Transizione in sicurezza

Digitalizzazione felice: cosa fare per efficientare i processi e ridurre gli errori

Pianificazione, monitoraggio e condivisione delle buone pratiche, igiene digitale: la digitalizzazione felice passa per tre elementi spesso trascurati. Il risultato sono complicazioni che rendono il digitale inutile. Ecco come invertire la tendenza

13 Mag 2022
Fabrizio D'Amore

Dipartimento Ingegneria Informatica, automatica e gestionale Antonio Ruberti, Sapienza Università di Roma

Oggi trascorriamo più tempo a correggere errori che a fare cose con successo. Il digitale crea problemi con la sua sola presenza. Ma la digitalizzazione dovrebbe servire a rendere i processi umani più efficienti.

La digitalizzazione felice passa dai nostri comportamenti: dal fare tesoro dagli errori e osservare una corretta igiene digitale.

Cyber security e igiene digitale, perché è un rapporto strategico per l’innovazione

Come fare un corretto piano di digitalizzazione

Abbiamo imparato, soprattutto in periodo pandemico, le potenzialità di una digitalizzazione efficace e corretta.

Chi di noi non è stato coinvolto in lunghe e faticose riunioni virtuali basate su strumenti ormai arcinoti[1], che ci hanno permesso di apprezzare se non altro il risparmio sui tempi indotto dalla possibilità di non spostarsi e l’orizzonte internazionale con partecipanti connessi da dovunque?

WHITEPAPER
Employee engagement da remoto: i tool che aumentano partecipazione e produttività
Digital Transformation
Risorse Umane/Organizzazione

E pensare che si tratta di tecnologie vecchie, disponibili già vent’anni fa e oltre, ma che avevano scarsamente aderito: occorreva una più forte motivazione.

Naturalmente la digitalizzazione non consiste solo nello svolgere riunioni online ma ha a che vedere con concetti di base, come documento informatico, digitale o elettronico (alcuni autori – e talvolta la legge – distinguono questi concetti) e con l’eliminazione del cartaceo, non solo per benefici “verdi” ma anche per l’esecuzione di operazioni, frequenti nella P.A., di certificazione e controllo che possono essere svolte più efficientemente.

Oggi la digitalizzazione viene spesso improvvisata e nella P.A. ha appena fatto capolino, nonostante il CAD (Codice dell’amministrazione digitale) risalga al 2005 e sia stato molte volte corretto, integrato o aggiornato.

Tuttavia, ad esempio, la penetrazione – ed il corretto uso – della firma digitale[2] lasciano piuttosto a desiderare: ancora oggi mi imbatto in chi non la accetta, con il pretesto di mancanza di circolari attuative o per processi con ancora molta carta (sebbene abbia parecchi dubbi sulla legalità di ciò).

È chiaro che nulla si improvvisa e che occorrano piani di digitalizzazione.

Nel definire un piano di digitalizzazione dobbiamo prendere atto dei celebri requisiti CIA[3] e magari di altri requisiti della sicurezza delle informazioni,[4] che possono rendersi necessari o meno, ma che ancora oggi in molte occasioni non sono tenuti in debito conto.

Questo porta a identificare nella governance di un’organizzazione l’entità responsabile della digitalizzazione e della sicurezza delle informazioni.

Ciò è fatto frequentemente ma sono ancora molte le PMI, ma anche alcune grandi organizzazioni, in cui ogni decisione politica è lasciata ai tecnici IT, che sensibilità verso il suo significato non ne hanno, ma sanno solo realizzare le misure tecniche atte ad imporre certi requisiti, o magari neanche quelle.

L’impostazione deve essere dunque corretta e provenire dal vertice e non deve dare adito ad ambiguità o dubbi di policy (entrambi fonti di errori). Poco interessa invece al vertice di come certe misure vengano realizzate.

La formazione e le figure adeguate

Questo ci fa capire che i vertici hanno bisogno di un tipo di formazione diverso da quello dedicato agli utenti finali o da quella riservata ai tecnici IT, non meno importante.

