La nuova edizione della norma ISO (seconda parte)

Transcript

1 La nuova edizione della norma ISO (seconda parte) In questo articolo (cfr. precedente articolo) passiamo ad esaminare la seconda parte della norma La norma UNI CEI ISO/IEC 27002:2014 Raccolta di prassi sui controlli per la sicurezza delle informazioni (che sostituisce la ISO 27002:2005). 12 Sicurezza delle attività operative Questa area comprende ben 7 categorie: Procedure operative e responsabilità (12.1): devono essere predisposte procedure per documentare lo svolgimento di una serie di attività inerenti la sicurezza, occorre gestire i cambiamenti all organizzazione e la capacità delle risorse (di storage, di banda, infrastrutturali ed anche umane), infine è necessario mantenere separati gli ambienti di sviluppo da quelli di produzione. Protezione dal malware (12.2): un solo controllo in questa categoria (protezione dal malware) che prescrive tutte le misure di sicurezza da attuare contro il malware. Non solo antivirus per prevenire ed eliminare malware, ma anche azioni di prevenzione tecnica e comportamentali (consapevolezza degli utenti). Backup (12.3): devono essere documentate ed attuate procedure di backup adeguate a garantire il ripristino dei dati in caso di perdita dell integrità degli stessi e la continuità operativa (vedasi anche punto 17). Raccolta di log e monitoraggio (12.4): devono essere registrati, conservati e protetti i log delle attività degli utenti normali e di quelli privilegiati (si ricorda che per apposita disposizione del Garante Privacy italiano i log degli accessi in qualità di Amministratore di Sistema devono essere mantenuti in modo indelebile per almeno 6 mesi), occorre inoltre mantenere sincronizzati gli orologi dei sistemi con una fonte attendibile. Controllo del software di produzione (12.5): particolari attenzioni devono essere adottate nell installazione ed aggiornamento del software di produzione (non solo per organizzazioni del settore ICT, banche o assicurazioni, ma anche per aziende manifatturiere!). Gestione delle vulnerabilità tecniche (12.6): viene fornita dalla norma un ampia guida attuativa sulla gestione delle vulnerabilità tecniche conosciute (occorre mantenere un censimento dell hardware e del relativo software installato su ogni elaboratore, installare le patch di sicurezza in modo tempestivo, mantenersi aggiornati sulle vulnerabilità di sicurezza conosciute, ecc.), oltre alle

2 indicazioni sulla limitazione nell installazione dei software (è opportuno, infatti, ridurre al minimo la possibilità per gli utenti di installare applicativi software autonomamente, anche se leciti come le utility gratuite che, a volte, possono essere il veicolo di adware o altre minacce alla sicurezza). Considerazioni sull audit dei sistemi informativi (12.7): gli audit sui sistemi informativi dovrebbero avere un impatto ridotto sulle attività lavorative e le evidenze raccolte dovrebbero essere raccolte senza alterare i dati dei sistemi (accessi in sola lettura) e dovrebbero essere mantenute protette. Questi elementi nella precedente versione della norma erano in gran parte all interno della sezione 10 Communications and Operations Management (ma la gestione delle vulnerabilità tecniche era, invece, al paragrafo 12.6, per puro caso lo stesso della versione attuale della norma), il quale comprendeva anche i controlli del punto 13 seguente. 13 Sicurezza delle comunicazioni Questa sezione contiene due sole categorie: Gestione della sicurezza della rete (13.1): occorre adottare alcuni accorgimenti per garantire la sicurezza delle reti interne (responsabilità, autenticazioni, ecc.); viene anche citata la ISO/IEC nelle sue parti da 1 a 5 sulla sicurezza delle reti e delle comunicazioni per ulteriori informazioni. Deve, inoltre, essere gestita la sicurezza dei servizi di rete, compresi i servizi acquistati presso fornitori esterni, e la segregazione delle reti (separazione delle VLan, gestione delle connessioni Wi-Fi, ). Trasferimento delle informazioni (13.2): occorre stabilire ed attuare politiche e procedure per il trasferimento delle informazioni con qualsiasi mezzo (posta elettronica, fax, telefono, scaricamento da internet, ecc.), nel trasferimento di informazioni con soggetti esterni occorre stabilire accordi sulle modalità di trasmissione, le informazioni trasmesse tramite messaggistica elettronica dovrebbero essere adeguatamente controllate e protette (non solo , ma anche sistemi EDI, instant messages, social network, ecc.) e, infine, occorre stabilire e riesaminare periodicamente accordi di riservatezza e di non divulgazione con le parti interessate. I 7 controlli di quest area sono sicuramente molto dettagliati e migliorano, oltre ad aggiornare, la precedente versione della norma, includendo controlli (un po sparsi nella versione 2005 della ISO 27002) che recepiscono le nuove modalità di comunicazione, tra cui i social network, professionali e non. 14 Acquisizione, sviluppo e manutenzione dei sistemi Quest area tratta la sicurezza dei sistemi informativi impiegati per le attività aziendali e comprende tre categorie:

3 Requisiti di sicurezza dei sistemi informativi (14.1): la sicurezza dei sistemi informativi- acquistati o sviluppati ad hoc deve essere stabilita fin dall analisi dei requisiti, deve essere garantita la sicurezza dei servizi applicativi che viaggiano su reti pubbliche (ad esempio attraverso trasmissioni ed autenticazioni sicure crittografate), infine occorre garantire la sicurezza delle transazioni dei servizi applicativi. Sicurezza nei processi di sviluppo e supporto (14.2): devono essere definite ed attuate politiche per lo sviluppo (interno o esterno all organizzazione) sicuro dei programmi applicativi, devono essere tenuti sotto controllo tutti i cambiamenti ai sistemi (dagli aggiornamenti dei sistemi operativi alle modifiche dei sistemi gestionali), occorre effettuare un riesame tecnico sul funzionamento degli applicativi critici a fronte di cambiamenti delle piattaforme operative (sistemi di produzione, database, ecc.) e si dovrebbero limitare le modifiche (personalizzazioni) ai pacchetti software, cercando comunque di garantirne i futuri aggiornamenti. Inoltre dovrebbero essere stabiliti, documentati ed attuati principi per l ingegnerizzazione sicura dei sistemi informatici e per l impiego di ambienti di sviluppo sicuri. Nel caso in cui attività di sviluppo software fossero commissionate all esterno, dovrebbero essere stabilite misure per il controllo del processo di sviluppo esternalizzato. Infine dovrebbero essere eseguiti test di sicurezza dei sistemi durante lo sviluppo e test di accettazione nell ambiente operativo di utilizzo, prima di rilasciare il software. Dati di test (14.3): i dati utilizzati per il test dovrebbero essere scelti evitando di introdurre dati personali ed adottando adeguate misure di protezione, anche al fine di garantirne la riservatezza. Nel complesso i 13 controlli di questa sezione sono molto dettagliati e comprendono una serie di misure di sicurezza informatica ormai consolidate che riguardano tutti gli aspetti del ciclo di vita del software impiegato da un organizzazione per la propria attività. Alcuni principi vanno commisurati ad una attenta valutazione dei rischi, poiché una stessa regola di sicurezza informatica (ad es. l aggiornamento sistematico e tempestivo del software di base) potrebbe non garantire sempre l integrità e la disponibilità dei sistemi (ad es. errori o malfunzionamenti introdotti dagli ultimi aggiornamenti di un sistema operativo). 15 Relazioni con i fornitori Questo punto di controllo tratta tutti gli aspetti di sicurezza delle informazioni che possono legati al comportamento dei fornitori. Sono state individuate due categorie: Sicurezza delle informazioni nelle relazioni con i fornitori (15.1): è necessario stabilire una politica ed accordi su tematiche inerenti la sicurezza delle informazioni con i fornitori che accedono agli asset dell organizzazione; tali accordi devono comprendere requisiti per affrontare i rischi relativi alla sicurezza associati a prodotti e servizi nella filiera di fornitura dell ICT

4 (cloud computing compreso). Gestione dell erogazione dei servizi dei fornitori (15.2): occorre monitorare anche attraverso audit se necessario e riesaminare periodicamente le attività dei fornitori che influenzano la sicurezza delle informazioni, nonché tenere sotto controllo tutti i cambiamenti legati alle forniture di servizi. 16 Gestione degli incidenti relativi alla sicurezza delle informazioni L area relativa agli incidenti sulla sicurezza delle informazioni (sezione 13 della precedente versione della norma) comprende una sola categoria (erano 2 nella precedente edizione): Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti (16.1): devono essere rilevati e gestiti tutti gli incidenti relativi alla sicurezza delle informazioni (viene qui richiamata la ISO/IEC Information security incident management), ma anche rilevate ed esaminate tutte le segnalazioni di eventi relativi alla sicurezza che potrebbero indurre a pensare che qualche controllo è risultato inefficace senza provocare un vero e proprio incidente e pure tutte le possibili debolezze dei controlli messi in atto. In ogni caso ogni evento relativo alla sicurezza delle informazioni va attentamente valutato per eventualmente classificarlo come incidente vero e proprio o meno. Occorre poi rispondere ad ogni incidente relativo alla sicurezza delle informazioni in modo adeguato ed apprendere da quanto accaduto per evitare che l incidente si ripeta. Infine dovrebbero essere stabilite procedure per la raccolta di evidenze relative agli incidenti e la successiva gestione (considerando anche eventuali azioni di analisi forense). 17 Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa In quest area (corrispondente al punto 14 sella precedente versione della norma) viene trattata la business continuity in 5 controlli suddivisi in due categorie: Continuità della sicurezza delle informazioni (17.1): la continuità operativa per la sicurezza delle informazioni dovrebbe essere pianificata a partire dai requisiti per la business continuity, piani di continuità operativa (business continuity plan) dovrebbero essere attuati, verificati e riesaminati periodicamente. Ridondanze (17.2): per garantire la disponibilità (e la continuità operativa) occorre prevedere architetture e infrastrutture con adeguata ridondanza. Naturalmente sull argomento esiste la norma specifica UNI EN ISO 22301:2014 Sicurezza della società Sistemi di gestione della continuità operativa Requisiti.

5 18 Conformità Questo ultimo punto di controllo (era il punto 15 nella ISO 27002:2005) tratta la gestione della cosiddetta compliance, ovvero la conformità a leggi, regolamenti ed accordi contrattuali con i clienti. Sono identificate due categorie: Conformità ai requisiti cogenti e contrattuali (18.1): occorre innanzitutto identificare i requisiti cogenti, quindi attuare controlli per evitare di ledere i diritti di proprietà intellettuale, proteggere adeguatamente le registrazioni che permettono di dimostrare la conformità a tutti i requisiti cogenti, in particolare devono essere rispettati leggi e regolamenti sulla privacy (in Italia il D.Lgs 196/2003 in attesa del nuovo Regolamento Europeo, ma nella norma viene citata come riferimento la ISO/IEC 29100:2011 Information technology Security techniques Privacy framework ). Infine occorre considerare eventuali limitazioni all uso dei controlli crittografici vigenti in alcune nazioni. Riesami della sicurezza delle informazioni (18.2): dovrebbe essere svolto periodicamente un riesame indipendente sulla sicurezza delle informazioni dell organizzazione, i processi di elaborazione delle informazioni e le procedure dovrebbero essere riesaminate periodicamente per valutarne la continua conformità ed adeguatezza alla politica ed alle norme ed infine dovrebbero essere eseguite delle verifiche tecniche della conformità dei sistemi informativi a politiche e standard di sicurezza (ad esempio penetration test e vulnerability assessment). Su quest ultimo controllo si fa riferimento alla ISO/IEC TR Guidelines for auditors on information security management systems controls. La nuova edizione della norma ISO (prima parte) La norma UNI CEI ISO/IEC 27002:2014 Raccolta di prassi sui controlli per la sicurezza delle informazioni (che sostituisce la ISO 27002:2005) è stata progettata per essere impiegata nelle organizzazioni che intendono implementare un sistema di gestione della sicurezza delle informazioni ISO e la prendono come riferimento per la scelta dei controlli di sicurezza da attuare. Struttura della norma La norma contiene 14 punti di controllo di sicurezza (erano 11 nella precedente

