10
Introduzione
La firma è uno degli elementi, che fino a qualche tempo fa non era possibile riprodurre
in formato elettronico, cioè non esisteva difficoltà tecnica nel riprodurre la firma in
quanto oggetto grafico su supporto elettronico, quanto nell’attribuire a un documento
elettronico tutti i valori intrinseci ad una firma olografa
1
.
Attualmente gli aspetti tecnologici e legislativi sull’uso della firma digitale sono stati
implementati, manca l’affermarsi in maniera estensiva dell’attitudine culturale a
confrontarsi con uno strumento diverso dalla firma olografa.
Tutti gli studi che si stanno compiendo, compresa questa tesi, puntano a colmare tale
gap culturale e sociale che ancora ci separa dal poter considerare un processo
aziendale come un flusso di informazioni strutturato e gestito interamente con
strumenti informatici e telematici.
La tesi si articola in quattro parti. La prima parte delimita l’ambito di analisi delle
problematiche trattate ovvero: il concetto organizzativo di sistema informativo, il
contesto legislativo e quello tecnologico. In particolare si procede ad un’analisi della
legislazione vigente e una classificazione dell’efficacia probatoria delle varie tipologie di
firma.
Sul versante tecnologico viene preso in considerazione il contesto tecnico e
organizzativo legato alla gestione di una Certification Authority.
La seconda parte si focalizza sull’analisi dei processi aziendali più tipici e dell’impatto su
di essi delle tecnologie e metodologie di sicurezza informatica e di protezione dei dati.
Nella terza parte, l’analisi si spinge all’applicazione pratica della firma digitale e il suo
impatto sull’organizzazione aziendale. I flussi aziendali più tipici verranno ridefiniti sulla
base delle tecnologie attualmente disponibili e implementabili.
La quarta parte di taglio, eminentemente pratico, propone due test case reali di
applicazioni di firma digitale.
1
Valori che, di per se, a livello tecnologico, la firma digitale assicura. La maggior importanza che si attribuisce alla firma
olografa è dovuta principalmente alla fisicità intrinseca nell’atto di apposizione, senza tener conto che solo la firma
apposta davanti a testimoni (possibilmente certificati leggasi Notaio) assicura lo stesso grado di robustezza e affidabilità
della firma digitale.
11
Il primo è la realizzazione di un’infrastruttura tecnologica di CA/RA sviluppata da 4U Srl
e denominata 4Sign.
La seconda è un progetto di applicazione industriale condotto dal Gruppo Arkadian per
conto di una primaria azienda sanitaria locale.
12
Parte I - SISTEMI INFORMATIVI E SICUREZZA
13
Capitolo 1 - Sistemi Informativi e Organizzazione:
Informazioni, Comunicazioni e Sicurezza
1.1 Il Sistema Informativo come Momento di
Organizzazione Aziendale
La competitività e l'efficacia di un'organizzazione dipendono dalla qualità
dell'informazione.
Oggi più che mai per gestire le proprie attività, soprattutto quando sono varie e
numerose, è necessario poter avere, in ogni momento, il controllo e l'aggiornamento
delle informazioni. Le organizzazioni possono avere una visione globale delle attività
servendosi di un efficiente sistema informativo che, grazie alla tecnologia e a moderni
sistemi di gestione delle informazioni, è utile per prendere decisioni in ogni ambito.
Per Sistema informativo si intende l'insieme delle risorse e attività finalizzate alla
gestione (raccolta, registrazione, elaborazione, conservazione, comunicazione)
dell'informazione in un'organizzazione.
Le attività di un organizzazione hanno bisogno di informazioni qualitativamente e
quantitativamente diverse. Obiettivo del sistema informativo è di fornire a chi opera
nell'azienda i dati necessari a svolgere il proprio lavoro. Il fine ultimo di un sistema
informativo consiste nel rendere dei dati significativi; ciò è reso possibile da un
processo tendente a stabilire una relazione tra il dato stesso e un'entità indipendente
come un utilizzatore o un altro dato: questo processo coincide con la creazione di
informazione. Il sistema informativo deve essere immaginato non come un prodotto
finito, ma come un servizio, uno strumento: come tale, è in continua trasformazione e
sviluppo e la sua gestione e manutenzione rivestono caratteristiche di criticità.
I sistemi informativi sono di gran lunga antecedenti all'avvento dei calcolatori, tuttavia
gli elaboratori elettronici e la tecnologia dell'informazione hanno reso estremamente
più veloce e meno costosa l'elaborazione di grandi quantità di dati. Infatti,
l'elaborazione di dati elementari non implica, di per sé, il ricorso a tecniche
elettroniche, ma la necessità di elaborare grosse moli di simboli in modo corretto e
14
tempestivo, per derivarne poche ed essenziali informazioni in tempi utili allo scopo, ha
contribuito ad accrescere l'importanza dei sistemi informativi basati sui computer.
