare, in caso di eventi disastrosi, la continuità delle operazioni indispensabili a fornire i servizi e il ritorno alla normale operatività.

La BSI -British Standards Institution e l’ISO-International Organization for Standardization, fanno entrambe espresso e frequente riferimento alle problematiche del regolare esercizio aziendale, e con proprie specifiche norme forniscono una serie di indicazioni in merito alla Business Continuity e al Disaster Recovery.

La norma BS 25999, evolutasi e confluita poi nell’ISO 22301, è quella relativa alla Business Continuity ed è articolata in due parti:
la parte 1 –Code of Practice- fornisce indicazioni in merito alle prassi da attuare ed è solo un documento guida;
La parte 2-Specification- fornisce i requisiti per un sistema di gestione della continuità operativa (Business Continuity Management System – BCMS). Essa costituisce la parte della norma utilizzata per verificare la conformità mediante il processo di valutazione e certificazione. La norma è stata sviluppata da un gruppo di esperti internazionali, in rappresentanza dei principali settori industriali e della pubblica amministrazione, e stabilisce la terminologia, il processo ed i principi della gestione della continuità operativa. Aiuta a comprendere, sviluppare e applicare la gestione della continuità operativa all’interno dell’organizzazione e contiene i controlli basati sulle best practice BCM. La BS25999/ISO22301 è indicata per qualsiasi organizzazione, grande o piccola, di qualsiasi settore. È particolarmente raccomandata per le organizzazioni che operano in contesti ad alto rischio, quali la finanza, le telecomunicazioni, il trasporto e la pubblica amministrazione, dove la capacità di assicurare la continuità delle operazioni è fondamentale per l’organizzazione stessa, per i suoi clienti e per le parti interessate.

La norma ISO/IEC 27001, “Information security management systems – Requirements” definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

La norma ISO/IEC 27002 stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità. È stata emessa nel 2007 al termine di un lungo percorso evolutivo, iniziato con lo standard britannico BS7799 nel 1995, l’ISO/IEC 17779 ritirato in concomitanza con l’emissione del nuovo documento, meglio armonizzato con la serie ISO 27000 di standard sulla sicurezza delle informazioni.

La norma ISO 24762, “Information Technology, Security Techniques – Guidelines for Information and Communication Technology Disaster Recovery Services” pubblicato nel 2008 presenta una serie di “buone pratiche” sui servizi di Disaster Recovery delle infrastrutture ICT. Essa copre diversi aspetti del tema Disaster Recovery:

 messa in opera, gestione, supervisione e manutenzione delle infrastrutture e dei servizi per il Disaster Recovery;
 esigenze per la fornitura dei servizi e delle infrastrutture del Disaster Recovery;
 criteri di selezione dei siti alternativi;
 attività per il miglioramento continuo dei servizi e delle prestazioni del Disaster Recovery.

La Commissione di Basilea sulla vigilanza bancaria, nelle sue norme denominate “Basilea n” , dove n indica la release corrente del documento che le contiene, attualmente pari a 3(Basilea 3), tra le altre prescrizioni relative alla sicurezza e all’efficienza delle aziende di credito e finanziarie in genere, inserisce anche quelle relative alla “disponibilità” dei sistemi informativi delle dette istituzioni. La Banca d’Italia ha recepito tale normativa ed ha predisposto per tutto il sistema bancario italiano un’apposita “Guida” estremamente precisa e dettagliata.

Norme, indicazioni e prescrizioni, tutte quelle fin qui richiamate, che in parte si integrano ed in parte si sovrappongono, che evolvono di continuo, e che nel loro complesso forniscono un quadro completo ed esauriente delle procedure e delle modalità da seguire per realizzare la Business Continuity ed il Disaster Recovery dei sistemi informativi.