6 versione della norma) che riuniscono un totale di 35 categorie principali di sicurezza (erano 39 nella versione precedente) e 114 controlli (erano 133 nella versione precedente). Ogni punto che definisce controlli di sicurezza contiene una o più categorie principali di sicurezza, al cui interno sono raggruppati i controllo relativi. Nella norma viene precisato che l ordine dei punti è indipendente dalla loro importanza, infatti, a seconda delle circostanze, i controlli di sicurezza appartenenti ad uno o a tutti i punti di controllo potrebbero rivelarsi più o meno importanti ed ogni organizzazione che impiega la norma dovrebbe identificare i controlli applicabili al proprio interno, la loro importanza ed il loro impiego in ogni processo di business. Ogni categoria principale di controllo di sicurezza contiene: L obiettivo di controllo che dichiara cosa si vuole raggiungere I controlli che possono essere applicati per raggiungere l obiettivo di controllo. La descrizione dei controlli sono strutturate come segue: Controllo: definisce nello specifico il controllo funzionale alla soddisfazione dell obiettivo di controllo. Guida attuativa: fornisce informazioni più dettagliate per supportare l attuazione del controllo. La guida può risultare completamente attinente o sufficiente a tutte le situazioni oppure potrebbe non soddisfare i requisiti specifici di controllo dell organizzazione. Altre informazioni: fornisce informazioni aggiuntive che potrebbe essere necessario considerare, per esempio considerazioni legali e riferimenti ad altre norme. Nel caso non vi siano informazioni aggiuntive da considerare questa parte non è riportata nel testo. Elenco dei controlli I punti di controllo definiti dalla norma sono i seguenti: 5 POLITICHE PER LA SICUREZZA DELLE INFORMAZIONI Al suo interno viene individuata la categoria Indirizzi della direzione per la sicurezza delle informazioni (5.1), in cui viene indicata la necessità di stabilire una politica per la sicurezza delle informazioni coerente con gli obiettivi e gli indirizzi dell organizzazione in merito all Information Security, anche in funzione del contesto di riferimento (mercato, esigenze dei clienti, leggi e regolamenti applicabili). Tale politica dovrà essere mantenuta aggiornata attraverso riesami periodici. 6 Organizzazione della sicurezza delle informazioni In questa sezione sono definiti le seguenti categorie principali:

7 Organizzazione interna (6.1): è necessario definire tutti i ruoli e le responsabilità per la sicurezza delle informazioni, separazioni dei compiti, modalità di contatto con le autorità e con gruppi specialistici ed infine le modalità di gestione dei progetti con riferimento alla sicurezza delle informazioni. Dispositivi portatili e telelavoro (6.2): in questa categoria sono raggruppati due controlli molto importanti che, forse, meriterebbero una trattazione separata, anche se poi i controlli relativi sono descritti in modo dettagliato. I dispositivi portatili da gestire e mantenere sotto controllo sono di diverse tipologie (notebook, tablet, smartphone, ) ed ognuna di essa meriterebbe una trattazione a sé, così come la proprietà del dispositivo (azienda, dipendente o collaboratore, o semplice visitatore) ed il tipo di impiego (esclusivamente aziendale, esclusivamente privato o misto come nel caso del BYOD, Bring Your Own Device). Per quanto riguarda il telelavoro occorre tenere sotto controllo diversi parametri ed aspetti di sicurezza fisica e logica, non trascurando il fatto che ora il telelavoro è inteso in senso più ampio rispetto alla precedente versione della norma. Quest area è nel complesso più ridotta rispetto alla sezione 6 della precedente versione della norma che, tra l altro, riportava la medesima categoria riferita a dispositivi portatili e telelavoro alla sezione 11, quella del controllo accessi. Del resto questa seconda categoria deve essere considerata in senso un po più ampio perché la sicurezza dei dispositivi portatili e del telelavoro deve essere valutata insieme alla gestione delle connessioni wi-fi e degli accessi a siti web aziendali e ad eventuali servizi cloud. Francamente ci si poteva aspettare qualcosa di più in quest area ove al 6.2 l evoluzione tecnologica in questi ultimi 9 anni trascorsi dalla precedente versione della ISO ha fatto passi da gigante moltiplicando anche le possibili vulnerabilità e qualche citazione più specifica del problema del BYOD e dell autenticazione a due fattori (2FA) sarebbe stata gradita. 7 Sicurezza delle risorse umane In questa sezione sono descritte le attività da considerare per garantire la sicurezza nella gestione del personale prima, durante ed al termine del rapporto di lavoro: Prima dell impiego (7.1): in due controlli vengono esposte tutte le cautele da intraprendere al momento dell assunzione di una persona o dell incarico ad un collaboratore esterno, non solo accordi di riservatezza e clausole contrattuali sul futuro rapporto lavorativo, ma anche per quanto reso possibile dalla legislazione applicabile un accurata indagine conoscitiva sul passato, lavorativo e non, del futuro dipendente/collaboratore. Durante l impiego (7.2): nel corso della normale attività lavorativa viene data enfasi all applicazione delle procedure stabilite e le responsabilità della

8 Direzione nell applicazione delle stesse, alla formazione-addestramento e sensibilizzazione del personale ed al ricorso ad eventuali processi disciplinari. Dunque regole da rispettare, ma anche motivazione ed incentivazione del personale, oltre che sanzioni a chi infrange le regole. Cessazione e variazione del rapporto di lavoro (7.3): vengono presi in esame tutti gli aspetti e le attività da svolgere quando si chiude un rapporto di lavoro o avviene un assegnazione ad altro incarico, come ad esempio il prolungamento della validità degli accordi di riservatezza, i passaggi di consegne e la comunicazione all altro personale interessato della cessazione del rapporto di lavoro. Qualche perplessità desta la traduzione UNI in quest area: viene utilizzato il termine soffiare in senso di soffiata, spiata, delazione, informazione anonima su un comportamento non corretto ed il termine inazioni probabilmente intendendo omissioni o il contrario di azioni, ovvero il non agire. I contenuti sono analoghi a quelli della precedente versione della norma alla sezione 8, anche se i controlli sono in numero minore. 8 Gestione degli asset In quest area viene trattata la gestione degli asset (tradotti come beni nella precedente versione della norma ISO 27001) all interno di tre categorie: Responsabilità per gli asset (8.1): tutti gli asset aziendali vanno inventariati, ne deve essere definito un responsabile e le regole per l utilizzo e la gestione durante tutto il ciclo di vita. Classificazione delle informazioni (8.2): le informazioni dovrebbero essere classificate in funzione del livello di riservatezza richiesto e conseguentemente etichettate in funzione della loro classificazione. Le procedure per il trattamento degli asset dovrebbero essere una logica conseguenza della classificazione degli stessi e delle informazioni in essi trattate. Trattamento dei supporti (8.3): al fine di garantire riservatezza, integrità e disponibilità delle informazioni contenute nei supporti rimovibili (hard-disk esterni, chiavi USB, DVD, ecc.) occorre prevedere opportune procedure di gestione degli stessi durante tutto il loro ciclo di vita (impiego, dismissione, trasporto, ecc.). Nella presente sezione praticamente immutata rispetto alla corrispondente sezione

9 7 della precedente versione della norma, salvo l aggiunta di due controlli viene richiamata la classificazione degli asset finalizzata alla valutazione dei rischi contenuta nella ISO Controllo degli accessi Questa sezione tratta l importante aspetto del controllo degli accessi alle aree dove sono custodite informazioni, in formato digitale o su supporto cartaceo, sia dal punto di vista degli accessi fisici, sia dal punto di vista degli accessi logici ai sistemi informatici. Le categorie prese in esame sono le seguenti: Requisiti di business per il controllo degli accessi (9.1): occorre definire una politica di controllo degli accessi basata sull accesso alle sole informazioni necessarie per svolgere il proprio lavoro (come impone anche la normativa sulla privacy in vigore in Italia) e regolamentare l accesso alle reti (soprattutto evitare l uso incontrollato delle reti wi-fi senza autenticazione utente). Gestione degli accessi degli utenti (9.2): è necessario regolamentare il processo di registrazione (tramite credenziali di autenticazione univoche) e deregistrazione degli utenti, la fornitura delle credenziali di accesso (provisioning), la gestione degli accessi privilegiati (ad es. quelli in qualità di amministratore di sistema, cfr. apposita disposizione del Garante della Privacy), la gestione delle informazioni segrete per l autenticazione (password, smartcard, ecc.), il riesame periodico dei diritti di accesso, la rimozione degli stessi al termine del rapporto (o la revisione in caso di cambio mansioni). Responsabilità dell utente (9.3): è importante regolamentare ed istruire il personale sull uso della password. Controllo degli accessi ai sistemi e alle applicazioni (9.4): è opportuno limitare l accesso alle informazioni, predisporre procedure di log-on sicure, procedure di gestione delle password, limitare l impiego di programmi di utilità privilegiati, limitare gli accessi al codice sorgente dei programmi. Nei controlli esposti sono illustrati molti principi di sicurezza delle informazioni abbastanza noti ai più, ma spesso non recepiti nelle PMI per scarsa competenza dei responsabili IT (spesso esterni), richieste di gestioni semplificate da parte degli utenti e dei responsabili, mancanza di consapevolezza da parte della Direzione e, soprattutto, la ricerca del minor costo nelle apparecchiature e nella formazione del personale. Per questo motivo molte regole basilari, ad esempio relative ad una corretta gestione della rete wi-fi (creazione di accessi ospite per gli esterni, impiego di autenticazioni per singolo utente tramite protocollo Radius o da pannello di controllo del router, segmentazione delle reti in Vlan, ) e delle password (impiego di password complesse e memorizzate in modo sicuro tramite utility apposite, uso non promiscuo delle password, variazione delle password al primo accesso, ) spesso non vengono implementate. Nel complesso sono presenti molti meno controlli rispetto alla precedente versione

10 della norma alla sezione 11, ma i contenuti, opportunamente aggiornati, sono equivalenti. 10 Crittografia Questo punto di controllo prevede una sola categoria Controlli crittografici (10.1) all interno della quale sono descritti due controlli inerenti la politica relativa all impiego dei controlli crittografici e la gestione delle chiavi crittografiche. La trattazione è molto dettagliata e comprende diversi aspetti da non sottovalutare come cosa fare in caso di indisponibilità, temporanea o permanente, delle chiavi crittografiche. In Italia occorre considerare la normativa specifica sulla firma digitale e la gestione dei certificati tramite le certification authority accreditate. Viene richiamata la norma ISO/IEC per ulteriori informazioni sulle chiavi. Questa che era prima una categoria (cfr. punto 12.3 della norma ISO 27002:2005) ora è salito a livello di punto di controllo. 11 Sicurezza fisica e ambientale La sezione comprende due categorie: Aree sicure (11.1): devono essere definiti dei perimetri che delimitano aree con diversi livelli di sicurezza, nei quali occorre prevedere adeguate protezioni per prevenire accessi indesiderati e safety (viene citata la normativa antincendio), devono essere attivati sistemi di controllo e registrazione degli accessi alle aree sicure, devono essere implementate particolari misure di sicurezza fisica per proteggere aree chiave e devono essere adottate misure di protezione contro disastri e calamità naturali (incendi, alluvioni, terremoti, ecc.). Inoltre devono essere progettate ed attuate procedure per permettere il lavoro in aree sicure e protette e, infine, devono essere implementati controlli particolari nelle aree di carico/scarico materiali. Apparecchiature (11.2): particolari accorgimenti devono essere intrapresi per proteggere le apparecchiature impiegate (per elaborazione o archiviazione di informazioni in genere) rispetto ad accessi non consentiti o minacce di possibili danneggiamenti, anche provenienti dalle infrastrutture di supporto (connettività di rete, energia elettrica, gas, acqua, ecc.) o da carenze di sicurezza dei cablaggi. Inoltre le apparecchiature devono essere sottoposte a regolare manutenzione, dispositivi hardware e software devono essere mantenuti sotto controllo in caso di trasferimenti all esterno dell organizzazione, adottando, nel caso particolari misure di sicurezza ed in caso di dismissione di apparecchiature o supporti di memorizzazione le informazioni in essi contenute devono essere cancellate in modo sicuro. Infine è necessario definire istruzioni affinché le apparecchiature non siano lasciate incustodite quando con esse è possibile accedere ad informazioni riservate ed occorre definire politiche di scrivania pulita per prevenire la visione di informazioni riservate da parte di personale non autorizzato.

