giovedì 27 dicembre 2007

C'è cliente e cliente

Qualche anno fa qualcuno si è sforzato di mettermi in testa l'idea che per migliorare l'efficienza, la qualità e i costi dei Sistemi Informativi, dovevo cominciare a pensare che gli utenti delle applicazioni software, i colleghi degli altri reparti, sono i miei clienti.
In questo modo sarei uscito dal pantano di un'informatica ripiegata su se stessa e incapace di collaborare al business dell'azienda.
In questi giorni leggo un articolo su CIO.com dove un collega americano, Kumud Kalia, spiega che questa prospettiva non va affatto bene.
Non bisogna confondere i termini. Il cliente è colui che paga per i servizi/prodotti dell'azienda, non il collega del piano di sopra.
In effetti l'articolo è interessante e può aiutare a focalizzare meglio gli obiettivi che tutti, all'interno di una azienda, devono aver chiari: migliorare la soddisfazione del cliente (che alla fine è colui che permette di ritirare a fine mese lo stipendio).
Qualche passaggio del ragionamento sembra però troppo radicale. Perchè l'autore pensa: chi non andrà in questa direzione sarà "terzializzato", cioè in definitiva sarà escluso.
Quindi, tutti di corsa a identificare le reali necessità del cliente: informatici, contabili, legali e altri reparti di supporto.

Il mio parere: va bene, focalizziamo e miglioriamo la consapevolezza, adottiamo una terminologia più consona, ma per favore non confondiamo i ruoli. La produzione di un prodotto o di un servizio è la conseguenza di un processo di attività, alcune direttamente collegabili al cliente esterno, le altre lo sono perchè di supporto o di controllo. Ci vuole equilibrio.

venerdì 30 novembre 2007

Successo e qualità del software

C'è un legame fra qualità del software e successo aziendale?
Sicuramente ogni produttore di software è in grado di presentare una lista di aziende che hanno avuto successo grazie alla qualità del proprio software.
Alla voce qualità del software si sprecano articoli che dimostrano la necessità di puntare su questo aspetto per un valido supporto al business.
La verità è che:

avere un buon software non è una condizione nè necessaria nè sufficiente per il successo del business.


Detto questo per chiarezza e onestà, continuamo a lavorare perchè il management sappia cogliere le opportunità della tecnologia e il mondo IT sappia valorizzare la propria capacità tecnologica nella direzione della competenza aziendale.

sabato 10 novembre 2007

La storia si ripete

IL SECOLO XIX
06 novembre 2007

Hamburg Süd: «Manterremo
il marchio Ccl»

Hamburg Süd e Gf Group ufficializzano la vendita di Costa Container Lines. La società tedesca acquista così dalla famiglia Orsero i servizi di linea Ccl su Mediterraneo ovest-Costa est del Sud America, Costa est del Sud America-Caraibi e Messico, Mediterraneo Ovest-Costa nord del Sud America e Caraibi, Italia-Turchia e Grecia, Italia-Algeria e Italia-Siria, Libano ed Egitto. Hamburg Süd continuerà ad utilizzare il marchio Costa Container Line.




E' la terza volta che mi trovo coinvolto in una operazione di cessione.
La prima volta ero in forza in "Italia di Navigazione" dove ero stato assunto subito dopo la sua privatizzazione.
Nel corso del 2003 la società è stata venduta a CP-Ship e al termine del processo di integrazione è sparita dallo scenario (nel frattempo anche CP Ship è stata acquistata dal gruppo Hapag Lloyd).
Quella di Italia di Navigazione è stata una perdita dolorosissima per la storia e la cultura marittima italiana. Infatti le vicende della celebre compagnia coincidono in buona parte con quelle della marina mercantile italiana ed hanno radici fino a nomi famosi come quelli di Rubattino (l'impresa dei Mille di Garibaldi) e di Florio; cioè affondano nel corso del 1800.

All'inizio del 2004 ero appena giunto in CCL quando si perfezionava l'acquisizione della Grandi Traghetti-Gilnavi ex compagnia del Gruppo Grimaldi.
Grandi Traghetti era conosciutissima perchè con le sue Freccia Rossa e Freccia Blu univa Genova a Palermo prima dell'avvento delle Grandi Navi Veloci.
A questa cessione ho partecipato quindi dalla parte del "compratore" nonostante in precedenza avessi lavorato perdodici anni in Grimaldi.

