Dalle infrastrutture ai servizi

L’impatto del Cloud nella Pubblica Amministrazione

This post is available also in English

Sareste preoccupati se il palo della luce che porta l’energia elettrica in casa vostra fosse ridotto così come in questa foto?

Le infrastrutture IT ricoprono un ruolo vitale per un gran numero di attività che sono ormai parte della nostra quotidianità. Da un punto di vista strategico sono equivalenti e devono essere pertanto considerate al pari di risorse quali le autostrade, le centrali elettriche o gli acquedotti e le risorse produttive in genere. Per l’Amministrazione dello Stato rappresentano sempre di più l’ossatura portante del sistema di servizi che le Pubbliche Amministrazioni utilizzano ed erogano ai cittadini; le infrastrutture IT della PA devono quindi essere affidabili, sicure ed economicamente sostenibili.

Nel corso degli anni, tuttavia, l’infrastruttura tecnologica è stata sviluppata e organizzata in maniera casuale, lasciando le decisioni all’iniziativa di ogni singola amministrazione, senza una visione d’insieme, un coordinamento, una pianificazione. Il risultato è una giungla di migliaia di piccoli centri di elaborazione dati (cd. CED, tradizionalmente l’infrastruttura informatica) tra loro poco interconnessi, realizzati con standard qualitativi bassi e senza adeguate misure di sicurezza, spesso gestiti con risorse insufficienti in termini di competenze e budget.

Il Piano Triennale per l’informatica nella pubblica amministrazione 2017–2019 (di seguito Piano Triennale), nell’ambito di un più generale processo di trasformazione digitale del Paese, ha avviato un percorso dedicato alle Infrastrutture IT, gettando le basi da un lato per la razionalizzazione di tutte le strutture fisiche (Data Center) esistenti, dall’altro per l’introduzione di Infrastrutture IT più sicure e affidabili.

La razionalizzazione dei Data Center esistenti, attraverso la dismissione di quelli obsoleti o non sufficientemente sicuri/affidabili, consentirà una riduzione della spesa pubblica grazie alle forti economie di scala.

L’introduzione del paradigma Cloud nell’ambito della PA consentirà di ottenere una più alta qualità e sicurezza informatica a un costo molto minore, aumentando notevolmente l’affidabilità delle Infrastrutture IT e facilitando così il rinnovamento complessivo dei servizi IT nel Paese.

Nei paragrafi seguenti illustreremo il percorso intrapreso in attuazione del Piano Triennale. Concentreremo la nostra attenzione sullo stato di avanzamento dei lavori con riferimento specifico al Cloud della PA per individuare i problemi ancora aperti, gli obiettivi da raggiungere e la strada che resta ancora da percorrere per portare a compimento questa “rivoluzione” che consentirà alle Pubbliche Amministrazioni di aumentare notevolmente la qualità dei servizi offerti, con significativi vantaggi anche sul piano della sicurezza e della privacy dei cittadini.

Allo stesso tempo, cercheremo di dar conto dell’impatto più generale che questo imponente processo di cambiamento è destinato a produrre all’interno della Pubblica Amministrazione e più in generale nel mercato dei servizi ad essa destinati.

Dai centri di elaborazione dati ai poli strategici nazionali

Il Piano Triennale ha delineato un processo di razionalizzazione delle infrastrutture fisiche (centri di elaborazione dati – CED) con lo scopo di ottimizzare la spesa IT e favorire l’erogazione di servizi più sicuri e adeguati alle esigenze di cittadini e imprese.

I diversi censimenti del patrimonio IT delle Pubblica Amministrazione e dei relativi costi di gestione e mantenimento effettuati da AgID a partire dal 2013 hanno rilevato una forte frammentazione delle risorse e frequenti situazioni di inadeguatezza tecnologica, facendo emergere come tra gli interventi di spesa ICT delle Pubbliche Amministrazioni Centrali (PAC), quelli relativi ai centri di elaborazione dati siano i più numerosi.

Al termine di questo processo di revisione, previsto per il prossimo giugno 2018, in base all’analisi dei risultati e ad ulteriori accertamenti, sarà possibile selezionare, tra i soggetti candidabili al ruolo di Polo Strategico Nazionale (PSN), quelli idonei a erogare alle altre PA due principali categorie di servizi: IaaS (computing, storage & network) e hosting per progetti speciali.