11 fine I parte.continua Business Continuity Plan, questo sconosciuto Il BCP (Business Continuity Plan) o Piano di Continuità Operativa è un documento richiesto alle organizzazioni certificate ISO (Sistema di gestione per la sicurezza delle informazioni Requisiti) al controllo A.17.1 Continuità della sicurezza delle informazioni, ma anche e soprattutto dalla norma specifica UNI EN ISO 22301:2014 Sicurezza della società Sistemi di gestione della continuità operativa Requisiti, che abbiamo trattato in un precedente articolo. Gli eventi delle ultime settimane, ma anche degli ultimi anni, hanno mostrato quanto scarsa sia l adozione di questo strumento nel nostro Paese. Molti sono, infatti, gli esempi di situazioni critiche essenzialmente causate da disastri naturali che non sono state fronteggiate nel modo corretto e che hanno portato a costi sociali elevatissimi che si sono scaricati inevitabilmente sulla collettività: Il terremoto dell Aquila e dell Emilia; Le alluvioni in Liguria ed in Toscana; Le interruzioni di energia elettrica protrattesi nel tempo a Cortina qualche Natale fa e, più recentemente, in Emilia dopo una forte nevicata; Le forti nevicate verificatesi in Emilia-Romagna nel In tutte queste situazioni di emergenza, oltre ai danni materiali ed alle perdite di vite umane, si sono verificate disfunzioni e ritardi nella ripresa dell operatività ordinaria. Il vantaggio di avere predisposto un buon piano di continuità operativo è proprio questo: ipotizzando una situazione di crisi si cerca di limitare i danni e di tornare all operatività normale nel più breve tempo possibile. Tornando ad aspetti più tecnici, mentre la ISO tratta la continuità operativa in termini di sicurezza delle informazioni, ovvero di garantire il ritorno alla piena disponibilità delle informazioni senza perdite significative delle stesse, la ISO amplia il raggio di azione del business continuity plan, comprendendo la gestione delle discontinuità di un servizio, non necessariamente legato alla

12 disponibilità di informazioni su supporto cartaceo o elettronico (anche se oggi ben poche attività possono farne a meno). Alcuni esempi possono chiarire meglio il concetto: La gestione di un ospedale a fronte di grandi epidemie che riducono anche la disponibilità di risorse umane sufficienti ad affrontare l emergenza; Un servizio di trasporto di persone o beni in caso di calamità naturali; Un servizio di pronto intervento di manutenzione in caso di calamità naturali che impediscono al personale di recarsi al lavoro; Un servizio di ristorazione collettiva in caso di calamità naturali o epidemie influenzali che impediscono al personale di recarsi al lavoro; E così via. Si ricorda che la continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un organizzazione o parte di essa, garantendo la continuità delle attività in generale. La sfera di interesse della continuità operativa va oltre il solo ambito informatico, interessando l intera funzionalità di un organizzazione (Azienda, Ente Pubblico, ecc.) ed è, pertanto, assimilabile all espressione business continuity. La continuità operativa comprende sia gli aspetti strettamente organizzativi, logistici e comunicativi che permettono la prosecuzione delle funzionalità di un organizzazione, sia la continuità tecnologica, che riguarda l infrastruttura informatica e telecomunicativa (ICT) ed è nota come disaster recovery (DR). Pertanto, le soluzioni per garantire la continuità dei servizi non considerano soltanto le componenti tecnologiche utilizzate, ma anche tutte le altre risorse (personale, impianti, infrastrutture, ecc.). Le analisi, valutazioni e scelte di trattamento del rischio richieste dalla gestione della continuità operativa sono le seguenti: Identificazione dei rischi; Analisi e valutazione dei rischi; Analisi delle conseguenze di disastri, malfunzionamenti, interruzioni di servizi (Business Impact Analysis); Realizzazione di piani (controlli) affinché i processi di business siano riattivati entro il tempo richiesto. Le analisi valutano per ogni asset (o gruppo di asset) critico il tempo che tale asset può rimanere indisponibile con danno basso o nullo. I piani (Business Continuity Plan) devono essere mantenuti costantemente aggiornati per essere efficaci al momento del bisogno. Per meglio comprendere la predisposizione di un BCP occorre introdurre alcune

13 definizioni basilari: Mission Critical Activity (MCA): attività critica o di supporto al business relativamente ai servizi o prodotti offerti dall organizzazione (internamente o esternamente), incluse le sue correlazioni con altri processi e single points of failure, che permettono all organizzazione di raggiungere i suoi obiettivi di business considerando le stagionalità e/o tempi di rilascio critici Business Impact Analysis (BIA): analisi gestionale attraverso la quale un organizzazione valuta quantitativamente (per esempio finanziariamente, Service Level Agreement, SLA) e qualitativamente (per esempio reputazione, leggi, regolamenti) gli impatti e le perdite che possono risultare se l organizzazione subisce un grave incidente, e il minimo livello di risorse necessarie per il ripristino. Maximum Tollerance DownTime (MTDT): massimo intervallo di tempo ammissibile di interruzione del servizio (quante ore posso permettermi di non erogare il servizio ai clienti?). Maximum Tollerance Data Loss (MTDL): massima perdita di dati tollerata (quanti dati posso permettermi di perdere?). RTO (Recovery Time Objective): periodo di tempo entro il quale devono essere ripristinati un minimo livello di servizio, i sistemi di supporto e le funzionalità principali dopo un interruzione dei servizi. Normalmente è il lasso di tempo entro il quale cui le MCA devono essere ripristinate. RPO (Recovery Point Objective): istante (punto) nel tempo al quale i dati sono coerenti e possono essere ripristinati. MBCO (Minimum Business Continuity Objective): livello di servizio minimo accettabile dall organizzazione per raggiungere i propri obiettivi di business durante una rottura. Il processo di gestione della continuità operativa deve prendere in esame tutti i processi e le attività aziendali e classificarli in funzione della loro criticità nel modo seguente: Attività critiche per il business (MCA s); Attività importanti; Attività secondarie. Per le attività critiche vengono stabiliti degli obiettivi di continuità operativa in termini di MTDT, MTDL, RTO, RPO, MBCO e stabiliti dei piani di continuità operativa, che comprendono le contromisure messe in campo per garantire gli obiettivi. Per la pianificazione delle attività di continuità operativa è necessario valutare preliminarmente gli impatti degli eventi che possono causare interruzioni dei processi di business, predisponendo una BIA. A seguito della valutazione dei rischi di interruzione del servizio erogato ai

14 clienti devono essere predisposti, attuati e periodicamente verificati uno o più Piani di Continuità Operativa (Business Continuity Plan) aventi lo scopo di mantenere o ripristinare il funzionamento dei processi critici ed assicurare la disponibilità delle informazioni necessarie a garantire un livello di servizio accettabile, a fronte del verificarsi dei rischi di interruzioni o malfunzionamenti precedentemente identificati e valutati. Dunque se pensiamo ad un servizio di pubblica utilità (servizi ospedalieri, trasporto pubblico, mense scolastiche, servizi di pulizia e raccolta rifiuti, ecc.) occorre definire due livelli: Un primo livello che identifica il ripristino di un servizio minimo dopo l interruzione; Un secondo livello che sancisce la ripresa dell attività ordinaria. Per ogni livello devono essere stabiliti i tempi entro i quali vengono raggiunti e che possono costituire SLA contrattuali. È bene comprendere che i BCP devono prefigurare uno scenario di crisi ben definito, al verificarsi del quale si vuole reagire in modo adeguato. Chiaramente non tutti gli scenari possibili possono essere gestiti nei BCP, ma solo quelli più probabili e di impatto più grave, sulla base della valutazione dei rischi preliminarmente svolta. I contenuti dei BCP potrebbero essere i seguenti: Scopo e campo di applicazione Obiettivi Requisiti di business continuity (RPO, RTO, ) Identificazione dei processi critici (MCA s) Business Impact Analysis Piano di Disaster Recovery Piano di Continuità Operativa, contenente: Rilevazione dell incidente (metodi e procedure): dichiarazione del disastro o incidente, valutazione del danno, attivazione del piano): Risposta all incidente (attività, tempi, responsabilità, procedure); Ripristino dell operatività (attività, tempi, responsabilità, procedure di azione e continuità);

15 Risorse (personale e competenze, tecnologie, infrastruttura, software, dati, siti alternativi, centri di emergenza o crisi); Fornitori (Lista dei fornitori di recovery, dettagli dei contratti, procedure di attivazione); Organizzazione e Responsabilità; Documentazione; Comunicazioni (contatti, soggetti da informare, messaggi); Test del BCP (prove, tempi, responsabilità) Manutenzione del BCP Si precisa che i BCP possono far riferimento ad altri documenti (ad es. Piani di Disaster Recovery), aggiornati autonomamente. In ogni caso deve essere sempre possibile risalire alla configurazione attuale del BCP, ovvero alle revisioni vigenti dei documenti esterni richiamati nel Piano di Continuità Operativa. Tale configurazione e la relativa rintracciabilità dei documenti relativi al BCP deve essere disponibile sia in formato elettronico, sia su supporto cartaceo, con gestione di copie di riserva del BCP disponibili in locali/siti/ubicazioni alternative, al fine di essere sempre disponibili in caso di verificarsi dell evento che ha generato l interruzione dei processi critici. Si rammenta che per la Pubblica Amministrazione la continuità operativa ed i relativi Piani di Business Continuity sono previsti dall Art. 50 bis del Codice per l Amministrazione Digitale; essa, pertanto, deve essere gestita dagli responsabili degli Enti Pubblici in modo adeguato, con riferimento agli standard internazionali sulla materia. [Download non trovato] Le novità della UNI ISO 27001:2014 La norma ISO pubblicata nel 2013 è stata tradotta in italiano e convertita in norma UNI nel marzo 2014 come UNI CEI ISO/IEC 27001:2014 Tecnologie informatiche Tecniche per la sicurezza Sistemi di gestione per la sicurezza delle informazioni Requisiti. Essa specifica i requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un sistema di gestione per la sicurezza delle informazioni nel contesto di un organizzazione, includendo anche i requisiti per valutare e trattare i rischi relativi alla sicurezza delle informazioni adattati alle necessità dell organizzazione.

16 La nuova ISO non riporta termini e definizioni, ma richiama la ISO (scaricabile gratuitamente da e curiosamente venduta dall UNI a 138 ) per tutti i termini utilizzati nelle norme della serie ISO 27k. Si segnala che nel capitolo introduttivo della ISO è scomparso il paragrafo Approccio per processi, sebbene venga sottolineata l importanza che il sistema di gestione per la sicurezza delle informazioni sia parte integrante dei processi e della struttura gestionale complessiva dell organizzazione. La norma ISO riprende la nuova struttura di tutte le norme sui sistemi di gestione e, pertanto, al capitolo 4 tratta il contesto dell organizzazione. In questo capitolo viene esposto che per comprendere l organizzazione e il suo contesto (4.1) occorre determinare i fattori esterni ed interni pertinenti alle finalità dell organizzazione stessa e che influenzano la sua capacità di conseguire i risultati previsti per il proprio sistema di gestione per la sicurezza delle informazioni e che per comprendere le necessità e le aspettative delle parti interessate (4.2) occorre individuare le parti interessate al sistema di gestione per la sicurezza delle informazioni ed i requisiti delle stesse attinenti ad esso. Anche la determinazione del campo di applicazione del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS, Information Security Management System) è un attività inerente la comprensione dell organizzazione ed il suo contesto. In questo ambito l organizzazione deve determinare i confini di applicabilità del sistema di gestione per la sicurezza delle informazioni ISO al fine di stabilirne il campo di applicazione, in modo analogo a quanto avveniva nella versione precedente della norma, considerando anche i fattori esterni ed interni ed i requisiti delle parti interessate esposti ai paragrafi precedenti. Il capitolo 5 Leadership rispecchia anch esso la nuova struttura delle norme sui sistemi di gestione. In esso, al paragrafo 5.1, viene indicato quali modalità l alta direzione deve attuare per dimostrare leadership e impegno nei riguardi del sistema di gestione per la sicurezza delle informazioni. In analogia con altri sistemi di gestione, l alta direzione deve stabilire politica ed obiettivi, mettere a disposizione le risorse necessarie per l attuazione del SGSI, comunicare l importanza di un efficace gestione della sicurezza delle informazioni e dell essere conforme ai requisiti del SGSI stesso; deve, inoltre, assicurare che il SGSI ISO consegua i risultati previsti, fornire guida e sostegno al personale per contribuire all efficacia del sistema di gestione della sicurezza delle informazioni e, naturalmente, deve promuovere il miglioramento continuo. Il paragrafo 5.2 tratta della politica per la sicurezza delle informazioni per la quale i requisiti sono analoghi a quelli presenti negli altri sistemi di gestione: naturalmente la politica deve essere documentata, comunicata all interno dell organizzazione ed essere disponibile a tutte le parti interessate.