Tutti gli altri (tecnici ed utenti finali) possono essere perfettamente formati, ma ciò sarebbe inutile senza una governance adeguata, che definisce la digitalizzazione e la sicurezza delle informazioni, in modo dipendente dallo scenario applicativo.

Diverse sono le formazioni dedicate al personale IT (formazione specialistica) e agli utenti finali (informatica base ed igiene, cui dedicheremo una sezione più avanti).

In merito alla formazione specialistica, insisterei soprattutto sul metodo, da enfatizzare molto più rispetto tecniche e prodotti, che avranno tempo di vita relativamente breve e che saranno rimpiazzati verosimilmente da nuovi standard e prodotti.

Non mancano luoghi e progetti di formazione specialistica, ma un approccio chiave è evitare assolutamente il vendor lock-in, quella pratica che, attraverso l’impiego di prodotti di un qualche venditore, ci fa di fatto ritrovare in una situazione di dipendenza, per cui è difficile – se non impossibile – rimpiazzare il venditore stesso.

Per evitare il vendor lock-in una parola chiave è l’apertura, indicando con questo termine un approccio teso ad accettare solo prodotti che risultino compatibili con qualche standard facilmente accessibile, gratuito e diffuso. È difficile essere più precisi senza scendere in casi particolari, perché l’approccio vincente dipende fortemente dal dominio applicativo.

Un esempio di vendor lock-in è il continuo ricorso alla suite MS Office da parte della P.A. per fornire documenti, modelli e schemi di riferimento. Eppure, questa tecnologia è onerosa.

Un ingrediente fondamentale per un buon piano di digitalizzazione è capire come l’information technology non sia altro che la trasposizione della scienza informatica a livello delle attività umane e quindi si trova sempre in un certo ritardo rispetto alla bellezza e alla freschezza di certe nuove idee che sono state sperimentate nell’informatica.

Da qui nasce l’interrogativo: chi si deve occupare dei dettagli che emergono quando trasferiamo l’informatica (quella consolidata) all’IT? Ad un informatico la questione sembra banale, ma per un umanista sembra arabo.

Questa è l’occasione per proporre una nuova figura professionale (gap-filler?), con una buona preparazione IT e che conosca vari altri settori, come l’economia, la giurisprudenza, la psicologia, la scienza dei dati ecc., insomma che abbia una preparazione fortemente multidisciplinare e il ruolo di definire i dettagli che emergono nel divario fra scienza informatica ed information technology.

Magari non enormemente approfondita su ogni aspetto (rispetto allo specialista di settore) ma sufficientemente preparata da poter discutere utilmente con uno specialista. È per questo che preferiamo una figura senior ed esperta, rispetto a un giovane che magari è molto preparato, ma meno abituato ad affrontare problemi di trasferimento del know-how.

Digitalizzazione felice: l’insostenibile leggerezza degli errori digitali

Appare del tutto naturale che gli umani commettano errori. Meno naturale assistere a problemi e lungaggini la cui natura è insita nel digitale.

La digitalizzazione può portare problemi la cui natura è essenzialmente digitale: proviamo a sommare il valore di tutto il tempo impiegato dagli utenti di un’organizzazione a recuperare/ristabilire password perse/compromesse e a confrontarlo con il beneficio totale legato all’incremento di sicurezza ottenuto grazie a una politica di password “sicure”. Sono propenso a vedere un forte sbilanciamento e non a beneficio della sicurezza.

Con la consapevolezza che i problemi di natura digitale (per non parlare di un computer bloccato) ostacolano la maggiore efficienza che il digitale stesso dovrebbe introdurre continuiamo a usare il termine “errore” per indicare genericamente tali ostacoli.

Ebbene, non sono accettabili problemi che derivano direttamente dal digitale (che non deve essere sorgente di ostacoli, perché diverrebbe allora antitetica la sua presenza). Ma facciamo ordine.

Analizziamo separatamente gli errori umani e gli errori “digitali”.

