Relazione Annuale 2007

Transcript

1 Servizio Sistemi Informativi Relazione Annuale 2007 Lo stato dell'informatizzazione in APSS Redatto da: Nucleo Gestione Innovazione e Fornitori IT Versione: /05/08 Data emissione: Indice generale Indice delle figure...iv Indice delle tabelle...v Introduzione e guida alla lettura Premessa e considerazioni di sintesi Sintesi dell esito della rilevazione I servizi ai cittadini e alle imprese I servizi per il funzionamento e trasversali Il patrimonio applicativo e le basi di dati L infrastruttura tecnologica L organizzazione, il personale e la formazione La sicurezza La spesa I servizi ai cittadini ed alle imprese I servizi, gli utenti e il digital divide I servizi on line Le procedure di autenticazione per l accesso ai servizi on line I siti istituzionali I portali tematici CUP DIA Anagrafe I contact center URP IT CUP L accessibilità ai siti e ai portali...24 i

2 2.9 La customer satisfaction IT Deloitte La firma digitale I servizi per il funzionamento e trasversali Lo stato complessivo dei servizi di supporto al funzionamento I sistemi contabili e per il personale Il protocollo informatico Intranet La posta elettronica La posta elettronica certificata Il patrimonio applicativo ed informativo Le dimensioni del patrimonio applicativo Fornitore GPI Fornitore IT Fornitore SSI Altri fornitori L utilizzo di software open source Il riuso del software Le basi di dati I data warehouse L infrastruttura tecnologica Lo stato complessivo dell infrastruttura IT Gli elaboratori centrali e i server Le postazioni di lavoro La connettività e l accesso ad internet Lo stato dell SPC/RUPA Lo stato della TELPAT La Rete internazionale della pubblica amministrazione (RIPA) L utilizzo delle tecnologie emergenti L organizzazione ICT e l utenza interna Il personale ICT L impiego del personale ICT nelle diverse attività La formazione degli addetti ICT I rapporti del settore ICT con gli utenti interni La formazione degli utenti La sicurezza...68 Il questionario CNIPA sulla sicurezza La sicurezza logica - KPI La sicurezza dell infrastruttura - KPI La sicurezza dei servizi - KPI La sicurezza dell organizzazione - KPI Le linee evolutive delle amministrazioni La spesa per l informatica I volumi di spesa La spesa per componenti del sistema informatico La spesa per dipendente e postazione di lavoro Indicatori Indicatori di spesa Indicatori tecnologici...83 ii

3 11.3 Indicatori di copertura Indicatori organizzativi Indicatori di connettività...85 Bibliografia...86 Glossario...87 iii

4 Indice delle figure Illustrazione 1: Modello di rappresentazione del Sistema Informativo della PA...1 Illustrazione 2: Grado di copertura funzionale attuale (2006)...28 Illustrazione 3: Principali applicativi in uso (2006)...34 Illustrazione 4: Casse interazioni con altri sistemi interni ed esterni...43 Illustrazione 5: SIT - interazioni con altri sistemi interni ed esterni...45 Illustrazione 6: SIO - interazioni con altri sistemi interni ed esterni...47 Illustrazione 7: RIS - interazioni con altri sistemi interni ed esterni...49 iv

5 Indice delle tabelle Tabella 1: I servizi ai cittadini ed alle imprese - riepilogo...4 Tabella 2: I servizi per il funzionamento e trasversali - riepilogo...6 Tabella 3: Il patrimonio applicativo e le basi di dati - riepilogo...6 Tabella 4: L'infrastruttura tecnologica - riepilogo...7 Tabella 5: Sistemi informativi - infrastruttura tecnologica, anni riepilogo...8 Tabella 6: Sistemi informativi - infrastruttura tecnologica - composizione, anno riepilogo...8 Tabella 7: L'organizzazione, il personale e la formazione riepilogo...8 Tabella 8: Risultati questionario sulla sicurezza - riepilogo...10 Tabella 9: Spesa informatica complessiva (in migliaia di ) - riepilogo...10 Tabella 10: Spesa informatica complessiva per risorse, anni (migliaia di ) - riepilogo. 11 Tabella 11: La spesa informatica : spesa esterna (sinistra) e spesa complessiva (destra). 11 Tabella 12: Servizi online, anni Tabella 13: Servizi on line per livello di interazione, anni Tabella 14: Diffusione delle diverse procedure di accesso ai servizi on line, anno Tabella 15: Siti gestiti, visite ed accessi alla home page, anni Tabella 16: Elenco dei servizi integrati resi disponibili on line al 31 dicembre Tabella 17: CUP - accessi attraverso il servizio WEB...20 Tabella 18: Contact center, anni Tabella 19: Canali di attivazione del servizio contact center IT...23 Tabella 20: CUP accessi attraverso il call-center e gli sportelli distrettuali...24 Tabella 21: Customer Satisfaction IT - indici CSI...25 Tabella 22: Customer Satisfaction Deloitte - SSI...26 Tabella 23: Struttura funzionale di riferimento - macroaree...30 Tabella 24: Servizi disponibili sulla intranet, anni Tabella 25: Caselle di posta e messaggi scambiati, anni Tabella 26: Caselle di posta attive - composizione, anno Tabella 27: Applicazioni di base...35 Tabella 28: Applicazioni per la gestione aziendale e servizi comuni...36 Tabella 29: Applicazioni sanitarie...39 Tabella 30: Rapporti con i cittadini e partner aziendali...40 Tabella 31: Principali prodotto open source utilizzati...51 Tabella 32: Basi di dati, anno 2007 e variazione percentuale rispetto al Tabella 33: Installazioni Oracle in produzione (in GigaByte)...53 Tabella 34: Basi di dati accessibili dall'esterno...53 Tabella 35: Infrastruttura di base, anni Tabella 36: Personal computer desktop e portatili - anni Tabella 37: Personal computer desktop - Numero e indicatori di copertura, anni Tabella 38: Personal computer portatili - Numero, incidenze e copertura, anni Tabella 39: Stampanti e monitor, riepilogo anni Tabella 40: Indicatori di connettività, anni (in percentuale)...57 Tabella 41: Utenti collegati - composizione, anno Tabella 42: Indicatori di connettività wireless, anni (in percentuale)...58 Tabella 43: Percentuale di Pdl con accesso ad internet, anni Tabella 44: Indicatore di connettività ad Internet in banda larga, anni (in percentuale)..58 Tabella 45: Ampiezza di banda, spesa sostenuta e dati di traffico http/ , anni Tabella 46: Tecnologie emergenti...59 v

6 Tabella 47: Addetti ICT, numerosità, anni persona FTE e % su informatizzabili, anni Tabella 48: Dipendenti informatizzabili e totali, anni Tabella 49: Attività degli addetti ICT, anno 2007 (distribuzione percentuale)...62 Tabella 50: Impegno degli addetti ICT nella formazione, anni (in percentuale)...62 Tabella 51: La formazione degli addetti ICT, anni Tabella 52: Soggetti coinvolti nel processo di Demand Management...64 Tabella 53: GRU - Statistiche di utilizzo del sistema, anni Tabella 54: GRU - Tipologia di accesso per ruolo, anni Tabella 55: GRU - Tempi medi per tipologia di risposta (in giorni), anni Tabella 56: GRU - Andamento richieste per tipologia, anni Tabella 57: La formazione degli utenti ICT, anni Tabella 58: Le ore di formazione fruite dai dipendenti, anni Tabella 59: Questionario sulla sicurezza - Le soglie utilizzate ed i valori minimi attesi...69 Tabella 60: Questionario sulla sicurezza - Riepilogo dei risultati...70 Tabella 61: Quesiti e risultati relativi al KPI Tabella 62: Comparazione risultati KPI1, CNIPA (lato sinistro) APSS (lato destro)...73 Tabella 63: Quesiti e risultati relativi al KPI Tabella 64: Comparazione risultati KPI2, CNIPA (lato sinistro) APSS (lato destro)...74 Tabella 65: Quesiti e risultati relativi al KPI Tabella 66: Comparazione risultati KPI3, CNIPA (lato sinistro) APSS (lato destro)...76 Tabella 67: Quesiti e risultati relativi al KPI Tabella 68: Comparazione risultati KPI4, CNIPA (lato sinistro) APSS (lato destro)...79 Tabella 69: Spesa esterna per l'informatica, anni (in )...81 Tabella 70: Spesa informatica complessiva per componente, anni (in )...82 Tabella 71: Spesa informatica complessiva per dipendente e Pdl, anni (migliaia di )...82 Tabella 72: Indicatori di spesa - riepilogo...83 Tabella 73: Indicatori tecnologici - riepilogo...83 Tabella 74: Indicatori di copertura - riepilogo...84 Tabella 75: Indicatori organizzativi - riepilogo...85 Tabella 76: Indicatori di connettività - riepilogo...85 Tabella 77: Espressioni utilizzate nelle tabelle...91 Tabella 78: Espressioni sanitarie utilizzate nel documento...92 vi

7 Introduzione e guida alla lettura Il presente documento evidenzia lo stato dell'informatizzazione in APSS ed in particolar modo quello relativo al Servizio Sistemi Informativi (SSI) con specifico riferimento al livello di utilizzazione effettiva delle tecnologie impiegate, alle risorse umane utilizzate ed ai relativi costi e benefici. La struttura del documento (e, di conseguenza, la numerazione dei singoli paragrafi in esso contenuti) è derivata direttamente dalla relazione CNIPA di riferimento [1], ed i dati riportati sono riferiti, principalmente, agli anni In figura 1 viene descritta la modalità logica da seguire per la lettura della relazione ed, in particolare, dei capitoli che vanno dal numero 2 al numero 8. Come si può notare dalla figura, la vista è focalizzata sull utente che accede al sistema informativo della pubblica amministrazione. Illustrazione 1: Modello di rappresentazione del Sistema Informativo della PA Il modello pone al centro dell'attenzione l'utente, il quale, tramite diverse modalità tecnologiche (web, chioschi telematici, mobile, etc.) che si affiancano a quelle tradizionali (URP), accede ai servizi telematici erogati dalla pubblica amministrazione. Questi servizi, oltre a fornire informazioni di carattere generale, consentono anche di interagire con i dati personali presenti nelle basi di dati (patrimonio informativo) del sistema. Per la loro erogazione, il sistema utilizza diverse componenti: l infrastruttura tecnologica e di rete, il patrimonio applicativo, il patrimonio informativo e l organizzazione ICT. L erogazione viene garantita e filtrata attraverso un sistema di sicurezza. In ogni caso il sistema per funzionare necessita di servizi trasversali e servizi di funzionamento. Di seguito si riporta una breve descrizione di ciascuna componente del modello: utente: s intende il cittadino o l impresa che utilizza i servizi messi a disposizione dalla PA; modalità di accesso ai servizi: sono le modalità di comunicazione che consentono agli utenti di interagire con i sistemi informativi della PA. Quelle attualmente disponibili sono: 1/92

8 il Contact center (call center / ); l URP (uffici relazione con il pubblico); i punti pubblici di accesso collegati in rete (chioschi telematici); i siti web (siti istituzionali/portali tematici, etc.); SMS, TDT (tv digitale terrestre); servizi: sono i servizi offerti dalle amministrazioni raggruppati per aree tematiche. Questi si distinguono, per la modalità di fruizione, in servizi on line attraverso i quali l utente può autonomamente accedere/fornire informazioni, oppure servizi con operatore mediante i quali l utente può accedere/fornire informazioni tramite un operatore o un intermediario; servizi trasversali: sono i servizi presenti all interno delle amministrazioni che vengono utilizzati da tutti i dipendenti (intranet, posta elettronica, protocollo informatico, ecc.); servizi di funzionamento: sono i servizi di supporto al funzionamento interno dell amministrazione (personale, contabilità, logistica, magazzino, etc.); patrimonio informativo: è l insieme delle informazioni organizzate in basi di dati; patrimonio applicativo: è l insieme delle applicazioni informatiche che interagiscono con le basi di dati e con l infrastruttura tecnologica al fine di erogare servizi; infrastruttura tecnologica e di connettività: è costituita dall infrastruttura tecnologica e dalle reti di comunicazione; sicurezza ICT: è la struttura tecnica e organizzativa che garantisce la sicurezza dei dati e la continuità operativa dei servizi, oltre a prevenire gli accessi non autorizzati; organizzazione ICT: è la struttura preposta allo sviluppo ed alla gestione dei sistemi informativi automatizzati, nonché al livello di utilizzo di personale informatico capace d indirizzare, governare e controllare gli interventi sui sistemi informativi e di raccordarli con le trasformazioni organizzative. Il documento fornisce lo stato delle diverse componenti dei sistemi informativi relativi alla APSS (capitoli 2-7) e la situazione della spesa (capitolo 8). Lo stato dei sistemi informativi tipici di una PA riguarda infatti: i servizi verso l esterno (capitolo 2); i servizi interni per il funzionamento (capitolo 3); il patrimonio informativo e applicativo (capitolo 4); l infrastruttura tecnologica (capitolo 5); l organizzazione, il personale e la formazione (capitolo 6); la sicurezza dei sistemi (capitolo 7). Il capitolo 1 è suddiviso in sezioni specifiche che rappresentano una sintesi dei dati raccolti ed elaborati nei relativi capitoli sopradescritti (ai quali, di conseguenza, si rimanda per una definizione puntuale delle categorie/terminologie eventualmente introdotte). Il capitolo 11 propone una serie di indicatori utili a fornire un consuntivo dei dati raccolti; segue un glossario per migliorare la comprensibilità dei contenuti del documento. 2/92

9 1 Premessa e considerazioni di sintesi L Azienda Provinciale per i Servizi Sanitari (d ora in avanti denominata APSS o semplicemente Azienda) è l ente di diritto pubblico strumentale della Provincia Autonoma di Trento, con la missione di gestire in modo coordinato i servizi e le attività sanitarie pubbliche per l intero territorio provinciale secondo quanto previsto dalla legge, dal piano sanitario provinciale e dalle direttive della Giunta provinciale. La visione dell APSS è quella di un organizzazione che modella in modo coordinato i processi assistenziali e organizzativi attorno alle legittime esigenze e aspettative dei cittadini, conciliando la centralità dei cittadini stessi con le esigenze e le aspettative, altrettanto legittime, di tutte le altre parti interessate al funzionamento dell Azienda. L APSS coincide territorialmente con l intera provincia di Trento. È articolata in 7 Direzioni/Servizi Centrali, 13 Distretti Sanitari (con o senza Presidio Ospedaliero) e 2 Ospedali, quello di Trento e quello di Rovereto. L'Azienda provvede a gestire ed erogare l'assistenza sanitaria pubblica nel rispetto dei "LEA" (Livelli Essenziali di Assistenza): assistenza sanitaria collettiva in ambiente di vita e di lavoro, assistenza territoriale ed assistenza ospedaliera. Di seguito alcuni dati numerici utili a dimensionare il livello di attività e complessità dell APSS: Bacino d utenza: persone; Spesa sanitaria complessiva: milioni di (2007); Posti letto: 2.510; Ricoveri/anno: oltre ; Prestazioni specialistiche/anno: oltre 7,8 Milioni; Dipendenti: ca ; Utenti dei sistemi informativi: (utenti); Server: circa 120, postazioni di lavoro: (PC); Addetti del Servizio Sistemi Informativi: ca. 60. Nelle tabelle e nelle tavole statistiche riportate nel presente documento sono stati utilizzati i seguenti segni convenzionali: 'ND' quando il fenomeno in oggetto non esiste (ad es. un servizio non è attivo); '-' quando il fenomeno esiste, ma non è stato rilevato (ad es. il dato non è disponibile). La struttura ed i dati in esse contenuti (compatibilmente con l'effettiva disponibilità) seguono fedelmente lo schema tracciato nella relazione di riferimento, opportunamente contestualizzato alla realtà aziendale, ove necessario. 1.1 Sintesi dell esito della rilevazione L'analisi dei dati raccolti evidenzia l'incremento di importanza del processo di informatizzazione in Azienda sia nell'ambito dei servizi erogati che della crescita delle infrastrutture, nonostante 3/92

10 un'ulteriore riduzione della spesa esterna per beni e servizi ICT rilevata rispetto al I servizi ai cittadini e alle imprese SERVIZI EROGATI ON LINE 1 APSS Totale servizi erogati Numero Servizi di livello 3 Servizi di livello 4 Servizi di livello 3 e 4 Servizi di livello 3 e 4 con intermediario TRANSAZIONI EFFETTUATE Numero % del totale dei servizi erogati 20 15,38 13,33 Numero % del totale dei servizi erogati 10 23,08 26,67 Numero % del totale dei servizi erogati 30 38,46 40 Numero % del totale dei servizi di livello 3 e ,67 Numero totale di transazioni Migliaia Numero di transazioni dei servizi più utilizzati (CUP) PROCEDURE DI ACCESSO AI SERVIZI Migliaia - 11,84 17,83 Servizi con procedure di identificazione % del totale dei servizi erogati 20 38,46 53,33 Servizi che utilizzano certificati di autenticazione SITI ISTITUZIONALI % del totale dei servizi erogati Siti Numero Numero di visite Milioni - 0,57 1,11 CONTACT CENTER Numero di contact center Numero MISURAZIONE DELLA CUSTOMER SATISFACTION Servizi con misurazione FIRME DIGITALI Numero % del totale dei servizi erogati 10 7,69 6,67 Totale firme rilasciate Numero (certificati) Tabella 1: I servizi ai cittadini ed alle imprese - riepilogo 1 Per maggiori informazioni relative alla classificazione qui utilizzata, consultare I servizi on line (pag. 12). 4/92

11 Per quanto riguarda i servizi ai cittadini ed alle imprese, il confronto fra i dati del periodo mostra un incremento delle diverse variabili ed indicatori. Il numero dei servizi disponibili cresce del 50%, passando da 10 a 15 unità (+15,38% rispetto al 2006). Le quote percentuali di quelli che consentono di avviare on line il servizio con la presa in carico della documentazione da parte dell'azienda (servizi di livello 3, 13,33%) e di quelli che permettono di completare il servizio, compreso l'eventuale pagamento, (servizi di livello 4, 26,67%) mostrano, in termini assoluti, un trend costante nel primo caso (2 unità) ed un deciso incremento nel secondo (da 1 a 4 unità). Per queste due importanti categorie di servizi, solo il 16,67% (pari ad 1 unità) richiede la presenza di un intermediario. Il numero di transazioni effettuate on line per i servizi offerti dal sistema CUP è di ca unità nel Ad oltre la metà dei servizi (53,33%) si accede attraverso procedure di identificazione; nessun servizio richiede l'uso di certificati. Molto limitata (6,67%, pari ad 1 unità) la misurazione della customer satisfaction in relazione ai 15 servizi censiti. I dati relativi alle attività di misurazione della stessa per i servizi interni sono invece riportati al 2.9 ('La customer satisfaction', pag. 24). L'accesso ai siti istituzionali segna un evidente incremento: il numero di visite passa da 0,57 milioni nel 2006 a 1,11 nel 2007 (+94,73%). I contact center presenti rimangono costanti (3 unità) nel periodo di riferimento, uguale trend si registra anche per le firme digitali rilasciate (30 certificati) I servizi per il funzionamento e trasversali Relativamente ai servizi per il funzionamento si registra l'utilizzo pervasivo di strumenti informatici nell'ambito dei sistemi contabili e, nel campo dei sistemi del personale, ciò avviene anche in relazione al trattamento economico ed alla gestione amministrativa. Va rilevata l'introduzione del cosiddetto cedolino elettronico, ossia del cedolino stipendiale distribuito, in posta elettronica o tramite accesso ad un sito web, secondo le disposizioni della legge finanziaria del 2005 e del successivo DM di attuazione emesso all'inizio del E' attivo un sistema di protocollo informatico che sarà aggiornato nel corso dell'anno 2008 al fine di ottenere maggiori funzionalità ed aderenza agli standard. Per quanto riguarda i cosiddetti sistemi trasversali, a seguito di gara europea, l'amministrazione continua ad arricchire la rete Intranet con nuovi servizi informativi e di condivisione di documenti tra i dipendenti. Cresce il numero di caselle di posta elettronica attive (dalle del 2005 alle del 2007, +34,41%). Per quanto riguarda il 2007 il numero di messaggi interni è stato pari a ca. 1 milione di unità e quello dei messaggi esterni a ca. 1,7 milioni di unità. In relazione ai servizi di posta elettronica certificata sono stata acquisite ca. 50 caselle attraverso IT/ InfoCamere destinate a vari servizi (ad es. per il protocollo informatico), tuttavia, allo stato attuale, risultano scarsamente utilizzate. Nella tabella 2 è riportato il riepilogo delle caratteristiche di alcuni dei servizi per il funzionamento e trasversali attivi in Azienda. 5/92

12 Intranet APSS Servizi trasversali Attiva Caselle di posta elettronica Numero Messaggi di posta elettronica interni Numero in migliaia Messaggi di posta elettronica esterni Numero in migliaia Tabella 2: I servizi per il funzionamento e trasversali - riepilogo Il patrimonio applicativo e le basi di dati Il patrimonio applicativo dell'azienda è molto consistente ed è composto da oltre 400 applicativi di differenti dimensioni; negli ultimi anni si è proceduto ad una progressiva razionalizzazione e unificazione dei principali sistemi gestionali in un'ottica di integrazione di processo (ad es. SIO, SIT, LIS/RIS, SID). Cresce l'utilizzo di soluzioni open source per sistemi o applicazioni, mentre la pratica del riuso del software si evidenzia in un singolo caso (vendita del software per la gestione del SerT ad altre regioni italiane). Il numero delle basi di dati (considerando quelle maggiormente significative) cresce passando da 18 nel 2005 a 25 nel 2006 ed a 26 nel 2007; la loro dimensione complessiva è pari a ca. 560 gigabyte. Allo stato attuale sono accessibili dall'esterno dell'azienda numero 4 basi di dati per un totale di circa 0,017Tb. Continua lo sviluppo dei data warehouse quale strumento di supporto al processo di valutazione e controllo strategico dell'amministrazione: nel 2007 risultano attivi 3 sistemi dotati di tali caratteristiche. APSS PATRIMONIO APPLICATIVO Applicazioni Numero - > 400 > 400 PATRIMONIO INFORMATIVO Basi di dati Numero Dimensione basi di dati Numero terabyte - - 0,56 Basi di dati accessibili ad altre PA o dall'esterno Numero Dimensioni basi di dati accessibili Numero terabyte - - 0,017 Data warehouse Numero Tabella 3: Il patrimonio applicativo e le basi di dati - riepilogo 6/92