17 Anche il paragrafo 5.3 che riguarda ruoli, responsabilità e autorità nell organizzazione è molto simile a quanto riportato nelle altre norme sui sistemi di gestione; in particolare, il fatto che la l alta direzione debba assegnare responsabilità e autorità per assicurare che il sistema di gestione per la sicurezza delle informazioni sia conforme ai requisiti della norma e per riferire alla direzione stessa sulle prestazioni del sistema di gestione per la sicurezza delle informazioni, se non definisce la nomina di un responsabile per il sistema di gestione della sicurezza delle informazioni poco ci manca. Pur non essendo richiesto un rappresentante della direzione (non lo era neanche nella versione 2005 ISO e 2006 UNI della norma) viene rafforzato il concetto che è necessario assegnare responsabilità precise, all interno o all esterno dell organizzazione (consulente), per garantire la conformità del SGSI. Il capitolo 6 Pianificazione tratta, nel paragrafo 6.1, quali azioni occorre attuare per affrontare rischi ed opportunità. Infatti sulla base di quanto emerso dall analisi del contesto dell organizzazione occorre determinare i rischi e le opportunità che è necessario affrontare per assicurare che il sistema possa conseguire i risultati previsti, possa prevenire, o almeno ridurre, gli effetti indesiderati e realizzare il miglioramento continuo. Le azioni per affrontare rischi ed opportunità devono essere pianificate, così come le modalità per integrare ed attuare le azioni stesse nei processi del proprio sistema di gestione per la sicurezza delle informazioni e per valutare l efficacia di tali azioni. La valutazione dei rischi relativi alla sicurezza delle informazioni è trattata al paragrafo 6.1.2, dove sono riportati i requisiti per il processo di valutazione del rischio relativo alla sicurezza delle informazioni. Il processo di valutazione del rischio dovrà comprendere le seguenti attività Stabilire e mantenere i criteri di rischio relativo alla sicurezza. Assicurare che le ripetute valutazione del rischio producano risultati coerenti, validi e confrontabili tra loro (il metodo usato deve essere ripetibile e riproducibile con risultati coerenti come se fosse un dispositivo di misurazione sotto conferma metrologica). Identificare i rischi relativi alla sicurezza. Analizzare i rischi individuati, valutando le possibili conseguenze che risulterebbero se tali rischi si concretizzassero e valutando la verosimiglianza realistica di concretizzarsi dei rischi identificati, ovvero la probabilità che essi accadono, e, infine, determinando i livelli di rischio. Ponderare i rischi comparando i risultati dell analisi dei rischi con i criteri stabiliti e definendo le priorità di trattamento dei rischi precedentemente valutati. Naturalmente la valutazione dei rischi deve essere documentata. Il trattamento del rischio relativo la sicurezza delle informazioni (6.1.3) deve essere definito ed applicato attraverso un processo del tutto similare a quello

18 stabilito nella versione precedente della norma, anche se esposto in modo differente. Oltre a selezionare l opzione di trattamento dei rischi consuete occorre determinare i controlli necessari per attuare le opzioni selezionate per il trattamento del rischio, tenendo presente controlli riportati nell appendice A e meglio dettagliati nella norma ISO (anch essa tradotta finalmente in italiano come UNI CEI ISO/IEC 27002:2014 Tecnologie informatiche Tecniche per la sicurezza Raccolta di prassi sui controlli per la sicurezza delle informazioni) al fine di non omettere controlli che potrebbero essere necessari. Resta la necessità di redigere una Dichiarazione di Applicabilità che riporti: i controlli selezionati come necessari (che siano attuati o meno) e la relativa giustificazione per l inclusione; i controlli presenti nell Appendice A della ISO stessa eventualmente esclusi con le giustificazioni per la loro esclusione i controlli selezionati attualmente applicati. Quest ultimo punto costituisce una novità nel testo della norma che chiarisce e sancisce una prassi comunemente adottata dagli Organismi di Certificazione, ovvero quella di accettare una dichiarazione di applicabilità di determinati controlli di sicurezza la cui attuazione è stata pianificata, ma deve ancora venire. Infine occorre predisporre un piano di trattamento dei rischi relativi alla sicurezza delle informazioni che dovrà essere approvato dalla Direzione, comprendente anche l accettazione dei rischi residui che si è deciso di non trattare. Anche questo processo di trattamento del rischio dovrà essere documentato. Il sistema di gestione per la sicurezza delle informazioni ISO dovrà porsi degli obiettivi e pianificare le azioni adeguate per conseguirli (paragrafo 6.2). Le caratteristiche degli obiettivi sono le stesse degli altri sistemi di gestione (devono essere coerenti con la politica, misurabili, ecc.). La pianificazione delle azioni poste in essere per conseguire gli obiettivi per la sicurezza delle informazioni deve comprendere le azioni pianificate, le risorse necessarie, le responsabilità, i tempi di completamento delle azioni, e le modalità di valutazione dei risultati. Il capitolo 7 Supporto non presenta novità significative rispetto all analogo capitolo delle altre norme relative ad altri sistemi di gestione. Pertanto i paragrafi Risorse (7.1), Competenza (7.2) Consapevolezza (7.3) e Comunicazione (7.4) non presentano sorprese di sorta, ma solo una esplicitazione più chiara rispetto al passato di cosa ci si dovrebbe attendere da un sistema di gestione per la sicurezza delle informazioni.

19 Il paragrafo 7.5 Informazioni documentate con i suoi sotto paragrafi descrive i requisiti relativi a documenti e registrazioni, secondo la dizione delle precedenti norme sui sistemi di gestione. Anche in questo caso i requisiti non presentano novità rispetto al passato, ma solo un diverso ordine di esposizione ed una maggior chiarezza nel descrivere che cosa ci si aspetta da un sistema di gestione documentato. Non sono richieste procedure particolari, né un manuale del sistema di gestione ISO 27001, ma solo le informazioni documentate indicate nei vari punti della norma. Il capitolo 8 Attività operative dispone requisiti relativi ai punti: pianificazione e controlli operativi (8.1); valutazione del rischio relativo la sicurezza delle informazioni (8.2); trattamento del rischio relativo la sicurezza delle informazioni (8.3). In questo capitolo non ci sono novità rispetto alla versione precedente della norma, ma solo una riscrittura secondo la nuova struttura delle norme sui sistemi di gestione di quanto era già prescritto in passato. I contenuti, in verità, sono alquanto scarni, infatti viene prescritto di mantenere sotto controllo i processi operativi dell organizzazione (processo produttivo o erogazione del servizio, approvvigionamenti, commerciale, ecc.) attraverso l attuazione di tutti i controlli di sicurezza pianificati, monitorando ogni cambiamento e rivalutando periodicamente i rischi secondo le modalità già descritte nei paragrafi deò capitolo 6. Il capitolo 9 Valutazione delle prestazioni, riporta i requisiti per il monitoraggio, la misurazione, l analisi e la valutazione (9.1) del SGSI, per gli audit interni (9.2) e per il riesame della direzione (9.3). Anche in questo capitolo non sono presenti novità sostanziali rispetto alla precedente versione della norma, ma solo una riscrittura del testo in modo più chiaro. In particolare viene indicata la necessità di monitorare e misurare l efficacia dell attuazione dei controlli di sicurezza e tutti i processi che forniscono evidenza del buon funzionamento del SGSI. Nel capitolo 10 Miglioramento sono trattate non conformità, azioni correttive e miglioramento continuo. Anticipando quello che avverrà per la prossima versione della norma ISO 9001:2015, si rileva l eliminazione delle requisito riguardante le azioni preventive che vanno a confluire insieme a tutte le azioni di miglioramento non legate a non conformità o incidenti sulla sicurezza delle informazioni. È curioso il fatto che mentre nella versione precedente la norma ISO non dedicava un paragrafo alle non conformità, che venivano citate nel testo, ma erano citati anche gli incidenti per la sicurezza delle informazioni, questa nuova versione non tratta gli incidenti se non nei controlli dell appendice A e dedica il paragrafo 10.1 alle non conformità ed alle azioni correttive attuate per eliminarle.

20 Si ricorda che ACCREDIA ha disposto che Tutte le certificazioni emesse sotto accreditamento a fronte della ISO/IEC 27001:2005 dovranno essere ritirate entro il 1 ottobre 2015; oltre tale data potranno sussistere solo certificazioni secondo la nuova ISO 27001:2013. Pertanto restano pochi mesi per convertire i vecchi SGSI alla nuova norma. Probabilmente la stragrande maggioranza delle organizzazioni con SGSI certificato o certificando ISO dispongono già della certificazione ISO 9001 per la qualità, ma la nuova norma ISO 9001:2015, la cui struttura è allineata alla ISO 27001:2013 deve ancora essere ufficialmente emessa. Il consiglio per le organizzazioni che si stanno adeguando alla 27001:2013 è quello di strutturare il sistema di gestione integrato secondo il nuovo schema, dunque allineare anche il sistema di gestione per la qualità sulla base delle indicazioni disponibili dalla bozza di ISO 90001:2015. Così facendo si avrà un sistema di gestione integrato ISO omogeneo e meglio gestibile nell immediato. Questo probabilmente comporterà ristrutturare il manuale del sistema di gestione, anche se non esplicitamente richiesto dalla nuova norma, al fine di mantenere una continuità con il passato e garantire il controllo su tutta la documentazione del sistema di gestione. Le modifiche al SGSI non sono sostanziali e riguardano più che altro i 114 controlli di sicurezza dell appendice A e della ISO che naturalmente impattano sul trattamento dei rischi e sulla Dichiarazione di Applicabilità (Statement of Applicability, SoA). La privacy in Farmacia e nell ambulatorio medico privato La privacy dei privati cittadini utenti delle farmacie e dei piccoli ambulatori privati spesso è messa a repentaglio da una gestione non accurata delle regole stabilite dalla normativa al riguardo (D.Lgs 196/2003 Codice per la protezione dei dati personali ) e da tutte le buone pratiche di gestione della sicurezza delle informazioni. I titolari di farmacie ed ambulatori medici polifunzionali sono di fatto legali rappresentanti di imprese che, seppur di piccole dimensioni, raccolgono e gestiscono dati personali sensibili (in particolare dati sanitari relativi alla salute delle persone) di una grande moltitudine di persone fisiche e, come tali, sono tenuti a rispondere di fronte alla legge di tali gestioni.

21 In questi ultimi anni si è passati da una gestione prevalentemente cartacea dei dati personali sensibili raccolti da queste organizzazioni, ad una gestione elettronica di molte informazioni che riguardano la sfera privata delle persone, ovvero i dati sanitari. Se pensiamo ad una farmacia moderna possiamo trovare molti trattamenti di dati in formato digitale che solo pochi anni fa non erano presenti: si passa dal ben noto scontrino fiscale parlante (sul quale ha molto disquisito il Garante della Privacy), generato e poi gestito da un sistema informatico, alla ricetta elettronica di recente introduzione, passando per una serie di servizi che le farmacie hanno introdotto da pochi anni: intolleranze alimentari, analisi della pelle, gestione referti esami diagnostici, preparazione di diete, fidelity card, e-commerce, ecc.. Ma anche servizi meno recenti come le prenotazioni di esami tramite CUP ASL o la Dispensazione per Conto vengono gestiti dalle farmacie, attraverso appositi portali dedicati, per conto dei clienti. Ognuno di questi trattamenti di dati presenta vulnerabilità intrinseche per la sicurezza delle informazioni trasmesse: credenziali di accesso non sufficientemente difficili da individuare, scarsa protezione dei PC e dei Server da attacchi esterni, inadeguata protezione dei medesimi elaboratori in caso di furto e via dicendo. Come le piccole organizzazioni di altri settori industriali o dei servizi, anche le farmacie non sono dotate di personale esperto nella gestione della sicurezza dei sistemi informatici e spesso il coinvolgimento dei fornitori esterni specializzati non è così sistemato (soprattutto per motivi di costo) da poter garantire una protezione adeguata. D altro canto dai computer delle farmacie transitano quantità di dati sensibili di gran linga superiori a quelle di altre piccole organizzazioni e costituiscono il canale di consultazione di archivi di prenotazione di esami diagnostici di un elevatissimo numero di pazienti. Da qui la necessità di proteggere i sistemi informatici delle farmacie, sia da un punto di vista logico, sia fisico, in modo molto più attento rispetto ad un normale PC aziendale. Anche i piccoli ambulatori privati, che ospitano medici che eseguono visite specialistiche ed esami diagnostici, ultimamente hanno trovato grande beneficio dall utilizzo delle nuove tecnologie, nonostante la ritrosia all utilizzo del computer da parte di numerosi medici. Tutto ciò, però, comporta la necessità di proteggere adeguatamente i dati sensibili dei pazienti che transitano in formato digitale in reti locali poco protette. In tali organizzazioni spesso non è nemmeno chiaro chi è il titolare del trattamento dati il medico che visita il paziente o il centro medico ed a chi vengono eventualmente delegate le responsabilità per i

22 trattamenti delegati ad altri. In generale, nelle farmacie e nei piccoli centri medici, tutta la parte informatica è delegata a fornitori specializzati che talvolta non conoscono in modo preciso la normativa sulla privacy e sono negligenti nel sottoscrivere le proprie assunzioni di responsabilità a fronte delle attività eseguite; conseguentemente tutte le responsabilità ricadono sul titolare del trattamento, persona fisica o giuridica avente comunque un legale rappresentante, generalmente poco avvezzo a questioni informatiche. Dal punto di vista normativo, poi, il passaggio da una normativa italiana molto completa e severa per taluni aspetti, ma ormai obsoleta per quanto riguarda il disciplinare tecnico delle misure minime di sicurezza ad un nuovo Regolamento Europeo in fase di approvazione, non fa che complicare le cose per le piccole organizzazioni che finora hanno avuto regole precise (password di almeno 8 caratteri variate ogni 3 mesi se si trattano dati sensibili, backup almeno ogni 7 giorni, aggiornamenti semestrali dei programmi software, assenza di idonee dichiarazioni di conformità dei fornitori, ecc.) con le quali confrontarsi. Il nuovo Regolamento, infatti, introdurrà la necessità di valutare i rischi che si corrono dal punto di vista della sicurezza dei dati personali e, conseguentemente, progettare il sistema di gestione della privacy in funzione delle reali esigenze di riservatezza, adottando misure di sicurezza adeguate (non solo minime ). Inoltre l attuale versione del Regolamento Europeo sulla Privacy in approvazione contiene l obbligo per i titolari di dati personali di dotarsi entro determinate condizioni di un Privacy Officer, ovvero di una persona, dotata di adeguate competenze in materia di privacy e sicurezza dei dati, responsabile per la gestione della privacy all interno dell organizzazione. Ma il limite attualmente stabilito per l obbligo di nominare un Privacy Officer è legato al numero di dati personali gestiti (più di 5000 in un anno) che viene facilmente superato da una farmacia di medio volume di affari, ma non da numerose imprese industriali con oltre 50 dipendenti. La ratio del nuovo Regolamento UE è evidentemente quella di garantire migliore protezione dove esistono maggiori rischi, sia per il numero di dati personali trattati, sia per la vulnerabilità dei sistemi. Il cambio di mentalità di chi gestisce piccole organizzazioni nel settore sanitario non sarà facile, anche perché non ci saranno più regole precise da seguire per stare tranquilli, ma, oserei dire giustamente, il Regolamento Europeo ribalterà la responsabilità di progettare un sistema di gestione della privacy adeguato sulle spalle degli imprenditori. Molti di questi ultimi non saranno in grado di valutare in modo competente ed oggettivo quali misure adottare e dovranno fare attenzione a non credere alle ricette preconfezionate a basso costo che hanno già rovinato l approccio alla privacy negli anni del ben noto DPS (Documento Programmatico sulla Sicurezza).

