Di Cloud Computing si parla sempre più spesso e di recente si sentono i primi interventi anche sul Cloud applicato alla Pubblica Amministrazione.
Interventi terroristici o interventi entusiastici, dal garante della privacy a grandi imprese nazionali e multinazionali.
Interventi tecnici che vedono il Cloud come la panacea e interventi giuridici che aggiungono qualche caveat.
In questo seminario illustriamo le opportunità e i rischi che la Pubblica Amministrazione deve tenere in considerazione quando decide di adottare soluzioni di Cloud Computing.
Scenari di Cloud Computing nella Pubblica Amministrazione: opportunità e rischi
1. Scenari di Cloud Computing nella
Pubblica Amministrazione:
Cloud Computing e PA
opportunità e rischi
http://www.flickr.com/photos/klaudi/3868845328/
Flavia Marzano
flavia (.) marzano (@) gmail (.) com
Flavia 1
2. Che cos’è questa nuvola? 1
Insieme di tecnologie informatiche che permettono l'utilizzo
remoto di risorse hardware o software distribuite
Cloud Computing e PA
potenzialmente ovunque nel mondo.
Tipologie di Cloud Computing:
• SaaS: Software as a Service - Consiste nell'utilizzo di
programmi in remoto, spesso attraverso un server web.
Questo acronimo condivide in parte la filosofia di un
termine oggi in disuso, ASP (Application Service Provider)
• PaaS: Platform as a Service - uno o più programmi
vengono eseguiti in remoto su una piattaforma software
che può essere costituita da diversi servizi, programmi,
librerie, etc.
Flavia 2
3. Che cos’è questa nuvola? 2
• IaaS Infrastructure as a Service - Utilizzo di risorse
Cloud Computing e PA
hardware in remoto. Questo tipo di Cloud è quasi un
sinonimo di Grid Computing (fondamentalmente calcolo
distribuito), ma le risorse vengono utilizzate su richiesta al
momento in cui un cliente ne ha bisogno, non vengono
assegnate a prescindere dal loro utilizzo effettivo.
Flavia 3
4. Casi d’uso
Il paradigma del cloud computing prevede tre attori distinti:
Cloud Computing e PA
1. Fornitore di servizi – Offre servizi (server virtuali,
storage, applicazioni complete) generalmente secondo un
modello "pay-per-use”;
2. Cliente amministratore – Sceglie e configura i servizi
offerti dal fornitore, generalmente offrendo un valore
aggiunto come ad esempio applicazioni software;
3. Cliente finale – Utilizza i servizi opportunamente
configurati dal cliente amministratore.
Flavia 4
5. Architettura
L'architettura del cloud computing prevede uno o più server
Cloud Computing e PA
reali, generalmente in architettura ad alta affidabilità e
fisicamente collocati presso i data center del fornitore del
servizio.
Il fornitore di servizi espone interfacce per elencare e gestire
i propri servizi.
Il cliente amministratore utilizza tali interfacce per
selezionare il servizio richiesto e per amministrarlo.
Il cliente finale utilizza il servizio configurato dal cliente
amministratore.
Flavia 5
7. Cloud pubblica e privata
“Microsoft distingue le cloud pubbliche da quelle private in
Cloud Computing e PA
base al fatto che le risorse IT siano condivise tra molte
organizzazioni distinte (cloud pubblica) o dedicate a una
sola organizzazione (cloud privata). Questa tassonomia è
illustrata nella figura seguente. Se confrontate con i data
center virtualizzati tradizionali, le cloud pubbliche e private
si avvalgono della gestione automatizzata (per risparmiare
su attività ripetitive) e hardware omogeneo (per ridurre il
costo e aumentare la flessibilità). A causa della natura
ampiamente condivisa delle cloud pubbliche, una differenza
principale tra cloud pubbliche e private sta nella scala e nel
livello a cui riescono a raggruppare la domanda.”