Il sistema informativo aziendale va visto come quel complesso di elementi che è in
grado di fornire le informazioni necessarie a ogni individuo che necessiti di tali
conoscenze per espletare le proprie mansioni, sia di tipo operativo che di tipo
direzionale; deve inoltre raccogliere le informazioni che l'azienda scambia con la realtà
esterna.
AMBIENTE
ESTERNO
ORGANIZZAZIONE
RICHIESTA DI
INFORMAZIONI
SISTEMA INFORMATICO
INFORMAZIONI
procedure
Componenti
tecnologiche
Componenti
logiche
DATI
SISTEMA INFORMATIVO
persone
Fig. 1 - Sistema informativo e sistema informatico
L'automazione permette di soddisfare esigenze di informazione ben più sofisticate che
nei sistemi tradizionali. Per agevolare e potenziare il trattamento delle informazioni di
un'organizzazione si ricorre generalmente all' automazione (in genere parziale) per
mezzo di elaboratori del sistema informativo. Si chiama Sistema Informatico (EDP:
Electronic Data Processing) l'insieme degli strumenti informatici impiegati per il
15
trattamento automatico delle informazioni allo scopo di migliorarne l'efficienza.
Un sistema informativo e' basato, in generale, su un sistema di archivi collegati tra loro
e logicamente integrati. Disporre di un sistema informativo integrato, significa avere
sempre sotto controllo tutti gli eventi e le procedure aziendali, monitorandone in tempo
reale i risultati con l'ausilio dei sistemi gestionali di analisi, organizzazione e
pianificazione computerizzata.
E' svantaggioso dunque lasciare le scelte all'improvvisazione; l'efficienza della gestione
oggi può essere supportata da appositi strumenti che devono però essere cuciti su
misura a seconda delle necessità di ogni ente.
La realizzazione di un modello integrato del proprio sistema informativo aziendale
permette di custodire e valorizzare il know-how aziendale, rendendolo facilmente
utilizzabile sotto ogni forma ed in tutte le sue applicazioni aziendali e garantendone
l'integrità mantenendo inalterato nel tempo il suo valore economico.
Così facendo si ottiene anche una drastica riduzione dei costi della manutenzione del
sistema informativo aziendale, allorquando si devono apportare aggiornamenti,
modifiche o sviluppi alla struttura od alle funzioni delle procedure già integrate nel
sistema aziendale stesso.
16
1.2 L'Evoluzione dell'Azienda e del suo Sistema
Informativo
Il sistema informativo cambia nel tempo con l'evolversi dell'azienda e delle tecnologie.
L'automazione in azienda ha avuto uno sviluppo storico che può essere riassunto in
alcune fasi successive. La cosiddetta fase EDP (Electronic Data Processing System) è
quella dei grandi mainframe, con procedure basate sull'elaborazione batch e sul data
collection; in questa fase l'introduzione del calcolatore avviene con lo scopo di
meccanizzare procedure di tipo amministrativo, migliorando la produttività del lavoro
impiegatizio. La seconda fase, detta fase MIS (Management Information System), si
basa sul presupposto di automatizzare o agevolare il più possibile le attività
burocratiche dei livelli esecutivi dell'azienda, ma al contempo di informare i manager
sull'andamento delle attività operative di cui hanno la responsabilità, affiancando alle
procedure tradizionali applicazioni di reporting e di tipo statistico. L'attenzione si sposta
dai dati alle informazioni, che vengono rivolte soprattutto al management intermedio.
Nel frattempo la tecnologia hardware e anche il software si evolvono a seguito della
rivoluzione informatica degli anni Ottanta, ma anche l'attività di direzione aziendale
diventa sempre più complessa palesando esigenze informative insospettabili in
precedenza. La risposta a queste mutate esigenze è offerta dai DSS (Decision Support
System) che aprono la terza fase evolutiva. Con i DSS, l'attenzione si focalizza sulle
decisioni e sul processo decisionale all'interno dell'azienda e l'accento si pone sulla
flessibilità, sull'adattabilità e sulla necessità di risposte rapide. A differenza dei MIS, i
DSS prevedono processi gestiti direttamente dagli utenti, ovvero di coloro che se ne
devono servire; inoltre, le informazioni rilasciate riguardano attività in cui gioca un
ruolo determinante la discrezionalità del decisore. In questa fase si pongono i
presupposti che interessano la fase successiva, che è poi quella in atto, dell'impiego
dell'intelligenza artificiale. Il punto principale che segna il distacco rispetto ai periodi
precedenti è la riconosciuta necessità di disporre di strumenti appositamente creati per
il supporto decisionale. Nelle fasi EDP e MIS i sistemi informatici erano orientati alla
meccanizzazione di alcuni processi amministrativi e solo in un secondo momento i
risultati delle elaborazioni venivano adattati il più possibile alle esigenze del
management, fornendo solo un supporto informativo, quindi un contributo limitato
all'intero processo decisionale e alle difficoltà insite in esso.