23 Già oggi il rischio di molte piccole organizzazioni del settore sanitario è quello di non essere conformi alla legislazione attuale sotto diversi aspetti (mancate nomine degli incaricati, mancanza di credenziali di autenticazione ai sistemi informatici adeguate e variate periodicamente, utilizzo troppo invasivo della videosorveglianza, archiviazione di dati privi di protezione, ecc.), figuriamoci domani se saranno i titolari del trattamento (ovvero i legali rappresentanti o direttori delle organizzazioni) a dover decidere quali misure di sicurezza sono adeguate! Il rischio concreto è quello di sottovalutare il problema privacy, come del resto è avvenuto dopo l abolizione del DPS che non ha abolito tutti gli altri adempimenti! Dimenticarsi di proteggere adeguatamente i dati personali dei propri clienti può comportare non solo sanzioni civili (e in alcuni casi anche reati penali) in caso di ispezione da parte del nucleo Privacy della Guardia di Finanza (oggi peraltro molto rare), ma anche, in caso di richiesta di risarcimento danni da parte dell interessato i cui dati sensibili sono stati violati, ingenti perdite economiche. Talvolta, poi, la mancata diligenza del titolare del trattamento potrebbe portare anche al divieto di intraprendere relazioni commerciali con la Pubblica Amministrazione, riducendo o annullando di fatto la possibilità di operare. Infine, oltre agli aspetti legati al rispetto della normativa cogente, esistono altri pericoli a cui è sottoposta una organizzazioni che gestisce in modo inconsapevole la sicurezza dei dati, ad esempio la perdita di dati e l indisponibilità di risorse per garantire la continuità del servizio al cliente e, quindi, perdite economiche più o meno rilevanti in funzione della gravità dell evento. Altre risorse in rete: rmacia-e-negli-studi-medici.html derfarmaultimenotizie

24 Finanziamento per Ict nelle piccole e medie imprese: nuovo bando dal 1 febbraio 2015 La Regione Emilia Romagna ha pubblicato un nuovo bando per il finanziamento di Progetti per l ICT nelle piccole e medie imprese (Asse 2:Sviluppo innovativo delle imprese Scadenza: 31/03/2015 Attività II.1.1 Sostegno a progetti di introduzione di ict nelle pmi. Bando per piccole e medie imprese). La Regione Emilia-Romagna con questo bando intende sostenere il potenziamento e la crescita delle imprese attraverso l introduzione di Ict e di modalità e strumenti innovativi di gestione. Le spese ammissibili sono quelle fatturate e pagate dall 1 dicembre 2014 al 31 dicembre 20153, non inferiori a 20 mila euro relative a progetti di: Acquisto nuovi software e hardware, Acquisto di apparati di trasmissione/ricezione, reti LAN, miglioramento di connettività misurabile in termini di banda larga, Consulenze esterne specialistiche (max 40%) relative a introduzione di innovazioni organizzative correlate all introduzione di strumenti informatici e telematici con dimostrazione della personalizzazione della soluzione per l impresa beneficiaria e della capacità di utilizzo da parte della stessa. Possono presentare domanda le piccole e medie imprese appartenenti a tutti i settori di attività economica Ateco 2007 ad eccezione delle imprese agricole e delle imprese operanti nel settore della pesca e acquacoltura. L agevolazione consiste in un contributo in conto capitale nella misura del 45% della spesa ritenuta ammissibile. La spesa ammissibile a seguito dell istruttoria della Regione, non deve risultare inferiore a Sarà possibile presentare la domanda di contributo dal 1 febbraio al 31 marzo Sembra un ottima occasione per iniziare o continuare ad investire nell innovazione tecnologica per migliorare l efficienza dei processi ed accrescere la competitività dell organizzazione. Per informazioni ed approfondimenti:

25 prese-nuovo-bando-dal-1-febbraio perazione-servizi/progetti-per-lict-nelle-piccole-e-medie-imprese Newsletter-Agevolazioni-regionali-per-investimenti-ICT-e-consulenzaorganizzativa.pdf (149 download) Migliorare l efficienza nei servizi intellettuali L introduzione dell innovazione tecnologica (sistemi automatici, software di schedulazione e controllo della produzione, ecc.) e di tecniche manageriali di ottimizzazione dei processi (lean production, BPR, Just in Time, MRP, ecc.) hanno permesso a molte imprese manifatturiere di migliorare i lead-time di produzione, anche se l incidenza del tempo di lavorazione degli impianti produttivi resta ancora il fattore più importante del ciclo produttivo. Nelle organizzazioni di servizi intellettuali, invece, il fattore umano è e sempre lo sarà prevalente nel contribuire ai tempi, ai costi ed alla qualità del servizio. In tali contesti, dunque, una riduzione del tempo di alcune attività critiche svolte da esseri umani può ridurre sensibilmente il tempo di svolgimento del processo e, quindi, anche i costi del medesimo. Inoltre una redistribuzione dei carichi di lavoro dei processi a risorse con costi orari differenti consente talvolta un deciso risparmio dei costi complessivi di processo senza influenzare la qualità complessiva del risultato prodotto. In termini meno astratti ci si riferisce alle organizzazioni che erogano servizi professionali quali studi di consulenza, studi legali, studi commercialisti, società di consulenza manageriale, società di informatica, studi e società di ingegneria, ecc.. Per esse la voce di costo del servizio prevalente è senz altro quella legata al lavoro intellettuale svolto dalle risorse umane. Da un certo punto di vista sembrerebbe difficile ridurre il tempo di svolgimento di un attività da parte di un professionista, un progettista di sistemi informatici o

26 di opere di ingegneria civile invece, se ci concentriamo sul lavoro svolto dalla persona in esame, vediamo che molte attività vengono svolte con l ausilio di sistemi informatici e parte del tempo viene passato in riunioni, ad effettuare lavoro che dovrebbe essere svolto da altre figure professionali, a rifare lavoro che era stato svolto con errori, addirittura in attesa che altri completino il proprio lavoro. Analizzando tutte le attività svolte da ogni singola persona, ed i relativi costi che ne comportano, è possibile individuare possibili miglioramenti nell efficienza dei processi (ovvero impiegare minori risorse per svolgere il medesimo lavoro) e spesso anche nell efficacia degli stessi (ovvero impiegare minor tempo nel completare un lavoro e/o con minor tasso di errori). Naturalmente nessun miglioramento è gratis, occorre investire del tempo nel cercare di analizzare i processi, le singole attività, i relativi tempi e costi, per poter individuare i possibili miglioramenti. E quando anche essi sono stati individuati occorre fare un attenta analisi costi-benefici prima di implementarli e nel caso è necessario effettuare piccoli o grandi investimenti per mettere in pratica le azioni di miglioramento stabilite. Il processo di miglioramento è già stato descritto da tempo, anche nella ISO 9001, come azioni preventive o di miglioramento (la prossima edizione della norma ISO 9001:2015 addirittura farà scomparire il termine azione preventiva a vantaggio delle azioni di miglioramento in senso esteso), ma non tutti certificati e non lo hanno recepito nel modo giusto. Alcune azioni di miglioramento sono comuni a diverse tipologie di attività e, seppur banali, pochi imprenditori e professionisti le hanno adottate. Ad esempio per svolgere alcune attività su sistemi informatici si otterrebbe un discreto risparmio di tempo utilizzando monitor più grandi che consentano di visualizzare in modo ottimale due finestre affiancate, oppure usare due monitor sullo stesso PC per evitare continui cambi di finestra. Addirittura tale operatività è resa più efficiente da specifiche utility commerciali, open source o freeware! Anche lavorare su documenti residenti su disco rigido, ma sincronizzati nel cloud con specifici tool (Microsoft OneDrive, Google Drive, Box.net, Dropbox, ) consente di evitare dispendiosi trasferimenti di file su chiavetta USB o tramite con il rischio aggiuntivo di perdere il controllo delle versioni. Le riunioni aziendali, sempre utili per migliorare la comunicazione fra i diversi soggetti, spesso generano significative perdite di tempo. Se da un lato esistono affermate metodologie manageriali per rendere estremamente efficaci le riunioni, dall altro la consultazione e revisione di documenti, la verbalizzazione della discussione e delle azioni deliberate possono essere rese molto più efficaci ed efficienti attraverso l utilizzo di strumenti informatici ed apparecchiature tecnologicamente più avanzate di quelle eventualmente impiegate. Infatti basta un videoproiettore all avanguardia (ad es. con connessione HDMI per visualizzare i

27 documenti a maggior risoluzione) oppure un grande schermo TV/monitor, se non addirittura una LIM (lavagna multimediale elettronica) per migliorare enormemente la condivisione dei documenti e l apprendimento dei concetti esposti da parte dei partecipanti alla riunione. Talvolta partecipare fisicamente ad una riunione costa parecchio tempo e denaro in spostamenti con mezzi di trasporto che non sempre garantiscono la puntualità, ma non serve. Forse non basta vedersi in faccia tramite Skype ed una webcam collegata al computer, ma con un impianto per la videoconferenza unito a tool software di collaborazione per condividere documenti fra tutti i partecipanti, la presenza fisica è spesso inutile. Spesso l incontro con clienti e fornitori potrebbe avvenire in modo virtuale, ma l arretratezza tecnologica e mentale di una delle due parti lo impedisce, però un po di intraprendenza ed un incentivo economico (alias risparmio di costi) a volte aiuta a convincere anche personaggi un po vintage. Lavorare con i documenti PDF (annotare, convertire il testo in formato editabile tramite OCR, modificare il testo, estrarre testo e immagini, ecc.) usando gli strumenti giusti risulta oltremodo vantaggioso. Le attività svolte outdoor, ovvero fuori dall azienda (presso cantieri, clienti, fornitori, fiere, ecc.) possono trarre grande beneficio dall uso di tablet e smartphone o notebook convertibili connessi a Internet ed alla sede, a condizione che vengano impiegati in modo organizzato. I sistemi informatici gestionali e specifici per svolgere determinate attività hanno in gran parte recepito questa rivoluzione in corso negli ultimi anni ed hanno introdotto funzioni per sfruttare i dispositivi mobili ed i dati in cloud, soprattutto nella gestione delle informazioni condivise (documenti, calendari, contatti, ecc.). Purtroppo non tutti gli utenti hanno recepito ed implementato queste migliorie e essenzialmente per motivi di costo e di mancanza di tempo per formarsi adeguatamente rinunciano ai miglioramenti dell efficienza. Non parliamo poi della gestione dei documenti in formato elettronico (ne abbiamo già parlato in questo blog nell articolo La gestione documentale informatizzata ) che, se ben organizzata, può non solo far risparmiare molto tempo alle persone che cercano un file, ma evita anche frequenti errori nella consultazione o modifica di file obsoleti. È evidente che gestire un documento in formato elettronico anziché su supporto cartaceo può portare a notevoli vantaggi, ma bisogna ben comprendere che la gestione non può essere la stessa, perché:

28 Il processo di approvazione di un documento informatico non può essere lo stesso di un documento cartaceo Il ciclo di revisione di un documento elettronico in formato Office compatibile o PDF è diverso da quello di un documento stampato Il documento elettronico non è semplicemente equivalente al documento cartaceo scansionato oppure al documento Office dopo o prima della stampa dello stesso Le copie del documento informatico si generano con molta più facilità di quelle di un documento cartaceo La firma di un documento elettronico ha valore legale solo se è una firma digitale riconosciuta, ed occorre possedere l apposito token, mentre per la firma su supporto cartaceo bastano carta e penna Alterare un documento cartaceo è molto più facile che alterare un documento cartaceo Gestire in formato elettronico un documento in formato A3 o addirittura A0 non è proprio la stessa cosa che gestire un documento in formato A4 in digitale e così via. Una domanda sorge poi spontanea: «perché per cercare un informazione in Internet tramite Google ci si impiega pochi secondi, anche tramite un tablet o smartphone connesso e per ricercare un informazione in un documento aziendale spesso sono necessari almeno dieci minuti?» Se l impiego delle ha rivoluzionato il nostro modo di comunicare anche in ambito lavorativo, bisogna ammettere che spesso questo strumento non è usato al meglio (vedi articolo sull Uso delle ). La progettazione delle modalità con cui usufruire della posta elettronica (scaricare le direttamente dal provider sui diversi dispositivi, implementare un Server di posta all interno dell organizzazione oppure gestire la posta tramite un Server di posta nel cloud, ecc.) può cambiare radicalmente il modo di interfacciarsi con colleghi, clienti e fornitori: poter leggere la posta elettronica da qualunque dispositivo nello stesso modo e poter inviare messaggi di posta da qualsiasi dispositivo ritrovandoseli nella posta inviata degli altri dispositivi non è un vantaggio trascurabile. Inoltre in funzione del sistema di posta adottato possono variare le metodologie di backup dei messaggi di posta, spesso la parte più ostica per chi progetta le procedure di backup. Oggi perdere alcuni messaggi per molte organizzazioni potrebbe significare perdere la prova di un attività svolta, di un ordine del cliente o delle specifiche trasmesse ad un fornitore o a d un collaboratore esterno e quindi perdere tempo e denaro. Talvolta sarebbe opportuno veicolare su altri tool diversi dalla posta elettronica le comunicazioni con clienti e fornitori, soprattutto per tenere traccia in modo ordinato di tutte le conversazioni e per condividere con tutti gli interessati le stesse notizie in tempo reale. Diversi servizi web possono soddisfare allo scopo,

29 fino ai più completi software di CRM (vedi articolo A chi serve il CRM? ). Un altra evoluzione rispetto alla trasmissione di documenti in allegato alle sono i server FTP (o, meglio sftp per garantire maggior sicurezza), ma altri servizi cloud possono essere più efficaci. In alcuni casi scrivere a mano o a computer non conviene ed i software di riconoscimento vocale possono portare a grandi vantaggi, non solo in ambito sanitario quando le mani sono impegnate in altre attività. Altri adeguamenti tecnologici di tipo puramente hardware, come l ottimizzazione del cablaggio e delle prese di rete, il miglioramento della wi-fi o l upgrade dei computer più obsoleti possono anch essi risultare estremamente proficui perché permettono di risparmiare anche solo poche decine di minuti ogni giorno, che diventano ore e giorni nel lungo periodo. Passando a metodologie di gestione delle attività lavorative che non derivano dall impiego di strumenti elettronici, si possono identificare molti strumenti che possono far risparmiare tempo e costi a diverse organizzazioni: si va dal project management (vedi articolo A chi serve il project management ) al lean thinking in progettazione, dalla già citata gestione delle riunioni, alla gestione del tempo, agli strumenti manageriali della qualità totale, ecc.. Certamente molte metodologie, nate parecchi anni fa, vanno ripensate utilizzando tool informatici di supporto allo stato dell arte e rimangono non solo valide, ma sono ancor più potenti grazie all ausilio del software. Ad esempio diversi applicativi software (alcuni anche Saas, software as a service o servizi web) consentono di migliorare notevolmente l efficienza e l efficacia nella gestione di progetti in diversi ambiti, quando le informazioni devono essere condivise fra diversi soggetti che operano in luoghi geograficamente distanti fra loro. Le possibilità di migliorare l efficienza dei processi interni per le organizzazioni di servizi sono molte e, settore per settore, per ogni tipologia di attività e per ogni singola organizzazione è possibile individuare delle azioni di miglioramento specifiche che non sono state mai considerate. Talvolta le azioni di miglioramento sono state già individuate dal personale interno, ma non sono state recepite dalla Direzione o dai Soci dell organizzazioni per svariate ragioni. Le ragioni per cui molte organizzazioni nemmeno si mettono nell ottica di cercare di individuare queste azioni di miglioramento sono essenzialmente: Timore dei costi che ne potrebbero scaturire Ignoranza dei vantaggi economici che ne potrebbero derivare Mancanza di tempo a disposizione per analizzare i processi e formare il personale

30 Non conoscenza delle tecnologie che potrebbero supportare la propria attività. Tutti questi elementi denotano una scarsa lungimiranza e poca pianificazione strategica, ma quelli legati ai costi da evitare ed ai risparmi sconosciuti, invece, denotano una scarsa conoscenza dei costi e del valore aggiunto delle attività svolte dal proprio personale, Direzione compresa. È evidente che se non si conoscono i costi reali delle commesse, dei progetti e delle singole attività si fa fatica ad identificare possibili miglioramenti economici. Del resto bastano pochi semplici calcoli, supportati dalle informazioni necessarie, per capire quanto costa svolgere un determinato lavoro. Se consideriamo, ad esempio, un lavoratore dipendente che ha uno stipendio netto di euro mensili x 14 mensilità, otteniamo un costo annuo lordo (RAL) di circa euro ed un costo aziendale della persona di circa euro. Considerando ferie, permessi e giorni di malattia medi questa persona costa all azienda circa 20 euro per ogni ora effettivamente lavorata. Se riusciamo a far risparmiare 10 ore all anno a questa persona risparmiamo 200 euro, circa il costo di un secondo monitor, che durerà ben più di un anno solare ed abbiamo considerato una risorsa con uno stipendio certamente non elevato, magari una segretaria o un assistente di direzione. Questo è solo un esempio, ma solo analizzando nel dettaglio i costi aziendali si riesce a valutare quali azioni di miglioramento possono accrescere la competitività dell organizzazione. Conoscendo esattamente i costi orari del personale e la durata delle singole attività è poi possibile cercare di livellare i carichi di lavoro facendo sì che le attività a minor valore aggiunto vengano svolte dal personale che costa meno, senza minacciare la qualità del servizio erogato. Infine, una volta individuate le azioni opportune esse vanno attuate nel modo corretto, formando ed informando adeguatamente il personale e monitorandone l applicazione per valutarne la reale efficacia. Novembre, tempo di budget

31 Un tempo nel mese di novembre le medio-grandi aziende preparavano il budget per l anno successivo. Tale pratica era ed è tuttora consigliabile anche per le piccole imprese, anche se i tempi sono cambiati. In questo lunghissimo periodo di crisi molti reputano il budget un esercizio sterile visto il momento di forti cambiamenti che stiamo vivendo; che senso ha, infatti, stimare i ricavi di vendita con le tecniche consolidate della letteratura che si basano su previsioni che negli ultimi anni sono state spesso disattese? Tali affermazioni, in gran parte condivisibili, rischiano però di far perdere alle imprese l abitudine di pianificare gli obiettivi di ricavo e di costo. Non dimentichiamo, infatti, i vantaggi reali che l approccio budgetario può arrecare alla gestione delle piccole e medie imprese e che possono riepilogarsi nei punti seguenti: costringe la Direzione a continue riflessioni sulle politiche di base dell impresa; richiede un adeguata ed appropriata organizzazione per ciascuna funzione aziendale; spinge il management verso uno stile direzionale partecipativo nella scelta dei vari obiettivi settoriali che devono essere tra loro coerenti ed in sintonia con il piano generale; obbliga la Direzione ad esprimere sempre tutti i programmi di attività in quantità e valori; necessita di adeguati dati storico-contabili; spinge all utilizzazione più economica delle varie risorse aziendali; evidenzia efficienza ed inefficienza operativa; promuove l intesa, tra i membri della Direzione, per i problemi comuni di lavoro; obbliga la Direzione a porre opportuna e adeguata attenzione agli effetti della prevista tendenza delle condizioni economiche generali. Tuttavia, nonostante i molteplici vantaggi che il budget presenta, esso non è comunque uno strumento perfetto. Le principali limitazioni che tale tecnica direzionale presenta sono riconducibili al fatto che: il sistema budgetario è basato su stime, ed è noto che l efficienza del controllo budgetario dipende proprio dalla validità o meno di tali stime che, in un periodo di profonda crisi economica come quello attuale, sono molto meno precise che in periodi di crescita costante;

32 il budget deve essere continuamente adattato alle mutevoli circostanze d impresa, cioè esso non deve presentarsi in chiave statica e burocratica; la fase esecutiva del budget non è automatica, ma è necessario che si crei, nell ambito dell impresa, uno spirito di budget affinché si possano superare gli ostacoli insiti nella realtà operativa per il raggiungimento dei prefissati obiettivi. Anche nelle piccole imprese è comunque importante introdurre il budget, che permette di prendere decisioni ottimali, soprattutto in occasione di necessità di acquisto di beni e servizi. Infatti, il comportamento tipico di una piccola impresa che non è abituata a fare il budget dei ricavi e dei costi è quello di decidere di non effettuare un investimento o una spesa straordinaria per il timore di trovarsi in difficoltà. In questo modo si tarpa le ali alle opportunità di crescita offerte dal miglioramento dei sistemi informativi e dalla formazione del personale. Non è difatti ammissibile che una Direzione lungimirante non preveda costi per la formazione del personale, per l aggiornamento dei sistemi informativi o per l introduzione di innovazioni tecnologiche nei processi produttivi o di erogazione dei servizi che potrebbero migliorare l efficienza degli stessi e, quindi, la competitività aziendale. L obiettivo del controllo budgetario è essenzialmente quello di verificare se costi e ricavi maturati soddisfano le stime pianificate nel budget e, quindi, se l organizzazione è in grado di generare la redditività stabilita in sede di budget. In periodi di crisi economica come quello corrente il budget, come già esposto, rischia di essere costantemente disatteso, soprattutto quello delle vendite, estremamente oscillanti all interno di range molto estesi. Conseguentemente è necessario riallineare costantemente il budget dei costi a quello dei ricavi effettivi o maturati e delle previsioni di ricavi realistiche nell immediato futuro, per evitare brutte sorprese a fine anno. L assenza di budget, però, provoca generalmente la riduzione degli investimenti utili per la crescita, inoltre non permette di tenere sotto controllo le spese ordinarie ed i costi che derivano da inefficienze e comportamenti impulsivi. La cattiva organizzazione delle attività genera spesso dilatazione nei tempi di svolgimento delle stesse e ripetizione di operazioni per riparare ad errori e lacune dovute a comunicazioni insufficienti fra i reparti, carenze di informazioni o dati poco tempestivi, ecc. Il maggior tempo impiegato dal personale nello svolgere singole operazioni o attività si ripercuote sempre in ritardi nel completamento delle commesse e, quindi, in maggiori costi, oltre a disagi apportati al cliente. Tali costi, in assenza di una stima a budget degli stessi, non vengono controllati e monitorati costantemente attraverso idonei indicatori. D altro canto la riduzione dei ricavi derivanti dalle vendite di prodotti e servizi porta sovente ad una spending review poco oculata ed al taglio di ogni tipo di

33 costo. Se qualcuno in azienda ritiene utile e necessario spendere cifre anche modeste per innovazione tecnologica, formazione del personale o riorganizzazione dei processi viene immediatamente fermato e la spesa non viene approvata, anche perché i responsabili di area, settore, commessa o progetto non dispongono di un proprio budget! Proprio questo aspetto negativo deve indurre a predisporre comunque un budget delle spese e degli investimenti in ogni impresa o studio professionale, anche di piccole dimensioni. I responsabili di funzione o commessa devono poter disporre di risorse adeguate per condurre al meglio le proprie attività, altrimenti sono relegati a dei meri esecutori di direttive che provengono dall imprenditore, con evidenti conseguenze anche sulla loro motivazione personale. Purtroppo molti imprenditori italiani, consci della situazione di crisi economica e finanziaria che attanaglia l impresa, scelgono di non stabilire un budget degli investimenti e preferiscono decidere personalmente di volta in volta se effettuare o meno una determinata spesa, magari guidati solo dall urgenza e dalla necessità della stessa per fronteggiare emergenze improvvise, oltre che dal fatto che ci siano o meno soldi in cassa. Alcuni imprenditori che si identificano in questi comportamenti potranno controbattere: «se i soldi non ci sono meglio evitare ogni spesa non strettamente necessaria, dove trovo il denaro per fare certi investimenti?» Le risorse finanziarie per effettuare gli investimenti opportuni per la crescita si devono trovare attraverso i normali canali di finanziamento (istituti di credito, titoli obbligazionari, investitori esterni, venture capital, ecc.); tali fondi saranno restituiti attraverso i risparmi futuri che si otterranno come risultato da investimenti che semplicemente consentiranno di fare le stesse cose in minor tempo e probabilmente anche meglio, grazie a personale più qualificato, sistemi informatici migliori, riorganizzazioni dei processi, innovazioni tecnologiche e così via. Purtroppo tutte queste considerazioni rimangono nascoste all interno dell operatività quotidiana dell organizzazione ed i risultati economici conseguenti (mancati risparmi) restano anch essi occultati tra le pieghe dei bilanci aziendali e molti imprenditori non li vedono. Perché non c è ripresa?