Flavia 7
9. Requisiti per la PA 1
La Pubblica Amministrazione che acquisisce sw deve
Cloud Computing e PA
garantire:
• Pluralismo e concorrenza
• Sicurezza dei dati
• Integrazione con il software già in uso
• Continuità, persistenza dei dati e interoperabilità
• Giusto rapporto prezzo/prestazioni
• Utilizzo di standard aperti
• Assenza di “lock-in” e “backdoor”
Flavia 9
10. Requisiti per la PA 2
Cloud Computing e PA
… e ancora
• non discriminazione verso nessuno
• trasparenza
• facilità d’uso
• rispetto della privacy
http://www.flickr.com/photos/creativecaos/2457990730/
• accessibilità
• diversità (deve essere possibile leggere documenti
pubblici senza dover acquisire alcun software, o licenza,
specifica; deve essere possibile accedere ai siti Web
della PA e utilizzarne i servizi usando qualunque tipo di
browser standard).
Flavia 10
12. Open G-Cloud… 1
• La Commissione Europea sottolinea l’importanza
Cloud Computing e PA
dell’Open Source nel Cloud (Expert group report, the
future of cloud computing : opportunities for european
cloud computing beyond 2010)
• Esempio di Open Cloud: Progetto OpenStack http://
www.openstack.org/, avviato da Rackspace, NASA e
supportato da oltre 53 imprese (fra le quali Dell,
Canonical, Cisco e Intel). Raccolta di tecnologie libere
finalizzate alla realizzazione di un sistema operativo
Cloud, scalabile e pienamente in linea con i principi
etico-giuridici del sw libero per promuovere la diffusione di
standard aperti.
Flavia 12
13. Open G-Cloud… 2
• Decreto Legislativo 12 febbraio 1993, n. 39, disciplina la
progettazione, lo sviluppo e la gestione dei sistemi
Cloud Computing e PA
informativi automatizzati delle amministrazioni (art. 1)
Menziona tra le finalità da perseguire quella del
contenimento dei costi dell'azione amministrativa (art. 1
comma 2) e che uno dei criteri cui deve ispirarsi lo
sviluppo dei sistemi informativi deve essere quello della
integrazione e interconnessione dei sistemi medesimi
(art. 1 comma 3).
• art. 63 del CAD, modalità di erogazione dei servizi in rete
delle pubbliche amministrazioni che prescrive il rispetto di
criteri di valutazione di efficacia, economicità ed utilità
e il perseguimento dell'obiettivo della migliore
soddisfazione dell'utente.
Flavia 13
14. Open G-Cloud… 3
L'Open Cloud Computing - specialmente per i servizi offerti
Cloud Computing e PA
in modalità Infrastructure-as-a-Service (IasS) o Platform-as-
a-Service (PaaS) – in virtù delle sue specificità (i.e standard
aperti ed interoperabili, disponibilità del codice sorgente
delle relative piattaforme software di base, interscambio
continuo con la Comunità FLOSS) si conforma
pienamente ai criteri e ai principi fissati dalle predette
disposizioni legislative e potrebbe essere adottato dalle
amministrazioni italiane per attuare efficaci politiche di e-
government, nell'ottica del contenimento dei costi e, al
tempo stesso, del potenziamento della qualità dei servizi.
Flavia 14
15. Open G-Cloud… 4
Disciplina dell'acquisizione di programmi informatici da parte
Cloud Computing e PA
della PA di cui agli artt. 68 e 69 del CAD, così come
modificati dagli artt. 49 e 50 del Decreto Legislativo 30
dicembre 2010, n. 235: le PA, nel rispetto delle prescrizioni
della Legge 7 agosto 1990, n. 241 e del Decreto
Legislativo 12 febbraio 1993, n. 39, sono tenute, ai fini
dell'acquisizione dei programmi informatici, ad effettuare una
preventiva valutazione comparativa delle diverse soluzioni
esistenti sul mercato (e tassativamente indicate dalla
disposizione in questione), fra le quali, espressamente,
rientra l'acquisizione di programmi a codice sorgente aperto.
Flavia 15
16. Open SaaS?
L'Open SaaS, si rivelerebbe una scelta ottimale, tenuto
Cloud Computing e PA
conto che le amministrazioni che intendono acquisire un
programma informatico devono – nell’ambito delle
procedure previste dal Decreto Legislativo 12 aprile 2006,
n. 163 (Codice dei Contratti Pubblici) – prendere in
considerazione, oltre agli altri criteri specificamente previsti,
anche il potenziale interesse di altre amministrazioni al
riuso dei programmi informatici, alla valorizzazione delle
competenze tecniche acquisite, alla più agevole
interoperabilità.