17
La realtà della funzione dei sistemi informativi all'interno dell'azienda è sempre più
compenetrata nella realtà economica e amministrativa dell'impresa. Pertanto nessuna
delle fasi rappresenta una sostituzione dell'altra e in una realtà aziendale corrente i vari
aspetti esaminati, EDS, MIS e DSS, convivono e anzi sono sinergicamente interrelati tra
loro. L'intreccio esistente tra le procedure e la loro destinazione è tale che attualmente
è difficile distinguere con precisione quale parte del sistema informativo è destinato
all'aspetto procedurale, quale al management di basso livello, quale al top
management; e ciò non può che essere un bene: la natura del sistema informativo
richiede proprio una stretta interdipendenza tra i suoi componenti, tra le sue varie
parti, e un approfondito colloquio e interscambio tra di esse.
L'introduzione di queste applicazioni può provocare la ristrutturazione o addirittura la
scomparsa di intere unità organizzative preposte al controllo dei processi aziendali e a
compiti burocratici; di conseguenza gli aspetti organizzativi diventano preponderanti.
Sono pertanto applicazioni strategiche, che normalmente si accompagnano ad analisi
organizzative e richiedono un attivo coinvolgimento dell'Alta Direzione. Spetta ai
responsabili dei Sistemi Informativi il difficile compito di pretendere prodotti solidi ed
affidabili, che non richiedano come prerequisito piattaforme proprietarie, che limitano
future libertà di scelta. Il criterio di scelta dovrebbe sempre essere non solo tecnico
(facilità di sviluppo, e gestione delle applicazioni, prestazioni) ma soprattutto la
valutazione dei benefici reali che queste nuove tecnologie possono apportare alla
propria organizzazione. In questo modo, sarà sempre più chiara la funzione propulsiva
dei sistemi informativi per l'evoluzione dell'organizzazione dell'azienda e il Responsabile
dovrà essere sempre meno un "informatico" ma più un organizzatore di processi e di
risorse. In un mercato sempre più competitivo e globalizzato, il fatto di disporre di una
organizzazione snella ed efficiente, supportata da un Sistema informativo moderno,
potente ed economico, è di fondamentale importanza non solo per la tranquillità del
Responsabile dei Sistemi Informativi, ma soprattutto per la tranquillità di tutta
l'Azienda.
18
1.3 La Gestione delle Informazioni: DataBase e
DataWareHouse
I dati sono un bene prezioso per ogni azienda e poterli utilizzare in modo efficiente è
una condizione necessaria per competere in un mercato complesso ed esigente. In un
sistema informatico le informazioni vengono rappresentate per mezzo di dati, che
hanno bisogno di essere interpretati per fornire informazioni. Un dato e' ciò che e'
immediatamente presente alla conoscenza prima di ogni elaborazione. I dati
opportunamente interpretati forniscono informazione.
DATI
ELABORAZIONE
INFORMAZIONE
Bisogna garantire
l’unicità dei dati di
partenza per esser
sicuri di esaminare
sempre la stessa
realtà
Tecniche,
logiche,
statistiche
L’informazione prodotta
elaborando gli stessi dati
cambia poiché è funzione
di chi la riceve
Fig. 2 - Dai dati alle informazioni
Nel contesto dei database l'informazione e' l'incremento di conoscenza acquisita dai
dati.
Il Database è una collezione di archivi di dati ben organizzati e ben strutturati, in
modo che possano costituire una base di lavoro per utenti diversi con programmi
diversi.
Le tecniche di gestione delle basi di dati nascono per superare i problemi e i limiti insiti
nelle convenzionali organizzazioni degli archivi in modo non integrato.
19
Gli ultimi decenni hanno visto un grande incremento della quantità di informazioni e di
dati memorizzati in formato elettronico. La memorizzazione dei dati diventa sempre più
facile, sono disponibili sistemi di grande potenza elaborativa a basso costo, anche i
costi dei supporti di memoria di massa si abbassano e aumentano le loro capacità. Il
problema ora è stabilire quale valore si possa ottenere da queste risorse di
informazione. L'informazione è al centro delle operazioni di business e le persone che
nell'impresa devono prendere le decisioni (decision market) potrebbero usare i dati
memorizzati per ottenere nuovi risultati nel mercato dell'azienda.