Al processo di selezione dovrà seguire un processo di adeguamento tecnologico e organizzativo che assicuri che tutti i PSN siano caratterizzati da un modello condiviso tale da garantire omogeneità nell’erogazione dei servizi. Nell’eventualità che nessun soggetto esistente sia disposto a svolgere il ruolo di PSN o sia idoneo a tale scopo, potranno essere valutate opzioni alternative come la creazione ex novo di strutture e soggetti dedicati a tale ruolo.

A questo proposito è opportuno citare l’esperienza del governo britannico Crown Hosting Data Centres, in cui l’Ufficio di Gabinetto del Governo ha avviato un analogo progetto per costruire un’unica infrastruttura nazionale di Data Center. In questo modo il Governo Britannico stima di risparmiare circa 585 milioni di euro entro il 2026 per le sole amministrazioni centrali.

Benché tale esperienza si rivolga in prevalenza alle Pubbliche Amministrazioni Centrali del Regno Unito, può tuttavia rappresentare un valido modello di riferimento, in quanto le strategie individuate e i risultati ottenuti lasciano auspicare una positiva esportabilità su più vasta scala.

La costituzione dei PSN è tuttavia un processo che necessita di un forte indirizzo politico, poiché richiede da un lato l’adozione di scelte strategiche che non possono prescindere da considerazioni di sicurezza nazionale ed economiche, dall’altro lo sviluppo di un supporto normativo per regolamentare e definire la struttura di governance dei PSN. È una scelta che spetta senza dubbio al nuovo Governo.

Perché in Cloud

La dismissione delle infrastrutture fisiche IT della PA e il rinnovamento delle soluzioni applicative deve avvenire attraverso la migrazione su Infrastrutture Cloud dei servizi e delle applicazioni attualmente erogate sulle stesse.

Il Cloud, o Cloud Computing, è un paradigma che consente di archiviare e gestire dati e software in maniera distribuita e fruibile tramite Internet.

Si può descrivere il Cloud computing mediante tre categorie di servizi principali: software-as-a-service (SaaS, applicazioni software accessibili tramite Internet sfruttando diverse tipologie di dispositivi), platform-as-a-service (PaaS, piattaforme per sviluppare, testare e distribuire le applicazioni su Internet) e infrastructure-as-a-service (IaaS, rappresentano l’infrastruttura tecnologica fisica e virtuale in grado di fornire risorse di computing, networking e storage da remoto e mediante API, senza la necessità di acquistare hardware).

Principali vantaggi

L’adozione del paradigma Cloud è particolarmente vantaggiosa in quanto consente agli utilizzatori di evitare investimenti iniziali in infrastrutture fisiche e avere maggiore flessibilità per sperimentare nuovi servizi o apportare modifiche a quelli esistenti a costi contenuti¹. Usufruire di servizi IT invece che investire nella costruzione e nella gestione dell’intera filiera IT, risulta essere senza dubbio molto più vantaggioso, in particolare per una Pubblica Amministrazione che ha come mandato istituzionale quello di fornire servizi al cittadino e alle imprese e non di costruire e mantenere infrastrutture tecnologiche. La soluzione inoltre risulta più affidabile, poiché permette di effettuare in maniera centralizzata gli aggiornamenti di sicurezza, e più efficiente, poiché rende possibile lo sfruttamento di modelli di prezzo scalabili (pagando le risorse come servizi, in base al consumo) con una riduzione dei costi e degli sprechi energetici.

I vantaggi nell’uso del Cloud per una PA non si apprezzano solo sul piano economico, ma anche su quello logistico-amministrativo. Basti pensare alla complessità gestionale che implica amministrare l’infrastruttura fisica e logica dei servizi IT, il personale, gli aggiornamenti, la sicurezza fisica dei locali, l’antincendio, il monitoraggio 24/7, etc. e alle importanti responsabilità connesse ad una tale attività di gestione.

In particolare, vanno ricordate le nuove responsabilità derivanti dalla recente normativa europea in materia di protezione dei dati personali², che impone l’adozione di misure tecniche e organizzative adeguate, nonché l’implementazione di procedure e controlli specifici a tutti gli attori coinvolti nel trattamento dei dati personali, per non incorrere in pesanti sanzioni amministrative.

Il Cloud della Pubblica Amministrazione

Per consentire la migrazione verso Infrastrutture Cloud, il Piano Triennale ha introdotto il Cloud della PA, un ambiente virtuale all’interno del quale le Pubbliche Amministrazioni potranno erogare i propri servizi online agli utenti (cittadini, imprese e PA stesse) e gestire, nel rispetto di requisiti minimi di efficienza e sicurezza, le applicazioni di uso interno.