Flavia 16
17. Open Cloud Computing… un
nuovo modello di business
Cloud Computing e PA
Basare i servizi di Cloud Computing sul software libero
consente ai Provider non solo di contenere i costi per
l'acquisizione dei diritti di sfruttamento (destinando,
invece, tali risorse per altri fini, quali il potenziamento dei
servizi di assistenza o manutenzione e/o il potenziamento
delle risorse hardware) ma anche di poter realizzare, nel
rispetto degli obblighi stabiliti nelle relative licenze d'uso,
versioni derivate dei predetti programmi liberi, al fine
di offrire soluzioni più aderenti alle reali esigenze dei
clienti.
Flavia 17
18. Che cosa chiedo al Provider 1
1. Terms of Service, (Condizioni Generali di Utilizzo del
Cloud Computing e PA
Servizio), regola i rapporti tra Provider e Utente e,
tipicamente, conterrà clausole essenziali, quali, ad es. le
modalità di determinazione e corresponsione del
corrispettivo, il diritto applicabile, il foro competente, le
eventuali limitazioni di garanzia o le clausole di manleva;
2. Service Level Agreement, specifica i livelli quantitativi
del servizio offerto, unitamente alla liquidazione
anticipata di eventuali danni patiti dal cliente, con
riferimento ad eventuali malfunzionamenti o
discontinuità nella erogazione del servizio;
Flavia 18
19. Che cosa chiedo al Provider 2
3. Acceptable Use Policy, in cui il provider, individuando le
utilizzazioni vietate del servizio (i.e spam, phishing,
Cloud Computing e PA
comunicazioni commerciali non autorizzate etc.), mira a
minimizzare i rischi di incorrere in responsabilità di
carattere civile e/o penale per eventuali illeciti commessi
dagli utenti nell'utilizzo del servizio
4. Privacy Policy, in cui viene fornita la prescritta
informativa in materia di trattamento di dati personali, ai
sensi dell'art. 13 D.lgs 196/2003 e successive
modificazioni (con riferimento all'Italia), con particolare
riferimento, alla disciplina in materia di conservazione
dei dati e trasferimento dei dati all'estero.
Flavia 19
20. “L'unico modo possibile per elaborare,
rappresentare e diffondere
Cloud Computing e PA
informazioni che sostenga
uguaglianza e partecipazione è la
condivisione dei saperi e degli
strumenti per produrli.”
(http://www.binarioetico.org/)
Flavia 20
21. Trashware 1
Il trashware promuove una logica di riuso e non di spreco.
Di fronte al disastro ambientale provocato dall'enorme mole di
Cloud Computing e PA
PC che ogni anno vengono dismessi (parliamo di centinaia di
migliaia di macchine), Binario Etico lavora per allungare la
vita dei computer attraverso una gestione più efficiente del
software.
I PC vengono dismessi troppo rapidamente (in media 2-3
anni) in obbedienza a logiche di mercato che finiscono per
svantaggiare gli utenti finali. Abbiamo verificato che a rendere
obsoleto l'hardware è in realtà il software che viene usato,
spesso non ottimizzato e inutilmente sofisticato per gli utenti
comuni. Questi, nella maggior parte dei casi, avrebbero
bisogno di semplici programmi di scrittura, calcolo,
navigazione in Internet e grafica.
Flavia 21
22. Trashware 2
Invece la continua rincorsa tra hardware e software,
fomentata dalle grandi multinazionali dell'informatica,
Cloud Computing e PA
costringe all'acquisto di macchine sempre più potenti con le
quali si svolgono praticamente le stesse funzioni di dieci anni
fa.
Il Software Libero, invece, in virtù della natura aperta del
codice sorgente, consente ampi margini di ottimizzazione.
Lavorandoci con attenzione, un vecchio computer dismesso
può arrivare ad avere prestazioni paragonabili a quelle di
un PC di ultima generazione per determinati tipi di
applicazioni. Tra le varie distribuzioni disponibili, Binario Etico
ha scelto di lavorare con la distribuzione GNU/Linux Debian,
sia per ragioni tecniche sia politiche, in quanto si tratta di un
progetto non commerciale basato su un contratto sociale con
l'utente.
