La gestione dei sistemi informativi e i contratti quadro

Indice

Durante uno degli ultimi eventi a cui ho partecipato, la conversazione è deviata sull’erogazione dei servizi ICT e sull’efficacia dei contratti Consip: essenzialmente si discuteva di contratti per attività e prodotti che hanno lo scopo di affiancare la P.A. nell’erogazione dei servizi ICT. In alcuni casi, tuttavia, questi contratti sono diventati la causa di una serie di problematiche non direttamente imputabili ai contratti in sé ma alla loro gestione.

Di cosa parliamo

La tesi sostenuta durante l’evento, da parte di un partecipante, era che questa tipologia di contratto avesse causato nel tempo una serie di problematiche all’interno della P.A. di cui, la più grave, è stata la perdita di controllo sulla configurazione tecnologica degli apparati. Nello specifico parliamo, ad esempio, dei contratti quadro per SPC (Sistema Pubblico di Connettività) che AgID, insieme a Consip, hanno redatto e messo a disposizione delle P.A.

Sono quindi contratti poliedrici che prevedono, ad esempio, la fornitura di hardware, software e servizi accessori in un unico pacchetto al fine di facilitare la configurazione generale dei sistemi della P.A. ma non solo. Questi contratti andrebbero collocati in un quadro più ampio quale dovrebbe essere quello del perimetro cibernetico nazionale. In tal senso è come se Consip offrisse un kit di strumenti completo per poter mettere in corretta sicurezza l’infrastruttura di rete, ad esempio, con tanto di servizi di penetration test, apparati firewall e di monitoraggio. È una sorta di pacchetto completo nel quale si è certi che l’adozione comporti un sensibile miglioramento della qualità delle performance dei sistemi. Tuttavia un problema esiste poiché il discorso intorno ai contratti quadro Consip sta cominciando ad emergere sempre più insistentemente.

Un problema sì ma di chi?

La principale problematica attribuita ai contratti quadro Consip è la perdita di controllo sulla configurazione ICT, problema assai grave quando vi è la necessità di effettuare variazioni ad hoc non previste dal contratto o quando, peggio ancora, si vuole uscire da quella configurazione proposta per entrare in una configurazione che potremmo per l’appunto definire personalizzata. È un problema serio che però vede spesso il colpevole sbagliato: i contratti Consip sono un ausilio e non un obbligo e spesso vengono incolpati di favorire la perdita di controllo. La ragione tuttavia è un’altra: ci sono due cattivi comportamenti che vengono assunti spesso dai responsabili dei servizi ICT durante la sottoscrizione di tali contratti.

Il primo riguarda il fatto che la sottoscrizione diviene il modo per evitare di svolgere parte del proprio lavoro, delegando responsabilità e attività ulteriori sulla ditta incaricata della fornitura del prodotto/servizio. Un atteggiamento di questo tipo è assai diffuso e, se da una parte alleggerisce il lavoro del direttore dei sistemi informativi, dall’altra gli fa perdere gradualmente controllo e conoscenza sui propri asset. A personale memoria è capitato più di una volta di ottenere documenti e report con il marchio della ditta che forniva un servizio legato al SPC, quando quegli stessi documenti normalmente sarebbero dovuti essere redatti e gestiti dal personale del CED. Non è delegando tutto il proprio lavoro che se ne migliora la qualità, ma soprattutto la delega non esenta dalle responsabilità professionali individuali.

Il secondo cattivo comportamento è la naturale dipendenza che si sviluppa nel tempo nel rapporto tra fornitore e P.A., per cui è chiaro che la P.A. farà di tutto per mantenere quello specifico fornitore poiché ormai si è instaurato un pericoloso legame di dipendenza basato su tutta una serie di attività “extra”, non previste dal contratto SPC a cui il fornitore si presta per mantenere e acquisire ulteriore spazio all’interno della P.A.

Il controllo della configurazione

In dodici anni di consulenza presso il Ministero della Difesa, ho visto questa P.A. combattere affinché il fenomeno non si verificasse, con notevoli risultati e molti successi ma, soprattutto, con un reale “impegno sul campo”. In altre realtà pubbliche si verifica il contrario: basta iniziare a chiedere la documentazione ordinaria (manuale della sicurezza, dei flussi documentali, organizzazione del CED, etc…) per cominciare a veder spuntare loghi e modalità di rappresentazione dell’infrastruttura differenti da quelli normalmente usati. Se poi si iniziano a fare domande tecniche specifiche il quadro viene confermato con frasi del tipo “devo informarmi“, “scrivo al fornitore e glielo chiedo“, il problema però è che spesso queste risposte vengono proprio da direttori dei sistemi informativi.

Appare chiaro, quindi, che più che di Consip la colpa è del personale di quelle P.A. che ha deciso di lavorare meno e di far gestire la propria attività ai fornitori. Ciò che accade ha un nome e si può definire come perdita del controllo della configurazione: fenomeno molto pericoloso soprattutto in ambito di sicurezza ICT. La perdita del controllo della configurazione prevede che il direttore dei sistemi informativi, che può essere paragonato al capo della sala macchine, non sappia come è stato configurato un sistema, un software, un apparato, per funzionare e di conseguenza non sa come modificare la configurazione in caso di necessità. È il capo della sala macchine, ma per spingere un qualsiasi bottone o sapere cosa fare, si deve rivolgere all’esterno e questa dipendenza prende il nome di vendor lock-in. Il mantenimento del controllo della configurazione è, in realtà, qualcosa di complesso e serio che obbliga i direttori ICT a svolgere continue attività di verifica, aggiornamento e formazione professionale. È necessario conoscere il proprio sistema in modo approfondito per comprendere come variare la configurazione di uno o più componenti (hardware o software che siano), ma al tempo stesso è necessario conoscere le nuove tecnologie il che obbliga una formazione professionale periodica.

Bisogna, in sostanza, essere in prima linea nella valutazione della configurazione dei sistemi ed intervenire prontamente quando è necessario modificarla o anche quando si ravvisa la necessità di approvvigionarsi di nuovi hardware e software. Soprattutto è imperativo non vivere sulle spalle del fornitore, con il rischio di sviluppare una pericolosa dipendenza che poi si traduce nella graduale perdita di conoscenza (il famoso know-how) e nel conseguente vendor lock-in di cui sopra.

Conclusioni

Il controllo della configurazione non può e non deve essere demandato ad una ditta esterna, anche quando questa ha un regolare contratto per la fornitura estesa di beni e servizi legati all”infrastruttura IT; è una condizione di supporto che non sostituisce gli obblighi etici, normativi, organizzativi dei dirigenti e dei responsabili di area.