La strategia Cloud First

Le varie Pubbliche Amministrazioni, trattando tipologie di dati differenti e fornendo servizi con requisiti tecnici e livelli di affidabilità di servizio tra loro disomogenei, presentano esigenze di sicurezza diverse. Per questa ragione, il Piano Triennale ha previsto che:

  • per tutti quei servizi delle PA che sono considerati asset strategici o infrastrutture critiche del Paese (Anagrafe, Sistemi di pagamento verso la Pubblica Amministrazione, etc.), i PSN erogheranno servizi infrastrutturali di tipo Iaas/Paas, oltre all’hosting di servizi legacy, sotto il controllo diretto dello Stato.
  • Tutti i restanti servizi delle PA dovranno essere migrati sull’esistente Community Cloud (Cloud SPC Lotto1) e sui Cloud Service Provider (di seguito CSP) che saranno qualificati ai sensi della Circolare AgID N. 2 del 9 aprile 2018, oppure sostituiti con applicazioni erogate in modalità SaaS, qualificate ai sensi della Circolare AgID N. 3 del 9 aprile 2018.

Le singole PA vanno incentivate ad adottare progressivamente una strategia Cloud First che dovrebbe portare a scegliere in prima istanza le soluzioni SaaS maggiormente rispondenti alle esigenze concrete e/o più utili allo scopo perseguito e, qualora queste non fossero in grado di soddisfare le esigenze specifiche, le PA possono attingere alle risorse IaaS/PaaS del Cloud della PA, seguendo quanto indicato dalle “Linee Guida su acquisizione e riuso di software per le PA” di AgID.

Un marketplace per il Cloud

Per realizzare la strategia “Cloud First” è indispensabile che le Pubbliche Amministrazioni siano messe in condizione di scegliere i servizi e le soluzioni Cloud più idonee alle loro specifiche esigenze. Per rispondere a questa necessità il Piano Triennale ha definito il Marketplace per il Cloud della PA (di seguito Marketplace), ovvero un catalogo (analogo a quello organizzato dal Governo Britannico nell’ambito dell’iniziativa G-Cloud ) dei servizi IaaS, PaaS e SaaS qualificati da AgID che le amministrazioni possono consultare al fine di poter avviare le procedure di acquisizione nel rispetto delle norme vigenti.

Il nascituro Marketplace rappresenta una piattaforma in cui vengono esposte le soluzioni Iaas, Paas e Saas rivolte alle PA e qualificate da Agid secondo le procedure definite nelle circolari n. 2/2018 e 3/2018. Da un lato, i fornitori di servizi potranno qualificarsi e “immettere” i loro servizi nel Marketplace, dall’altro, le Pubbliche Amministrazioni potranno consultarli, compararli agevolmente (grazie ai criteri uniformi di classificazione adottati) e, infine, procedere ad acquisire quelli di volta in volta individuati come i più convenienti, secondo le procedure disciplinate dal Codice degli Appalti.

L’introduzione del Marketplace, pur non modificando le regole del procurement dei servizi digitali, rappresenta un’indubbia facilitazione per le PA, che saranno messe in condizione di scegliere i servizi più rispondenti alle loro necessità in maniera semplice e trasparente. AgID e il Team per la Trasformazione Digitale hanno già avviato lo sviluppo del marketplace cloud e prevedono che sia attivo entro la fine dell’anno.

Sicurezza & Privacy

Le recenti normative in materia di privacy e di sicurezza informatica impongono anche alle Pubbliche Amministrazioni l’adozione di misure tecniche e organizzative adeguate a garantire la sicurezza dei trattamenti. I nuovi concetti di privacy by design e privacy by default possono non risultare di facile implementazione, soprattutto se la singola PA gestisce in proprio tanto le infrastrutture fisiche quanto i servizi IT.

Il modello Cloud risulta vantaggioso anche sotto questo profilo: da un lato consente di ridurre gli ambiti di responsabilità alle sole attività di amministrazione svolte dalla PA, dall’altro introduce vantaggi operativi come l’applicazione immediata e centralizzata degli aggiornamenti e delle patch di sicurezza, metodi per l’audit e il controllo delle informazioni.

È importante, in ogni caso, ricordare che le problematiche connesse alla garanzia di sicurezza delle proprie infrastrutture richiedono un processo continuo e aggiornato di valutazione dei rischi e di individuazione delle soluzioni tecniche più adeguate per fronteggiarli.