V. Irraggiungibilità dell’immunità totale

La lettura delle norme, dei regolamenti, delle guide tecniche, come pure l’osservazione delle prassi abitualmente seguite in materia di business continuity, porta a concludere che il contrasto alle “discontinuità di servizio” è sempre basato su soluzioni tecnologiche complesse e sofisticate. Ora se questo approccio è da ritenersi necessario e valido, soprattutto nel caso di eventi disastrosi, non può tuttavia non evidenziarsi che esso contiene in se stesso un’intrinseca contraddizione volendosi contrastare la labilità tecnologica con strumenti altrettanto tecnologici, peraltro complessi e sofisticati, quindi anche essi labili.

Ciò significa che l’immunità totale dei sistemi informativi aziendali non è un obbiettivo concretamente raggiungibile, sussistendo sempre e comunque un certo margine di rischio che non potendo essere eliminato, va almeno evidenziato alla relativa utenza in termini di indice di probabilità.

VI. Risvolti etici della progettazione dei sistemi informativi

La dimostrata pericolosità sociale dei sistemi informativi aziendali mette in luce l’esistenza di non trascurabili risvolti etici, oltre che di quelli tecnici ed economici normalmente presenti in qualsivoglia attività progettuale. Risvolti etici che il più delle volte comportano maggiori complessità tecniche e maggiori oneri economici. L’aspetto etico della progettazione di qualsiasi manufatto d’altronde, non è un fatto nuovo. Già nel 1848 l’ingegnere francese Jules Dupuit scrisse un saggio a tal riguardo, successivamente l’economista inglese Alfred Marshall sviluppò ulteriori ragionamenti sullo stesso tema ed ancora nel 1936 gli Ordini degli ingegneri degli Stati Uniti d’America redassero congiuntamente un documento che affrontava in maniera approfondita anche questa problematica.

E’ compito del progettista evidenziare agli organi decisori gli aspetti etici del suo lavoro progettuale. E’ poi responsabilità dei dirigenti politici, degli amministratori, dei manager, ed in generale di chi deve prendere l’ultima decisione, tener presente che l’impatto sulla vita delle persone, sul buon andamento delle proprie ed altrui aziende, sul benessere delle comunità, comporta scelte che non devono essere ostacolate da considerazioni puramente economiche.

Altri due aspetti della pericolosità sociale in questione a tutt’oggi ancora poco trattati riguardano:
-la “responsabilità d’impresa”(in Italia regolata dal D. Lgsl.vo 2321/01)
-la “assicurabilità” dei rischi da discontinuità di servizio informatico.

Due punti questi che meritano di essere particolarmente approfonditi da parte soprattutto di imprenditori e manager, per ben conoscere i rischi civili e penali cui sono esposti e le eventuali tutele che possono utilizzare.

VII.Un nuovo scenario dal grande impatto pratico:IoT- Internet of Things

Un nuovo scenario infine si affaccia all’orizzonte: l’IoT, acronimo di Internet of Things, che tradotto letteralmente sta per internet delle cose, e cioè internet degli oggetti fisici. Mediante sensori, attuatori, software, schede interfaccia e componentistica varia, anche gli oggetti fisici entreranno a far parte dei sistemi informativi aziendali, scambiando dati tra di loro e con i computer della rete. Oggetti di uso comune quali automobili, semafori, rilevatori di velocità stradale, pompe di benzina, televisori, frigoriferi, forni, cucine, climatizzatori, radiosveglie,sistemi di allarme, rilevatori dei consumi domestici, telefoni cellulari, apparecchiature mediche, apparecchiature industriali, apparecchiature commerciali, articoli di magazzino, strumentazioni di misura, tanto per citarne alcuni, saranno interconnessi ed opereranno in maniera intelligente sotto il controllo dei Server centrali. Ognuno di questi oggetti avrà un proprio indirizzo IP e come tale sarà indirizzabile e gestibile.