34 O forse sarebbe meglio dire perché non c è una crescita costante e duratura, almeno in Italia? Approfittando di quanto sentito al Meeting ACEF 2014 ( Insieme per la ripresa ) ed esaminando i dati dello scenario macroeconomico mondiale ed europeo basato su dati oggettivi, ritengo opportuno fare alcune considerazioni che potrebbero aiutarci a capire perché la tanto attesa ripresa per ora non c è, anzi. A livello mondiale si è in espansione, ma il dato aggregato è valutato con incertezza sul futuro e scarso ottimismo per molteplici fattori. I servizi sono in maggiore espansione rispetto al settore manifatturiero che in diverse zone del globo è in crisi e, soprattutto, si rilevano dati diversificati nelle diverse aree del globo. Nell Eurozona il PIL generale è in crescita, ma la debolezza della domanda, la scarsa dinamica degli investimenti e gli indicatori negativi di alcuni Paesi non fanno che accrescere il clima di incertezza e diminuire la fiducia delle imprese. In particolare la ridotta crescita degli investimenti, soprattutto in Italia in contraddizione con i tassi di interesse minimi non favorisce certo la ripresa economica. La crescita economica dell Area Euro è del 1,1%, contro 3,2% degli USA e il 3,7% valore medio dell intero Pianeta, ben oltre si collocano Cina e India. Dunque i bassi investimenti frenano la crescita dei Paesi emergenti e non solo di quelli. La domanda delle materie prime è in calo e l offerta si sta adeguando con un lieve calo dei prezzi delle stesse. Negli Stati Uniti, dove la crescita è comunque sostenuta da investimenti al rialzo e consumi in crescita, attorno al 3%, mentre il tasso di disoccupazione si aggirerà fra il 5% e il 6% anche il prossimo anno, meno della metà del valore Italiano! Nell area Euro le stime di crescita sono invece al ribasso, comunque con dati molto differenziati fra i vari Paesi. Se le previsioni per il prossimo anno sono di moderata crescita per Germania e Spagna (dove hanno tenuto le esportazioni), in altri Paesi, come Francia e soprattutto Italia (dove le esportazioni sono stagnanti), la crescita sarà rasente lo zero virgola. Nel complesso, comunque, sembra essersi attenuata la spinta dalla domanda estera, non solo a causa delle

35 tensioni geopolitiche. In ogni caso l export non può sorreggere la ripresa economica. Tra il 2000 e il 2013 gli Stati Uniti sono cresciuti del 25% l Italia nulla! Tutto questo sebbene siano disponibili finanziamenti a tassi sempre più agevoli. La perdita dell occupazione verificatasi nell impresa manifatturiera in Italia è inferiore (e quindi migliore) a molti Paesi, anche se superiore alla Germania (2,8% contro 1,9%). Dal 2002 si sono persi il 10% degli occupati nell industria, oltre ai Cassaintegrati: siamo dietro la Germania, ma davanti ad altri Paesi europei. La perdita di occupazione del manifatturiero è partita prima della crisi ed in Italia abbiamo resistito a lungo, prima di crollare negli ultimi anni, dal 2008 ad oggi. Nell ultimo decennio la struttura dimensionale delle imprese industriali in Europa è pressoché invariata e, come si sa, le dimensioni delle nostre imprese sono decisamente inferiori a quelle medie delle imprese estere. In questa fase si creano catene internazionali del valore (global value chain) in cui non si riesce più a capire da dove provengono i prodotti (ad es. caso ipad). In questo contesto le barriere doganali vincolerebbero troppo lo sviluppo del Paese. La crescita generale dell export porta anche ad una crescita dell import. In Italia, mentre il settore costruzioni è in costante decrescita, cresce invece il settore alimentare. Un settore forte nell export è la meccanica, nel quale come saldo commerciale import-export siamo secondi solo alla Germania. In generale l export di alcuni settori presenta buoni margini di miglioramento se si pensa che le imprese straniere hanno percentuali di esportazioni superiori alle nostre. Del resto le imprese straniere sono più grandi delle nostre e quindi sono più orientate all esportazione. L internazionalizzazione dell Italia (intesa come investimenti all estero, dipendenti di imprese italiane all estero) è modesta rispetto ad altri Paesi UE. La capacità di attirare capitali stranieri nel nostro Paese è altresì molto bassa (la percentuale di dipendenti da impresa straniera è del 10% circa sul totale). Nelle imprese industriali c è sempre un maggior tasso di personale qualificato, si va verso un modello meno basato sui costi e più sulla qualità, ove c è meno concorrenza, ma per fare ciò bisogna disporre di personale di qualità. Sotto questo aspetto si denotano carenze di formazione del personale nel nostro Paese. In questi ultimi anni ( ) si nota una grande discrepanza fra la crescita delle imprese migliori e la decrescita delle imprese peggiori: anche nella crisi ci sono molte imprese che ce la fanno ad andare bene! Le imprese partecipate estere vanno meglio, anche chi esporta ha risultati migliori,

36 chi ha marchi e brevetti, chi ha certificazioni di qualità ed ambientale (se comunicata bene al cliente) crescono di più in volume d affari rispetto alle altre imprese. A livello di profitti le tendenze sono analoghe, anche se sembra che lavorare all estero riduca l EBITDA. In conclusione le strategie di successo possono essere meglio perseguite se le imprese sono più grandi, eventualmente riunite in reti di imprese, se dispongono di personale qualificato ed investono in innovazione tecnologica. Molto dipende anche dai manager e dai consulenti che, insieme agli imprenditori, devono dedicarsi sempre più ad attività strategiche rispetto al day by day. In Italia, inoltre, alcune delle iniziative di riforme intraprese hanno provocato danni collaterali, inevitabili se le risorse sono prodotte distogliendole da altri fronti. Per cercare di uscire dalla crisi occorre certamente più coesione e disponibilità a sacrifici. Il problema dell occupazione giovanile di profili di altro livello usciti dall Università è grave, anche perché molti giovani laureati trovano più attrattiva all estero, sia come carriera aziendale, sia come carriera universitaria e di ricerca. Sicuramente è necessario intervenire in tempi rapidi per interrompere la spirale diabolica che in questi anni, partendo dal calo del PIL finisce nel calo dei consumi. A fronte di cambiamenti strutturali necessari, che richiedono la generazione di migliore efficienza, occorre gestirne gli effetti (ad es. i risparmi della PA si ripercuotono in riduzione dei ricavi da parte dei fornitori della PA stessa e in aumento della disoccupazione dovuta a esuberi). Del resto non sono possibili svalutazioni competitive di un tempo e la liquidità esistente non trova investimenti remunerativi, infine l export, seppur elevato, non può bastare a risollevarci. Ma chi, invece, ha avuto successo in quest inizio secolo? Negli ultimi anni le nuove tecnologie hanno generato fenomeni devastanti (utilizzo di smartphone e tablet, apps, e-book, fotocamere digitali, musica digitale, cloud computing, stampa 3D, informazioni digitali vs formato cartaceo e così via) che sono stati estremamente proficui per chi li ha sfruttati (vedi caso whatsapp) e negativi per chi li ha subiti senza essere in grado di reagire. Ma non solo le start-up innovative che hanno avuto il coraggio di investire su

37 prodotti innovativi possono ottenere ottimi risultati, anche le PMI tradizionali possono (devono) sfruttare le nuove tecnologie per migliorare l efficienza dei loro processi manifatturieri o di servizio e proporsi in modo diverso sul mercato. Qual è la ricetta per tornare a crescere? Occorre senz altro utilizzare il buon senso. Bisogna operare in maniera diversa, non necessariamente mettersi a produrre aggeggi tecnologici nuovi o app innovative, ma continuare a produrre le stesse cose o erogare i medesimi servizi con modalità diverse sfruttando le nuove tecnologie per migliorare la propria efficienza nei processi interni, i servizi accessori erogati al cliente e comunicare meglio quello che si fa e si è. I manager, dunque, devono ragionare sul fronte dell innovazione, che richiede competenze diverse rispetto al passato. Tradizionalmente le imprese hanno necessità di consulenti per certificazioni, brevetti, internazionalizzazione, sistemi informativi, ecc.; ora a maggior ragione occorre che gli imprenditori facciano un bagno di umiltà e si approvvigionino delle conoscenze e competenze in genere necessarie per cambiare la propria azienda e svilupparla nel prossimo decennio. A chi serve il project management? La gestione di progetti, soprattutto in alcuni settori critici come quelli delle costruzioni e dell ICT, è una materia forse troppo dimenticata dalle Direzioni aziendali delle piccole e medie imprese, anzi essenzialmente delle piccole organizzazioni che si occupano quasi esclusivamente di progettazione di opere o sistemi informatici. Questo poiché nel nostro Paese gran parte delle società che operano in questi settori sono di piccole dimensioni. Nonostante ciò la dimensione dei progetti che gestiscono le piccole organizzazioni è spesso notevole e quand anche l impegno progettuale non assomma un numero di giorni/persona considerevole (fino a 250 ore di lavoro il progetto si definisce piccolo, medio fino a 2500 ore, cfr. PMBOK Guide) talvolta il risultato del progetto è da considerarsi critico perché riguarda un opera o un sistema che può influenzare significativamente la vita delle persone e addirittura, in caso di errori di progettazione, può provocare seri danni a persone o cose. Ma quanto le PMI sono in grado di tenere sotto controllo la progettazione? Quanto

38 sanno gestire i progetti? Ricordiamo i requisiti principali della norma UNI EN ISO 9001:2008 sui sistemi di gestione per la qualità relativamente al processo di Progettazione e sviluppo : Pianificazione della progettazione e sviluppo Elementi in ingresso alla progettazione e sviluppo Elementi in uscita dalla progettazione e sviluppo Riesame della progettazione e sviluppo Verifica della progettazione e sviluppo Validazione della progettazione e sviluppo Tenuta sotto controllo delle modifiche della progettazione e sviluppo. Tutti questi requisiti sono elementi fondamentali del project management. 1) Devo pianificare la progettazione in modo documentato, preferibilmente attraverso un piano di progettazione che riporti una scomposizione della progettazione in fasi, sottofasi ed attività con il dettaglio necessario per poi identificare, per ognuna di esse, tempi di svolgimento, risorse necessarie, vincoli, ecc. Spesso quest attività viene riduttivamente documentata attraverso un diagramma di Gantt che, non dimentichiamolo, è semplicemente una vista del piano di progetto. Ancor più semplicistico è ridurre il project management al project planning, magari senza capire la differenza fra planning (=definire fasi ed attività del progetto e la loro durata) e scheduling (=collocare ogni fase ed attività nell asse dei tempi reali, ovvero assegnare una data di inizio e fine per ogni attività pianificata), laddove in italiano i termini pianificazione e programmazione non rappresentano esattamente gli stessi concetti. Troppe volte, poi, un cronoprogramma della progettazione, sviluppato all inizio della stessa, non viene più mantenuto aggiornato, annullando parte dei benefici di una buona programmazione. 2) Devo definire i requisiti della progettazione, ovvero gli input ad essa, preferibilmente in modo documentato al fine di evitare ambiguità durante lo sviluppo del progetto. Talvolta l assenza di un attenta analisi dei requisiti contrattuali e di quelli cogenti applicabili porta a realizzare progetti (e quindi opere o sistemi informatici) che non soddisfano le esigenze del cliente, con tutto quel che ne consegue, sia in termini di immagine, sia in termini di possibili contenziosi (spesso la lievitazione dei costi di opere di ingegneria civile dovute a varianti in corso d opera è proprio causata da errori di progettazione o scarsa chiarezza del progetto esecutivo). 3) Devo stabilire quali risultati della progettazione si aspetta il Committente. Non solo quelli evidenti, ma anche quelli meno palesi come il formato di output degli elaborati progettuali di un opera, i sorgenti di un programma software oppure la documentazione utente di un sistema informatico.