Digitalizzazione felice: come ridurre gli errori umani

L’essere umano erra per sua stessa natura. Le ragioni possono essere le più svariate, come distrazione, incompetenza (inclusa la qualifica errata), mancanza di motivazione, disinteresse, ambiguità, inadeguatezza di strumenti, informazioni errate, incomplete o mancanti del tutto.

Vedo un mondo utopico, dove la gestione dell’errore si insegna nelle scuole e nelle università, specie in queste ultime, dove gli errori vengono trattati in relazione ai domini considerati.

Vedo aziende che fanno tesoro degli errori verificatisi, bandendo la gestione “artigianale,” ma assicurandosi che il modo in cui si sia affrontato – e risolto – l’errore venga valorizzato e inserendo la sua gestione all’interno di una applicazione aziendale opportuna alla quale tutti gli utenti dell’azienda si rivolgeranno in caso di nuovo errore.

Naturalmente si dà enfasi alle gestioni virtuose, che hanno rapidamente portato al recupero dall’errore, e che sono state approvate dai livelli superiori.

Va da sé che partendo da un’applicazione vuota questa si riempirà forse lentamente, ma a regime essa offrirà ampio ventaglio di metodi risolutivi sperimentati. Capiamo che l’applicazione deve disporre di un motore semantico che consenta ricerche che vadano un po’ più in profondità.

In questo mondo utopico, l’applicazione viene anche dotata di capacità “creative”, magari attraverso machine learning, proponendo soluzioni a situazioni non esattamente o completamente descritte, magari integrando procedure che appartengono a diversi domini applicativi.

Anche in questo mondo utopico l’insidia “errore” resta in agguato, a causa della natura umana.

Eppure, tutti saranno più concreti, sistematici e metodici, nell’affrontare alcune situazioni d’errore.

E i problemi che nascono dal disamoramento per il lavoro, dalla distrazione, dal disinteresse come li eliminiamo? Occhio, qui non stiamo eliminando errori, ma introduciamo la loro risoluzione non improvvisata/artigianale, il che potrà certamente portare giovamento nelle tempistiche.

Idealmente, è il know-how acquisito da queste piattaforme che bisognerebbe insegnare.

Digitalizzazione felice: come evitare gli errori digitali

Gli errori digitali sono le situazioni in cui il problema nasce dalla piattaforma digitale. Errori di: programmazione, autenticazione, sistema operativo ed aggiornamenti.

Abbiamo avuto già modo di parlare della “password policy,”[5] e di quanto possa indurre comportamenti imprudenti. Tuttavia, questo è solo uno dei molteplici aspetti in gioco.

È ben noto che il problema della presenza di “bug[6] all’interno dei programmi non può essere risolto in maniera sistematica e generale (cfr. indecidibilità di “Halting problem”[7]), per cui è normale ed in qualche misura attesa la presenza di comportamenti errati del software a supporto.

Se da un lato rappresentano un motivo per si possa andare incontro ad errori ed anomalie, dall’altro rappresentano problemi che si possono eliminare con un adeguato supporto ingegneristico.

Per cui non sono la nostra principale fonte di preoccupazione (piuttosto ci impensierisce l’idea che possano essere sfruttati ai fini di un attacco[8]).

Piuttosto, sembra ieri che i computer in uso andavano incontro a blocchi che ne richiedevano lo spegnimento. Non che oggi ne siano esenti, ma almeno possiamo dire che accade meno frequentemente.

Nella maggior parte dei casi, vengono usate suite per l’office automation (MS Office, Google Workspace, Libre Office, Apple iWork) e/o applicazioni “istituzionali” legate al business condotto dall’organizzazione, che – è vero possono essere variegate – ma sono normalmente di natura gestionale e i problemi tipici che si incontrano sono legati alla loro manutenzione e alle novità normative. Per cui non ci aspettiamo clamorosi malfunzionamenti.

Il maggior problema è in questi casi il citato vendor lock-in, per cui si incespica spesso nei problemi di compatibilità fra le diverse suite, nonostante gli innegabili progressi (ma non ho mai visto prodotti che fossero completamenti indenni da questioni di compatibilità).