13 1.1.4 L infrastruttura tecnologica APSS INFRASTRUTTURA DI BASE Sistemi grandi Numero Sistemi medi Numero (stima) Sistemi di memorizzazione Numero terabyte ,5 Pdl totali Numero PC desktop in uso al personale Numero PC desktop in uso a terzi Numero PC portatili Numero PC desktop in uso al personale/dipendenti informat ,65 PC portatili/dipendenti informatizzabili - - 0,05 CONNETTIVITÀ Pdl in rete locale % sul totale delle Pdl 99,54 99, Pdl in rete geografica % sul totale delle Pdl 99,54 99, Pdl con accesso a internet % sul totale delle Pdl ,99 Pdl con accesso a internet in banda larga % sul totale delle Pdl ,99 Banda disponibile (RUPA) Mbit/s ND 2 2 Tabella 4: L'infrastruttura tecnologica - riepilogo Aumenta nel 2007 il numero di server di grandi dimensioni (6 unità nel 2006, 7 nel 2007, +16,66%), mentre quelli di medie dimensioni rimangono sostanzialmente costanti (pari a ca. 100 unità). Le dimensioni delle memorie di massa disponibili nel 2007 risultano pari a ca. 13,5 Terabyte. Anche le postazioni di lavoro complessive (il numero di postazioni di lavoro è ottenuto sommando i PC desktop e portatili in uso al personale e i PC di proprietà dell'amministrazione in uso a terzi) aumentano (sono 4.499, con un incremento del 11,47% rispetto al 2006 e del 21,36% rispetto al 2005) in ragione dell'incremento sia dei PC desktop (+12,03%) che dei portatili (+48,13%). Il livello di copertura complessivo (rapporto tra PC desktop in uso al personale e dipendenti informatizzabili) nel 2007 è pari a ca. 0,65, mentre il livello di copertura dei portatili, nello stesso periodo di riferimento, risulta essere pari a 0,05. Le postazioni di lavoro connesse in rete locale e geografica sono pari al 100%, mentre nel 2006 erano pari al 99,54%. Aumenta la percentuale di computer connessi ad Internet con collegamenti a banda larga (>=128 Kbit/s) che passa dal 99% del 2006 a ca. il 100% del 2007, mentre è ancora bassa la diffusione delle reti wireless. Rimane costante la banda disponibile sulla rete RUPA (2Mbit/s) in attesa dell'aggiornamento ad 8Mbit/s, tuttavia non è stato generato traffico nel periodo di osservazione su tale infrastruttura. Tra le tecnologie emergenti si registrano, nel 2007, sperimentazioni nell'ambito del VoIP, degli RFID e delle biometria, mentre sono già attive soluzioni mobile e Wi-Fi. Non esistono, attualmente, piani per l'utilizzo della tecnologia Wi-Max. 7/92

14 Le tabelle 5 e 6 riportano alcuni dati di sintesi relativi all'infrastruttura tecnologica aziendale, evidenziando l'incidenza della componente interna e quella delle strutture esterne accreditate in relazione all'anno APSS Valore assoluto % di incremento / /2004 Postazioni di lavoro ,47 37,29 Utenti collegati ,00 62,44 Caselle di posta ,81 57,84 Tabella 5: Sistemi informativi - infrastruttura tecnologica, anni riepilogo APSS Totale APSS Esterni 2 %Esterni/Totale Postazioni di lavoro ,58 Utenti collegati ,03 Caselle di posta ,95 Tabella 6: Sistemi informativi - infrastruttura tecnologica - composizione, anno riepilogo L organizzazione, il personale e la formazione ADDETTI ICT APSS Addetti ICT Numero Addetti ICT Numero FTE 50,67 50,67 50,2 Addetti ICT / dipendenti informatizzabili % sul totale dei dipendenti informatizzabili Impegno degli addetti ICT nella formazione % sul totale dell'impegno disponibile FORMAZIONE UTENTI ICT - - 0,9 0,0015 0,0043 0,0061 Giornate allievo Numero Numero allievi Numero Tabella 7: L'organizzazione, il personale e la formazione riepilogo Il numero degli addetti ICT (57 unità) rimane praticamente invariato nel periodo di osservazione e nell'anno 2007 si riscontra un rapporto tra addetti ICT e numero dei dipendenti informatizzabili pari a 0,9%. Le risorse ICT interne sono impiegate in attività di sviluppo, gestione e manutenzione dei sistemi. Si segnala una bassa percentuale di impegno degli addetti ICT nella formazione. Per quanto riguarda i rapporti di cooperazione e di comunicazione tra gli utenti interni del sistema e il settore ICT, esiste una struttura di assistenza agli utenti che, generalmente, è in grado di fornire 2 Strutture accreditate, RSA, MMG-PLS 8/92

15 supporto a tutte le procedure in esercizio. I dati relativi alla formazione degli utenti ICT evidenziano un'elevata variabilità delle attività svolte nel corso degli anni in oggetto; il trend, tuttavia, appare decrescente. La conoscenza effettiva degli strumenti informatici di base da parte dei dipendenti risulta comunque diffusa, anche se formalmente non certificata La sicurezza La rilevazione sullo stato della sicurezza ICT in APSS adotta un modello comune per la sicurezza che si basa sulla identificazione di quattro indicatori (Key Performance Indicator, KPI) che misurano, rispettivamente, la sicurezza logica, dell infrastruttura, dei servizi e dell organizzazione (come sintetizzato in tabella 8). Il questionario utilizzato per tale attività [2] consta di 36 quesiti principali (a cui si aggiungono 13 sotto-quesiti) organizzati nelle seguenti categorie: KPI1 - Sicurezza logica (8 quesiti): è un indice sintetico che misura il modello organizzativo e le policy della sicurezza, i sistemi di autenticazione, l aggiornamento dei sistemi; KPI2 - Sicurezza dell infrastruttura (6 quesiti): riguarda la sicurezza fisica, i controlli di accesso fisico, l uso di reti wireless e VPN, l utilizzo di apparati di sicurezza quali firewall ed IDS; KPI3 - Sicurezza dei servizi (9 quesiti): sintetizza lo stato dei piani di BC e DR, le procedure di intervento, la sicurezza dei servizi di posta elettronica e via web, i sistemi antivirus ed antispamming, la rilevazione di eventuali intrusioni avvenute negli ultimi mesi; KPI4 - Sicurezza dell organizzazione (13 quesiti): analizza gli aspetti relativi al piano di sicurezza, la formalizzazione di policy, l individuazione di responsabilità, compiti e ruoli legati alla sicurezza, le skills e la formazione del personale. La situazione della sicurezza ICT in APSS appare complessivamente buona e presenta dei punti di eccellenza (anche sulla base delle considerazioni espresse al riguardo nella sezione 'Il questionario CNIPA sulla sicurezza ', pag. 68). La rilevazione relativa alla sicurezza logica mostra un quadro positivo nel quale si conferma la diffusa adozione di opportune regole per la gestione della sicurezza (policy per le applicazioni e per l'utente), l utilizzo di sistemi di autenticazione di livello medio-alto e un sistema di gestione del software e degli aggiornamenti centralizzato; migliorabili alcuni aspetti legati, ad es., alla gestione delle risorse ed alla richieste delle certificazioni di sicurezza all'atto dell'acquisto di nuovi prodotti e/o servizi. I dati relativi alla sicurezza fisica mostrano la buona diffusione di misure di protezione fisica contro l'accesso non autorizzato ai sistemi e l'utilizzo di strumenti quali firewall e VPN cifrate per il controllo e l'accesso alla rete interna. Un aspetto migliorabile è quello relativo alla mancata attivazione di un sistema IDS (sulla base delle motivazioni espresse nel 7.2, pag. 73). Per quanto concerne l adozione delle misure di sicurezza dei servizi il quadro è positivo: oltre agli strumenti più diffusi quali antivirus, antispyware ed antispam è stata posta attenzione alle problematiche di continuità operativa, disaster recovery ed alla definizione (per le aree critiche) di procedure di gestione alternative (da usarsi in caso di crash dei sistemi informatici). La sicurezza applicativa (in particolare quella relativa alle applicazioni web) è ulteriormente migliorabile, appare invece complicato, anche in APSS, verificare l'effettiva capacità di rilevare e fronteggiare le intrusioni. Per quanto concerne gli aspetti organizzativi si verifica invece un livello di attenzione inferiore (pur rimanendo sempre su livelli elevati): è stato definito un piano della sicurezza, ma non è stato 9/92

16 attivato un gruppo di gestione degli incidenti informatici (anche se è stato proposto) e non sono stati definiti formalmente tutti i ruoli richiesti dal DM SICUREZZA ICT Risultato APSS Risultato CNIPA 3 KPI1 Protezione logica 9 7,33 KPI2 Sicurezza dell'infrastruttura 8,33 7,08 KPI3 Sicurezza dei servizi 9,67 5,47 KPI4 Sicurezza dell'organizzazione 6,77 5,41 Tabella 8: Risultati questionario sulla sicurezza - riepilogo In definitiva la posizione dell'azienda, rispetto alle altre PA oggetto della rilevazione, si dimostra positiva e, ad eccezione di alcune criticità segnalate, superiore alla media La spesa L'impegno di spesa esterna per l'acquisto di beni e servizi informatici nel 2007 è pari a ca. 10 milioni di euro. Si registra una riduzione del 5,17% della spesa dell'anno precedente, in valore assoluto circa 540 mila euro (tabella 9); in relazione alla media del triennio la riduzione di spesa è pari a ca. 640 mila euro (tabella 11, lato sinistro). APSS Media Totale spesa esterna , , , ,31 Costi interni 2.081, , , ,75 Totale spesa , , , ,06 Tabella 9: Spesa informatica complessiva (in migliaia di ) - riepilogo Alla spesa esterna si aggiungono i costi interni del personale (calcolati in funzione delle competenze versate) che, nello stesso arco di tempo, registrano una diminuzione del 1,19%, in valore assoluto circa 28 mila euro; rispetto alla media del triennio si registra un'aumento di spesa pari a ca. 64 mila euro (tabella 11, lato destro). La spesa totale per l'informatica risulta inferiore del 4,45% rispetto al 2006 (572 mila euro circa in valore assoluto); rispetto alla media del triennio si registra una diminuzione di spesa pari a ca. 580 mila euro. La tabella 10 riporta la distribuzione della spesa informatica complessiva per risorse in relazione agli anni (consultare la tabella 70 pagina 82 per il dettaglio degli importi). La tabella 11 evidenzia graficamente l'evoluzione della spesa esterna (lato sinistro) e della spesa complessiva (lato destro) nel periodo di osservazione. 3 Come riportato in [2], pag /92

17 VOCI DI SPESA SPESA IN MIGLIAIA DI EURO Media Totale investimenti 3.583, , , ,87 Totale servizi 7.778, , , ,43 Totale spesa esterna , , , ,31 Costi interni 2.081, , , ,75 Totale spesa , , , ,06 Tabella 10: Spesa informatica complessiva per risorse, anni (migliaia di ) - riepilogo Tabella 11: La spesa informatica : spesa esterna (sinistra) e spesa complessiva (destra) Considerando i due indicatori di spesa più significativi, osserviamo che nel 2007 la spesa ITC media annua per dipendente è stata pari a euro e quella per postazione di lavoro è stata di euro (erano rispettivamente e euro nel 2006), con un calo del 5,81% e 14,15% rispetto ai valori dello scorso anno. La riduzione della spesa media per PdL è in parte dovuta anche all'aumento delle postazioni di lavoro (+11,47%); i dipendenti totali hanno invece registrato un aumento pari al 1,51%. 11/92

18 2. I servizi ai cittadini ed alle imprese L'Azienda Provinciale per i Servizi Sanitari, quale ente di diritto pubblico strumentale della Provincia Autonoma di Trento, gestisce in modo coordinato i servizi e le attività sanitarie pubbliche per l'intero territorio provinciale secondo quanto previsto dalla legge, dal Piano Sanitario Provinciale e dalle direttive della Giunta Provinciale. Gli interlocutori dell'apss sono rappresentati da tutti i soggetti che hanno dei rapporti diretti o indiretti con l'azienda [3]: i cittadini (i cittadini sani e malati, le associazioni); il personale (dipendente convenzionato); il sistema sanitario provinciale (consiglio provinciale, giunta provinciale, assessorato provinciale); il sistema sanitario nazionale, i sistemi sanitari europei (piani sanitari nazionali ed europei) i fornitori (di beni e servizi); i partner (le strutture accreditate, le farmacie, i centri di ricerca e le università); la comunità e l'ambiente. Rispetto a tutti i portatori di interesse una particolare attenzione va dedicata ai cittadini. Tutti i cittadini, indipendentemente dal loro stato di salute sono interlocutori dell'apss: le persone sane perchè godono ad esempio di tutti i programmi di prevenzione, le persone malate perchè usufruiscono dei servizi assistenziali (ad esempio il ricovero ospedaliero). 2.1 I servizi, gli utenti e il digital divide Sono considerati servizi tutte le operazioni che la pubblica amministrazione effettua per soddisfare le richieste presentate dagli utenti, ovvero il cittadino e l impresa. Le modalità attraverso cui gli utenti possono avere accesso ai servizi erogati dalla pubbliche amministrazioni sono differenti: recandosi fisicamente e in orari prestabiliti presso gli uffici o attraverso gli URP; tramite i contact center telefonicamente oppure attraverso la posta elettronica; accedendo ai chioschi telematici, in luoghi diversi dalle sedi delle amministrazioni; accedendo ai siti web (siti istituzionali e/o portali nazionali o tematici); tramite la telefonia mobile; tramite il digitale terrestre (DTT). Nel seguito del documento l'analisi verrà focalizzata sull'insieme dei servizi accessibili (in maniera esclusiva o meno) direttamente on-line, tralasciando, quindi, quelli fruibili attraverso canali 'tradizionali'. 2.2 I servizi on line I servizi si distinguono, per la modalità di fruizione, in servizi on line tramite i quali l utente può autonomamente accedere/fornire informazioni, oppure servizi con operatore attraverso i quali l utente può accedere/fornire informazioni tramite un operatore o intermediario 4 (commercialisti, notai, centri autorizzati di assistenza fiscale CAF, ecc.). 4 Soggetti (pubblici, privati, associazioni di categoria, professionisti, ecc.) che si sostituiscono al cittadino o all'impresa nei rapporti telematici con l'amministrazione per usufruire di un servizio. 12/92

19 In base ad una classificazione definita a livello europeo, i servizi on line possono essere erogati con quattro differenti livelli di interazione: Livello 1 - Informazione: il sito fornisce informazioni sul servizio e/o sulle modalità di erogazione; Livello 2 - Interazione ad una via: si realizza tale interazione quando un sito permette di ottenere on line i moduli per la richiesta di erogazione del servizio che dovrà poi essere inoltrata attraverso canali tradizionali (ad es. modulo di variazione residenza o moduli di autocertificazione); Livello 3 - Interazione a due vie: si parla di interazione a due vie quando è possibile avviare on line la procedura di erogazione del servizio (ad es. modulo da riempire e inviare on line), ma viene garantita solo la presa in carico dei dati e non la loro elaborazione; Livello 4 - Transazione: il livello più elevato di interazione si realizza quando il sito permette all utente di fruire di un servizio interamente on line, incluso l eventuale pagamento del suo costo. La tabella 12 evidenzia la suddivisione dei servizi offerti in relazione al livello di interazione, alle procedure di autenticazione, ai destinatari finali ed alla eventuale presenza di intermediari. Il trend evidenziato è quello di un costante aumento del numero di servizi on line offerti nel corso degli anni. Il numero di transazioni on-line effettuate nell'anno 2007 relativamente al sistema CUP è stato pari a ca unità. 13/92

20 Denominazione Disponibilità medici Livello interazione Intermediario 1 NO Procedura identificazione utenti Nessuna Cod. fiscale + tessera sanitaria Utenti abilitati Cittadini Medici Monitoraggio CS NO Stato della pratica NO Destinatari finali Cittadini Medici L.I.E.S.P. 1 NO Nessuna Cittadini ed imprese NO NO Cittadini ed imprese Richiesta prenotazione CUP CUP on-line 3 NO Cod. fiscale + tessera sanitaria Cittadini NO NO Cittadini 2 NO Nessuna Cittadini NO NO 3 NO Cod. fiscale + tessera sanitaria Cittadini SI NO Cittadini Concorsi 2 NO Nessuna Cittadini NO NO Cittadini Gare e appalti 2 NO Nessuna Cittadini ed imprese NO NO Cittadini ed imprese Dia Controllo delle acque Medici Esterni Strutture convenzionate 2 NO Nessuna Cittadini ed imprese NO NO Cittadini ed imprese 1 NO Login e pwd Distretti Sanitari NO NO PA ed imprese 4 NO Login e pwd 64 tecnici NO NO Imprese 1 NO Nessuna Cittadini ed imprese NO NO Cittadini ed imprese 4 NO Login e pwd Ca. 230 tecnici NO NO Comuni ed imprese 2 NO Nessuna Cittadini e medici NO NO Cittadini e medici 4 SI Altro 288 MMG su 470 NO NO Cittadini e medici 4 NO Altro Ca. 30 RSA su 52 NO NO RSA provinciali Tabella 12: Servizi online, anni Dettaglio dei servizi online offerti ai cittadini ed alle imprese e riportati in tabella 12: 1. Consultazione della disponibilità dei medici di base e dei pediatri: il servizio disponibile all'url consente ai cittadini la consultazione degli orari e degli indirizzi degli ambulatori medici (sistema ad accesso libero) ed ai medici autenticati (attraverso il codice fiscale ed il numero progressivo di tessera sanitaria) la visualizzazione dell'elenco assistiti (attivo dal 2005); 2. Il Laboratorio di Igiene, Epidemiologia e Sanità Pubblica (L.I.E.S.P.) effettua indagini di laboratorio di tipo microbiologico, parassitologico e tossicologico nell ambito dell igiene e sanità pubblica finalizzate alla tutela della salute collettiva: Verifica degli effetti sulla salute della qualità delle acque destinate al consumo umano, delle acque minerali e termali, delle piscine pubbliche o ad uso pubblico, delle acque di balneazione, delle acque superficiali e degli scarichi; Igiene degli alimenti: controlli analitici microbiologici, parassitologici e tossicologici 14/92

21 su alimenti e bevande; Valutazione dei rischi sanitari dovuti a fattori di tipo biologico negli ambienti di vita; Valutazione dell'impatto sulla salute umana dei fattori di nocività, pericolosità e di deterioramento negli ambienti di vita; Profilassi delle malattie infettive e parassitarie; Indagini di laboratorio nel campo della farmaco-tossicologia umana e dell igiene e tossicologia del lavoro per la ricerca e la quantificazione, in matrici biologiche, di sostanze d abuso, farmaci, elementi in traccia e biomarcatori di esposizione professionale. E' stato attivato un sito web (livello 1) attraverso il quale è possibile ottenere informazioni sul servizio e sulle modalità di erogazione dello stesso ( (attivo dal 2005); 3. richiesta di prenotazione visite specialistiche attraverso sistema CUP: servizio disponibile all'url consente di definire un appuntamento telefonico con un operatore del call center CUP per la successiva prenotazione delle prestazioni sanitarie (livello 3). L'accesso al servizio è consentito previa autenticazione attraverso codice fiscale e numero progressivo di tessera sanitaria (attivo dal 2005); 4. CUP prenotazione OnLine: servizio disponibile all'url che consente l accesso al sistema di prenotazione delle visite specialistiche e delle prestazioni di diagnostica strumentale al fine di: consultare in tempo reale la disponibilità delle prestazioni sanitarie - su tutto il territorio provinciale - prenotabili attraverso il CUP (livello 2), l'accesso è libero (attivo dal 2005); prenotare, disdire e consultare i propri appuntamenti, prenotati sia attraverso internet sia tramite gli sportelli o il call center, previa identificazione mediante tessera sanitaria magnetica (livello 3). Gli utenti potenziali del sistema web di prenotazione sono dei quali hanno registrato la tessera nel sistema (i rimanenti possono accedere ugualmente ma devono digitare i dati della tessera e non possiedono userid e password che permette loro di utilizzare alcune funzionalità aggiuntive rispetto a quelle standard). Allo stato attuale non è possibile effettuare il pagamento online delle prestazioni ed il relativo servizio di customer satisfaction è basato su di un questionario telefonico (3 domande) effettuato ogni mese su ca. 100 utenti scelti a campione (attivo dal 2005); 5. concorsi: servizio disponibile all'indirizzo offre un sito web destinato ai cittadini e ad accesso libero (livello 2) attraverso il quale è possibile ottenere informazioni relative ai concorsi/selezioni in atto oppure già effettuati e le relative graduatorie. (attivo dal 2005); 6. Gare e appalti: servizio disponibile all'url offre un sito web ad accesso libero destinato ai cittadini ed alle imprese (livello 2) attraverso il quale è possibile ottenere informazioni relativamente alle procedure di gara ed agli appalti attualmente in atto. (attivo dal 2005); 7. Dia: il servizio offre un insieme di attività eseguibili on line relative relative alla dichiarazione inizio attività (DIA) richiesta dalla legge per le imprese alimentari: sito web ad accesso libero dell'u.o. Igiene Pubblica che offre informazioni sul servizio, i costi ed il download dei moduli relativi (livello 2) (attivo dal 2005); registro imprese alimentari: il servizio non è (attualmente) offerto alle imprese, ma 15/92

22 solo ai distretti sanitari (in futuro verrà offerto a ca. 223 comuni, all'assessorato provinciale e ad altri richiedenti) ed è disponibile all'url Il portale permette la consultazione del Registro delle Imprese Alimentari predisposto a seguito del Regolamento CE 852/2004, inoltre è possibile visualizzare/scaricare l'elenco delle imprese alimentari di interesse dell'utente (secondo vari criteri). L'accesso al sistema è protetto attraverso login/password. (attivo dal 2007); DIA: servizio offerto tramite un applicativo web, disponibile all'url ad accesso protetto (login/pwd) che consente, attualmente, a 64 utenti autorizzati (tecnici,amministrativi,veterinari) l'immissione delle informazioni relative alle dia delle imprese operanti in provincia nel settore alimentare. Il servizio è attivo da ca. 7 mesi ed ha gestito completamente richieste a cui se ne aggiungono ca. 300 già attivate. (attivo dal 2007); 8. controllo delle acque: servizio on-line relativo al sistema di autocontrollo effettuato dall'apss su mandato della Provincia per il controllo dei dati sanitari relativi alle acque potabili: sito web dell'u.o Prevenzione ambientale, disponibile all'url ad accesso libero dal quale è possibile reperire informazioni sul servizio. (attivo dal 2005); Applicazione web disponibile all'url attraverso la quale gli utenti abilitati (1 tecnico per ognuno dei 223 comune, 5 utenti per le società di servizi e 1 per l'assessorato provinciale) e riconosciuti attraverso la combinazione login/pwd, possono inserire i dati relativi alle analisi delle acque potabili. Non esistono sistemi di CS e l'upload dei dati viene effettuato ca. 1 volta al mese. (attivo dal 2005); 9. Medici Esterni (Ampersa): sito web disponibile all'url attraverso il quale i MMG (ed eventualmente i cittadini) possono ottenere informazioni/moduli relativi al progetto (livello 2). (attivo dal 2006); Attualmente sono convenzionati 288 MMG su 470 che possono così ottenere i dati/referti relativi ai loro pazienti direttamente nella cartella clinica elettronica attraverso o un sistema basato su web services. Non esiste controllo della CS, ne sul numero di prestazioni erogate. Il MMG può essere considerato come un intermediario per il cittadino. (attivo dal 2006); 10. Strutture convenzionate e prestazioni: attivazione presso le RSA del territorio provinciale di alcuni sistemi informativi APSS a supporto di varie attività (gestione delle prenotazioni delle visite specialistiche ambulatoriali, accettazione esami di laboratorio, consultazione dei referti di laboratorio, richiesta di prodotti e farmaci, gestione presenze assistiti, visualizzazione schede SVM e graduatorie) alcune delle quali attivate attraverso sistemi online. Per fine anno si prevede di coprire 30 delle 52 strutture presenti. (attivo dal 2006). La tabella 13 evidenzia lo stato dei servizi online attivi nei diversi anni oggetto di rilevazione sulla base del rispettivo livello di interazione e della eventuale presenza di un figura di intermediario. 16/92