Flavia 22
23. Trashware e Cloud?
Cloud Computing e PA
http://www.flickr.com/photos/art_es_anna/1452762861/
Flavia 23
24. Criticità e rischi del Cloud
• Sicurezza. Dati vulnerabili ad attacchi e a manomissioni o
alla perdita o danneggiamento a seguito di disastri.
Cloud Computing e PA
• Limiti della rete Internet. il servizio fornito attraverso
Internet, e potrebbe risultare inaccessibile o troppo lento.
• Conformità a standard/normative. In molti Paesi sono in
vigore normative che impongono
modalità secondo cui i dati devono
essere archiviati e protetti.
• Interoperabilità. Enti di
standardizzazione come
Distributed Management Task
Force (DMTF) AMD, Cisco, Citrix,
EMC, HP,IBM, Intel, Microsoft,
Novell, RedHat, Sun Microsystems, http://www.ecologiae.com/riscaldamento-globale-
disastri-naturali/12550/
VMware.
http://www.pmi.it/hardware/articoli/8871/p3/cloud-computing-i-vantaggi-e-qualche-cautela.html
Flavia 24
26. I dolori del giovane Cloud
“L'attacco informatico che ha sottratto dati di 100
Cloud Computing e PA
milioni di utenti Playstation di Sony. Il problema a
un datacenter Aruba che ha mandato offline 1,5
milioni di siti italiani. Nelle stesse ore, il guasto a
Yahoo! Mail e Flickr. Pochi giorni prima, a siti su
piattaforma cloud di Amazon. Sono state due
settimane di passione per il cloud computing.“
http://www.ilsole24ore.com/art/tecnologie/2011-05-05/dolori-giovane-cloud-064725.shtml?
uuid=AaJlbRUD
Flavia 26
27. Il 21 Aprile di Amazon…
Il servizio cloud di Amazon su cui si basano siti molto noti
come Foursquare, Reddit, Quora e Friendfeed, il 21 aprile è
Cloud Computing e PA
andato giù lasciando milioni di utenti nel vuoto.
Le ragioni tecniche ci importano poco, ma migliaia di siti
sono stati interrotti, così come i relativi servizi (tempi di
latenza lunghissimi per quasi 24 ore)…
La Pubblica Amministrazione se lo può permettere?
In epoca pre-cloud, i tempi di inattività riguardavano solo un
singolo computer o sito web. Oggi, un evento catastrofico
porta giù migliaia di siti web, causando milioni o anche
miliardi di euro mancati introiti e una brusca
interruzione della produzione ed erogazione di servizi.
Flavia 27
28. L’affidabilità del Cloud http://www.ilsole24ore.com/art/
tecnologie/2011-04-28/laffidabilita-cloud-064548.shtml?
uuid=Aa7djVSD
Cloud Computing e PA
Flavia 28
29. I dati: chi? dove? protetti?
• Dove sono i miei dati?
Cloud Computing e PA
• Chi li detiene?
• Sotto quale giurisdizione?
• Sono protetti?
• Quanti e quali backup?
• Privacy?
• Art. 50bis del CAD
• Disaster recovery?
• Continuità operativa?
http://www.flickr.com/photos/aldoaldoz/4157667506/
Flavia 29
30. Vendor lock-in
È essenziale garantirsi l’indipendenza dai
fornitori, svincolarsi dalle scelte tecnologiche
Cloud Computing e PA
del fornitore (dettate più da esigenze competitive
che dalla ricerca di una reale efficienza e qualità
dei prodotti. Talora i fornitori fanno politiche di
lock-in (blocco): offerte molto basse per
aggiudicarsi le forniture, e, una volta che il loro
programma/servizio è in uso e controlla dati
strategici, alzano i prezzi.
http://www.flickr.com/photos/ Per la PA diventa costoso e/o difficile cambiare
orsorama/48429731/
prodotto. Il più delle volte si deve cedere al
ricatto e pagare un prezzo elevato (ma
comunque inferiore al costo del cambiamento). In
alternativa, si deve ripartire da zero, perdendo
l’investimento fatto non solo nel programma, ma
anche nell’addestramento del personale e nello
sforzo di digitalizzazione dei dati.