La selezione delle migliori soluzioni Cloud offerte dal mercato in termini di sicurezza, affidabilità e privacy dovrà essere accompagnata da un costante e sistematico controllo dei livelli di sicurezza da parte di persone competenti ed esperte, possibilmente appartenenti al personale della PA, alla luce di quanto disposto dal DPCM del 17 febbraio 2017 in merito alle linee d’azione sulla cyber-security.

Il mercato

L’attuale modello di business incentrato su vendita di prodotti IT e supporto tecnico dovrà necessariamente cedere il passo a un nuovo modello basato sull’offerta di servizi tecnologici rispondenti alle mutate esigenze della Pubblica Amministrazione, anche in termini di compliance alle nuove direttive europee in materia di protezione dei dati personali e cyber-security³.

Un mercato in sicura espansione, all’interno del quale i soggetti economici, comprese le Piccole e Medie Imprese (PMI), dovranno competere per offrire servizi tecnologici sempre più sicuri, affidabili, innovativi ed economici.

Per questo, il settore privato assume un ruolo fondamentale di supporto alla trasformazione digitale del Paese e le società più innovative dovrebbero incentivare le PA ad acquisire questi nuovi servizi piuttosto che continuare l’ordinaria manutenzione di costose licenze e infrastrutture fisiche soggette a rapida obsolescenza.

Il processo di trasformazione

La strategia Cloud First necessita di un processo di migrazione che preveda strumenti e metodologie che abilitino e facilitino le PA a effettuare la dismissione delle strutture fisiche e l’aggiornamento delle applicazioni.

Nell’ambito del Piano Triennale, AgID e il Team Digitale hanno definito un percorso evolutivo che possa accompagnare le PA nel processo di trasformazione, prevedendo un vero e proprio programma di abilitazione al cloud nazionale (cd. Cloud Enablement Program – CEP) per la riorganizzazione dei processi IT in ambienti Cloud, e un ambiente di lavoro (Cloud Enablement Framework) che definisce risorse, metodologie e strumenti per attuarlo.

Le risorse

Gli elementi principali che caratterizzano questo percorso sono tre:

  1. la riduzione dei costi e il consolidamento delle infrastrutture;
  2. il consolidamento e il potenziamento delle competenze IT della PA mediante la creazione di Centri di Competenze (cd. Soggetti Aggregatori);
  3. la creazione di una comunità allargata di tecnici, esperti e manager dell’IT per discutere, proporre standard e regolamenti dei servizi digitali, condividere informazioni, soluzioni e competenze utili.

Per consolidare e potenziare le competenze IT della PA, il Cloud Enablement Program prevede innanzitutto l’individuazione di Centri di Competenze sul territorio che hanno lo scopo di consolidare il know how e l’esperienza relativa ai servizi Cloud nella PA e, con il supporto di AgID, svolgeranno anche la funzione di soggetti aggregatori, amministrando i servizi IT per conto di altre PA. A questi centri saranno, inoltre, affidate le attività di continuous improvement, di formazione, di gestione del cambiamento e di ottimizzazione delle risorse Cloud.

Il Cambiamento Culturale

La riuscita del processo di trasformazione è strettamente legata alle persone, quindi, oltre a ridefinire i processi, è necessario favorire un cambiamento culturale attraverso la creazione di una comunità tecnica allargata aperta a tutti i lavoratori, professionisti, esperti, cultori e promotori di tecnologie IT che vogliano contribuire al mantenimento e allo sviluppo dell’insieme dei servizi digitali pubblici, con l’obiettivo di costruire, condividere e promuovere le nuove competenze tecnologiche necessarie per la trasformazione digitale del Paese.

La comunità tecnica dovrebbe sfruttare l’onda lunga del movimento culturale, noto come movimento DevOps, per veicolare le idee chiave del cambiamento nell’ambito della pubblica amministrazione. Le idee chiave di tale filosofia DevOps possono riassumersi in cinque punti:

  • niente più silos: l’estremo isolamento della conoscenza dovuto a una rigida organizzazione verticale e alla mancanza di collaborazione sono spesso la causa di seri problemi organizzativi e funzionali all’interno del settore IT;
  • gli incidenti fanno parte della quotidianità: accettare questa realtà consente alle persone di evitare di nascondere i propri errori e le incentiva piuttosto ad attivarsi per risolverli e per risolvere gli incidenti occorsi;
  • i cambiamenti devono essere graduali: è importante che i cambiamenti nel software e nelle infrastrutture siano frequenti e graduali in modo che comportino un basso rischio. Le persone in questo modo possono allenarsi al cambiamento continuo;
  • misurare è fondamentale: per comprendere ciò che accade è di cruciale importanza affidarsi a misurazioni oggettive, che consentano di verificare i cambiamenti apportati e soprattutto di creare una base condivisa per l’analisi della situazione;
  • gli strumenti non bastano se manca una cultura organizzativa: l’attenzione verso gli strumenti di lavoro ed in particolare quelli di change management è una componente importante del movimento DevOps ma la chiave del successo va ricercata piuttosto nella capacità di adottare un nuovo modo di lavorare: una buona cultura organizzativa consente di aggirare la mancanza di strumenti, ma difficilmente può valere il contrario.

Perché è auspicabile che anche – e soprattutto – i dipendenti delle Pubbliche Amministrazioni partecipino a questa comunità allargata, rendendosi protagonisti attivi e promotori della trasformazione in atto?

La risposta a questa domanda può sembrare scontata: il cambiamento prospettato richiede lo sviluppo e il consolidamento di competenze attualmente carenti (se non del tutto assenti) nella PA.

L’investimento di risorse da destinarsi a colmare il gap di competenze renderà necessari programmi di formazione mirati che consentano ai lavoratori per primi di acquisire gli strumenti necessari a comprendere e governare i nuovi processi di lavoro, per lo più automatizzati.

Infatti, se da un lato l’automazione riduce drasticamente la necessità di manodopera impiegata in attività ripetitive, dall’altra aumenta la domanda di risorse umane necessarie a governare l’infrastruttura tramite lo sviluppo e l’amministrazione dei processi di automazione. Le PA avranno, pertanto, una crescente necessità di personale competente in grado di ricoprire ruoli e professionalità ad alta specializzazione, soprattutto sotto il profilo tecnologico, poiché la tecnologia aumenta il valore e l’importanza dell’aspetto cognitivo, valorizzando l’influenza del fattore umano man mano che migliorano gli strumenti a disposizione.

Questa è pertanto la sfida più complessa che il processo di trasformazione digitale del settore pubblico pone al mondo del lavoro ed all’organizzazione del pubblico impiego.


Note

[1] Sui vantaggi dell’adozione del paradigma Cloud già sperimentati in altri ordinamenti si rinvia alla Strategia Cloud del Governo Britannico, alla Strategia Cloud del Governo Australiano e alla Strategia Cloud del Governo degli Stati Uniti d’America.

[2] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27.04.2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati). Noto con l’acronimo di GDPR (General Data Protection Regulation) è entrato in vigore il 25.05.2016 e si applica in ciascuno Stato Membro a decorrere dal 25.05.2018.

[3] Cfr. il Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati), su cui vedi retro nota 2 e la Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (cd. NIS Directive).

[4] Per Cloud Enablement si intende il processo che abilita un’organizzazione a creare, operare e mantenere le proprie infrastrutture IT utilizzando tecnologie cloud. Nell’ottica del consolidamento e della razionalizzazione prevista dal Piano Triennale, tale attività è tesa, appunto, a riorganizzare i processi IT di detta organizzazione in ambienti di cloud pubblico, privato o ibrido. Il programma di Cloud enablement è l’insieme dei progetti specifici che consentono alle Pubbliche Amministrazioni di migrare le applicazioni in ambiente cloud.

[5] Il framework di lavoro definisce le risorse, le strategie, le metodologie e gli strumenti per attuare il Cloud Enablement Program della PA, ovvero l’insieme dei progetti, specifici per ogni PA, che porteranno alla migrazione delle applicazioni in ambiente cloud.

[6] Per approfondimenti, senza pretesa di esaustività: L. Fong-Jones, N. R. Murphy; B. Beyer, How SRE relates to DevOps, O’Reilly Media, Inc., 2018; N.Forsgren, J. Humble, G. Kim, Accelerate: The Science of Lean Software and DevOps: Building and Scaling High Performing Technology Organizations, 2018; N. R. Murphy, J. Petoff, C. Jones, B. Beyer, Site Reliability Engineering, O’Reilly Media, Inc., 2016.

[7] David Autor, professore del MIT, ci offre una lettura molto interessante che mette in luce come nella storia del lavoro questo pattern si ripeta periodicamente, vedi TEDx Cambridge talk settembre 2016.