23 Livello di interazione Numero servizi erogati Di cui con intermediario Numero servizi erogati Di cui con intermediario Numero servizi erogati Di cui con intermediario Livelli 1 e Livello Livello Totali Tabella 13: Servizi on line per livello di interazione, anni Le procedure di autenticazione per l accesso ai servizi on line L'accesso ai servizi di informazione (siti web pubblici, 8 servizi, pari al 50% del totale) è consentito a chiunque e quindi non è soggetto a restrizioni. Alcuni servizi (8 unità, pari al 50%) richiedono invece un controllo degli accessi e ciò è realizzato attraverso le modalità indicate in tabella 14; dai dati si evince che il sistema di autenticazione 'preferito' è costituito dall'accoppiata login/pwd, utilizzato in oltre il 37% dei casi. Tipologia N servizi % Nessuno 8 50 Codice fiscale + numero progressivo tessera sanitaria 3 18,75 User id e password 3 18,75 Altro 2 12,5 Totale Tabella 14: Diffusione delle diverse procedure di accesso ai servizi on line, anno I siti istituzionali Negli anni il sito Internet dell'apss ha assunto un'importanza sempre maggiore in quanto consente all'azienda di comunicare tempestivamente con i cittadini fornendo informazioni specifiche e permettendo in alcuni casi, l'accesso veloce ai servizi (ad esempio la prenotazione di visite specialistiche). All'interno del sito web è disponibile anche il notiziario aziendale 'Fast News', che ha l'obiettivo di fornire un'informazione tempestiva al personale, ai cittadini e ai partner dell'azienda. 'APSS Notizie' è invece una pubblicazione trimestrale che vuole segnalare alle parti interessate i principali cambiamenti nei servizi sanitari, in modo da rendere trasparenti e condivisi i passi dell'azienda verso il miglioramento. Alcuni dei servizi accessibili dalla home page del sito Internet aziendale sono i seguenti: carta dei servizi offerti e relativi standard di qualità; presentazione dell'azienda (struttura organizzativa); accesso a modulistica e documentazione sanitaria; informazioni relative ai servizi/progetti sanitari; 17/92

24 notiziario aziendale (Fast News), APSS notizie; accesso al servizio di biblioteca medica; accesso alle informazioni relative alle gare ed appalti, ai concorsi e alle rispettive graduatorie; accesso ad alcuni dei servizi on-line proposti; accesso alla intranet aziendale;... I dati di accesso al sito aziendale relativi al 2007 mostrano un evidente aumento di 'popolarità' del servizio: il numero di accessi alle pagine cresce del 470%, le visite del 95% ed il numero totale di pagine visitate raggiunge quota , con un incremento del 153,83% rispetto all'anno precedente. Tale trend mostra un'origine temporale coincidente con gli ultimi 2 mesi del La tabella 15 evidenzia l'evoluzione del fenomeno in oggetto nel corso degli anni di interesse. APSS Var % 2007/2006 N accessi alle pagine ,63 N visite all'anno ,38 N totale pagine visitate ,83 Tabella 15: Siti gestiti, visite ed accessi alla home page, anni Il numero di documenti presenti sul sito è pari a ca. 790 (2007), mentre il numero dei moduli è pari a 56 unità. 2.5 I portali tematici La tabella 16 riporta l'elenco dei portali tematici relativi a servizi offerti dall'azienda ai cittadini ed alle imprese. Per ognuno di essi è riportato un breve elenco di alcuni dei servizi collegati che vengono dettagliati nei successivi paragrafi corrispondenti. 18/92

25 CUP DIA APSS ANAGRAFE PORTALE DEL CITTADINO Servizi 1. Consultare disponibilità prestazioni sanitarie in ambito provinciale 2. Prenotare, consultare, disdire i propri appuntamenti 3. Richiesta prenotazione prestazione tramite operatore 1. Inserimento dati relativi all'inizio, variazione, chiusura delle attività delle imprese alimentari 2. Dichiarazione inizio attività veicoli 1. Consultazione indirizzi e/o orari degli ambulatori medici 2. Gestione elenco assistiti e medico corrispondente 3. Inserimento anagrafica assistiti 4. Scelta/revoca del medico 5. Gestione esenzioni ticket 6. Gestione assistenza sanitaria all'estero 7. Acquisizione/Negazione consenso al trattamento dei dati personali 8. Aggiornamento delle anagrafi comunali tramite comunicazioni DEM (demografiche) 9. Gestione dati stipendi medici MMG/PLS Cfr I siti istituzionali (pag 17) Tabella 16: Elenco dei servizi integrati resi disponibili on line al 31 dicembre CUP Il Centro Unico di Prenotazione (CUP) consente l'accesso al sistema di prenotazione delle visite specialistiche e delle prestazioni di diagnostica strumentale tramite gli sportelli distrettuali dislocati in tutte le strutture dell'apss, il call center, il fax ed il sistema di prenotazione on-line via Internet. Il sistema di prenotazione informatico consente in particolare di consultare in tempo reale la disponibilità delle prestazioni sanitarie su tutto il territorio provinciale, nonché di effettuare, disdire e consultare le prenotazioni. La tabella 17 riporta alcuni dati relativi all'utilizzo del sistema da parte degli utenti attraverso il servizio Web offerto tramite il portale relativo. Nel 2007 le prestazioni eseguite via Internet da parte dei cittadini sono state pari a unità, nel 2006 erano state Cresce la percentuale di richieste effettuate via web in rapporto alla quantità totale delle stesse (cfr. tabella 20, pag. 24) che passa dal 0,81% del 2006 al 1,02% del /92

26 CUP (WEB) Tipo Movimento Numero % Numero % Disdetta , ,18 Informazioni , ,04 Preappuntamento 122 1, ,49 Prenotazione , ,9 Rinuncia preappuntamento 35 0,3 69 0,39 Totale richieste WEB Totale richieste CUP Percentuale richieste web sul totale 0,81 1,02 Tabella 17: CUP - accessi attraverso il servizio WEB DIA Il portale permette la consultazione del Registro delle Imprese Alimentari predisposto a seguito del Regolamento CE 852/2004. L Azienda alimentare presenta un autocertificazione (D.I.A.) notificando all Azienda Provinciale per i Servizi Sanitari, l inizio, la/e variazione/i e la chiusura della propria attività. Le quattro tipologie di dichiarazioni supportate sono: semplice (per tutte quelle imprese alimentari per le quali la precedente normativa non prevedeva l autorizzazione sanitaria); differita (per tutte le imprese di produzione, trasformazione, trasporto, magazzinaggio, somministrazione di alimenti); modifica (per le imprese alimentari devono utilizzare che apportano modifiche alla loro attività e rientrano nelle seguenti categorie di produzione primaria, commercio all ingrosso, commercio al dettaglio, produzione e confezionamento, ristorazione pubblica e collettiva); veicoli (per particolari categorie di veicoli utilizzati per il trasporto di alimentari). Il portale consente di visualizzare l'elenco delle imprese alimentari di interesse dell'utente, scaricabile in formato PDF, sia per area territoriale, distretto sanitario o comune, od ancora utilizzando l'apposito motore di ricerca. Con quest'ultimo è possibile ricercare per Ragione Sociale, Denominazione/Insegna, per Numero di Registrazione, per numero di Partita IVA, per numero di Targa dei veicoli, per Codice ISTAT, per descrizione Codice ISTAT, per descrizione Categoria APSS e per descrizione Categoria Ministeriale Anagrafe L'accesso al portale dell'anagrafe è consentito a varie tipologie di utenti (operatori del Cinformi, Comuni, 3 tipologie di sportelli di gestione, accesso in sola consultazione) ed è necessaria l'autenticazione attraverso login/pwd. In base al profilo di accesso sono consente operazioni di visione dell'anagrafica ed eventuale modifica dei dati contenuti, gestione delle esenzioni ticket per patologia sulle prestazioni sanitarie e del sistema delle stampe/reportistica. Sono inoltre gestite le operazioni relative all'assistenza sanitaria per i cittadini che si recano all'estero e quelle necessarie per estrarre le informazioni utili al calcolo delle competenze dei medici. L'anagrafe contiene inoltre 20/92

27 i dati relativi al collegamento fra medico (MMG/PLS) e paziente ed alle operazioni relative (selezione/revoca del medico). Il sistema è collegato ad alcune anagrafiche non centralizzate (gestite ad esempio dai singoli medici di base). Nel corso del 2007 sono state effettuate ca operazioni relative alla scelta/revoca del medico di base, mentre le movimentazioni complessive (iscrizioni, variazioni anagrafiche, scelte e terminazioni) sulla base dati sono state oltre I contact center Il telefono (fisso e mobile) e la posta elettronica sono gli strumenti più diffusi per comunicare: è quindi importante per un'amministrazione pubblica investire nella realizzazione di un contact center per erogare servizi o per fornire supporto informativo ai servizi resi attraverso altri canali. La tabella 18 riporta alcune informazioni relative alla tipologia ed alla operatività delle strutture di contact-center relative ad alcuni dei servizi offerti dall'azienda; tali informazioni verranno elaborate nei paragrafi immediatamente successivi. APSS Contact center Numero Tipologia di informazione erogata Tipo di riposta Modalità di risposta Tabella 18: Contact center, anni Su alcuni servizi Su tutti i servizi Di base Standard Personalizzata Operatore Filtri Altro URP Il Servizio Rapporti con il Pubblico è il luogo di contatto tra la direzione aziendale ed il pubblico indistintamente. La sua funzione principale è quella di agevolare l'utente nell'accesso ai servizi sanitari fornendo le informazioni necessarie per fruire dei servizi sanitari ed amministrativi nella maniera più semplice possibile. Raccoglie ed analizza tutte le segnalazioni, i reclami e le contestazioni manifestate in qualunque forma, ne stila un rapporto annuale che viene utilizzato dalla direzione strategica per individuare alcuni punti critici nell'erogazione dei servizi sanitari. Per svolgere le funzioni descritte gestisce e coordina le funzioni inerenti alla comunicazione e all'ascolto del cittadino fornendo, ad esempio, un apposito contact-center. Le informazioni erogate sono relative a tutti i servizi offerti dall'azienda (spesso svolgendo una funzione di 'ponte' verso le strutture specializzate). L'utente può accedere al servizio attraverso vari canali (fisicamente, oppure tramite , telefono, fax), ricevendo risposte personalizzate attraverso , telefono, posta tradizionale, fax. Il numero totale di prestazioni erogate, relative a 21/92

28 richieste effettuate attraverso tutti i canali di accesso, nel 2005 è stato pari a ca unità, nel 2006 tale valore si è fermato a ca unità, raggiungendo quota unità nell'anno IT L'attività di contact center erogata da Informatica Trentina (IT) rappresenta un'attività di supporto al servizio di PC-Fleet Management, offerto all'azienda dalla stessa, ed è relativa ai seguenti elementi: procurement: assicura le attività di approvigionamento di apparati hardware e l'installazione di postazioni di lavoro in noleggio operativo, nell'ottica di fornire all'utente finale un'unica interfaccia per la fornitura e la gestione del proprio posto di lavoro ed il suo aggiornamento tecnologico; Desktop Management (DTM): asset management: gestione dell'inventario del parco informatico hardware e software assistito. Le operazioni di supporto possono avvenire da remoto (System Management grazie all'agente software Tivoli) e/o in locale (Field Support); change management: eroga le funzioni di valutazione, registrazione e regia delle richieste di Installazione, Movimentazione, Aggiunta e Cambiamento (IMAC) riferite alle apparecchiature elettroniche installate; assistenza tecnica su posti di lavoro interni; servizio di attivazione dei fornitori esterni per la manutenzione di posti di lavoro utenti; servizio di manutenzione hardware/software dei posti di lavoro utente; Customer Service Desk: supportato dal prodotto Remedy. Il destinatario del servizio è rappresentato dall'utente interno che utilizza gli strumenti informatici nella sua attività operativa. La tabella 19 riporta alcuni dati relativi all'utilizzazione del servizio di contact-center da parte degli utenti, evidenziando le differenti modalità di attivazione dello stesso. 22/92

29 Anno Trimestre Totale telefonate Ticket Modulo Remedy Fax Telefono Auto rilevazione Totale Totale Totale Tabella 19: Canali di attivazione del servizio contact center IT Il servizio offerto è soggetto ad indagini annuali sulla customer satisfaction svolte da un gruppo di lavoro interno al fornitore mediante un questionario (a domande chiuse) somministrato attraverso un'indagine telefonica affidata ad una società esterna specializzata (cfr , pag. 25). Le informazioni erogate sono relative solo ai servizi in oggetto; l'utente può accedere al servizio attraverso vari canali (telefono, mail, fax, modulo Remedy), ricevendo risposte personalizzate attraverso o telefono. Il numero totale di prestazioni erogate, relative a richieste effettuate attraverso tutti i canali di accesso, nel 2005 è stato pari a unità, nel 2006 a e nel 2007 a unità. Il numero di ricevute in un anno è stato pari a unità nel CUP L'attività del contact center è finalizzata ad offrire informazioni relative al sistema di prenotazione delle visite specialistiche e delle prestazioni di diagnostica strumentale offerte dall'azienda. Le informazioni erogate sono relative solo ai servizi in oggetto: l'utente può accedere al servizio attraverso vari canali (telefono, fax, sistema web, accesso diretto), ricevendo risposte personalizzate attraverso il telefono. La tabella 20 evidenzia i dati di utilizzo del sistema CUP, attraverso il callcenter e l'accesso diretto ai vari sportelli distrettuali dell'azienda e delle strutture accreditate, in relazione alle diverse tipologie di movimento. Nel 2006 il numero di prestazioni erogate dal callcenter è stato pari a unità (67,54% del totale), mentre nel 2007 sono state (63,29% del totale). I dati relativi all'accesso al servizio attraverso il sistema web sono riportati in tabella 17 pagina /92

30 CUP Tipo movimento Call Center Sportello Call Center Sportello Disdetta , , , ,53 Informazioni , , , ,46 Preappuntamento , , , ,38 Prenotazione , , , ,52 Rinuncia preappuntamento , , , ,85 Variazione , , , ,26 Totale Totale CUP Percentuale sul totale 67,54 31,65 63,29 35,61 Tabella 20: CUP accessi attraverso il call-center e gli sportelli distrettuali 2.8 L accessibilità ai siti e ai portali Come è noto, nel 2004 e nel 2005, sono state approvate le norme che regolano l accessibilità dei sistemi informatici. Il processo di adeguamento della pubblica amministrazione alla normativa 5 è ormai avviato. Il portale intranet aziendale è stato sviluppato utilizzando il CMS opensource Plone che garantisce la conformità con gli standard di accessibilità 'U.S. Government Section 508 (Rehabilitation Act)' e 'W3C WAI-AA (WCAG 1.0, Web-Content Accessibility Guidelines)' come descritto nella normativa di riferimento (c.d. legge Stanca). Il sito Internet aziendale, attualmente, non risponde in toto alle normative sull'accessibilità; è in atto l'attivazione della procedura per l'avvio delle attività necessarie a correggere tale situazione. 2.9 La customer satisfaction Il numero di servizi, offerti ai cittadini ed alle imprese, per i quali viene misurata la customer satisfaction, cosi come prevede l'articolo 7 (Qualità dei servizi resi e soddisfazione dell'utenza) del Codice dell'ammnistrazione digitale, è pari ad 1 unità (6,67%) ed è relativo al servizio di prenotazione esami/visite attraverso il sistema CUP. Nel seguito vengono invece descritti i servizi di customer satisfaction relativi ai servizi destinati agli utenti interni. 5 La legge 9 gennaio 2004, n. 4 Disposizioni per favorire l accesso dei soggetti disabili agli strumenti informatici è divenuta operativa con l emanazione delle due principali norme attuative: il regolamento (DPR n. 75 del 2005) e il decreto ministeriale (DM 8 luglio 2005) contenente i requisiti tecnici e i diversi livelli per l accessibilità agli strumenti informatici. La legge prevede anche, l aggiornamento periodico del decreto ministeriale per il tempestivo recepimento delle modifiche, delle normative e delle innovazioni tecnologiche nel frattempo intervenute. 24/92

31 2.9.1 IT Informatica Trentina effettua annualmente delle analisi relative alla customer satisfaction 6 ed in particolare relativamente a: Customer Service Desk (CSD); Assistenza tecnica, manutenzione hw e installazione (desktop management o DTM); Disponibilità dei collegamenti per l'accesso a internet e intranet (Rete). L'esecuzione di tale attività è affidata ad un gruppo di lavoro aziendale che definisce un questionario (a domande chiuse) da sottoporre ad un campione di utenti (180 utenti APSS nel 2003, 300 nel 2004, 300 nel 2005 e 341 nel 2006); l'indagine telefonica è affidata ad una società specializzata (ORC International di Londra) e mira a valutare sia le caratteristiche generali dei servizi erogati sia gli aspetti caratteristici relativi ai singoli servizi offerti. Per ciascuna domanda è stata richiesta la valutazione utilizzando una scala da 0 a 10. Gli indicatori sintetici della soddisfazione del cliente (CSI Customer Satisfaction Index) utilizzati sono: CSI diretto, determinato mediante rilevazione diretta (risposte alla domanda sulla 'soddisfazione generale nei confronti di Informatica Trentina'); CSI calcolato, determinato mediante il seguente algoritmo: CSI= i P i dove P = prestazioni (risposte alla domanda 'Valutazione delle prestazioni di I.T.') applicato a tutte le domande (valutazioni riferite a caratteristiche generali dei servizi erogati, valutazioni complessive sui singoli servizi, valutazioni specifiche su alcuni aspetti caratteristici dei singoli servizi). La tabella 21 riporta i risultati relativi agli indici sopra-descritti in relazione agli anni CS IT APSS CSI diretto 7,28 7,44 7,23 7,69 CSI calcolato 8,20 7,92 8,00 8,09 Tabella 21: Customer Satisfaction IT - indici CSI In aggiunta alle rilevazioni indicate, sono state inoltre svolte attività di indagine relative ai singoli servizi offerti; in relazione all'anno 2006, il servizio CSD ha ottenuto un punteggio pari a ca. 8 punti, DTM ca. 7,90 e Rete ca. 8, Deloitte Sono state effettuate 3 campagne (a partire da maggio 2005) di rilevazione della soddisfazione degli utenti interni dei servizi del SSI dell'apss al fine di fornire utili indicazioni per la definizione delle azioni di miglioramento dei processi IT e di change management. Sono stati monitorati i seguenti servizi erogati direttamente o indirettamente dal Servizio Sistemi Informativi (SSI): Help Desk; Approvigionamento di beni hw; Approvigionamento di beni sw preconfezionati; Approvigionamento di sistemi informativi specifici; Adeguatezza degli strumenti applicativi forniti, in termini funzionali; 6 La norma UNI EN ISO 9001:2000 prevede il monitoraggio delle informazioni relative alla percezione del cliente su quanto l'organizzazione stessa abbia soddisfatto i requisiti del cliente medesimo. 25/92

32 Manutenzione del software applicativo; Continuità di esercizio delle strutture informatiche; Presidio delle evoluzioni del sistema informativo aziendale; Assistenza tecnica sul posto di lavoro; Assistenza tecnica su altri aspetti di servizio; Consulenza tecnica; Servizi di base (collegamento alla rete aziendale, posta elettronica, accesso internet); Servizi di sicurezza informatica; Governo dei fornitori esterni di prodotti/servizi; Progettualità; Capacità di realizzazione; Capacita di controllo dei servizi forniti. Gli oggetti della rilevazione sono stati i seguenti: grado di conoscenza del ruolo di SSI e delle modalità di richiesta dei servizi informatici (9 domande); la riorganizzazione del 2003 (7 domande); livello di servizio di SSI (15 domande); soddisfazione in termini di applicazioni ed infrastruttura (4 domande). Le 3 indagini (maggio 2005, marzo 2006 ed ottobre 2006) sono state basate sulla somministrazione di un questionario strutturato (38 domande chiuse) a tre distinti, ma isomorfi, campioni rappresentativi della popolazione di riferimento (definita come l'utenza dei servizi erogati dai SSI). Il campione è esteso a 303 unità di intervista per ciascuna rilevazione e le interviste sono state condotte con tecnica CATI (un sistema di interviste telefoniche assistite dal computer). La rilevazione è incentrata sulla misurazione del livello di soddisfazione dell'utente nei confronti dei servizi erogati; quest'ultimo è un diretto indicatore del differenziale tra il livello di qualità attesa e quello di qualità percepita dall'utente. La tabella 22 evidenzia alcuni dei risultati ottenuti dalla rilevazione in oggetto. CS DELOITTE - SSI Grado di conoscenza Riorganizzazione del 2003 Indicatore Rilevazione Conoscenza del ruolo 48, Conoscenza dei servizi Importanza (reputa almeno molto importante) Conoscenza Conoscenza contenuti Condivisione contenuti Nota Cambiamenti Miglioramenti (calcolato sulla base del campione che ha notato cambiamenti) Livello di servizio Valore mediale 7,11 7,13 6,96 Tabella 22: Customer Satisfaction Deloitte - SSI 26/92