39 4-5) Per non progredire con la progettazione alla cieca, rischiando di intraprendere strade sbagliate oppure di accumulare ritardi incolmabili nei tempi di conclusione del progetto, devo definire e pianificare dei momenti di riesame e verifica della progettazione, in corrispondenza dei quali esaminerò lo stato di avanzamento del progetto e le problematiche incontrate; verificherò, inoltre, la congruenza dei risultati intermedi della progettazione. Effettuare questi riesami e verifiche in momenti opportuni e con il contributo delle persone giuste, aiuta ad evitare di procedere perseguendo decisioni sbagliate o iter progettuali non corretti: bene che vada se mi accorgo degli errori in fasi successive evito di svolgere del lavoro per nulla, che dovrò probabilmente rifare. Bene che vada finirò in ritardo e produrrò un progetto non conforme alle specifiche con conseguente aggravio di costi. 6) Dovrei anche validare la progettazione al termine della stessa, magari attraverso il test di un prototipo nell ambiente operativo di utilizzo. Quanti software hanno fallito in fase di installazione dal cliente perché non era stato effettuato un test di accettazione nel medesimo ambiente operativo, comprendente hardware e software di base, interfacce, ecc.? 7) Devo inoltre tenere sotto controllo le modifiche ai risultati della progettazione, sia durante che dopo la conclusione della stessa, attraverso un sistema di controllo delle revisioni o versioni. Il controllo della configurazione oggi è un must non solo per l attività di sviluppo software (tra l altro a volte realizzata in luoghi differenti da persone differenti), ma anche per la progettazione di opere edili ed infrastrutturali, dove gli elaborati vengono realizzati in formato elettronico e revisionare un elaborato senza le dovute accortezze porta a confondere facilmente l ultima versione con una versione precedente. Tutto questo è project management, ma non solo; è possibile fare di più, quando serve. Un indagine Standish Group del 2012 ha evidenziato i dieci fattori critici che possono determinare il successo (o l insuccesso) di un progetto IT, alcuni di essi sono chiaramente correlati al project management: 3 Chiara definizione dei requisiti 4 Corretta pianificazione 6 Milestone di progetto ravvicinate 7 Competenza del gruppo di lavoro 8 Titolarità del progetto 9 Chiarezza della visione e degli obiettivi

40 10 Gruppo di lavoro efficiente e focalizzato sul progetto. Anche se qualcuno potrebbe dubitare, tutti questi elementi sono legati ad una buona gestione del progetto ed ad attività di project management ben documentate e svolte secondo le regole di questa disciplina. Già, ma quali sono le regole del project management? Esistono degli standard di riferimento, uno di essi forse il migliore è il cosiddetto PMBOK Guide Project Management Body of Knowledge, che è stato anche tradotto in italiano ed integrato da TenStepItalia. Esiste poi il PRINCE 2 PRojects IN Controlled Environments ed anche il modello del SEI CMMI (Capability Maturity Model Integration) for Development (Software Engineering Process Management Program (relativo allo sviluppo dei sistemi informatici) contiene alcuni capitoli dedicati al Project Management, La definizione di Progetto ci serve per capire cosa vuol dire Project Management: un progetto è uno sforzo temporaneo intrapreso allo scopo di creare un prodotto, un servizio o un risultato unico. La temporaneità e l unicità del risultato rende il progetto diverso da un lavoro di routine, da operazioni che vengono svolte sempre nel medesimo modo. I progetti sono dunque caratterizzati da attività non-ricorrenti e non-ripetitive. Proprio per questo vanno gestite in modo diverso rispetto ad un lavoro ordinario e le cosiddette procedure non sono pienamente adatte a descrivere le modalità di gestione di un progetto. Per questo motivo occorre redigere un piano di progetto e magari anche un piano della qualità del progetto. Gli elementi fondamentali da valutare, documentare e monitorare per gestire correttamente un progetto sono i requisiti (di qualità e quantità del risultato della progettazione), i tempi e i costi. Il project management è, dunque, costituito dalla pianificazione, il monitoraggio ed il controllo di tutti gli aspetti di un progetto e di tutte le motivazioni che implicano il sicuro raggiungimento degli obiettivi di progetto entro tempi, costi e criteri di performance stabiliti (def. APM). Il project management è l applicazione di conoscenze, skill, strumenti e tecniche alle attività di progetto al fine di soddisfarne i requisiti (def. PMI). Si può anche dire che il project management è una gestione sistemica di un impresa complessa, unica e di durata limitata, finalizzata al raggiungimento di un obiettivo predefinito, mediante un processo continuo di pianificazione e controllo di risorse differenziate e limitate, con vincoli di tempo, di costo e di qualità, e rappresenta una tecnica di realizzazione e controllo delle attività particolarmente efficace

41 negli attuali scenari di continua e rapida evoluzione. I processi di Project management sono stati identificati nei seguenti: Processi di Avvio Processi di Pianificazione Processi di Esecuzione Processi di Monitoraggio e Controllo Processi di Chiusura In molte organizzazioni si dà prevalenza ai processi esecutivi (punto 3), trascurando soprattutto Pianificazione e Monitoraggio/Controllo del progetto, sebbene il tempo investito in questi processi ne faccia risparmiare molto altro sul Ciclo di vita dell intero progetto. La Pianificazione, anche se non costituisce il Project Management, come abbiamo detto sopra, è forse il processo più importante e più trascurato. Le norme ed i metodi di programmazione possono variare in relazione al tipo ed alla complessità del progetto da realizzare, però i principi alla base di ogni tecnica sono sempre gli stessi e possono identificarsi in regole generali che permettono di conseguire determinati obiettivi come: la miglior utilizzazione dei mezzi tecnici e delle risorse; il rispetto dei termini di consegna; la tempestività nell assegnazione del lavoro; l eliminazione dei tempi morti per le risorse interne di progettazione; l individuazione delle attività che condizionano la durata dell intero progetto; la minimizzazione del tempo di realizzazione; il controllo dell avanzamento del lavoro. L attività di programmazione, qualunque sia il metodo adoperato per svolgerlo razionalmente, inizia con la suddivisione dell intero lavoro in attività elementari secondo tecniche consolidate come la creazione della WBS. Ciò ha l innegabile vantaggio di facilitare le previsioni e di conseguire quindi maggiore accuratezza nelle stesse, poiché è più facile trattare singolarmente piccoli problemi piuttosto che uno solo molto complesso. Quindi, per il conseguimento dell obiettivo definito, che costituisce la prima fase delle attività del project management, vengono definite implicitamente le attività necessarie da realizzare per il conseguimento dello stesso: queste, una volta esplicitate e formalizzate, saranno caratterizzate da legami di precedenza le une con le altre, da durate (stimate, e quindi con distribuzioni statistiche associate ad esse, oppure deterministiche, magari per le quali si espliciti il legame funzionale fra durata e costi relativi), da una collocazione (allocazione) nel tempo, in dipendenza con i legami funzionali con le altre attività, dalla indicazione della tipologia e

42 dell ammontare delle risorse necessarie per l esecuzione. Creare una WBS (Work breakdown Structure) significa, quindi, scomporre il progetto in deliverable (oggetti da consegnare come risultati del progetto, tipicamente elaborati progettuali, documenti di analisi o moduli software) e quindi in fasi ed attività più piccole, che possono essere gestite più facilmente. Si può anche definire, all interno della WBS, il c.d. work package (WP), definito come il pacchetto elementare di attività da allocare ad una risorsa elementare. I WP non sono altro che risultati elementari dell attività progettuale sui quali si può basare l attività di monitoraggio, verifica e controllo in itinere del progetto. Una buona scomposizione del progetto è molto utile per valutare i costi, infatti è assodato che se chiedo ad un gruppo di persone di pari capacità di stimare la durata di un progetto considerando una fase unica oppure scomponendolo in tante fasi più piccole valutate singolarmente ottengo risultati molto diversi. Nel primo caso (valutazione del progetto nella sua globalità) ottengo una stima più grossolana e spesso sottostimata dell impegno che poi richiederà effettivamente il progetto, mentre nel secondo (stima dell intero progetto come somma della valutazione di ogni singolo componente nel quale è stato scomposto il progetto) le stime convergono facilmente verso una valutazione più realistica. Altro aspetto sottovalutato in fase di pianificazione è quello dell assegnazione delle attività nelle quali è stato scomposto il progetto ai componenti del gruppo di lavoro. Spesso l assegnazione delle risorse alle attività è svolta in modo approssimativo e non si tiene in debita considerazione l impegno che altri progetti assorbono alle medesime risorse. In un processo produttivo svolto da macchine è solitamente chiaro a chi programma la produzione il concetto di schedulazione a capacità finita: una macchina che produce tot pezzi all ora, se lavora su più turni, anche per 24 ore, più di tanti pezzi alla settimana non può produrre! Viceversa chi pianifica le attività intellettuali su progetti spesso non stima correttamente il tempo necessario per svolgere le singole attività e, pertanto, si comporta come se le risorse umane abbiano una capacità infinita di tempo a disposizione. Di conseguenza i progetti sono in ritardo e le risorse sovra saturate rendono meno. Altro processo critico è quello di monitoraggio e controllo del progetto: se il progetto è stato ben pianificato sarà più facile tenerlo sotto controllo e l attività di monitoraggio più raramente rileverà scostamenti rispetto a quanto pianificato in termini di rispetto di tempi di calendario, impegni delle risorse, costi diretti e qualità dell output della progettazione rispetto ai requisiti

43 stabiliti. Sulle design review (riesami della progettazione) non a caso è stata costruita una teoria affermatasi nel modello CMMI, nella metodologia Stage- Gate ed in altri schemi. La tecnica delle Gate Review nelle quali obbligatoriamente l esito è passa/non passa (GO/NO GO) è certamente molto coraggiosa perché impone di fermare il progetto se qualcosa di importante non è stato completato correttamente, ma fa risparmiare tempo successivamente, evitando i rifacimenti quasi certi. Anche la definizione delle milestone corrette aiuta a mantenere il controllo del progetto ed a monitorarlo mediante indicatori precisi, inoltre aumenta la consapevolezza del team di progetto sugli obiettivi e sullo stato di avanzamento del progetto. Nell analisi e nell osservazione delle caratteristiche inerenti la conduzione di progetti, sono osservate tutta una serie di fenomenologie: il tempo fra l avvio ed il completamento di un progetto tende a dilatarsi (legge di Parkinson sul comportamento gassoso); l impiego finanziario richiesto da un progetto cresce nel corso della realizzazione; maggiore è il contesto tecnologico, maggiori sono i costi; maggiore è la tecnologia, maggiore deve essere l efficienza; maggiore è la tecnologia, maggiore è il grado di specializzazione; maggiore è la tecnologia, maggiori sono le risorse. Quando c è un ritardo nella realizzazione del progetto bisogna provvedere a recuperare il tempo perduto per giungere al completamento negli stessi tempi programmati. Se non si monitora costantemente l avanzamento del progetto (utili a questo scopo sono le curve di progetto), queste azioni correttive potrebbero risultare tardive. La definizione delle attività necessarie, della loro relazione reciproca, delle loro durate stimate, dei costi associati e/o risorse finanziarie o non finanziarie da impegnare, il conseguente impegno finanziario totale e la durata complessiva del progetto, possono essere effettuate e determinarsi sia in fase preventiva e previsionale (fase di definizione, pianificazione, organizzazione), sia ripetutamente durante lo svolgimento del progetto (controllo, revisione o ripianificazione), sia a consuntivo al termine dello stesso. Ciò al fine di misurare gli scostamenti in termini di attività realizzate con quelle pianificate, la loro durata, le risorse effettivamente impiegate con quelle previste, i costi effettivi con quelli programmati, la durata prevista complessiva realizzata con quella pianificata e così via. La gestione del progetto deve considerare anche altri aspetti quali:

44 la gestione delle informazioni (documenti di input/output, dati sull andamento del progetto, ecc.); la gestione degli approvvigionamenti (servizi e materiali acquistati, se non ben pianificati, possono influenzare negativamente i tempi, la qualità ed i costi finali del progetto); la gestione delle risorse umano e in generale del capitale umano, con tutte le problematiche connesse in termini di competenze possedute, competenze necessarie/richieste, relazioni gerarchiche, rapporti interpersonali, motivazioni, ecc.; la gestione dei rischi di progetto. Su quest ultimo punto occorre ricordare che I rischi possono essere di varia natura: Rischi di conduzione del progetto: possibilità di non adempimento delle attività pianificate nei modi e tempi previsti. Rischi di qualità del risultato del progetto: possibilità di non adempimento del livello di qualità del prodotto previsto come risultato del progetto rispetto alle attese del cliente. Rischi di bontà dell investimento: possibilità di non adempimento del livello di costi e benefici previsto, o per un innalzamento dei costi di realizzazione del progetto, o per una diminuzione dei benefici reali (economici, commerciali o di immagine) a fronte di quelli ipotizzati. In fin dei conti il project manager (PM) non è solo un tecnico con più esperienza degli altri e buone capacità relazionali che viene nominato capo progetto. Occorre possedere anche qualità gestionali, organizzative e tecniche di project management. Un buon PM non conoscerà solo la scomposizione in WBS del progetto e la generazione del diagramma di Gantt, ma sarà in grado magari attraverso l utilizzo di appositi tool di vedere il progetto sotto diversi punti di vista attraverso: La generazione del Diagramma di PERT e l individuazione del cammino critico (Critical Path Method); L affiancare alla WBS la OBS (Organizational Breakdown Structure), che è una dimensione di scomposizione relativa alla struttura organizzativa interna del progetto, la quale permette di giungere, attraverso un processo di successive disaggregazioni delle unità organizzative individuate, all identificazione dei singoli reparti funzionali e dei singoli componenti il team di progetto; La determinazione del carico di lavoro delle risorse considerando le altre attività da svolgere estranee al progetto in questione; La definizione ed il monitoraggio di appositi indicatori in grado di misurare l avanzamento temporale e l avanzamento fisico del progetto, nonché i costi consuntivati vs i costi preventivati (a budget).