Ma perché la P.A. pubblica moduli/template scritti con MS Office quando potrebbe farlo usando uno standard universale come il PDF[9] che si presta benissimo – anzi, direi, meglio – alla pubblicazione di moduli/template? Ai posteri l’ardua sentenza, certo che alcune abitudini sono così radicate da destare inquietudine.

Ben più rari i casi di software specifici e non gestionali, creati appositamente per il business dell’organizzazione. In questi casi diviene particolarmente cruciale la modalità – e i relativi tempi – stabilità per l’assistenza.

Un caso oggi meritevole di menzione è la presenza sui desktop degli uffici di software per la sincronizzazione dati con il cloud, come i vari Dropbox, Google Drive, specifici per un particolare cloud, o quelli offerti per la sincronizzazione o accesso desktop a più cloud differenti, anche di diversi fornitori, come IT.net.

Tali software sono di norma piuttosto affidabili e performanti e l’unico punto da discutere è l’analisi del loro metodo di manutenzione, in seguito agli aggiornamenti dei maggiori sistemi operativi.

Dato il riferimento al cloud, vorrei menzionare qualcosa che è ovvio, ma non leggo mai: chi tiene i dati sul cloud è esente dal ransomware,[10] anche se mantiene la sincronizzazione storage locale – cloud in tempo reale. Questo perché di norma l’operatore cloud è in grado di fornire le versioni precedenti dei file.[11] Eppure leggo continuamente dai danni causati da qualche ransomware.

Il cloud ha ovviamente ben altri benefici, quali la possibilità di accedere/usare i dati da qualunque dispositivo in qualunque luogo. Chiaramente ciò è immediatamente applicabile a dati che non richiedano particolare protezione (dati sensibili, critici o comunque soggetti a vincolo di confidenzialità): in tali casi dovrebbe essere approfondita la questione, anche considerando la legge sul “perimetro di sicurezza cibernetica”.[12]

Vale infine la pena citare il fatto che qualche problema può nascere dalla “vecchiaia” dell’hardware in uso, che può spingere l’utente a sovraccaricare il sistema con molti click, o può comunque denunciare un pesante sovraffaticamento (vecchie CPU e/o poca RAM).

In questi casi, un’ottima abitudine è quella di ripulire completamente il vecchio PC installandovi una distribuzione Linux nata appositamente per PC limitati,[13] ridonando freschezza e velocità allo hardware obsoleto.

Notare che oggi le distribuzioni Linux, nonostante siano pensate per utenti consapevoli, si presentano con un’interfaccia a finestre che spesso si riconduce a quella dei tradizionali sistemi operativi commerciali.

Digitalizzazione felice: come migliorare la propria igiene digitale

Di igiene digitale abbiamo già parlato ampiamente.[14] È la parte di cybersecurity costituita da quell’insieme di comportamenti cauti che renderebbero – consentitemi l’iperbole – di evitare l’uso dell’antivirus e che consistono nell’avere il pieno controllo di ciò che entra nel nostro dispositivo (che nasce “pulito”), sia attraverso la rete (web, e-mail, condivisione file, servizi di sincronizzazione), sia attraverso dispositivi di memorizzazione terzi connessi alla porta USB (principalmente, le “chiavette USB”).

Comportamenti che ci renderebbero sufficientemente dubbiosi dal cadere vittime di phishing.[15]

Chiaramente ciò non risolve tutti i problemi della cybersecurity, ma consente di mitigare tutti quegli attacchi che non sono diretti espressamente a noi, ma solo agli utenti di Internet.

Rimarrebbero fuori gli attacchi mirati, pericolosi ed efficaci, ma anche costosi e perciò meno frequenti, per i quali occorrono ben altre misure (da intraprendere nei casi di infrastrutture critiche, militari, di sicurezza, o perché si gestiscono dati sensibili, critici o strategici; ma qui la trattazione diviene specialistica).