33 2.10 La firma digitale Attualmente esistono due procedure amministrative che utilizzano la firma digitale: Firma del mandato informatico (MIF): per la firma dei mandati di pagamento (servizio attivato nel 2005); Gestione delle comunicazioni con l'agenzia del lavoro (progetto Adeline, attivato nel 2007, 105 firme digitali emesse). Gli utenti dei due sistemi sono sostanzialmente coincidenti e raggiungono le 20/30 unità (per ogni distretto sono interessati il capo del servizio amministrazione ed il suo vice) ai quali sono state distribuite apposite smartcard complete di certificati di autenticazione e di firma. Sono inoltre previsti dei progetti (approssimativamente da aprile 2008) relativi alla carta operatore (Carta Nazionale dei Servizi) per circa 3000 dipendenti: in ambito sanitario per la firma dei referti ed in ambito amministrativo per la gestione del sistema documentale. 27/92

34 3. I servizi per il funzionamento e trasversali Con il termine servizi di funzionamento, o di auto-amministrazione, ci si riferisce alle applicazioni che permettono il funzionamento dell amministrazione nel suo complesso (gestione del personale, della contabilità, della logistica, del magazzino, ecc.). Con il termine servizi trasversali si indicano invece quei servizi ICT (non specificamente applicativi) di supporto alle attività degli uffici che vengono utilizzati da tutti i dipendenti (intranet, posta elettronica, protocollo informatico, etc.). 3.1 Lo stato complessivo dei servizi di supporto al funzionamento L'utilizzo di sistemi informatici di supporto al funzionamento delle amministrazioni si diffonde sempre più. Gli ambiti di applicazione prevalenti sono quelli tradizionali, cioè le problematiche di natura contabile, le procedure del personale e il protocollo. Nell'area contabile si registra un elevato livello di informatizzazione delle varie aree: contabilità finanziaria (mantenuta anche se non effettivamente richiesta), contabilità economica, contabilità analitica e controllo di gestione. Sono inoltre attivi sistemi per la gestione dei contratti e fornitori, gestione dei pagamenti e (parzialmente) per la gestione delle gare e dei concorsi. Nell'area del personale oltre al trattamento economico, è diffuso il software per la gestione amministrativa (presenze/assenze). E' presente un sistema di protocollo informatico integrato con le procedure di gestione documentale e di workflow management. In figura 2 è riportato uno schema rappresentativo della copertura funzionale dei vari componenti della struttura di riferimento, quale risultato di un'analisi effettuata da Deloitte nel In relazione alle 'Applicazioni di Base' le componenti a minor grado di copertura si evidenziano nella sezione 'Documentale' (Documenti Elettronici e Workflow Documentale) e 'Dizionari Aziendali' (Elenchi Aziendali); per quel che riguarda la sezione 'Applicazioni per la gestione aziendale e servizi comuni' le componenti maggiormente significative sono quelle della sezione 'Amministrativo' (Patrimonio Immobiliare) e 'Personale/Risorse Umane' (Ciclo di vita, Processi Trasversali). Illustrazione 2: Grado di copertura funzionale attuale (2006) 28/92

35 La tabella 23 fornisce una breve descrizione delle macroaree che compongono la struttura funzionale di riferimento. Rapporti con partner Contatto con il cittadino Laboratorio Radiodiagnostica Sistema Informativo Ospedaliero Gestionali Verticali Sistema informativo territoriale Igiene e sanità Rapporti con cittadini e partner aziendali Interconnessione verso i MMG/PLS: disponibilità di dati clinici e diagnostici e dei referti richiesta di impegnativa Interconnessione verso le RSA per la pubblicazione ed utilizzo di un numero selezionato di applicazioni APSS già esistenti. Gestione flussi mobilità estera ed extra provinciale. I vari metodi di gestione del contatto con il cittadino in una logica multicanale: sistema unico di prenotazione; call center per fornire informazioni sui servizi erogati; gestione relazioni con il pubblico (es. reclami); disponibilità in modalità on-line (Internet) di alcuni servizi. Applicazioni sanitarie Il sistema informativo di laboratorio prevede la definizione di un unico laboratorio logico in grado di gestire i vari laboratori in un sistema territoriale di laboratori. Il collegamento con i reparti e l'integrazione con le altre soluzioni aziendali garantiscono l'unicità dei dati a prescindere da dove nascono e dove sono gestiti (il paziente può eseguire l'esame in qualsiasi laboratorio ed il referto lo segue secondo le esigenze). Il sistema radiodiagnostico uniformato a livello provinciale offre un unico applicativo per tutte le UU.OO. di radiologia per la gestione dei dati clinici (es. immagini radiodiagnostiche) e anagrafici relative ai pazienti assistiti. Attraverso collegamenti con gli altri sistemi esistenti consente la richiesta di esami da parte dei reparti e la registrazione e visualizzazione dei referti. Sistema di gestione delle informazioni cliniche esteso a tutte le strutture ospedaliere della provincia. Al momento il sistema copre i processi amministrativi sanitari e la rendicontazione. Offre una registrazione e visione patient centered di tutti i referti provenienti da informazioni direttamente gestite dai reparti ed è integrato a vari livelli con i sistemi gestionali verticali attraverso un middleware. Sistemi gestionali per la gestione dei dati clinici relativi agli esami di anatomia patologica, al trattamento in terapia intensiva, alla registrazione delle attività del 118, ai ricoveri per gastro, al trattamento chemio e radio, al trattamento antidiabetico, al servizio sert e trasfusionale. Sistema territoriale per la gestione delle informazioni relative ai percorsi dell'utente paziente a più livelli tra distretti territoriali, ospedali, medici di base e strutture convenzionate esterne. Offre la gestione completa delle cure domiciliari, dell'assistenza indiretta e delle prestazioni aggiuntive, del servizio farmaceutico, etc. Sistema informativo gestionale che comprende le attività di prevenzione ambientale, infortuni sul lavoro e igiene pubblica. 29/92

36 Amministrativo Business Intelligence Analisi informazioni Personale Risorse umane Sistema Documentale Dizionari aziendali Applicazioni per la gestione aziendale e servizi comuni Sistema amministrativo per la gestione dei dati riguardanti la contabilità economico patrimoniale di APSS; integrato con controllo di gestione per contabilità, magazzino, cespiti e con IPPOCRATE per le casse e la prevenzione infortuni. Sistema Suite composto da 7 sistemi fisici, con propri DB, integrati tra loro. Sistema direzionale (Business Object) alimentato datamart (contenenti dati di attività e prestazioni) per i gestionali area SIO e SIT e integrato con SIA. Gestisce i dati relativi a: attività e risorse per centro di costo e per comune di residenza; budget; ISTAT locali e nazionali; sanitari e ospedalieri. Sistema per l'amministrazione del personale che copre: gestione anagrafica e giuridica; gestione presenze; payroll; formazione. Collegamento con sistema amministrativo per contabilità paghe e stipendi. Gestisce dati giuridici, amministrativi, gestionali del personale. Applicazioni di base Sistema di protocollazione centralizzato utilizzato presso la sede centrale (Folium di Agorà) e le varie aree organizzative (attualmente esistono 9 registri di protocollo differenti). Gestione iter delle Delibere supportata da un sistema specifico (IRIDE). Anagrafica assistibili unica e centralizzata. Duplicazioni anagrafi assistiti nei sistemi dipartimentali, locali e territoriali. Dati gestiti: codifica prestazioni; codifica destinatari prestazioni; codifica soggetti esecutori prestazioni; dati anagrafici assistiti e assistibili. Tabella 23: Struttura funzionale di riferimento - macroaree 3.2 I sistemi contabili e per il personale L'Azienda non gestisce la contabilità finanziaria, ma solo quella economica; il sistema SICOGE 7 non è quindi utilizzato. Analogamente non è utilizzato il sistema SIPA 8 per la trasmissione telematica dei titoli di spesa. In relazione all'anno 2007, sono state effettuate ca operazioni complessive di pagamento per le seguenti tipologie: spese fisse (stipendi e pensioni), mandati informatici. 7 Il SICOGE (Sistema di Contabilità Finanziaria) è l applicativo che permette ad un amministrazione centrale dello Stato di gestire i capitoli di spesa della propria contabilità finanziaria in costante allineamento telematico con l analoga tenuta dei capitoli da parte della Ragioneria generale dello Stato (RGS). 8 Il SIPA (Sistema pubblico dei pagamenti) è il sistema che consente la trasmissione telematica dei titoli di spesa (decreti, mandati, ordini di accreditamento, ecc.) dalle amministrazioni centrali dello Stato verso la RGS (contabilità ordinaria) e la Banca d Italia (spese delegate) ed è interconnesso con la Rete Nazionale Interbancaria. 30/92

37 Per quanto riguarda invece i sistemi del personale, il fenomeno di maggior rilievo è la diffusione del cedolino stipendiale elettronico e l'eliminazione di quello cartaceo. In particolare la legge finanziaria 2005 (art. 1, comma 197) ha previsto la trasmissione telematica del cedolino per il pagamento delle competenze dei dipendenti della PAC dotati di adeguati strumenti informatici. Tale iniziativa è stata tradotta in Azienda in un progetto articolato in più fasi: attivazione di un servizio web attraverso il quale gli utenti abilitati (in una prima fase corrispondenti con il servizio SSI) possono visualizzare ed eventualmente scaricare il cedolino in formato elettronico; al termine della fase di test, il servizio verrà reso disponibile all'insieme di tutti i dipendenti aziendali. La sostituzione del cedolino cartaceo con quello elettronico consente di ottenere rilevanti risparmi di spesa relativi alle attività di stampa e spedizione. 3.3 Il protocollo informatico Il sistema di protocollo informatico attualmente utilizzato in Azienda è Folium di Agorà/DeltaDator ed esso viene utilizzato in tutti gli uffici competenti per la gestione del 100% dei documenti aziendali di carattere amministrativo: il documento cartaceo viene protocollato, trasformato in formato digitale (attraverso una procedura di scansione elettronica) e quindi trasmesso agli uffici interessati. Sono presenti delle funzioni collegate quali quelle di gestione documentale e workflow collaborativo; lo stato di avanzamento del progetto, sulla base della nomenclatura utilizzata nella relazione di riferimento, è quindi quello denominato 'diffusione'. Il sistema è utilizzato a livello aziendale e, attualmente, sono presenti 9 aree organizzative (dotate di registri di protocollo separati), tuttavia è prevista una riorganizzazione (aprile 2008) al fine di ottenere una singola area globale complessiva. Nel corso dell'anno 2008 il sistema verrà migrato al prodotto DocSpa 3.7 di Etno Team e successivamente evolverà ulteriormente verso il prodotto Doc P3. Quest'ultimo rappresenta un'implementazione delle specifiche P3 (definite da vari enti locali, quali Provincia, APSS, Università, Itea, Comuni) volte alla realizzazione di un protocollo informatico comune per tutta la provincia di Trento. Il sistema sarà fornito attraverso modalità ASP da IT. 3.4 Intranet La rete Intranet aziendale è stata sviluppata a partire dagli anni 2000, anche se il suo utilizzo diffuso risale al In relazione all'anno 2007, il numero medio di visitatori unici giornalieri è approssimativamente pari a 330 unità e normalmente per ogni visita vengono richieste 3-4 pagine (ca. 27% dei casi) oppure più di 10 (ca. 42% dei casi). Il numero totale di pagine differenti richieste in un anno è pari a ca Il sistema utilizza il CMS Plone (attualmente Plone 3.04 con Zope 2.10) ed è installato su di un server Linux/Ubuntu. Zope è un application server scritto in Python ed utilizza un db ad oggetti (lo zodb), ma consente anche connessioni a db relazionali; attualmente sono utilizzati PostgresSQL per la rubrica telefonica, MySQL per la gestione dei Crash informatici e SQLServer per la visualizzazione degli ODG delle delibere. Esiste inoltre un'area Wiki per la pubblicazione di documenti e lo scambio di informazioni fra gli utenti. La tabella 24 mostra un riepilogo di alcuni dei servizi offerti dalla Intranet aziendale 31/92

38 Intranet APSS Consultazione norme, circolari e documenti amministrativi interni Annuario elettronico ND ND Accesso a procedure interne Accesso a base di dati ed Internet Accesso a documentazione di lavoro Altre applicazioni Tabella 24: Servizi disponibili sulla intranet, anni La posta elettronica L'utilizzo della posta elettronica è aumentato nel corso degli anni diventando ormai un sistema di comunicazione essenziale per l'attività aziendale. Più lenta è invece la sostituzione delle comunicazioni cartacee formali legata alla diffusione della posta certificata e della firma elettronica, al momento realizzata solo in alcuni ambiti specifici. Nel 2007 il numero di messaggi elettronici scambiati all'esterno delle amministrazioni è stato di circa 1,7 milioni, mentre quelli scambiati all'interno sono stati circa 1 milione. La crescita del numero di messaggi di posta scambiati è destinata a proseguire anche in relazione al suo utilizzo per un numero sempre superiore di servizi (ad esempio il cedolino dello stipendio in formato elettronico). La percentuale di dipendenti informatizzabili dotati di una casella di posta risulta pari al 100%. Il numero medio di messaggi scambiati per casella di posta, all'interno delle amministrazioni è pari a ca. 152 unità, mentre con l'esterno delle amministrazioni, il numero medio di messaggi scambiati è pari a ca La tabella 25 offre un riepilogo dei dati relativi alle caselle di posta ed ai messaggi scambiati negli anni di riferimento. La tabella 26 evidenzia la composizione delle caselle di posta attive (interne/esterne) relative all'anno APSS Var % 2007/2006 Var % 2007/2004 Caselle di posta elettronica ,81 57,84 scambiate all'interno (migliaia) , scambiate con l'esterno (migliaia) , Tabella 25: Caselle di posta e messaggi scambiati, anni APSS 2007 Totale APSS Esterni 9 %Esterni/Totale Caselle attive ,95 Tabella 26: Caselle di posta attive - composizione, anno Strutture accreditate, RSA, MMG-PLS 32/92

39 3.6 La posta elettronica certificata Sono state attivate ca. 50 caselle di posta elettronica certificata, delle quali 20 sono state registrate per la gestione del protocollo informatico (protocollazione dei messaggi di PEC spediti dai cittadini e dalle imprese all'azienda), le restanti per le operazioni di rappresentanza dei vari Servizi e per gli scambi istituzionali. Il servizio, erogato da Informatica Trentina in qualità di Registration Autority Officer (R.A.O), è abilitato da InfoCamere in qualità di Ente Certificatore iscritto nell'elenco Pubblico ai termini di legge e in ottemperanza alle normative vigenti. Allo stato attuale, il sistema non è utilizzato su larga scala, ma solo per alcune attività specifiche. 33/92

40 4. Il patrimonio applicativo ed informativo Illustrazione 3: Principali applicativi in uso (2006) Il patrimonio applicativo è l insieme delle applicazioni informatiche che interagiscono con le basi di dati e con l infrastruttura tecnologica al fine di erogare servizi. Il patrimonio informativo è l insieme delle informazioni strutturate, organizzate e memorizzate su supporto magnetico (basi di dati). Le tecnologie informatiche forniscono supporto allo svolgimento dei processi assistenziali e tecnico-amministrativi attraverso oltre 400 applicazioni informatiche. Uno studio realizzato nel 2006 ha suddiviso le applicazioni informatiche secondo la seguente classificazione: sistemi di gestione dei rapporti con i cittadini e i partner aziendali; applicazioni sanitarie; applicazioni per la gestione aziendale e servizi comuni; applicazioni di base e trasversali. Uno studio realizzato nel 2005 ha evidenziato le seguenti caratteristiche: il 58% degli applicativi utilizzati dall'utenza non risiede nei server, ma sui pc utilizzati dalle strutture; il 25% degli applicativi su PC produce un output destinato all'esterno di APSS (pazienti o altre strutture esterne); gli applicativi presenti sui PC sono per il 21% prodotti da risorse interne alle UU.OO./Servizi che utilizzano l'applicativo; tale fenomeno è pero' in costante diminuzione. La figura 3 riporta la struttura funzionale di riferimento del sistema aziendale e le principali applicazioni relative ai moduli indicati. 34/92

41 Una caratteristica fondamentale della strategia dell'apss è stato il progressivo sviluppo di soluzioni hardware e software trasversali ed interconnesse, in grado di semplificare la vita dei cittadini e di intere attività assistenziali e tecnico-amministrative. Negli ultimi anni si è proceduto ad una progressiva razionalizzazione e unificazione dei principali sistemi gestionali in un'ottica di integrazione di processo (Sistema Informativo Ospedaliero, Sistema Informativo Territoriale, di Laboratorio e di Radiologia). Di rilievo anche l'attivazione, nel 2006, del nuovo Sistema Informativo Direzionale (SID), che ha consentito di potenziare e rendere più efficace il sistema di controllo economico della gestione. Sempre nel 2006 sono stati avviati due progetti informatici per incrementare e migliorare i canali di comunicazione e la cooperazione con due principali partner aziendali: il sistema delle Residenze Sanitarie Assistenziali (RSA), e i Medici di medicina generale (MMG). Le tabelle 27,28,29,30 riportano le caratteristiche tecniche delle principali applicazioni utilizzate in relazione alle relative macroaree di riferimento; evidente l'utilizzo di soluzioni allo stato dell'arte (Java, Oracle, architetture n-tier, web-services) per le applicazioni maggiori. Applicativo Descrizione MacroArea Num utenti Linguaggio DB Fornitore Gestione anagrafe Gestione anagrafica assistibili Gestione anagrafe ospedaliera centralizzata Gestionale per scelte, revoche ed esenzioni MMG/PLS Dizionari Aziendali Clipper Oracle Interno Cobol/RPG DB2 AS400 RTI (Argentea GPI Siemens) Repository Alimentazione basi di dati comuni agli applicativi PL Oracle Interno Delibere IRIDE Protocollo FOLIUM Gestione del ciclo di vita delle delibere Funzionalità di protocollo informatico Tabella 27: Applicazioni di base Gestione documentale Visual Basic SQL Cedaf Java Oracle Agorà 35/92

42 Applicativo Descrizione MacroArea Num utenti Linguaggio DB Fornitore EUSIS Audiuvat EUSIS Cespiti EUSIS Contabilità EUSIS Gest EUSIS Magaz EUSIS Richieste EUSIS Status IPPOCRATE Casse Gestione autorizzazioni protesica Gestione anagrafica e movimentazione dei cespiti Gestione della contabilità finanziaria ed economico patrimoniale Gestione delle manutenzioni e delle commesse Gestione ordini e magazzino Gestione delle richieste ai magazzini aziendali sia di farmaci che di altri beni Supporto attività del controllo di gestione (gestione anagrafica) Emissione ricevute di pagamento e fatture Sistema informativo amministrativo 100 Java Oracle GPI 73 Informix Online Oracle GPI 145 4js/BDL Oracle GPI 55 Java Oracle GPI 187 4js/BDL Oracle GPI 650 Java Oracle GPI 1-10 Java Oracle GPI 190 Java Oracle GPI Sistema Informativo Direzionale - SID Estrazione dati, elaborazione e caricamento in un datamart aziendale Business Intelligence Java Oracle Business Object Italia Gestione del personale Gestione per paghe dipendenti e contrattisti, gestione LP e stati di servizio Sistema per la gestione del personale Tabella 28: Applicazioni per la gestione aziendale e servizi comuni Cobol/RPG DB2 AS400 Sigma 36/92

43 Applicativo Descrizione MacroArea Num utenti Linguaggio DB Fornitore LIS Raccolta ed elaborazione dati per produzione referti di laboratorio Sistema Informativo di Laboratorio 250 Client Oracle Oracle Noemalife RIS Gestione radiologia. Accettazione e refertazione esami Sistema informativo radiologia 400 Delphi Oracle Fuji ITACA SIO Visualizzazione dei referti, in tutti i reparti ed eventual mente anche a soggetti esterni Gestione ammini strativa ricoveri e gestione schede PS Sistema informativo ospedaliero 3400 Java Oracle Noemalife Java Oracle Interno Attività territoriale consultorio familiare Attività territoriale neuro psichiatria infantile Registrazione utenza, attività e statistiche Registrazione utenza, attività e statistiche Access MBD Interno Access MDB Interno Attività territoriale psichiatria Attività territoriale psicologia Registrazione utenza, attività e statistiche Registrazione utenza, attività e statistiche Sistema Informativo Territoriale Access MDB Interno Access MDB Interno Attività territoriale disturbi alimentari Registrazione utenza, attività e statistiche, scadenza vaccinazioni Access MDB Interno Cartella Medicina sportiva Archivio cartelle pazienti che richiedono certificato di idoneità allo sport 1-10 Access MDB Interno 37/92

44 Applicativo Descrizione MacroArea Num utenti Linguaggio DB Fornitore ALS Alta specializza zione Cronos ERO Erogazione Presidi agli Invalidi FRM - ArchiFarma Gestione delle autorizzazioni per il rimborso di prestazioni di assistenza sanitaria indiretta Cartella clinica per il trattamento di malati di Halzeimer Gestione autorizza zioni per l'erogazione di presidi e prestazioni sanitari in favore di invalidi Gestione della Farmaceutica esterna convenzionata Clipper DB3 IT 1-10 Access MDB Interno Clipper DB3 IT 1-10 Oracle Developer Oracle IT GECARI Ordine Farmacisti PAP Test Rilevazione schede di ingresso, dismissione, permessi presso le RSA della provincia Utilizzato da Servizio Farmaceu tico per gestione Raccolta ed elaborazione dati per produzione referti Clipper dbase Interno 1-10 Access MDB Interno Java Oracle Interno Atlante SIT Rilevazione scheda UVM Gestione delle attività sanitarie focalizzate sul territorio Visual Basic SQL Studio Vega 800 Java Oracle GPI AML Gestione pratiche invalidità Gestione attività valutative in capo alla U.O. Di medicina legale Sistema Informativo igiene e sanità pubblica Oracle Developer Oracle IT 38/92

45 Applicativo Descrizione MacroArea Num utenti Linguaggio DB Fornitore EVET - BDR bovina INVET Ippocrate Prevenzione infortuni UOPA Gestione vaccinazioni Gestisce la categoria zootecnica bovina Gestisce la categoria zootecnica bovina Gestione attività U.O. Prevenzione Infortuni Gestionale e archivio U.O. Prevenzione Ambientale Pianificazione attività vaccinale obbligatoria e non ASP SQL Logix Clipper dbase Interno Access Oracle GPI Access MDB Interno 90 Java Oracle GPI Ippocrate - SERT Gestione completa attività ambulatoriali del SERT 250 Java Oracle GPI EMMA Endox EmoNet S.I Neonatale Armonia EUSIS Pharma Tao Gestione eventi programmati e urgenti Sistema informativo gastroenterologia Gestione di tutte le attività dei centri trasfusionale Rilevazione: patologia, malformazioni, trasporto Raccolta ed elaborazione dati per referti Gestione aspetti legati alla gestione farmaceutica Gestione terapia anticoagulante pazienti Tabella 29: Applicazioni sanitarie Altri sistemi sanitari Java Oracle BETA Visual Basic 160 Power Builder Oracle Oracle Tesi Imaging Insiel Java Oracle GPI Power Builder Oracle Metafora 1-10 Java Oracle GPI 1-10 Access MDB Dade Behring (Siemens Healthcare Diagnostics) 39/92