Un sistema di gestione di basi dati
(Data Base Management System, DBMS)
è un sistema software in grado di gestire collezioni di
dati anche di grandi dimensioni, condivise, e
persistenti, assicurando la loro affidabilità e
riservatezza.
Un DBMS deve essere efficiente ed efficace.
Le operazioni vengono svolte
utilizzando un insieme di
risorse (tempo e spazio)
accettabile
Preservano i dati anche in
caso di malfunzionamenti
Le operazioni sono subordinate
a un’autorizzazione
Rendono produttive le
attività degli utenti
Il loro tempo di vita non è
limitato ai programmi che
le utilizzano
Gestite mediante memoria
secondaria e virtualmente
illimitate
Disponibili a più utenti
contemporaneamente
Fig. 3 - Data Base Management Systems
Il Processo di estrapolazione di informazioni presenti nel database (Data Minino) serve
per vagliare grandi quantità di dati per produrre associazioni tra i dati, per scoprire
regole e fatti. Tutto questo lavoro diventa produttivo se i dati appropriati vengono
raccolti e memorizzati in un Data Warehouse (magazzino di dati): il data warehouse
può essere definito come il database di tipo decisionale che diventa il deposito
centralizzato dei dati e che viene interrogato per intervenire sul business dell'azienda; è
il legame logico tra ciò che i manager vedono nelle loro applicazioni per il supporto
delle decisioni e le attività operazionali dell'azienda.
20
Esistono moltissime definizioni che identificano con precisione il concetto di Data
Warehouse, in particolare ne possiamo citare due che ne sottolineano le caratteristiche
peculiari:
"Una piattaforma sulla quale vengono archiviati e gestiti dati provenienti dalle diverse
aree dell'organizzazione; tali dati sono aggiornati, integrati e consolidati dai sistemi di
carattere operativo per supportare tutte le applicazioni di supporto alle decisioni "
(Gartner Group).
"Un insieme di dati subject oriented, integrato, time variant, non volatile costruito per
supportare il processo decisionale"(W.H.Inmon) .
Il Data Warehouse è una collezione di dati a supporto del processo decisionale,
attraverso il Data Warehouse il management ha l'opportunità concreta di trovare le
risposte a tutte quelle domande che hanno un alto impatto sulle performance aziendali;
chi ricopre ruoli decisionali deve avere la possibilità di usufruire di tutti gli strumenti
che possono rendere la guida dell'azienda massimamente sicura.
Le tipiche problematiche del management relativamente alla fruizione di dati possono
essere riassunte come segue:
♦ Assenza di sintesi nella reportistica
♦ Risultati diversi da fonti diverse per la stessa tematica
♦ Impossibilità di navigare nei dati ragionando con oggetti "business"
♦ Inaffidabilità di alcuni dati critici
♦ Costi elevati per sintetizzare report e analisi
♦ Scarsa "collaborazione" o impossibilità di comunicazione dei sistemi informativi
transazionali per interrogare i dati
♦ Assenza di coerenza fra i dati.
♦ Lentezza nell'interrogazione di dati non ottimizzati per l'analisi
Queste problematiche sono così universali che possono essere considerate come
requirements fondamentali per la costruzione di un sistema di Data Warehouse, il
quale si poggia perciò su alcune caratteristiche molto importanti:
21
1. Il Data Warehouse deve consentire l'accesso a dati aziendali garantendo bassi
tempi di attesa fra l'interrogazione dei dati e l'output di risultati.
2. I dati esposti devono essere consistenti: un particolare valore (le vendite del
prodotto A nella città B nel periodo di tempo C) deve essere sempre lo stesso
indipendentemente dal momento dell'interrogazione o dalla modalità di
interrogazione dei dati.
3. I dati esposti possono essere ricombinati e separati rispetto agli oggetti di calcolo
definiti dal business.
4. Nel concetto di data Warehouse rientrano anche gli strumenti software necessari a
facilitare l'interrogazione dei dati e a garantire una presentazione chiara della
sintesi delle analisi.
5. Il Data Warehouse deve contenere dati coerenti e "ripuliti": capita che fonti
importanti di dati per il Data Warehouse trascinino errori di diverso genere che
possono avere un impatto devastante sulla qualità dei dati stessi, parte
fondamentale del processo di realizzazione di un sistema di Data Warehouse è
rappresentata proprio da attività di recupero, trasformazione e pulitura dei dati.