Può apparire come uno scenario fantascientifico, ma in realtà non lo è. Già adesso questo mercato è molto ampio, e grazie alla crescita tumultuosa che lo caratterizza, nel 2020 è previsto si quadruplichi, con circa 50 miliardi di oggetti interconnessi a livello planetario globale.

Questa integrazione oggetti fisici-computer, pone seri problemi in termini di privacy e libertà delle persone. Argomenti su cui filosofi, politici e studiosi in genere si stanno già da tempo interrogando.


Nel presente studio l’aspetto trattato è stato esclusivamente quello della pericolosità sociale connessa con la fragilità dei sistemi informativi. Su tale specifico aspetto pertanto nuovamente è il caso di soffermarsi, evidenziando come la presenza di così tanti oggetti, con componenti di per se fragili quali sensori, attuatori,etc, che sono non solo interconnessi tra di loro, ma anche inglobati in un più ampio sistema informativo, rende tale sistema che li ingloba ancora più esposto a tutti quei rischi che sono stati in precedenza elencati. Già da tempo infatti abbiamo oggetti indirizzabili e gestibili via IP, ma è il loro massiccio inserimento nei pre-esistenti sistemi informativi aziendali che muta lo scenario globale e pone con forza la problematica sicurezza in una nuova più preoccupante ottica.

Di ciò progettisti e committenti dovranno tenerne debito conto.


CONCLUSIONI

-i sistemi informativi aziendali, come qualsivoglia
manufatto umano, sono di per se labili, non in grado cioè di garantire la loro completa e totale regolarità di funzionamento

-tale labilità comporta una conseguente intrinseca pericolosità per l’impatto che essa ha sulla vita delle persone

-quando il numero di individui interessato è rilevante o comunque, quando il danno è di natura sanitaria, tale pericolosità diviene pericolosità sociale

-la pericolosità sociale dei sistemi informativi, comporta dei rilevanti risvolti etici nella loro progettazione, implementazione e conduzione

-per questo motivo numerosi organismi pubblici e privati, nazionali e sovranazionali, hanno sentito il dovere di emanare disposizioni, linee guida e regolamenti, rivolti alle imprese ed agli enti finalizzati alla massimizzazione della continuità operativa aziendale

-in definitiva l’immunità totale dei sistemi informativi aziendali non è un obbiettivo concretamente raggiungibile; tale rischio comunque sempre presente va evidenziato preliminarmente all’utenza in termini di indice di probabilità

-lo sviluppo tumultuoso, ed al momento incontrollato, dell’Internet of Things, aumenta sensibilmente la fragilità dei sistemi informativi aziendali, e di ciò va tenuto conto a tutti i livelli.

Albert Einstein preconizzò un imminente scenario catastrofico a causa della guerra atomica. Famosa la sua frase ” Non ho idea con quali armi si combatterà la terza Guerra Mondiale, ma la quarta sarà combattuta coi bastoni e con le pietre”. Il futurologo Roberto Vacca nel suo libro “il medioevo prossimo venturo” attribuì il ritorno al Medio Evo ad un effetto a catena dovuto ad un enorme black-out elettrico di dimensioni gigantesche. Intellettuali, politici, studiosi vedono nell’inquinamento, nell’effetto serra, nella crisi energetica, nel terrorismo generalizzato, altrettante possibili cause di un precipizio dell’umanità nel caos. E se si azzardasse un’ulteriore possibile causa di crisi catastrofica? Vale a dire il crollo delle reti planetarie di comunicazione digitale e la venuta meno dell’informatizzazione generalizzata dei servizi. Le banche non sono più in grado di operare, gli enti pubblici vanno in tilt, le strutture sanitarie si bloccano, i trasporti aerei, ferroviari, navali si paralizzano, le aziende non sono in grado di produrre, l’economia si ferma, i commerci si bloccano, i governi degli stati perdono il controllo delle istituzioni.