46 Applicativo Descrizione MacroArea Num utenti Linguaggio DB Fornitore GPS-TTD CREDEST Gestione prestazioni sanitarie e trasmissione dati Contabilizzazione con fatture internazionali Sistema informativo amministrativo Java Oracle IT 1-10 DB4 DBF Interno CUPIDO Servizio rapporti con il pubblico Per il collegamento al C.U.P. aziendale Gestione richieste di informazione o lamentela da parte degli utenti Sistemi di contatto con il cittadino Tabella 30: Rapporti con i cittadini e partner aziendali Visual Basic SQL Argentea 1-10 Access MDB Interno 4.1 Le dimensioni del patrimonio applicativo Il patrimonio applicativo viene misurato in KLOC e punti funzioni; tali informazioni non sono disponibili per la realtà aziendale anche in virtù dell'elevato numero di applicativi presenti. Nel seguito del presente paragrafo vengono quindi descritte brevemente alcune delle applicazioni maggiormente significative per la realtà Aziendale Fornitore GPI Settore Ammnistrativo: IPPOCRATE VIP: IppocratE Verifiche e Prevenzione Infortuni, (in sintesi commerciale IE/ VIP), è uno strumento avanzato di supporto informativo progettato per coadiuvare il competente Servizio aziendale che, nell ambito territoriale dell azienda sanitaria in cui è organicamente incardinato, deve svolgere: Le attività di verifica degli impianti e delle apparecchiature che, per legge, sono sottoposte a periodici controlli temporali; Le attività di prevenzione anti-infortunistica. Il Software gestisce, anche nel rispetto della complessa normativa di riferimento, tutte le informazioni utili per pianificare correttamente e tempestivamente le verifiche periodiche succitate e controllare, puntualmente, lo stato d efficienza e di funzionamento degli impianti e dei macchinari oggetto delle verifiche in questione. In APSS è utilizzato da 10 utenti (Servizio Prevenzione Infortuni) e il db di riferimento è Oracle. EUSIS Contabilità: gestione della contabilità finanziaria ed economico patrimoniale, gestione budget e fatturazione, gestione entrate, gestione utenze inventario, ammortamenti, 40/92

47 gestione dell archivio annuale dei movimenti contabili. Consente la redazione del Bilancio d esercizio Aziendale, in base a quanto previsto dalla normativa nazionale, anche di carattere fiscale, e regionali e le riclassificazioni dei dati contabili per assolvere i debiti informativi verso il Ministero della Salute (mod. CE e SP) e verso l Assessorato Regionale alla Sanità. Il db di riferimento è Oracle, ca. 140 utenti amministrativi. EUSIS Magazzino: è il sistema completo e integrato per la gestione degli approvvigionamenti e dei cespiti delle Aziende Sanitarie e Ospedaliere che prevede la Gestione Ordini, Gestione Magazzini Tecnico/Economali, Gestione Farmacie, Gestione Cespiti. Tra le caratteristiche generali troviamo: gestione delle codifiche, gestione anagrafe dei prodotti, gestione sigle specifiche di farmacia, gestione dei depositi decentrati, gestione accentrata delle proposte di codifica e accentrata della codifica, gestione flessibile della valorizzazione, gestione dei dati storici. Il db di riferimento è Oracle, sono presenti ca. 190 utenti suddivisi in amministrativi e farmacisti/sanitari (ca 1% del totale). EUSIS Cespiti: consente di disciplinare l aspetto amministrativo contabile e gli aspetti gestionali di valorizzazione economica del patrimonio mobiliare e immobiliare. Questi compiti sono espletati tramite un insieme di funzioni che, dialogando con la banca dati del sistema, vedono il singolo bene, mobile e/o immobile, come una specifica scheda, sulla quale sono riportati come attributi tutti i suoi dati significativi. Il programma fornisce le basi per effettuare le attività di proiezione gestionale dei beni (simulazioni) e di programmazione. Principali funzionalità: gestione esaustiva dell'anagrafica dei cespiti; gestione delle universalità; archiviazione della cronologia degli eventi gestionali relativi al cespite; generazione automatica del piano di ammortamento aziendale a fini gestionali e fiscali. Produzione di stampe patrimoniali, di inventario, di ammortamento e gestionali. Progettato e realizzato su piattaforma Unix utilizzando Informix Online e Oracle quale database di riferimento. Gli utenti attivi sono ca. 70. EUSIS Richieste da Reparto: è una soluzione che permette a tutti i reparti/servizi di APSS di informatizzare le richieste di cancelleria, farmaci e materiali direttamente ai magazzini dell'azienda. Il database di riferimento è Oracle, il linguaggio di sviluppo Java, ed esistono ca. 650 utenti fra amministrativi e sanitari. EUSIS Gest: è una soluzione articolata e il più possibile automatizzata per la gestione delle Manutenzioni e delle Commesse mediante l informatizzazione delle procedure di lavoro principali dei Servizi Tecnici Aziendali (Sistemi Informativi, Servizio Tecnico, Ingegneria Clinica, ecc.) aventi quali scopo l efficienza e l implementazione dei diversi impianti, sistemi ed apparati, immobili, ecc., componenti il Patrimonio Aziendale. Gli obiettivi del prodotto sono: gestione progetti, commesse interne/esterne; gestione delle immobilizzazioni in corso; gestione delle manutenzioni ordinarie e straordinarie; gestione dell'evoluzione dinamica delle caratteristiche tecnico/funzionali dei cespiti. Il database di riferimento è Oracle, il linguaggio di sviluppo è Java, ed esistono ca. 55 utenti (principalmente tecnici dell'ufficio tecnico). 41/92

48 EUSIS Adiuvat: programma utilizzato per la gestione dell attività di erogazione dei presidi sanitari, prestazioni e protesi agli invalidi. La gestione dei presidi per invalidi coinvolge più servizi: Servizio preposto all erogazione dei presidi (segue l iter relativo alla gestione delle autorizzazioni); Medicina legale (esegue le visite mediche e certifica lo stato d'invalidità); Servizio ragioneria (registra i dati strettamente contabili); Servizio patrimonio (gestisce i dati relativi ai presidi qualificati come cespiti). Il database di riferimento è Oracle, il linguaggio di sviluppo Java con architettura n-tier e gli utenti attivi sono 113. EUSIS STATUS: rappresenta la console di gestione dei dati di contabilità analitica. Schematicamente si compone di un nucleo centrale finalizzato alla storicizzazione, all analisi dei dati e alla reportistica e di datamart specifici finalizzati alla gestione di particolari archivi di supporto: personale, magazzino, contabilità. All interno dell architettura complessivo del mondo EUSIS, Status risulta essere, pertanto, l applicativo destinato ad integrare le varie registrazioni analitiche operate nei diversi mondi (per questo in Status non viene gestita la singola registrazione, ma l unità minima è rappresentata dalla relazione delle tre variabili fondamentali: soggetti, oggetti e tempi) e a supportare l analisi e l interpretazione dei dati. Questo significa che la gestione puntuale delle registrazione e quindi dell imputazione analitica avviene generalmente (escludendo il caso di utilizzo della funzione della movimentazione manuale) in altri applicativi. Funzionalità offerte: Gestione delle anagrafiche; Acquisizione dei dati; Ribaltamenti; Analisi e reportistica; Gestione dei Programmi di Spesa. In APSS è utilizzato da numero 13 utenti ed il database di riferimento è Oracle. Settore sanitario: IPPOCRATE Vaccinazioni: è la soluzione per la gestione completa delle vaccinazioni obbligatorie e facoltative che ciascun assistito deve o può effettuare nei periodi previsti per ciascun vaccino. Prevede i seguenti moduli: Organizzazione e pianificazione della attività; Gestione dei dati anagrafici e schede di situazione individuale; Gestione delle chiamate e dei solleciti; Produzione di certificati e stampe sulle situazioni e sulla qualità delle vaccinazioni e relativi controlli. L'applicativo, sviluppato in Java, è utilizzato su ca. 60 postazioni ed esistono ca. 90 utenti che condividono il medesimo profilo di accesso. 42/92

49 Illustrazione 4: Casse interazioni con altri sistemi interni ed esterni IPPOCRATE Accettazione (Cassa): è stato progettato per permettere la gestione di vari punti cassa nella complessa struttura dell azienda sanitaria. Una gestione che riguarda gli incassi relativi all erogazione delle prestazioni da parte dell azienda stessa. Prestazioni che possono essere di tipo istituzionale (ambulatoriale) oppure non strettamente legate all attività sanitaria, come l emissione di buoni pasto. IppocratE permette inoltre di gestire documenti fiscali e non,sempre attinenti alle prestazioni erogate. Il numero di utenti è pari a 191 unità. IPPOCRATE Ostetricia: è la soluzione per l'attivazione di un Sistema Informatizzato Integrato per gestione del Dipartimento Ostetricia e Ginecologia e dei Consultori delle Aziende Ospedaliere e delle ASL, con possibilità di gestione integrata del dato tra ospedali di responsabilità della ASL e Consultori del territorio di competenza. È possibile: estendere l uso di IE/Ostetricia a tutte le sedi dell Azienda, Ospedali e Consultori senza alcuna necessità di installazione di software sui client utilizzati da tali sedi, mantenere un unico sistema e una anagrafe dei pazienti integrata del Paziente per tutta la ASL, migliorando la qualità dei servizi e delle prestazioni erogate. Il prodotto rileva il certificato di assistenza al parto e i moduli di rilevazione di aborti spontanei e interruzioni volontarie di gravidanza. Il sistema, sviluppato in Java, è attivo su 15 postazioni e gli utenti sono circa 250 utenti (ginecologi, ostetriche e assistenti amministrative) PHARMA: è un applicativo che viene utilizzato principalmente per aggiornare le informazioni relative al prontuario farmaceutico nazionale contenute nella base di dati EUSIS Magazzino, importandole dai tracciati Farmadati. 43/92

50 In APSS è usato da 3 utenti e il database di riferimento è Oracle. EUSIS Galenica: il sistema per la gestione informatizzata dell attività di produzione galenica ed, in particolare, dell attività di carico degli ingredienti, di documentazione delle ricette e di preparazione delle medesime, di alimentazione del magazzino farmaceutico per la consegna successiva ai reparti di destinazione. Il database di riferimento è Oracle, il linguaggio di sviluppo Java ed esistono ca. 10 utenti (farmacisti/amministrativi). IPPOCRATE SerT: Servizio per le Tossicodipendenze, applicativo per la gestione dell'attività ambulatoriale del SerT. Viene registrata tutta l'attività fatta ai pazienti seguiti dal servizio: visite, colloqui, terapia farmacologiche, terapie psicologiche, esami clinici. Viene gestita la somministrazione di metadone fatta con dispenser automatici (presso la sede di Trento) e quella manuale fatta nei vari pronto Soccorso dell'azienda. Sono inoltre registrati i periodi trascorsi in comunità, in carcere, le comunicazione dell'autorità giudiziaria. Gli utenti attivi sono 254. E' presente sia personale del servizio (amministrativo, infermieristico e medico) sia personale esterno (operatori in carcere, personale infermieristico dei PS). Il linguaggio di sviluppo è Java. SIT: Il Sistema Informativo Territoriale (SIT) è un sistema per la gestione delle attività sanitarie focalizzate sul territorio e consente la pianificazione e consuntivazione dell attività medico/infermieristica sia domiciliare che ambulatoriale. E' utilizzato dal Servizio Attività Territoriale e Domiciliare e dai distretti territoriali. Il sistema è suddivisibile in 4 componenti principali: 1. Cure Domiciliari: modulo gestionale per le Cure Domicilari (insieme di attività mediche, infermieristiche, riabilitative e socio-assistenziali integrate fra loro, per la cura della persona nella propria casa); si occupa dell attività medico/infermieristica domiciliare e ambulatoriale, sia dal punto di vista della pianificazione e consuntivazione che dal punto di vista dei relativi compensi; 2. Continuità Assistenziale; 3. Salute Mentale: per la gestione dei Centri di Salute Mentale (psicologia, psichiatria, neuropsichiatria infantile, consultori familiari, alcologia, centro per i disturbi alimentari; 4. DWH: il sistema di Data Warehouse che fornisce la reportistica a livello dirigenziale. Il database di riferimento è Oracle, il linguaggio di sviluppo Java ed il numero degli utenti è pari a ca. 800 unità. Le interazioni dell'applicativo con altri sistemi interni ed esterni sono evidenziate in figura 5. 44/92

51 Illustrazione 5: SIT - interazioni con altri sistemi interni ed esterni Fornitore IT Sottosistema informativo farmaceutica e statistiche: ALS: L'applicazione consente la gestione delle autorizzazioni per il rimborso di prestazioni di alta specializzazione. Opera in ambiente distribuito e centralizzato e supporta l'ufficio Alta Specializzazione del Distretto Sanitario di Trento e Valle dei Laghi nella gestione delle richieste di autorizzazione, nella liquidazione dei rimborsi spettanti agli assistiti e nella produzione di report statistici. AML: l'applicazione consente la completa gestione dell'iter procedurale delle richieste di accertamento sanitario di competenza dell'unità Operativa Medicina Legale, relativamente a varie tipologie, ad es.: invalidità civile, handicap, idoneità al lavoro, cause di servizio. L'applicazione, di tipo Web-based, è fruibile in modalità intranet ed è caratterizzata da una stretta interazione con strumenti di office automation per la produzione delle varie certificazioni. DLA: l'applicazione consente l'archiviazione, la ricerca e la consultazione delle deliberazioni dell'azienda tramite servizi Web da fruire in modalità intranet. Il db di riferimento (gestito da IT) è Oracle e sono presenti ca. 100 utenti APSS e 20 utenti della PAT. FRM: l'applicazione consente la completa gestione della Farmaceutica esterna convenzionata in relazione alla liquidazione delle spettanze alle farmacie, al controllo delle ricette ed all'elaborazione di prospetti contabili e statistici. Si distinguono le seguenti aree 45/92

52 funzionali: anagrafe farmaci; analisi qualitativa delle prescrizioni farmaceutiche; controllo ricette; elaborazione report statistici; gestione piani terapeutici; gestione registro a.s.l.; Gestione ricettari; liquidazione delle farmacie. GPS: l'applicazione consente l'acquisizione ed il controllo contabile di diverse tipologie di prestazioni erogate dalle strutture sanitarie, sia al fine di elaborare le competenze da liquidare alle strutture private accreditate, sia al fine della compensazione della mobilità sanitaria interregionale ed internazionale. In particolare si distinguono le seguenti aree funzionali: assistenza ospedaliera; assistenza specialistica; assistenza termale; mobilità sanitaria interregionale; mobilità sanitaria internazionale. L'applicazione è di tipo web-based ed è fruibile sia in modalità Internet che in modalità intranet RGT: l'applicazione consente l'acquisizione e l'elaborazione dei dati inerenti ai referti di anatomia patologica, alle certificazioni di morte ed alle SDO, organizzati in un datawarehouse epidemiologico, per l'analisi dell'incidenza e della prevalenza di patologie tumorali. TTD: l'applicazione consente il trasferimento telematico di dati all'azienda. Il servizio può essere utilizzato per la trasmissione delle prestazioni erogate dalle strutture sanitarie o socio sanitarie ai fini del successivo trattamento contabile. L'applicazione, di tipo Web based, è fruibile sia in modalità Intranet, che in modalità Internet Fornitore SSI SIO: Sistema Informativo Ospedaliero, applicativo per la gestione amministrativa/sanitaria dell'attività ospedaliera in particolare: Gestione Dati Ricoveri; Gestione Accessi Pronto-Soccorso; Gestione Prenotazione Pasti Degenze; Gestione Registro Operatorio; Visualizzatore dei Referti (Backup); 46/92

53 WebService per sistemi esterni; Spooler di Stampa; Servizi di Esportazione/Importazione dati; Stampa dati riepilogativi; Prenotazioni per interventi. Il sistema è utilizzato da tutto il personale sanitario/amministrativo della APSS (ospedaliero e non) ed inoltre fornisce servizi WEB ad altri applicativi esterni (ITACA/SIT/118/COMUNE TRENTO/ETC) di consultazione e comunicazione tra i sistemi dipartimentali. Gli utenti attivi sono circa 2700, sia personale amministrativo (segreterie di reparto, direzioni centrali, servizi) sia sanitario (operatori, infermieri, medici). Il linguaggio di sviluppo è Java ed il database di riferimento Oracle. Le interazioni dell'applicativo con altri sistemi interni ed esterni sono rappresentate in figura 6. Illustrazione 6: SIO - interazioni con altri sistemi interni ed esterni Altri fornitori Gestione del Personale (SIGMA): Programma per la gestione dell'anagrafica del personale: gestione elementi per il calcolo degli stipendi; presenze/assenze (dati rilevati dai timbratori aziendali); gestione giuridica (servizi svolti, passaggi di carriera, stato di servizio); gestione aspetti previdenziali in collaborazione con l'ufficio pensioni dell'azienda; alcuni dati raccolti sono poi inoltrati all'indap; gestione della libera professione (risultati e paghe); 47/92

54 dati relativi alla formazione (es corsi fatti) in collaborazione con un altro applicativo provinciale. Il programma (collegato ad un database db2) e l'hardware relativo (AS 400) è gestito direttamente dal fornitore (ASP). L'accesso avviene direttamente via web o attraverso un emulatore di terminale e gli utenti presenti in APSS sono 267, prevalentemente collegati al comparto amministrativo. Emonet (Insiel): sistema per la gestione di tutte le attività dei centri trasfusionale (Trento e Rovereto) e dei centri raccolta dell APSS (Banca del Sangue e centri periferici di Arco, Cles,...). Utilizzato da medici, infermieri, tecnici sanitari e personale amministrativo dei centri trasfusionali e di raccolta APSS utilizzato per la gestione informatizzata delle attività che competono al centro trasfusionale, in particolare: accettazione donatori (gestione anagrafica donatori); gestione delle donazioni (gestione e trattamento delle sacche di sangue, gestione del ciclo di lavorazione delle sacche); funzioni di validazione delle sacche (ad opera dei medici competenti); gestione delle richieste di unità di sangue da parte dei reparti ospedalieri. Il sistema è utilizzato attualmente in APSS da 160 utenti (10 amministrativi, 37 infermieri, 78 tecnici e 35 medici) è stato sviluppato in linguaggio Power Builder (Sybase) ed utilizza un database Oracle installato su una macchina Win RIS (Radiology Information System) - Syncromed (Fuji): software applicativo per la gestione degli esami radiologici (radiologia tradizionale. TAC, RMN, ecografie ecc.). Prevede le seguenti macro-funzioni: prenotazione agenda esami radiologici; accettazione paziente; gestione anagrafica; inserimento-modifica esami; refertazione. È prevista una funzionalità di esportazione dei referti verso il repository aziendale degli stessi. Il prodotto è integrato con un sistema di refertazione vocale e con l applicativo PACS Synapse. È installato su tutte le postazioni del dipartimento di radiologia (circa 300) ed utilizzato da tutto il personale amministrativo, tecnico, medico ivi operante (400 persone). Si tratta di un applicativo client/server che richiede una componente client installata direttamente sul PC dell'utilizzatore finale. Il database di riferimento è Oracle ed il prodotto è sviluppato utilizzando Delphi. La gestione dei server e dei database e a carico dell'azienda produttrice. Le interazioni dell'applicativo con altri sistemi interni ed esterni sono rappresentate in figura 7. 48/92

55 Illustrazione 7: RIS - interazioni con altri sistemi interni ed esterni PACS (Picture archiving and communication system) Synapse (Fuji): software applicativo che permette la visualizzazione delle immagini digitalizzate degli esami radiologici di riferimento. È realizzato tramite una web application (pagine ASP) che richiede l installazione di una componente client (tecnologia ActiveX). È installato sulle postazioni di refertazione del Dipartimento di Radiologia (100 postazioni) ma a regime verrà distribuito su migliaia di postazioni aziendali al fine di consentirne l'utilizzo da parte dei medici di qualsiasi settore. Il database di riferimento è Oracle. La gestione dei server e dei database e a carico dell'azienda produttrice. Anatomia patologica - Armonia (Metafora Informatica): software applicativo per la gestione degli esami istologici e citologici del servizio di anatomia patologica. Prevede per ogni paziente l accettazione e la gestione anagrafica, la gestione degli esami e della refertazione. È prevista una funzionalità di esportazione dei referti verso il repository aziendale degli stessi. Il prodotto è installato su tutte le postazioni dei due servizi di anatomia (Trento e Rovereto, circa 50 postazioni) ed è utilizzato da tutto il personale amministrativo, tecnico, medico ivi operante (60 persone). Si tratta di un applicativo clientserver che richiede una componente client installata direttamente sul PC dell'utilizzatore. Il database di riferimento è Oracle ed il linguaggio di sviluppo Power Builder. Anagrafe assistiti (Siemens): contiene i dati relativi a tutti i cittadini iscritti al sistema sanitario provinciale. E' utilizzata come base dati per il calcolo degli stipendi dei medici, come anagrafica aziendale per vari utenti (ad es. casse per pagamenti prestazioni sanitarie) e per funzionalità quali la gestione della scelta del medico di base da parte del cittadino. Viene alimentata dai distretti, Cinformi e Comuni. L'implementazione è effettuata attraverso un sistema Oracle e il numero di utenti abilitato è pari a 335 unità. Emma (Beta80): sistema per la gestione della sala operativa del 118. Suddiviso in 2 componenti: cluster SUN (con sistema operativo Unix) situato nella sala macchine del S. Chiara. Il linguaggio di sviluppo dell'applicativo è Java ed il database è Sybase. Esistono 5 applicativi che utilizzano i dati memorizzati sul cluster e su altri server locali aggiuntivi: 1. sistema gestionale per il server; 49/92