Flavia 30
31. Niente Cloud in Danimarca
L’Autorità Danese per la protezione dei dati (DPA), il 3
febbraio 2011, ha emesso una risoluzione (2010-52-0138),
Cloud Computing e PA
che respinge l’uso di servizi Cloud Computing di Google da
parte delle scuole del Comune di Odense.
La regione?
Rischi sulla sicurezza!
Il consiglio dato: seguire le indicazioni
di ENISA European Network and
Information Security Agency.
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport
Foto: http://www.flickr.com/photos/nivesevin/443523541/#/photos/nivesevin/443523541/lightbox/
Flavia 31
32. …e il Garante della Privacy…
"La direttiva UE sulla privacy è
obsoleta, bisogna rivederla con un
Cloud Computing e PA
accordo internazionale. E,
nell'attesa, sarebbe opportuno che i
fornitori "notificassero" (cioè
sottoponessero) i propri servizi
cloud ai Garanti europei".
La Commissione europea http://www.flickr.com/photos/forumpa/3529080848/
presenterà una proposta di modifica
della normativa privacy e prevede
di imporre alle aziende di trattare i
dati dei cittadini europei secondo le
regole europee.
Flavia 32
33. Termini d’uso
a. Che cosa compro? Servizi, software, hardware,…
Cloud Computing e PA
b. Pay per use? Che cosa metto a bilancio?
c. Quali SLA (Service Level Agreement)?
d. “Gli utenti devono essere in grado di cambiare il
proprio cloud provider il più rapidamente e facilmente
possibile come la modifica del fornitore internet o
mobile lo è diventata in molti posti“, ha dichiarato il
commissario europeo Neelie Kroes.
Flavia 33
34. … ma ci sono tanti plus…
• Il mercato della PA in Italia nel 2012 dovrebbe valere 300
Cloud Computing e PA
milioni di euro per i servizi Cloud (Fonte IDC)
• Riduzione di costi e sprechi, economie di scala
• Competitività per le PMI
• Scalabilità, Flessibilità, Efficienza, Continuità operativa…
• Accesso ovunque
• Favorisce una governance unitaria e una efficace
cooperazione applicativa (Carlo Mochi Sismondi)
Flavia 34
35. Cloud Computing e PA
Se vuoi vedere le valli, sali in vetta a
una montagna; se vuoi vedere la vetta
di una montagna, sali su una nuvola;
se invece aspiri a comprendere la
nuvola, chiudi gli occhi e pensa
(Kahlil Gibran)
Flavia 35
36. Domande da farsi…prima!
a. Banda larga?
b. Cloud pubblica o privata?
Cloud Computing e PA
c. Sistemi di controllo per le PII (Personally Indentifiable
Information)?
d. Quali confini delle responsabilità dei diversi player?
?
e. Pluralismo e concorrenza
?
f. Sicurezza dei dati
g. Integrazione con il software già in uso
h. Continuità, persistenza dei dati e interoperabilità
?
i. Giusto rapporto prezzo/prestazioni
??
j. Utilizzo di standard aperti
?
k. Assenza di “lock-in” e “backdoor”
l. Trasparenza, Facilità d’uso, Privacy
m. Accessibilità
n. Licenza? AGPL
http://it.wikipedia.org/wiki/GNU_Affero_General_Public_License
Flavia 36
39. Open ecosystem
• Nessuna guerra di religione… non facciamo l’errore di
Cloud Computing e PA
tarpare le ali a questo nuovo mercato
• Nessuna furia iconoclasta
• Solo attenzione e prevenzione!
http://occi-wg.org/
Flavia 39
41. Grazie dell'attenzione!
Cloud Computing e PA
Flavia Marzano
flavia (.) marzano (@) gmail (.) com
Questo documento, nelle sue parti originali, è coperto da licenza Creative
Commons: Attribuzione, Non commerciale, Condividi allo stesso modo
Alcune definizioni e descrizioni sono state liberamente tratte da siti e/o
documenti di: Wikipedia - http://www.binarioetico.org - Roberto Alma, Paul
Bodenham, Irene Sigismondi, Massimiliano Gambardella -
Flavia 41