Francamente non credo che tutto ciò possa avvenire, perciò, dopo essere stati sommersi da così tante problematiche, criticità ed eventi disastrosi, mi piace chiudere questo piccolo studio in maniera lieve e scherzosa, sull’onda di quello che mi ha ricordato di recente l’ingegnere Nando Vassallo, mio caro amico ed ex collega IBM: Sergio, mi ha scritto in una sua mail, non ti affannare a trovare soluzioni tecnologiche complesse e raffinate per garantire la sicurezza dei sistemi informativi che progetti. Fai come me, utilizza il miglior rimedio che per un tecnico napoletano è garanzia di successo sicuro:

fai installare in Sala Server un bel corno di corallo rosso

Sostiene Nando infatti che applicando questo metodo, negli impianti da lui realizzati non c’è mai stata perdita di dati o discontinuità di servizio.

Commenta oppure leggi i commenti.

Nasce ICT Professionals

ICT Professionals è un network di professionisti con competenze, differenti e complementari nell’ambito dell’Information and Communication Technology, nato su iniziativa di KELYON S.r.l.. Obiettivo di ICT Professionals è quello di fornire alle imprese e agli enti che si avvalgono di sistemi informatici complessi un servizio di verifica e di revisione dei loro Sistemi Informativi allo scopo di abbattere i costi di informatica e riesaminare e rinegoziaziore i contratti informatici in essere (in relazione a: costi, condizioni, clausole leonine, rinnovi automatici, ridondanze, carenze, SLA, penali, conformità tra contrattualizzato e fornito, etc. ).

Il servizio è a costo zero per il committente in quanto il compenso, in accordo al modello contrattuale del “success fee” oramai largamente diffuso anche in Italia che ne prevede il riconoscimento solo in caso di conclusione positiva dell’operazione, è pattuito in percentuale del risparmio conseguito sull’arco di 1 anno, a seguito dell’intervento effettuato.

Il Network è stato presentato al Presidente dell’Unione Industriali di Napoli, Paolo Graziano (nella foto sotto), in occasione dell’Assemblea dei Soci del 7 Giugno 2011.

Commenta oppure leggi i commenti.

La revisione dei contratti informatici

Le  tecnologie  ICT  rappresentano  una  risorsa  determinante  a  patto  che  esse  siano selezionate, utilizzate e gestite in modo adeguato, a partire dalla corretta definizione del loro ruolo nel contesto organizzativo ove vengono applicate.

Il  monitoraggio  sui  contratti  si  è  dimostrato  nel  tempo  un  efficace  strumento  di  supporto  alla realizzazione  dei  progetti informatici.

Commenta oppure leggi i commenti.

L’importanza dell’assessment informatico

Cos’è?
L’Assessment informatico permette di definire l’architettura informatica esistente oppure, a partire dal progetto operativo che il Cliente desidera implementare, che dovrà essere implementata.

Perchè?
Viene definito lo scenario informatico che comprende:

– la mappa dettagliata dei sistemi informativi di gruppo che sono utilizzati.

In caso di implementazione di un nuovo progetto :
– la mappa dettagliata dei sistemi informativi di gruppo che sono e/o saranno utilizzati
– l’indicazione dei sistemi informativi che saranno impattati dal progetto
– la sintesi degli adeguamenti necessari per ogni sistema informativo e la stima di massima degli stessi
– il diagramma di alto livello dei flussi informativi e l’indicazione degli adeguamenti necessari

A che serve?
Una mappa dettagliata dell’infrastruttura informatica è fondamentale per poter affrontare al meglio qualsiasi progetto evolutivo o implementativo sia di rete che applicativo. L’obbiettivo dell’Assesment informatico è fornire all’azienda la sensibilità del patrimonio informatico in dotazione al fine di sfruttarne le sue potenzialità e valutarne le criticità in modo oggettivo.
Tra gli ambiti basati sull’assesment informatico citiamo:
– Server consolidation
– System integration
– Migrazione sistemi

Commenta oppure leggi i commenti.