56 2. gestione del centralino telefonico; 3. gestione delle selettive radio (per la comunicazione radio con le ambulanze); 4. registrazione delle telefonate; 5. gestione della cartografia (localizzazione geografica). server Windows (sala macchine S. Chiara) per la gestione dei dati attraverso il web; utilizzata dagli operatori del 118 di Rovereto e delle zone periferiche. L'accesso al sistema è consentito agli operatori del 118 e al personale di controllo, viene gestito direttamente dall'azienda e attualmente sono presenti ca. 100 utenti. Endox (Tesi Imaging): gestione unità operativa di gastroenterologia multizonale presente come ambulatori negli ospedali di Arco, Rovereto, Trento; gestione anagrafica pazienti con anamnesi, refertazione, immagini e filmati dell'esame endoscopico, caricamento automatico referti istologici biopsie, gestione modulistica consensi informativi e preparazione all'esame, gestione tempistiche esame. Usato da dottori, infermieri e personale amministrativo dell'unità multizonale di gastroenterologia. Il linguaggio di sviluppo è Visual Basic ed il database di riferimento è Oracle: sono previsti 25 accessi contemporanei al database ed il numero di utilizzatori del programma è pari a circa 45 persone. Itaca (Noemalife): repository dei referti e cartella clinica. Attualmente supporta le seguenti funzionalità: repository referti di laboratorio, radiologia ed anatomia patologica sia per pazienti degenti che per gli esterni; richiesta di esami di laboratorio per i degenti; cartella clinica (MDS) degenti; richiesta, visualizzazione e refertazione delle consulenze pazienti esterni ambulatoriali; lettera di dimissione degenti; accettazione pazienti ambulatoriali. Il database di riferimento è Oracle ed il linguaggio di sviluppo Java. E' utilizzato nei vari reparti ospedalieri, ambulatori ospedalieri, servizi ambulatoriali, RSA ed il numero di utenti attivi è pari a ca unità (personale sanitario, amministrativo, segreteria di reparto). LIS (Laboratory Information System) DNLAB (Noemalife): programma per la gestione completa degli esami di laboratorio (è la soluzione dipartimentale per l'informatizzazione della diagnostica). Il database di riferimento è Oracle ed il sistema è utilizzato da ca 250 utenti (39 amministrativi, 22 infermieri professionali, 45 dirigenti, 140 tecnici di laboratorio e 6 utenti di servizio. 4.2 L utilizzo di software open source L'utilizzo di software open source in Azienda è riservato principalmente alla componente di backoffice per il livello server e middleware di sistema. La tabella 31 riporta l'elenco di alcuni dei prodotti open source utilizzati e la relativa data di introduzione. Vengono inoltre utilizzati strumenti collegati allo sviluppo di applicativi quali Eclipse, Java, Php, il database MySql e strumenti di condivisione quali Samba. Sul lato frontend, ovvero sul desktop, il numero di applicativi open source utilizzati è ridotto e riconducibile essenzialmente al browser Mozilla Firefox, al client Mozilla Thunderbird ed alla suite OpenOffice/StarOffice (attuale oggetto di sperimentazione in 50/92

57 relazione alla sostituzione della suite proprietaria Microsoft Office). Sono inoltre presenti alcune pdl con sistema operativo GNU Linux. Prodotto Utilizzo Mission Critical Data Apache Web Server SI 3Q01 Tomcat Servlet Container SI 3Q01 Apache SOAP/Axis Web Services SI 1Q03 Jboss J2EE App. Server SI 1Q04 Gnu/Linux SSI/Server dipart. NO 1Q00 Ireport/Jasper Report print/pdf NO 1Q04 Tabella 31: Principali prodotto open source utilizzati I principali vantaggi riscontrati nell'utilizzo di soluzioni open source sono riconducibili alle seguenti tematiche: costo d'acquisto; rapidità di acquisizione; qualità delle soluzioni offerte; formato dati standard e aperto (diritto di accesso del cittadino alle informazioni ed ai propri dati); disponibilità del codice sorgente (la permanenza dei dati pubblici, la sicurezza dei sistemi e dei dati); uso di standard (cooperazione applicativa nelle reti sanitarie). L'utilizzo di soluzioni open source (tipicamente LAMP) per lo sviluppo di software è indicato quale standard aziendale (relativamente alle applicazioni interne); molte delle applicazioni in produzione (ad es. il Sistema Informativo Ospedaliero) si basano su elementi open source (Apache, Tomcat, Jboss, Java, etc.). 4.3 Il riuso del software La pratica del riuso del software è evidenziata dalla concessione in uso del software 'IPPOCRATE/ Dipendenze SerT' alle seguenti realtà: Assessorato alla Sanità della Provincia Autonoma di Bolzano (2004); Servizio Assistenza Territoriale ed integrazione Socio-Sanitaria - Regione Marche (2004); ASL RME - Dipartimento di Epidemiologia - Regione Lazio (2004); Azienda USL FG/1 San Severo - Regione Puglia (2004); Azienda USL della Valle d'aosta (2007). 4.4 Le basi di dati Nella rilevazione le basi di dati considerate solo quelle di dimensioni notevoli e/o rilevanti dal punto di vista istituzionale. Accanto a queste sono ormai molto diffusi archivi di minori dimensioni distribuiti anche sul territorio. La dimensione delle basi di dati registrata al termine dell'anno 2007 è pari a ca. 560Gb, per quanto 51/92

58 riguarda invece la numerosità delle basi di dati si registra un aumento del 4% (25 unità nel 2006, 26 nel 2007). Le basi di dati di maggior incidenza in termini di utilizzo di memoria sono: 'RIS' (113Gb), 'WBMD' (82,02Gb), 'DNLAB' (69,83Gb) e 'MMG' (55,07Gb). La crescita numerica/dimensionale delle basi di dati si ripercuote sul rapporto tra gigabyte dati e dipendenti informatizzabili (tabella 32) che nell'anno 2007 risulta essere pari a 0,09. La tabella 33 elenca le principali basi di dati in produzione presenti in Azienda (evidenziandone lo spazio occupato e lo sviluppo cronologico), realizzate su piattaforma Oracle; accanto ad esse sono utilizzate una elevata quantità di basi di dati di dimensioni inferiori e realizzate con piattaforme differenti (MySql, Microsoft Sql Server, DB3,... ) per la gestione di specifici servizi. Dal punto di vista tecnologico la quasi totalità delle soluzioni DBMS è di tipo relazionale. APSS 2007 VAR % 2007/2006 Numero 26 4 Terabyte 0,56 - Gigabyte BD / dip inform. 0,09 - Tabella 32: Basi di dati, anno 2007 e variazione percentuale rispetto al 2006 ISTANZA Contenuto ANAASS - - 8,17 Anagrafica (Rovereto) ANAG - - 2,09 Anagrafe assistiti ANAONCO ND - 0,37 Cartella clinica oncologica APATTN ,88 Anatomia patologica APSSDWH ND - 13,48 DWH aziendale BOCH ,37 Business Object aziendale (SID) CITRIX - - 0,69 Repository MetaFrame XP DIGIFAT - - 2,56 Fattura digitale (LUCY) DNLAB ,83 DNLAB DNSUITE ND - 18,42 Monitor DNLAB e WBMD EMONET ND - 6,61 Emonet MEDARC - - 0,88 Medarchiver MMG ND ND 55,07 Medici di base SERT ND - 0,94 SerT SIAM ,26 Applicativi amministrativi SICA ,17 Casse SIDI ,37 Anagrafica assistiti provinciale SIO ,18 Sistema Informativo Ospedaliero SIOROV ,97 SIO (Rovereto) 52/92

59 ISTANZA Contenuto SISA - - 1,75 Vaccini ed Ostetricia SITE - - 5,56 SI territoriale TELEONCO ND - 4,63 Cartella clinica oncologica TESI ND - 1,17 Cartella clinica gastroenterologia WBMD ,02 Itaca GESTIONE ESTERNA PACS Riferimenti alle immagini memorizzate in una SAN per un totale di ca. 5TB RIS Dati relativi ai referti radiologici Totale Numero Totale Gigabyte ,44 Tabella 33: Installazioni Oracle in produzione (in GigaByte) Per quanto riguarda il patrimonio informativo condiviso (sia tra pubbliche amministrazioni, PAC e PAL, sia con altri soggetti attraverso Internet) sono accessibili dall'esterno numero 4 basi di dati (tabella 34). Denominazione Descrizione PAC Acceduta da PAL CUP DWH Data warehouse CUP - Politiche Sociali (PAT) Anagrafe Anagrafe assistiti Ministero dell'economia e delle Finanze DIA In futuro: Comune di Trento, CAF (icef) e APAPI (accompagnamento) Registro imprese - Comuni, assessorato alimentari 10 provinciale Controllo acque Controllo delle acque - Comuni, società di servizi, potabili 11 assessorato provinciale Tabella 34: Basi di dati accessibili dall'esterno 4.5 I data warehouse Continua lo sviluppo dei data warehouse (DWH) in qualità di strumento di supporto al processo di valutazione e controllo strategico delle amministrazioni. Come è noto, l uso di un data warehouse comporta diversi vantaggi tra i quali: il raggruppamento di dati decisionali per aree o temi di interesse e l orientamento degli 10 Nel 2007 la dimensione della base di dati in oggetto è stata pari a ca. 20Mb 11 Nel 2007 la dimensione della base di dati in oggetto è stata pari a ca. 150Mb 53/92

60 stessi rispetto all utilizzazione finale; la salvaguardia del patrimonio informativo e l incremento della qualità dei dati; la disponibilità di elementi informativi di sintesi ottenuti integrando i dati dei sistemi operazionali e gestionali; la disponibilità di un orizzonte temporale ampio che garantisce il mantenimento di informazioni storiche; la risposta tempestiva e corretta a problemi decisionali. I 3 sistemi di DWH attivi attualmente in Azienda (12,5% sul totale delle basi di dati) sono relativi ai seguenti sistemi: CUP: utilizzato per la creazione di reportistica relativa a varie statistiche (ad es. monitoraggio dei tempi dei attesa, numeri di accesso, numero prenotazioni fatte, etc.), il numero di utenti è pari a 15 unità (comprensivo di 1 accesso da parte dell'assessorato provinciale), le dimensioni sono pari a ca 6Gb. ed il sistema è attivo dal 2006; SIT: utilizzato per la creazione di varie statistiche (ad es. utenti in carico, utenti nuovi, utenti legge 104 (invalidità), totali prestazioni effettuate, durata presa in carico, etc.), il numero di utenti è pari a ca. 50 unità ed il sistema è attivo dall'anno 2005; SID: utilizzato per la visualizzazione di report economici relativi a 5 macroaree (consumi, personale, pronto soccorso, attività ospedaliera/ricoveri, attività ambulatoriale), il numero complessivo di utenti è pari a 74 unità (utenti base con accesso in sola lettura, 12 utenti evoluti ed utenti dirigenziali con accesso ai cruscotti dirigenziali) ed il sistema è attivo dall'anno Come si evince dai dati sopra indicati, nell'anno 2005 era attivo un solo sistema di DWH mentre a partire dal 2006 il numero totale di sistemi attivi in tale categoria ammonta a 3 unità. 54/92

61 5. L infrastruttura tecnologica L infrastruttura tecnologica e di connettività è costituita dall insieme dei sistemi elaborativi (sistemi grandi, sistemi medi e personal computer) e dalla infrastruttura di rete che li collega. 5.1 Lo stato complessivo dell infrastruttura IT Nel 2007 si rileva che il numero di sistemi grandi è pari a 7 unità (campus cluster, 3 sistemi Sun 4800, cluster Itaca, SID, RIS) con un'età media di 3,5 anni (rispetto agli anni precedenti, è stato attivato il sistema di campus cluster). Il numero dei sistemi medi è pari a ca. 100 con età media di 2,5 anni. I sistemi di memorizzazione (storage esterno) sono 7, con una capacità complessiva di gigabyte. Le postazioni di lavoro (Pdl) complessive sono 4.499, con un incremento del 11,47% rispetto al Piattaforma Caratteristica Sistemi grandi 12 Numero Età media 1,9 2,9 3,5 Sistemi medi 13 Numero (stima) Età media - - 2,5 Sistemi di memorizzazione 14 Numero Capacità complessiva (Gbyte) Pdl 15 Numero Tabella 35: Infrastruttura di base, anni Gli elaboratori centrali e i server La dislocazione degli elaboratori informatici è attualmente ripartita in 4 sedi principali: 1. CED Trento (SSI): struttura principale che contiene quasi tutte le macchine principali ed è destinata a diventare il centro di riferimento dell'azienda; 2. CED Trento (Sede): ospita alcune macchine importanti, ma è destinato a diventare un CED 12 Sistemi grandi (enterprise): sistemi composti da uno o più computer ( cluster ) dotati di una elevata capacità di elaborazione in grado di supportare l utilizzo contemporaneo da parte di centinaia o migliaia di utenti il cui accesso avviene di solito mediante un terminale. Inoltre, il costo complessivo (valore di acquisto) del sistema (processore, memoria e dispositivi di I/O interni) è superiore a 400mila euro 13 Sistemi medi: sistemi composti da uno o più computer ( cluster ) dotati di una piccola o discreta capacità di elaborazione in grado di supportare l utilizzo contemporaneo da parte di decine o centinaia di utenti il cui accesso avviene di solito mediante un terminale. Inoltre, il costo complessivo (valore di acquisto) del sistema (processore, memoria e dispositivi di I/O interni) è inferiore ai 400mila euro. 14 Sistemi di memorizzazione: sistemi dedicati alla memorizzazione dei dati su dischi magnetici (dal calcolo vanno esclusi i dispositivi di archiviazione a nastro e quelli ottici). 15 Le postazioni di lavoro (PdL) comprendono i personal computer desktop e i personal computer portatili utilizzati dal personale dell amministrazione. Comprendono inoltre altre postazioni rese disponibili dalle amministrazioni a personale esterno di altri enti (ad esempio, enti locali). 55/92

62 di disaster recovery; 3. CED Trento (S. Chiara): ospita alcune macchine per attività critiche e principalmente locali; 4. CED Rovereto: in atto procedura di ridimensionamento a favore della struttura centrale. Sono inoltre attivi alcuni 'locali tecnici' (ad es. presso ospedale di Tione, Cavalese, Monoblocco di Arco, Villa Rosa a Pergine) che concentrano apparecchiature e macchine per le strutture periferiche. 5.3 Le postazioni di lavoro Cresce del 7,68% il numero di personal computer desktop 16 (tabella 36) ed il livello di copertura complessivo (rapporto tra personal computer desktop e dipendenti informatizzabili, tabella 37) che si attesta a 0,65. Cresce del 48,13% il numero dei personal computer portatili; la percentuale di utenti informatizzabili dotati di personal computer portatili (tabella 38) raggiunge il 5,03%. APSS Var % 2007/2006 Var % 2007/2004 PC desktop (interni) ,68 - Portatili ,13 - Totale (interni) ,85 - PC desktop (esterni) ,17 - Totale ,47 37,29 Tabella 36: Personal computer desktop e portatili - anni Nel 2007 si evidenzia l'utilizzo di desktop aziendali presso terzi convenzionati (MMG ed RSA) al fine di supportare i progetti di sviluppo informatici proposti dall'azienda nell'ottica di un continuo miglioramento dei servizi offerti. APSS PC desktop in uso ai dipendenti PC desktop esterni PC desktop esterni (%) 0,78 1,14 2,58 PC desktop / dipendenti informatizzabili - - 0,65 Tabella 37: Personal computer desktop - Numero e indicatori di copertura, anni Le postazioni di lavoro considerate sono quelle desktop in uso ai dipendenti: non comprendono quelle in uso all esterno dell amministrazione e i personal computer portatili 56/92

63 APSS PC portatili (numero) PC portatili / totale dei PC 17 (%) 4,62 5,36 7,23 PC portatili / dipendenti informatizzabili (%) - - 5,03 Tabella 38: Personal computer portatili - Numero, incidenze e copertura, anni La tabella 39 riporta la situazione relativa alle stampanti installate/noleggiate in Azienda ed alla tipologia di monitor presente, relativamente agli anni Stampanti APSS A noleggio Installate Monitor 18 Crt Lcd Tabella 39: Stampanti e monitor, riepilogo anni La connettività e l accesso ad internet Le postazioni di lavoro 19 (tabella 40) connesse in rete locale sono praticamente pari al 100% del totale. La percentuale di sedi collegate in rete locale rispetto al totale delle sedi è pari al 100%. La percentuale di postazioni di lavoro connesse in rete geografica è pari al 100%; la percentuale di sedi collegate in rete geografica (70 unità) rispetto al totale delle sedi è il 100% (91,43% nel 2006). Descrizione Pdl in rete locale / totale Pdl (%) 99,54 99, Pdl in rete geografica / totale Pdl (%) 99,54 99, Utenti collegati (interni ed esterni) Sedi connesse in rete locale / totale sedi (%) - 91, Sedi connesse in rete geografica / totale sedi (%) - 91, Tabella 40: Indicatori di connettività, anni (in percentuale) APSS 2007 Totale APSS Esterni %Esterni/Totale Utenti collegati ,03 Tabella 41: Utenti collegati - composizione, anno Nota: il numero dei PC è comprensivo dei portatili 18 Nota: il numero dei monitor si riferisce esclusivamente ai PC desktop (i portatili sono quindi esclusi) 19 Nota: il numero delle postazioni di lavoro comprende sia il numero dei PC, sia il numero dei portatili 57/92

64 Negli ultimi anni la crescita dei collegamenti verso i medici locali e le RSA è stata pari a ca. il 20% annuo, mentre le sedi connesse in rete geografica sono cresciute di 5/6 unità rispetto al Per quanto riguarda le connessioni wireless (tabella 42) occorre rilevarne lo scarso utilizzo attuale. Esistono reti wireless attive presso l'ospedale S. Chiara, l'intera Sede Direzionale, il 1 piano del CSS, il reparto di Medicina a Cavalese e Rovereto ed i reparti Medicina e Lungo Degenza di Arco, tuttavia il numero di Pdl 20 connesse con tale modalità è molto limitato (5 portatili e 4 tablet PC). Il numero di access point installati è pari a ca. 50 unità, quale supporto per lo sviluppo futuro di questa metodologia di connessione (ad es. per i MMG). Descrizione Pdl in rete locale wireless / totale pdl (%) - - ca. 10 Pdl in rete geografica wireless / totale pdl (%) Tabella 42: Indicatori di connettività wireless, anni (in percentuale) Come riportato nelle tabelle 43 e 44, quasi tutte le postazioni di lavoro presenti sono dotate di un accesso ad Internet a larga banda (superiore a 128Kbit/s, nel contesto di riferimento). Nello specifico gli uffici periferici (una decina) sono dotati di collegamenti ADSL a 2 Mbit/s, i restanti offrono connessioni con prestazioni superiori (generalmente pari a 1Gbit/s, con punte di 2Gbit/s per l'ospedale S. Chiara, il CSS ed il centro traumatologico di Villa Igea). Descrizione Pdl con accesso ad internet / totale Pdl (%) ,99 Tabella 43: Percentuale di Pdl con accesso ad internet, anni Descrizione Pdl con accesso ad internet in banda larga 21 / totale Pdl (%) ,99 Tabella 44: Indicatore di connettività ad Internet in banda larga, anni (in percentuale) 5.5 Lo stato dell SPC/RUPA A partire dall'anno 2006 è stato abilitato 1 accesso alla rete RUPA (tabella 45), ma, attualmente, non vi sono collegamenti operativi (il traffico è nullo). L'ampiezza di banda attuale è pari a 2Mbit/s con 1 Mbit/s di traffico garantito, ma il sistema è in via di aggiornamento al fine di ottenere un'ampiezza di banda pari a 8 Mbit/s con 4 Mbit/s di traffico garantito. Il costo sostenuto per il canone di abbonamento è pari a ca annui. 20 Nota: il numero delle postazioni di lavoro comprende sia il numero dei PC, sia il numero dei portatili 21 Connessione con larghezza di banda superiore a 128 Kbit/s 58/92

65 RUPA/APSS Ampiezza di banda disponibile Mbit/s 2 2 Spesa migliaia di 7 7 Traffico http Gbyte - - transitate numero - - Tabella 45: Ampiezza di banda, spesa sostenuta e dati di traffico http/ , anni Lo stato della TELPAT La rete WAN di APSS si appoggia alla struttura denominata TelPAT formata da un insieme di apparecchiature e di cavi atti ad interconnettere tra di loro numerose realtà economiche e amministrative della PAT tra cui anche l APSS. La rete provinciale TelPAT (gestita da IT) eroga principalmente due tipologie di servizi distinte: 1. la Rete a Banda Larga: interconnette i nodi del Centro Servizi Sanitari, con i P.O. S.Chiara, S.Maria del Carmine, Villa Igea, Mezzolombardo, Cavalese, Borgo, Cles, Pergine, Tione ed Arco. L interconnessione tra in nodi citati avviene su cavi in F.O. Tramite un anello metropolitano distribuito sul territorio della PAT. Tale anello in F.O. permette non solo la interconnessione dei vari nodi tra di loro ma gestisce anche dei percorsi ridondati atti a garantire la continuità del servizio; 2. la Rete ADSL: I collegamenti attestati sulle sedi periferiche non ospedaliere (Distretti Sanitari, Poliambulatori, Case di Riposo, Ambulatori Medici di Medicina Generale ecc,) vengono effettuati con la tecnologia ADSL che fornisce generalmente una banda di 2 Mbit/sec. In alcuni casi la velocità di collegamento è di 640 Kbit/sec. Allo stato attuale sono attivi ca. 220 collegamenti di cui 9 su rete a banda larga. 5.7 La Rete internazionale della pubblica amministrazione (RIPA) Non esistono, attualmente, collegamenti attivi sulla rete RIPA. 5.8 L utilizzo delle tecnologie emergenti APSS Previsto entro il 2008 Sperimentazioni in corso Progetti in corso di realizzazione In uso Non utilizzato VoIP Mobile Wi-Max WI-FI RFID Biometria Tabella 46: Tecnologie emergenti 59/92

66 Nella tabella 46 vengono riportati i dati relativi alle tecnologie emergenti previsti per l'anno Nel dettaglio si rileva la seguente situazione: VoIP: è in atto una sperimentazione della tecnologia e sono stati effettuati i collegamenti di alcune sedi campione; Mobile: sono utilizzati dei sistemi basati su SMS per le notifiche relative ad applicazioni di gestione dei crash informatici, di supporto per l'allarmistica e di telecontrollo per le strutture del CED; Wi-Max: non utilizzato (in linea con quanto osservato nelle altre amministrazioni oggetto di osservazione); WI-FI: sono stati attivati alcuni collegamenti (ad es. i reparti di Medicina di Cavalese, Arco e Rovereto, le sale operatorie dell'ospedale S. Chiara, la Sede Centrale APSS e la sede dei SSI) e la tecnologia è utilizzata in ambienti di produzione; RIFD: è stato effettuato uno studio per la localizzazione di beni mobili all'interno di un ospedale, ma non sono previste applicazioni effettive nel breve periodo; Biometria: sono state effettuate delle sperimentazioni con lettori di impronte digitali per la gestione dell'identificazione ed autenticazione (SSO) del personale, ma non si prevede un utilizzo nel breve periodo dato l'elevato costo della soluzione. 60/92