6. La qualità del Data Warehouse può mettere in luce problematiche nascoste
all'interno dei processi aziendali, tipicamente l'assenza di dati relativamente ad una
particolare attività dovuta all'opzionalità di compilazione dei dati (causa principale
dell'assenza di dati) può evidenziare, proprio grazie al Data Warehouse, la
necessità di verificare a livello di processi aziendali l'opportunità di definirla come
obbligatoria (e non opzionale).
7. Il Data Warehouse è un sistema in sola lettura, gli utenti non eseguono azioni di
aggiunta, modifica o eliminazione dei dati.
22
1.4 Lo scambio delle Informazioni Intra e Inter aziendali:
Intranet, Extranet, Internet e Flussi
La gestione dei flussi comunicativi che interessano le diverse realtà aziendali - siano
essi flussi di comunicazione in entrata, in uscita o di comunicazione interna all'azienda -
ha una rilevanza fondamentale. Un'azienda moderna deve affrontare una concorrenza
sempre maggiore e deve lottare per sopravvivere in un mondo sempre più globalizzato.
Per essere competitiva essa ha quindi l'esigenza di ridurre sempre più i costi e i tempi
di comunicazione, di promozione, di vendita e in generale di trasferimento di dati e
informazioni. Internet, come nuovo strumento di comunicazione veloce e a basso
costo è lo strumento ideale per venire incontro a tutte queste esigenze aziendali. Le
aziende quindi useranno sempre più Internet per le loro esigenze di:
a) comunicazione globale: L'azienda, grazie ad Internet, può comunicare sempre
più velocemente ed economicamente col mercato, con i propri fornitori e clienti e
nella sua organizzazione interna. Uno strumento per far questo può essere ad
esempio la posta elettronica.
b) marketing diretto: L'azienda, grazie ad Internet, può lanciare campagne
pubblicitarie, effettuare ricerche di mercato, monitorare la concorrenza e ricercare
nuove opportunità di business. Tutto questo può essere realizzato ad esempio
tramite il Web e con azioni di supporto mediante posta elettronica. Molto utili,
inoltre, possono essere le informazioni di ritorno che ci inviano i clienti.
c) vendita: L'azienda, grazie ad Internet, può effettuare la vendita diretta dei propri
prodotti/servizi e la distribuzione diretta dei beni digitalizzabili
2
. Tutto questo è
possibile tramite Web se l'azienda adotta efficaci sistemi di sicurezza per il
trasferimento dei pagamenti e delle transazioni.
d) trasferimento dati e informazioni: Internet permette all'azienda di trasferire
più facilmente informazioni e dati al suo interno, fra aziende, e fra azienda e propri
collaboratori. Questo può avvenire con la realizzazione di collegamenti sicuri tra
l'azienda e i suoi collaboratori, ad esempio con la realizzazione di reti Intranet o
Extranet.
2
Software, testi scritti in genere, foto, video, suoni, e tutto quello che si può trasformare in bit
23
e) riduzione dei costi: Internet permette all'azienda in generale di ridurre i costi di
comunicazione. Ad esempio può far ridurre i costi nella comunicazione scritta (con
la posta elettronica), nel trasferimento dei dati, nelle comunicazioni telefoniche.
Inoltre può far ridurre i costi del lavoro (col telelavoro e l'aggiornamento
professionale), di marketing, di pubblicità, di vendita (con il commercio elettronico),
di distribuzione e di ricerca di informazioni strategiche.
f) riduzione dei tempi: Internet permette all'azienda in generale di ridurre i tempi
nella comunicazione paperless (elettronica), nella consegna di beni immateriali e
servizi, nel processo produttivo e nella formazione a distanza
3
.
Tutte queste esigenze possono essere riviste alla luce di tre diverse ottiche aziendali,
ognuna delle quali necessita di un strumento di comunicazione adeguato (vedi figura 2
seguente):
♦ ottica esterna rivolta al mercato globale: richiede uno strumento rivolto al
mercato, che consenta a qualsiasi tipo di azienda di prendere contatto con l'esterno
- Internet;
♦ ottica interna all'impresa: richiede uno strumento interno all'azienda, veloce,
sicuro e affidabile - Intranet;
♦ ottica interaziendale relativa ai rapporti tra imprese: richiede uno strumento
per la comunicazione e cooperazione interaziendale, sicuro e affidabile - Extranet.
3
Cfr. A. Castiglioni, G. Castiglioni, Internet for business, Mondadori Informatica, Milano, 1996. Cfr. anche J.H. Ellsworth,
M.V. Ellsworth, Internet per le aziende, Apogeo, Milano, 1995.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