Non c’è dubbio che nella P.A. bisognerebbe distinguere fra la presenza di dati sensibili (ad es., in una ASL) e dati non degni di particolari misure. Ricordiamo che una delle tecniche più efficaci per la confidenzialità è l’uso della criptazione “end-to-end”: i dati vengono criptati ab origine e subiscono decriptazione solo una volta raggiunta la destinazione finale.

E inoltre un’efficace (e gratuito) metodo di criptazione è costituito da Rijndael, algoritmo che oltre vent’anni fa si aggiudicò la gara NIST[16] che attribuiva l’appellativo di Advanced Encryption Standard, cioè AES.[17]

Oggi si lavora su metodi di criptazione autenticata, aventi come obiettivo simultaneamente la confidenzialità e l’autenticità.

______________________________________________________________________________________

Note

  1. Come Zoom, Meet, Team, Skype, Webex
  2. Celebre strumento per autenticare e contrassegnare l’originale di un documento, che garantisce il non ripudio. Merita un articolo a parte.
  3. Confidentiality, integrity, availability. Non necessariamente tutti, ma verosimilmente alcuni di essi.
  4. Autenticazione, non ripudio, attribuzione. V., ad esempio, https://en.wikipedia.org/wiki/Information_security
  5. F. d’Amore. “PA digitale, perché serve un approccio strutturato a privacy e cyber security”. https://www.agendadigitale.eu/documenti/pa-digitale-perche-serve-un-approccio-strutturato-a-privacy-e-cyber-security/. Agendadigitale.eu, dicembre 2021.
  6. V., ad esempio, https://en.wikipedia.org/wiki/Software_bug.
  7. V., ad esempio, https://en.wikipedia.org/wiki/Halting_problem.
  8. Quando ero studente, il mio docente di programmazione, il prof. Batini, ora a riposo ma fino al 2018 docente a Milano Bicocca, insegnava i “cinque livelli di correttezza del software:” 1) il sorgente compila correttamente; 2) l’eseguibile si comporta correttamente in qualche caso; 3) l’eseguibile si comporta correttamente nel maggior parte dei casi; 4) l’eseguibile si comporta sempre correttamente; 5) l’eseguibile non solo si comporta correttamente ma accetta e gestisce qualsiasi input, anche quelli che non ne rappresentano uno effettivo. Ora capisco perché insisteva nel porre come obiettivo il livello 5): l’attaccante sfrutta spesso la fragilità del software che, con input imprevisti, si arresta in errore in uno stato indefinito e non protetto.
  9. V., ad esempio, https://en.wikipedia.org/wiki/PDF.
  10. Si chiama in tal modo quel malware (termine correntemente usato per indicare la famiglia una volta descritta da “virus”) che, entrando a contatto con un dispositivo, ne cripta velocemente tutti i dati, rendendoli indisponibili, ed attende il pagamento di un riscatto prima di consentirne la decriptazione.
  11. Così, nella malaugurata ipotesi di essere colpiti da un ransomware, vedremmo tutti i dati locali venir criptati e poi sincronizzati con quelli sul cloud. Pertanto, la versione precedente dei file, disponibile sul cloud, è l’ultima versione non colpita dal ransomware.
  12. V., ad esempio, nota n. 4.
  13. Come, ad esempio, Tiny Core, Puppy Linux, SparkyLinux ecc.
  14. F. d’Amore. “Cyber security e igiene digitale, perché è un rapporto strategico per l’innovazione”. https://www.agendadigitale.eu/sicurezza/cyber-security-e-igiene-digitale-perche-e-un-rapporto-strategico-per-linnovazione. Agendadigitale.eu, marzo 2022.
  15. Tipo di truffa effettuata su Internet con tecniche di ingegneria sociale attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile. Da: https://en.wikipedia.org/wiki/Phishing.
  16. https://csrc.nist.gov/projects/cryptographic-standards-and-guidelines/archived-crypto-projects/aes-development.
  17. https://en.wikipedia.org/wiki/Advanced_Encryption_Standard.

dal 14 al 17 giugno 2022
FORUM PA 2022. Cybersecurity: rafforzare la difesa della PA e del paese
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4