67 6. L organizzazione ICT e l utenza interna L'organizzazione ICT è la struttura preposta allo sviluppo e alla gestione dei sistemi informativi automatizzati, nonché al livello di utilizzo di personale informatico capace d indirizzare, governare e controllare gli interventi sui sistemi informativi e di raccordarli con le trasformazioni organizzative. 6.1 Il personale ICT La rilevazione degli addetti interni ICT riguarda sia il numero totale di persone impegnate in attività informatiche (anche a tempo parziale), sia il numero totale di persone equivalenti (addetti full time equivalent, FTE). Un addetto full time equivalent (FTE) è un addetto che dedica tutto il suo tempo lavorativo disponibile ad una sola attività. Il tempo disponibile è 7 ore e 12 minuti per un giorno di lavoro (giorno persona) e di 220 giorni per un anno di lavoro (anno persona). Il numero di addetti ICT è pari a 57 unità (tabella 47) e l'età media rilevata nell'anno 2007 è pari a ca. 41 anni. Il numero di persone impiegate part-time è pari a 9 unità (nel dettaglio: 1 unità 12/36, 2 unità 18/36, 1 unità 20/36, 1 unità 25/36 e 4 unità 30/36). La percentuale di addetti ICT in relazione al totale dei dipendenti informatizzabili è pari a ca. 0,9%. SSI Full- Time Part- Time Esterni Addetti ICT Totale Numero % su dipendenti informatizzabili Numero Anni persona FTE % su dipendenti informatizzabili , , ,9 50,199 0,8 Tabella 47: Addetti ICT, numerosità, anni persona FTE e % su informatizzabili, anni La tabella 48 evidenzia l'evoluzione del numero totale dei dipendenti dell'azienda e della relativa componente informatizzabile 22 nel corso degli anni oggetto di rilevazione; nell'anno 2007 i dipendenti informatizzabili raggiungono 83,01% del totale. Il numero di dipendenti dell'azienda evidenzia un trend di crescita costante (+1,78% relativamente al periodo e +1,59% relativamente al periodo ). Dipendenti informatizzabili APSS Dipendenti totali Tabella 48: Dipendenti informatizzabili e totali, anni Per personale informatizzabile si intende il numero di dipendenti che, nella normale operatività, hanno necessità di utilizzare in modo continuativo postazioni di lavoro informatizzate. Si tratta di una stima delle amministrazioni circa l'obiettivo di copertura con postazioni di lavoro informatizzate (pdl) rispetto al totale dei dipendenti. 61/92

68 6.2 L impiego del personale ICT nelle diverse attività La tabella 49 mostra la ripartizione percentuale delle attività in cui è impegnato il personale interno del servizio SSI, sulla base dei gruppi costituenti (nuclei). Per ciascuno dei 5 nuclei presenti (gestione esercizio, gestione progetti, innovazioni e fornitori IT, PIC, Responsabile e segreteria) è riportata la rispettiva dimensione (numero pesato dei componenti) e distribuzione percentuale delle attività sulla base della nomenclatura di rilevazione attualmente in uso. Nucleo (SSI) Peso componenti relativo % Governo Produ zione Forma zione Attività di Collabo razione Interfaccia con il mercato Progetto Gestione Esercizio 23 32,66 58,31 60,7 75,22 38,5 32,68 7,4 10,07 Gestione Progetti 8,85 15,8 4,84 5,91 27,53 3,03 1,07 85,86 Innovazione e fornitori IT Processi, piani di continuità Responsabile e segreteria 3 5,36 5,95 0,8 5,27 7,03 61,44 2,02 6,5 11,61 7,48 12,86 26,97 50,67 1,37 0,81 5 8,93 21,03 5,21 1,73 6,59 28,72 1,24 Totale 56, Tabella 49: Attività degli addetti ICT, anno 2007 (distribuzione percentuale) 6.4 La formazione degli addetti ICT Cresce il tempo dedicato alla formazione degli addetti ICT 24 che passa da 0,0043% nel 2006 a 0,0061% nel 2007 (tabella 50). SSI Giornate allievo Numero addetti ITC Impegno (%) Var % , , , , ,74 Tabella 50: Impegno degli addetti ICT nella formazione, anni (in percentuale) Complessivamente, cresce del 40,74% rispetto al 2006 (22 unità circa in valore assoluto) il numero delle giornate allievo, mentre cresce del 45% il numero di allievi informatici coinvolti in attività di formazione (tabella 51). Diminuiscono i costi sostenuti per la formazione degli addetti ICT che passano da ca nel 2006 a nel 2007 (-36,51%). 23 I valori riportati sono comprensivi dell'attività svolta da 2 consulenti esterni che operano full-time in Azienda. 24 Tale valore è calcolato dividendo il numero delle giornate allievo con la disponibilità complessiva degli addetti ICT, calcolata moltiplicando il numero di addetti ICT per 220 giorni lavorativi 25 L'importo comprende l'acquisto di 1 supporto (cd) di auto-formazione. 62/92

69 SSI Giornate allievo Var % Num. allievi Var % Num. corsi Var % Costi Var % , , , , , ,51 Tot Tabella 51: La formazione degli addetti ICT, anni Con delibera n. 685/2005 del 23/06/05 (per gli anni 2005, 2006) e successiva lettera prot. 2.05/ (per l'anno 2007) è stato stanziato l'importo complessivo per la formazione di , di cui ca sono già stati impiegati. 6.5 I rapporti del settore ICT con gli utenti interni 26 Gli utenti interni del sistema informatico sono i dipendenti che nella normale operatività utilizzano sia il personal computer connesso in rete, sia le procedure automatizzate disponibili. Per quanto riguarda i rapporti di cooperazione e di comunicazione tra gli utenti interni del sistema e il settore ICT, questi sono oggetto di particolare attenzione. Il processo di 'Demand Management' utilizzato in APSS è finalizzato a soddisfare le richieste dell utenza aziendale relative a necessità tecniche informative, che possono derivare da malfunzionamenti di HW e/o SW, necessità di aggiornamento della dotazione HW e SW (IMAC) e di produzione di reportistica. I soggetti coinvolti ed il rispettivo ruolo nel processo vengono riportati nella tabella 52. Soggetti coinvolti Utenti APSS Outsourcer (IT) SSI Area Gestione Esercizio SSI Area Processi, Flussi e Piani di Continuità Responsabili U.O./Servizi Ruolo nel processo Richiedono l intervento di assistenza (input del processo) e rappresentano i destinatari dell output del processo stesso. Le richieste sono di assistenza HW e SW; IMAC; reportistica ed elaborazione dati. Ricevono le richieste da parte dell utenza per quanto riguarda l assistenza HW/SW e le IMAC inserendo le chiamate ricevute nel sistema Remedy, per HW/SW, e nel sistema GRU, per le richieste relative ad applicazioni, hardware, report, servizi, software. Eseguono gli interventi di assistenza relativi ai PC client (manutenzione di 1 livello) e fornisce supporto informativo all utenza. Eseguono gli interventi di manutenzione di 2 livello (a livello di reti locali, server e applicativi) e le IMAC. Supportano l area Processi, Flussi e Piani di Continuità per la elaborazione dei dati presenti nei data base di propria competenza. Eseguono le richieste di creazione report ed elaborazione dati presenti nei data base di propria competenza. Approvano le richieste IMAC effettuate tramite il sistema GRU 26 Per utenti si intende l'insieme dei dipendenti informatizzabili meno il numero degli addetti all'ict-fte 63/92

70 Soggetti coinvolti Responsabile SSI Responsabile Area Gestione Esercizio (SSI) Responsabili del trattamento Fornitori esterni Ruolo nel processo Autorizza le richieste di nuovo HW. Autorizza le richieste di SW con impatto economico (licenze o acquisto) Autorizza le richieste IMAC (Escluso per nuovo HW e SW di competenza del Responsabile di SSI) effettuate tramite il sistema GRU Autorizzano le richieste di abilitazione e accesso agli applicativi e di reportistica Eseguono gli interventi di assistenza per HW e SW che prevedono un contratto specifico di assistenza o sono in garanzia. Tabella 52: Soggetti coinvolti nel processo di Demand Management Il processo ha inizio a seguito di una richiesta da parte dell utente. Le modalità di effettuazione della richiesta differiscono a seconda della tipologia di richiesta stessa e della struttura di appartenenza del richiedente: per le richieste di assistenza tecnica, l utenza si rivolge alla struttura del call center gestita in outsourcing da Informatica Trentina il quale la inserisce in un proprio applicativo gestionale delle richieste (Remedy). Le richieste di assistenza tecnica relative alla macchina (PC) è definita di 1 livello e gestita da Informatica Trentina che può intervenire o in remoto, tramite telefono o collegandosi alla macchina, o sul posto. Le richieste di interventi sulla rete o sugli applicativi dei server (definita di 2 livello) è girata dal call center all area Gestione Esercizio di SSI che la prende in carico (tecnico di turno, reperibile). per le richieste IMAC e di reportistica l utente delle strutture per le quali è in produzione una procedura informatica di gestione delle richieste, si rivolge al call center (gestito da Informatica Trentina) il quale inserisce la richiesta in un sistema appositamente creato da SSI (GRU: il tool di APSS per gestire l iter approvativo ed autorizzativo delle richieste dell utenza e implementare sia il workflow di autorizzazione sia il dettaglio delle richieste effettuate). L utente delle strutture non ancora coperte dalla procedura si rivolge direttamente a SSI inviando una richiesta telefonica, cartacea o tramite . L apertura della chiamata è effettuata dal personale del call center che, sulla base della richiesta utente, inserisce un dettaglio informativo strutturato sul tipo di intervento ed attiva un workflow di autorizzazione (approvazione del responsabile del richiedente, autorizzazione del responsabile del procedimento), necessario affinché il gruppo di lavoro sia autorizzato a dar seguito alla richiesta. Le tabelle 53 e 54 riportano alcune statistiche relative all'utilizzo del sistema informatico, sia in termini assoluti che sulla base delle differenti categorie di utenti previsti: Utente Richiedente: un qualsiasi dipendente che effettua una richiesta attraverso la procedura automatizzata. Il sistema provvede ad inviare al richiedente (che dispone di una casella di posta elettronica) una mail ogni qual volta la sua richiesta procede nel suo iter (approvazione / autorizzazione / evasione) oppure nel caso in cui la stessa venga rifiutata; Responsabile U.O.: è il soggetto che conferma la richiesta telefonica dell utente; Autorizzatore: è il soggetto che autorizza le richieste; Gestore: è il soggetto che gestisce operativamente la richiesta che è stata confermata (Responsabile U.O.-Servizio) e poi autorizzata (Autorizzatore). 64/92

71 GRU Consultazione pagine del sistema Messaggi di posta elettronica inviati dal sistema Tabella 53: GRU - Statistiche di utilizzo del sistema, anni GRU Gestore Autorizzatore Responsabile U.O Call center Utente richiedente Totale Tabella 54: GRU - Tipologia di accesso per ruolo, anni La tabella 55 riporta i tempi medi di evasione di una richiesta in relazione alle differenti fasi caratteristiche del ciclo di vita della stessa (richiesta [R], conferma [C], autorizzazione [A], evasione [E]) 30 ; la tabella 56 evidenzia l'evoluzione numerica delle richieste sulla base delle differenti tipologie supportate. GRU R C C A A E R C C A A E Hardware 5,02 9,88 11,50 6,82 6,76 10,17 Software 5,97 7,16 8,32 5,06 3,67 4,04 Progetti 2,45 16,98 39,71 8,13 9,72 6,67 Report dati comuni 4,06 4,60 21,69 4,20 3,35 17,21 Report dati sensibili 3,92 4,81 21,33 6,07 6,54 27,26 Applicazioni 6,67 7,33 10,14 6,58 7,14 5,37 Servizi 6,05 5,28 7,44 6,07 2,18 6,30 Complessivo 6,14 7,44 10,23 6,43 6,07 6,58 Tabella 55: GRU - Tempi medi per tipologia di risposta (in giorni), anni I dati si riferiscono al periodo marzo-dicembre 28 Il sistema GRU provvede, ad ogni cambiamento di status della richiesta, ad inviare una di avviso al richiedente, all'approvatore ed all'autorizzatore. 29 I dati si riferiscono al periodo marzo-dicembre 30 Le richieste chiuse d'ufficio e le richieste poste in attesa non concorrono al calcolo 65/92

72 GRU Tot. % Terminate % Tot. % Terminate % Hardware , , , ,33 Software 340 5, , , ,86 Progetti 23 0, , , ,89 Report dati comuni 92 1, , , ,69 Report dati sensibili 50 0, , , ,67 Applicazioni , , , ,40 Servizi , , , ,54 Totale , , , ,34 Tabella 56: GRU - Andamento richieste per tipologia, anni La formazione degli utenti Complessivamente, cresce del 18,22% rispetto al 2006 (47 unità in valore assoluto) il numero delle giornate allievo, mentre cresce del 713,04% il numero di utenti coinvolti in attività di formazione (tabella 57). Rimane costante il numero di corsi organizzati (2 unità), mentre le ore di formazione diminuiscono del 41,67% (45 unità in valore assoluto). E' opportuno qui evidenziare la grande variabilità dei dati rilevati nei differenti anni per i vari indicatori; tuttavia dalla loro analisi emerge un trend chiaramente decrescente (soprattutto in relazione alle dimensioni delle attività svolte nell'anno 2005). Utenti ICT Giornate Allievo Var % Num. Allievi Var % Num. Corsi Var % Num Ore Var % , , , , , , ,67 Totale Tabella 57: La formazione degli utenti ICT, anni Nella tabella 58 si riportano i dati relativi alle ore di formazione erogate per tutti i corsi e di quelle erogate in modalità e-learning. 66/92

73 Utenti ICT Totale (h) E-learning (h) Totale Tabella 58: Le ore di formazione fruite dai dipendenti, anni Gli argomenti trattati nei vari corsi sono stati i seguenti: anno 2005: operare con procedure informatiche in ambito internet/intranet (modalità FAD); Excel (modalità FAD); PowerPoint (modalità FAD); informatica avanzata per la gestione di applicativi in laboratorio; corso di addestramento all'uso del programma Access; nuova procedura anagrafe web-based; SIO Sistema Informativo Ospedaliero; anno 2006: nuovo sistema informatico gestionale del Dipartimento di Medicina Trasfusionale; dell'apss di TN. Approfondimento di applicativi di base e specialistici; informatica avanzata per la gestione di applicativi in laboratorio; anno 2007: la gestione dei dati clinici individuali attraverso la soluzione SIO (Sistema Informativo Ospedaliero dell'apss); sperimentazione prodotti open-source (StarOffice). In particolare il progetto di 'sperimentazione prodotti open-source' intende valutare l'impatto ed individuare le modalità di introduzione di software di produttività individuale con licenza opensource (OpenOffice/StarOffice) all'interno dell'azienda. La prima fase della sperimentazione, della durata di 6 mesi, interessa oltre 100 persone del 'Dipartimento personale e Sistemi Informativi' (e cioè il Servizio Sistemi Informativi ed i Servizi Gestione, Organizzazione ed Amministrazione del Personale) ed è stata caratterizzata da: attività di formazione iniziale (5 giornate); attività di affiancamento on the job (2 periodi per un totale di 6 settimane); brevi seminari su argomenti specifici (numero 3). 67/92

74 7. La sicurezza La sicurezza ICT è la struttura tecnica e organizzativa che garantisce la sicurezza dei dati e la continuità operativa dei servizi, oltre a prevenire gli accessi non autorizzati; La rilevazione sullo stato della sicurezza ICT della pubblica amministrazione centrale adotta un modello comune per la sicurezza che si basa sulla identificazione di quattro indicatori (key performance indicator, KPI) che misurano, rispettivamente, la sicurezza logica, la sicurezza dell infrastruttura, la sicurezza dei servizi e la sicurezza dell organizzazione [2]. Il modello utilizzato per l analisi dei dati rilevati riflette le esperienze del CNIPA sulla base del quadro normativo attuale e delle indicazioni che i vari organismi internazionali hanno finora emanato, opportunamente calate nella realtà della PA. Rispetto al passato in cui l'unità di rilevazione era stata il singolo CED, l'indagine è stata estesa alle amministrazioni nel loro complesso. Il questionario CNIPA sulla sicurezza Il questionario è costituito da 49 quesiti (36 quesiti principali e 13 sotto-quesiti) che riprendono quelli predisposti nella sezione sicurezza del questionario elaborato nell ambito del progetto per la razionalizzazione della PAC. In tal modo si è inteso salvaguardare la possibilità di confrontare dei dati rilevati tra le diverse edizioni. Anche il processo di rilevazione dei dati è rimasto pressoché invariato. Tali dati nel loro insieme forniscono una misura della sensibilità di ogni singola Amministrazione, nel complesso dell intera PAC, rispetto al tema Sicurezza Informatica. I quesiti sono stati raccolti in 4 sottosezioni che permettono di valorizzare 4 indicatori chiave (nel seguito indicati come Key Performance Indicator) che nel loro complesso riflettono tutti gli aspetti che coinvolgono il tema Sicurezza all interno di un organizzazione. Pertanto a valle dell analisi dei dati rilevati sarà possibile conoscere statisticamente fino a che punto il tema sia stato affrontato, ma soprattutto sarà possibile individuare le aree sulle quali è maggiormente opportuno intervenire con iniziative puntuali o comuni a più Amministrazioni. Con questa rilevazione, più che conoscere e stimare la vulnerabilità dei sistemi informatici delle singole Amministrazioni, si è cercato di misurare la consapevolezza raggiunta da ogni singola struttura informatica sugli elementi di criticità introdotti nei processi interni dall ormai ineluttabile utilizzo massivo dei sistemi informatici. Obiettivo primario del questionario è stato quindi quello di rilevare i valori specifici riferiti agli indicatori individuati per fornire una misura realistica sullo stato della PAC rispetto al tema Sicurezza Informatica. La struttura del questionario riflette direttamente la suddivisione del tema Sicurezza in quattro aree. Come dettagliato in seguito, ogni sezione del questionario ha raccolto un numero variabile di quesiti tesi a misurare gli obiettivi principali dell area della Sicurezza in questione. La prima sezione (8 quesiti) è dedicata alla sicurezza logica e rileva quindi la presenza di soluzioni e strumenti ritenuti indispensabili in tutti i sistemi informatici del campione analizzato e per questo ritenuti particolarmente significativi (ad esempio sistemi per l autenticazione, controllo accessi, aggiornamento delle postazioni di lavoro, ecc.). La seconda sezione (6 quesiti) riguarda 68/92

75 l infrastruttura fisica e le misure che ogni Amministrazione ha adottato per garantirne il corretto funzionamento. Intende quindi rilevare la presenza di un insieme di apparati fisici atti a garantire la sicurezza del CED e soprattutto dell infrastruttura di rete dati interna (intranet) ed esterna (extranet). La terza sezione (9 quesiti) è connessa con la sicurezza dei servizi elementari (posta elettronica, antivirus, ecc.) ed essenzialmente viene rilevata per misurare l attenzione dedicata alla sicurezza dei servizi ICT, nelle varie forme che spaziano dai sistemi di disaster recovery fino alla contromisure elementari ma indispensabili come antivirus ed antispam. L ultima sezione del questionario (13 quesiti) riguarda l organizzazione interna che l Amministrazione ha saputo/voluto darsi per gestire adeguatamente le problematiche connesse con la Sicurezza. La sezione raccoglie indicazioni sulle principali strutture e ruoli presenti all interno dell organizzazione in risposta a precisi adempimenti legislativi o in risposta a problematiche specifiche [1,2]. Nella sua analisi, CNIPA ha assegnato ad ogni quesito un punteggio pari a 10 in caso di risposta 'positiva', 0 altrimenti; nel caso di più risposte ammissibili sono stati usati pesi variabili in funzione del tipo di risposta. In presenza di domande condizionate, i punteggi sono stati assegnati affinché il risultato complessivo della domanda fosse un valore compreso tra 0 e 10; in mancanza di una risposta è stato assegnato un punteggio pari a 0. Tale metrica di valutazione non offre, tuttavia, un elevato livello di granularità nella selezione delle risposte possibili ai singoli quesiti proposti, obbligando, in alcuni casi, ad effettuare scelte più o meno marcate. Nella valutazione offerta in [4] la scala dei punteggi utilizzati è stata ampliata (utilizzando tutti i valori compresi tra 0 e 10) garantendo un maggior grado di aderenza dei giudizi espressi alla realtà aziendale, a discapito, però, della possibilità di effettuare un confronto diretto con le altre realtà analizzate da CNIPA. Al termine della rilevazione è stato calcolato un KPI complessivo per ogni categoria quale media dei punti ottenuti in relazione al numero di domande presenti nella sezione in oggetto. I risultati di ogni KPI sono stati raccolti in 4 fasce, come evidenziato nella tabella 59. Intervallo Giudizio Significato 0 KPI < 4 scarso Valori critici, che nella media stabiliscono un sostanziale disinteresse rispetto al tema Sicurezza 4 KPI < 5 accettabile/basso Valori mediocri per molti quesiti, è possibile con sforzi non rilevanti ottenere buoni margini di miglioramento. 5 KPI < 7 buona/medio Valori positivi, con interventi mirati sono possibili ulteriori miglioramenti 7 KPI 10 ottima/alto Valori medi accettabili per gli attuali requisiti in termini di sicurezza per i quesiti che compongono il KPI. Tabella 59: Questionario sulla sicurezza - Le soglie utilizzate ed i valori minimi attesi Si ritiene qui opportuno sottolineare come nella rilevazione attuata da CNIPA siano compresi, sia per motivi di disponibilità delle informazioni, sia per motivi di sintesi, solo alcuni degli elementi atti a valutare lo stato della sicurezza [4]. Numerosi fattori che possono essere considerati interessanti e qualificanti ai fini di una valutazione globale della sicurezza e che risultano centrali nelle strategie e nelle tattiche dello sviluppo ICT dell'azienda non sono esplicitamente considerati da CNIPA, tra i quali, ad esempio, ricordiamo: la centralizzazione, il consolidamento e la virtualizzazione dei server e la concentrazione 69/92

76 degli archivi elettronici su DB e su directory server; l uso di tool di monitoraggio di reti e sistemi; l uso di sistemi di incident tracking e bug reporting a supporto dell emergenza; la presenza di registri aziendali relativi ai trattamenti, sistemi e reti; la presenza di procedure di gestione delle richieste di autorizzazione ed abilitazione, di fornitura di strumenti informatici e di elaborazioni di dati; la disponibilità di documentazione orientata alla soluzione di incidenti accurata e aggiornata. Occorre anche ricordare che CNIPA considera alcuni parametri, quali ad es. l uso di sistemi IDS, la gestione dei log, l aggiornamento automatico delle PdL, la verifica della disponibilità di aggiornamenti per i server, che risultano essere strumenti e/o metodologie non adottati in APSS (o adottati solo parzialmente), in parte per valutazioni tecniche non positive in relazione allo strumento (come ad esempio nel caso degli IDS), in parte per ragioni di natura organizzativa legate all impatto esercitato sull operatività. È tuttavia prevedibile che, in futuro, tali tecniche possano essere adottate in contesti ed entro limiti ristretti. Elicitate queste avvertenze e limitazioni di applicazione e di lettura, in relazione al contesto proprio dell'azienda, gli indicatori selezionati da CNIPA possono essere considerati una valida soluzione per una valutazione obiettiva dello stato della sicurezza. Dall applicazione dello schema suggerito CNIPA si ottiene il duplice risultato di disporre di un modello standard effettivamente utilizzato ed utilizzabile e di poter effettuare un benchmark con altre amministrazioni pubbliche (attualmente circa 50). Ciò consente di individuare aree di intervento/miglioramento e di confrontare le soluzioni tecnico/organizzative adottate in APSS in relazione a quelle più diffuse nelle PAC. Ulteriore elemento positivo è rappresentato dal fatto che CNIPA appare intenzionata a ripetere l indagine in oggetto anche nei prossimi anni e questo permetterà di valutare nel tempo l'evoluzione della situazione di APSS e delle altre realtà esaminate. Nella lettura dell analisi riportata nel seguito del presente capitolo, occorre considerare che i dati indicati da CNIPA si riferiscono al 2006, mentre quelli di APSS sono aggiornati al Nella tabella 60 è riportata una visione d'insieme dei risultati ottenuti da APSS in rapporto a quelli delle altre PA descritte nella relazione CNIPA. I risultati evidenziano un'attenzione al problema della sicurezza superiore alla media per tutti gli indicatori analizzati, con un posizionamento nella fascia più elevata (75% dei casi) o in quella immediatamente inferiore (25% dei casi) relativamente al solo KPI4. KPI Relazione CNIPA Media Fascia Punti APSS Fascia valore % = % > 1 logica 7,33 alto 9 alto infrastruttura 7,08 alto 8,33 alto servizi 5,47 medio 9,67 alto organizzazione 5,41 medio 6,77 medio Tabella 60: Questionario sulla sicurezza - Riepilogo dei risultati 70/92

77 7.1 La sicurezza logica - KPI1 KPI1 prende in esame tutti gli aspetti connessi alla adozione di strumenti software o soluzioni organizzative per affrontare il tema sicurezza, quali: Modello organizzativo per l amministrazione dei sistemi, definizione di policy, controllo degli accessi alle risorse e certificazioni richieste; Sistemi per l autenticazione; Aggiornamento S.O. dei server e Software Distribution per le PdL; Strumenti per il Backup/Restore. In relazione al modello di amministrazione della sicurezza, APSS ha adottato un modello parzialmente centralizzato (modello centralizzato in cui alcune applicazioni sono mantenute sui sistemi locali). La procedura di autorizzazione è formalizzata e proceduralizzata e la responsabilità è assegnata ai 'Responsabili di Trattamento'; l amministrazione di sistema è affidata ad un unico organo, SSI. Sono esclusi da questo processo standard un insieme di sistemi, apparati ed applicativi (come ad es. i sistemi centrali, gli apparati di rete, alcuni applicativi sanitari ed i sistemi elettromedicali), per i quali la gestione e la responsabilità viene demandata a vari soggetti interni ad APSS come previsto dal DPSS (Documento Programmatico sulla sicurezza). Le risorse ICT sono accessibili agli utenti sulla base di policy, definite per alcuni settori (come ad es. la posta elettronica, internet, i servizi di file sharing e, parzialmente, per l accesso alla rete); sono state inoltre definite policy comportamentali per l uso delle PdL ed in generale degli strumenti informatici (disciplinare per i beni aziendali: PC, rete, password). Non esistono invece policy esplicite che definiscano la quantità di risorse elaborative assegnate e/o utilizzabili ad es. in termini di tempo di CPU, quantitativi di memoria, utilizzo della banda di rete LAN o WAN. Il punteggio assegnato riflette l'eterogeneità di tale situazione. Le certificazioni di sicurezza normalmente richieste nell'ambito dell'acquisizione di nuovi prodotti e servizi riguardano essenzialmente il rispetto della normativa esistente relativa a privacy e sicurezza e le relative certificazioni professionali. L'autenticazione ai sistemi avviene attraverso strumenti di SSO (attualmente esteso solo ai sistemi Windows, esclusi i server), Radius e, principalmente, l'accoppiata userid/password (con le opportune regole di gestione, scadenza automatica e controllo della qualità). Gli aggiornamenti dei sistemi server vengono segnalati in automatico solo per l ambiente Windows. Su alcuni sistemi vengono applicate le patch di sicurezza, purché compatibili con l ambiente applicativo; in generale l aggiornamento avviene su base annuale e l'operazione è gestita dal personale di SSI: per ragioni di sicurezza, infatti, non è possibile applicare automaticamente gli aggiornamenti eventualmente rilevati, soprattutto in relazione ai servizi 24x7. Non esiste un sistema centralizzato di software distribution interno, tuttavia viene utilizzato quello fornito dall'outsourcer (Tivoli) per la gestione di un numero limitato di applicativi (ciò è in parte dovuto alla non elevata standardizzazione delle varie pdl gestite). Le politiche di aggiornamento automatico dei client sono limitate all update del programma antivirus/antispyware, mentre esistono e sono aggiornate le politiche e le tecnologie di backup centralizzato. Il controllo degli accessi alle risorse elaborative è effettuato in base ai privilegi/profili associati all'utente; in ambiente Windows tale controllo è parzialmente amministrato attraverso Active Directory. La tabella 61 riporta i quesiti del questionario e le relative risposte riferite al primo indicatore. 71/92

78 ID Quesito Risposta 1 Quale modello di gestione ed amministrazione della sicurezza del sistema informativo viene impiegato? 2 Sono state definite policy centralizzate per l uso delle risorse interne da parte degli utenti? 3 Nel caso di acquisizione di prodotti o servizi, vengono considerate certificazioni di sicurezza? 3a Se vengono considerate certificazioni di sicurezza nell acquisizione di prodotti o servizi, quali certificazioni sono considerate? 4 Quali criteri/sistemi di autenticazione per l accesso alla rete interna vengono utilizzati? 4a Se si utilizzano UserID e password come sistema di autenticazione, sono state definite regole per la gestione delle password? 4b Se si utilizzano UserID e password come sistema di autenticazione, è prevista la scadenza automatica di un account/password? 4c Se si utilizzano UserID e password come sistema di autenticazione, esiste un controllo preventivo della scelta della password? 5 Con che frequenza viene verificata la presenza di aggiornamenti dei sistemi operativi dei server? 6 Esiste un sistema centralizzato di software distribution per l aggiornamento automatico delle postazioni di lavoro? 7 Sono state definite ed adottate tecnologie e procedure per il backup centralizzato? 8 Viene utilizzato un sistema di controllo accessi per disciplinare l accesso alle risorse elaborative? Parzialmente centralizzato Media CNIPA 6,99 SI 8,98 SI 2,45 Certificazioni professionali Altre UserID/pwd SSO, Radius 3,22 1,91 SI 0,87 SI 0,75 SI 1,32 Automatica mente 7,34 SI 6,73 SI 8,78 SI 9,39 Punt. APSS KPI1 (8 quesiti) 7,33 9 Tabella 61: Quesiti e risultati relativi al KPI1 Nella tabella 62 viene riportata graficamente una comparazione tra i risultati medi ottenuti dalle PA esaminate nella relazione CNIPA e quelli ottenuti in APSS, per ogni singolo quesito proposto /92

79 Tabella 62: Comparazione risultati KPI1, CNIPA (lato sinistro) APSS (lato destro) 7.2 La sicurezza dell infrastruttura - KPI2 KPI2 tende a fotografare gli aspetti più fisici connessi con la sicurezza dell impianto ed in particolare quelli legati alla infrastruttura di rete, senza però entrare nel merito delle linee dati ed i canali di comunicazione. Complessivamente 5 quesiti sono serviti per raccogliere informazioni rispetto ai temi seguenti: Sicurezza fisica Sicurezza perimetrale e controllo accessi ai locali tecnici Apparati attivi per la sicurezza degli accessi quali firewall, sistemi per la rilevazione delle intrusioni o per la prevenzione Reti wireless e contromisure per aumentare la sicurezza delle reti wireless Modalità di accesso da remoto e strumenti utilizzati quali VPN In relazione alle cosiddette 'Computer Room' (CR) sono presenti barriere fisiche per limitare l accesso ai locali ed esiste un sistema di controllo per l accesso alle strutture principali (CSS, Sede Centrale, sala macchine ospedale di Trento e di Rovereto); in generale, tuttavia, non esistono barriere per la totalità degli apparati di rete e per le CR di dimensioni minori. L'accesso remoto alla rete interna è consentito attraverso sistemi di VPN con cifratura del traffico e le reti wireless presenti sono protette attraverso l'uso del protocollo WAP/WAP2. Dal punto di vista logico l'accesso alle risorse è protetto attraverso un set di firewall dedicati: le tecnologie utilizzate garantiscono un alto livello di sicurezza. Nota negativa è rappresentata dalla mancanza di un sistema IDS per la rilevazione e prevenzione delle intrusioni; tale sistema non è stato finora adottato per gli alti costi di impianto e di gestione (soprattutto in termini di know-how e di aggiornamento continuo) richiesto da tale tipo di tecnologia. La tabella 63 riporta i quesiti del questionario e le relative risposte riferite al secondo indicatore. 73/92

80 ID Quesiti Risposte 9 Esistono predisposizioni fisiche per limitare e perimetrare l accesso alle risorse elaborative e alla rete interna? 10 Esiste un sistema di controllo dell accesso fisico ai locali dove si trovano gli elaboratori e gli apparati di rete? Media CNIPA SI 7,96 SI 8,98 11 Sono presenti sottoreti wireless (Wi-Fi)? SI 3, a Se si utilizzano reti Wi-Fi quali sistemi di protezione utilizzano? WPA 6,33 12 Sono consentiti gli accessi alla rete interna da remoto? SI 1, a Nel caso sia consentito l accesso alla rete interna da remoto la modalità di connessione utilizza VPN? 13 Viene utilizzato un Firewall per la protezione delle connessioni alla rete pubblica? 14 Viene utilizzato un IDS/IPS per la protezione delle connessioni alla rete pubblica? SI - mediante VPN 7,9 SI 9,39 NO 5,1 Punt. APSS KPI2 (6 quesiti) 7,08 8,33 Tabella 63: Quesiti e risultati relativi al KPI Tabella 64: Comparazione risultati KPI2, CNIPA (lato sinistro) APSS (lato destro) Nella tabella 64 viene riportata graficamente una comparazione tra i risultati medi ottenuti dalle PA esaminate nella relazione CNIPA e quelli ottenuti in APSS, per ogni singolo quesito proposto; evidente la 'criticità' relativa alla mancanza di un sistema di IDS/IPS per la protezione delle connessioni alla rete pubblica. 74/92

81 7.3 La sicurezza dei servizi - KPI3 Passando all area della sicurezza relativa ai servizi erogati, sono stati individuati alcuni quesiti che rappresentano un naturale denominatore comune tra tutte le Amministrazioni che hanno partecipato. KPI3 fotografa la sensibilità dell amministrazione nel rendere affidabili e robusti i servizi offerti. In particolare affronta temi quali: Continuità operativa, procedure da attivare e disponibilità di un piano di disaster recovery; Servizi centralizzati quali antivirus o antispam sulla posta in transito o sulle PDL; Protezione dei contenuti e web filtering; Capacità di rilevare le intrusioni, e/o prevenirle in funzione del tipo di attacchi già subiti. I punti di forza sono rappresentati dalla presenza di piani formalizzati di continuità operativa (Business Continuity), di Disaster Recovery e di procedure operative di emergenza a copertura dei servizi erogati, sia pure principalmente a livello dei servizi critici (applicazioni relative alle attività di Laboratorio, Radiologia, 118). Il limite maggiore consiste nella disponibilità di procedure sostitutive, solo per alcuni servizi, che non sono ancora state testate. Le soluzioni adottate per limitare le vulnerabilità legate agli applicativi sono quelle correlate al sistema di autorizzazione ed abilitazione degli accessi ed ai sistemi antivirus/antispyware ed antispamming (sul server di frontiera) presenti sul server di posta (Norton/Symantec sul lato interno, McAfee su quello esterno) ed, in generale, su quasi tutte le postazioni in rete. Il protocollo HTTPS è utilizzato per la protezione della trasmissione dei dati sensibili sulla maggioranza delle applicazioni web. Negli ultimi 24 mesi non sono state rilevate intrusioni (in precedenza sono state rilevate 2 intrusioni da parte di virus); il punteggio è alto, anche se la mancanza di segnalazioni di questo tipo non implica necessariamente una situazione ottimale. La tabella 65 riporta i quesiti del questionario e le relative risposte riferite al terzo indicatore. 75/92

82 ID Quesiti Risposte 15 Esiste un piano formalizzato per la continuità operativa? 16 Esistono procedure operative da attivare in caso di indisponibilità parziale dei servizi applicativi? 17 E stato definito in modo formale il piano di disaster recovery? 18 Vengono adottate soluzioni per limitare gli attacchi che sfruttano la vulnerabilità delle applicazioni? 19 Se esiste un server di posta elettronico interno, esiste un filtro antivirus sul server di posta locale? 20 Se esiste un server di posta elettronico interno, esiste un filtro anti-spam sul server locale? 21 Se esiste un web server, viene utilizzato il protocollo HTTPS per proteggere i contenuti sensibili? 22 Esiste un sistema di protezione antivirus centralizzato? 23 Sono state rilevate intrusioni riuscite negli ultimi 24 mesi? Media CNIPA SI 3,26 SI - Solo appl. più importanti SI - Senza specifica della copertura 5,35 3,43 SI 5,51 SI 7,75 SI 6,12 SI 6,73 SI 8,77 NO 6,12 23a Se sono state rilevate intrusioni riuscite, quante? - 3,85 23b Se sono state rilevate intrusioni riuscite di che tipo sono state? - 2,35 Punt. APSS KPI3 (9 quesiti) 5,47 9,67 Tabella 65: Quesiti e risultati relativi al KPI Tabella 66: Comparazione risultati KPI3, CNIPA (lato sinistro) APSS (lato destro) 76/92

83 Nella tabella 66 viene riportata graficamente una comparazione tra i risultati medi ottenuti dalle PA esaminate nella relazione CNIPA e quelli ottenuti in APSS, per ogni singolo quesito proposto. 7.4 La sicurezza dell organizzazione - KPI4 Ultima area oggetto della rilevazione è quella relativa all organizzazione presente nell Amministrazione in termini di ruoli e strutture dedicate alla Sicurezza. Quest area riveste particolare importanza perché, in generale, tra i vari approcci viene spesso sottovalutata, sia in termini di gestione preventiva del rischio, sia in termini di iniziative per la formazione e sensibilizzazione del personale interno rispetto ai temi connessi con la Sicurezza. KPI4 intende rilevare la cura delle Amministrazioni nel: Ricoprire i ruoli previsti dal DM del 16/02/2002, e tutti i ruoli noti nell ambito della sicurezza; Gestire adeguatamente gli incidenti; Definire policy e curare un budget esplicitamente dedicato alla sicurezza; Gestire adeguatamente le eventuali risorse esterne per la gestione della sicurezza; Avviare iniziative per garantire sviluppi futuri su questi temi. Il piano della sicurezza ICT comprende Business Continuity, Disaster Recovery e DPSS (Documento Programmatico sulla Sicurezza). Quest'ultimo ne rappresenta la componente essenziale e viene aggiornato ogni anno; in esso sono indicate le misure tecniche, organizzative, il trattamento dei rischi e il piano operativo di massima. Lo stesso documento fornisce solo indicazioni su alcuni temi quali il budget. Le policy di sicurezza sono definite per alcuni ambiti ICT: posta elettronica, Internet, trattamenti e relativa normativa sulla privacy (responsabili interni ed esterni, incaricati), gestione ed amministrazione delle autorizzazioni, abilitazione agli applicativi. È stata recentemente rivista la procedura per il reset e la riassegnazione delle password di accesso alla rete al fine di ridurre i tempi della procedura ed identificare correttamente il richiedente. Attualmente esistono delle proposte organizzative per la gestione delle emergenze e degli incidenti più gravi in ambito ICT, con dettagli di tipo tecnico/organizzativo; l organizzazione dell emergenza richiede però anche interventi di tipo contrattuale e organizzativo che esulano dal contesto tecnico dal cui ambito le stesse sono scaturite. È stata quindi proposta l'istituzione di un gruppo di gestione degli incidenti informatici; è attivo un centro di gestione ed amministrazione della sicurezza ICT (politiche di sicurezza ed attività del gruppo SICO). Pur non essendo presente in Azienda la figura specifica del 'Responsabile della protezione dei dati personali' come proposta dal Garante della Privacy nella relazione annuale 2006, le relative responsabilità sono definite ai vari livelli dell organizzazione; inoltre è attivo un 'Gruppo Privacy' aziendale con compiti consultivi e propositivi in relazione all applicazione delle norme attinenti a tale materia. In aggiunta a quanto descritto, va rilevato come ognuno dei responsabili dei vari trattamenti presenti svolga la funzione in oggetto in relazione al proprio gruppo di utenti. Il punteggio assegnato appare congruente con la situazione descritta. Non esiste in Azienda una procedura di gestione centralizzata dei log: ogni sistema/servizio o applicazione crea e gestisce autonomamente il file (o i files) di propria competenza. In alcuni casi specifici, si sta sperimentando l'applicazione di tool di analisi di BI. La responsabilità della gestione e dell attuazione delle politiche di backup è di SSI; le procedure sono documentate ed è stato attivato un sistema di backup/restore centralizzato. Il sistema informativo di APSS è complesso e costituito da numerose componenti e servizi, alcuni dei quali gestiti in modalità di outsourcing; in conseguenza di ciò, la gestione della sicurezza è affidata sia a personale interno che esterno (i relativi contratti prevedono l aggiornamento delle politiche sulla base di eventuali modifiche normative). Le politiche di sicurezza adottate dai 77/92

84 fornitori sono sottoposte a saltuari controlli a campione. Attualmente, non esiste, nel bilancio, una previsione di spesa specifica per la sicurezza (cfr. DPSS). L'attività di analisi del rischio è effettuata annualmente (con copertura analisi rischi parziale), in relazione ai sistemi critici, ma è limitata all identificazione delle minacce e delle contromisure in termini qualitativi. In relazione al tema della sensibilizzazione e della formazione del personale nell ambito della sicurezza, APSS ha svolto negli scorsi anni corsi di aggiornamento (anche in modalità FAD) sulla normativa in vigore; ogni anno viene proposto un piano di formazione/aggiornamento da parte di SSI e periodicamente sono effettuati corsi di aggiornamento sulla sicurezza e continuità operativa rivolti a tutto il personale SSI. La diffusione di informazioni relative all attività svolta nell ambito della sicurezza e continuità operativa è supportata dalla presenza sul portale aziendale di pagine specificamente dedicate all'argomento. La tabella 67 riporta i quesiti del questionario e le relative risposte riferite al quarto indicatore. ID Quesiti Risposte 24 E stato formalmente definito ed approvato il piano della sicurezza ICT? Media CNIPA SI 5,31 Punt. APSS 25 Esiste la definizione formale di una policy di sicurezza ICT? SI 8, Sono stati attribuiti i ruoli e le responsabilità secondo quanto previsto dal DM ? 27 Esiste ed è attivo un centro di gestione ed amministrazione della sicurezza ICT? SI alcuni 5,59 SI 5,92 28 Esiste ed è attivo un gruppo di gestione degli incidenti? NO 5, Esiste la figura di 'Responsabile protezione dati personali'? SI 5, Esistono una o più procedure di gestione dei log? NO 7, Esiste un responsabile per la gestione ed attuazione delle policy di backup/restore? SI 3,06 31a La procedura di backup è documentata? SI 4, Che tipo di personale viene impiegato per la gestione e l amministrazione della sicurezza del sistema informativo? 32a Se esiste un contratto di outsourcing, il contratto prevede che l amministrazione appaltante effettui modifiche su come è gestita la sicurezza? 32b Se esiste un contratto di outsourcing ed è previsto l audit della gestione della sicurezza dell outsourcing, l audit viene effettuato con regolarità? 33 Esiste una previsione di spesa dedicata specificatamente alla sicurezza? 33a Se esiste una voce dedicata alla sicurezza quale è la percentuale sul budget IT complessivo? 34 È stata effettuata un analisi dei rischi connessi alla sicurezza ICT? Personale misto 6,65-2,66-0,66 NO 7,8-2,63 SI 4, /92

85 ID Quesiti Risposte 35 Sono state prese iniziative per la sensibilizzazione alla sicurezza informatica rivolte a tutto il personale dell amministrazione? 36 E stato già redatto ed approvato un piano di formazione e sensibilizzazione per la sicurezza ICT? 36a Se è stato già redatto un piano di formazione, quale percentuale di addetti al Sistema Informativo ne ha usufruito? Media CNIPA SI 6,73 SI 1,43 Inferiore al 10% Punt. APSS KPI4 (13 quesiti) 5,41 6,77 Tabella 67: Quesiti e risultati relativi al KPI4 2, Tabella 68: Comparazione risultati KPI4, CNIPA (lato sinistro) APSS (lato destro) Nella tabella 68 viene riportata graficamente una comparazione tra i risultati medi ottenuti dalle PA esaminate nella relazione CNIPA e quelli ottenuti in APSS, per ogni singolo quesito proposto; evidenti le 'criticità' relative alla gestione dei log di sistema, alla creazione di un gruppo di gestione degli incidenti ed alla formalizzazione di un budget per la sicurezza. 7.5 Le linee evolutive delle amministrazioni Relativamente all'anno 2008 sono previste una serie di iniziative volte a migliorare differenti aspetti legati alla sicurezza aziendale, ad es: 1. Completamento dei lavori di adeguamento dell'impiantistica presso il CED di via Degasperi e presso il CED CSS al fine di strutturare la realizzazione del centro di elaborazione dati per il Disaster Recovery; 2. Attivazione di un progetto per la realizzazione di un sistema di archiviazione della posta elettronica e dei file condivisi; 3. Deploy del sistema di Single Sign-On ad un ulteriore fetta della popolazione aziendale; 4. La predisposizione di procedure operative da utilizzarsi in caso di situazione di emergenza, guasti su sistemi critici o interruzione di sistemi critici. le procedure operative dovranno 79/92