Ora siamo da capo, la legge delle mega acquisizioni nel mercato globale dei trasporti marittimi non offre troppe alternative.
Nonostante vari passaggi di proprietà CCL conserva ancora nella ragione sociale l'origine del marchio "Costa", altro nome storico per la Liguria e per l'Italia.



Per me l'opportunità di confrontarmi con l'organizzazione informatica di un grosso gruppo internazionale dove mettere a disposizione le mie conoscenze ed esperienze del settore. Ma questo non esclude il "batticuore".

giovedì 25 ottobre 2007

Classificazione Blog


Ammesso e non concesso che fosse possibile una classificazione a tre dimensione dei blog ho provato a dare una classificazione ai possibili otto quadranti.
Ma sono un po' improvvisati...

Classifiche blog

Qualche considerazione in merito alle classifiche dei blog le cui discussioni raggiungono a volte elevati tassi di animosità.

- Il problema centrale è la ricerca di un modello di misure che rappresentino la realtà in modo affidabile, oggettivo e dichiarato.

- Le classifiche attualmente in auge sembrano aver bisogno di un "inventario" dei blog da classificare, non sono cioè in grado di misurare le performance di "tutti" i blog (anche se qui si apre un nuovo fronte sulla definizione di blog). Questo è comunque un limite, sarebbe come se l'ISTAT facce le sue statistiche inviando un questionario a tutti gli italiani ed alaborando solo i dati di quelli che rispondono volontariamente.

- Le classifiche basate sul numero di accesso sono ritenute inattendibili e facilmente manipolabili. Vero ma questo è un intralcio tecnico, dal punto di vista logico il parametro "numero di accessi" è importante (anzi sarebbe meglio parlare di numero di accesso/nell'unità di tempo, per esempio 523 accessi/giorno o 5322 accessi/mese)

- Classifiche che misurano la capacità di creare discussioni: il loro limite è nell'uso stesso del "link" , strumento che richiede una certa perizia del blogger e la volontà di partecipare al meccanismo. Comunque in questo momento sembra essere il sistema più affidabile per definire la capacità di un blog di influenzare la rete.

- Ridurre la classifica a una lista di una sola dimensione è un modello che limita e distorce la realtà, pesantemente; infatti al più si prendono in considerazione svariati parametri, si assegnano loro pesi diversi, si miscelano scuotendoli un po' fra loro ma alla fine si tira fuori un numero finale rappresentabile in una semiretta.

- Aggiungere delle dimensioni alla classifica potrebbe rispondere meglio, visivamente, alla percezione del fenomeno. Un passo avanti sarebbe utilizzare il quadrante magico di Gartner.
Ascisse e ordinate incrociandosi determinano quattro zone definendo le aree di ECCELLENZA (alto, alto); NICCHIA (basso, basso); VISIBILITA' (basso, alto); EMERGENTE (alto, basso). Per esempio: in ascisse PARTECIPAZIONE (Capacità di influenzare discussioni) e in ordinata il numero accessi ("velocità").

- L'ideale sarebbe introdurre una terza dimensione che dovrebbe essere la PROFONDITA' (tempo navigazione, qualità). In questo modo le aree racchiuse dal cubo sarebbero otto (2 al cubo).

lunedì 8 ottobre 2007

Se non fossi un informatico

La mia risposta è qui.

Preoccupazioni dei CIO

Prendo liberamente spunto da questo post di CIO News, CIOs Rank IT Talent Their No. 1 Worry, per alcuni spunti personali.

Si parte da un sondaggio. Come sempre bisogna tener conto che gli intervistati appartengono a grosse organizzazioni che risiedono negli U.S.A., ed ogni paragone con la realtà Europea ed Italiana è da mediare.

Detto questo, di cosa si proccupano i CIO?
  1. Attrarre, sviluppare e trattenere i professionisti IT
  2. Allineare strategie Business e IT
  3. Costruire le competenze IT
  4. .....
E via di seguito, la lista va avanti; chi è interessato può studiarsela con un link. Io mi fermo qui perchè la cosa interessante sta proprio nella prima riga.

Al primo posto, non ci sono i costi, nè la strategia, nè la tecnologia, nè le competenze.
Notare: Attrarre e Trattenere dei professionisti.
Come mi piace vedere al primo posto le persone!
Gli americani si accorgono che una schiera di gente che ha costruito in decenni di passione la competenza tecnica e, soprattutto, ha accresciuto, senza soluzione di continuità, la propria esperienza aziendale, sta andando in pensione. I candidati a sostituirli, i giovani che escono dalle università, sicuramente sono tecnicamente preparatissimi (in Italia è vero?) ma non possono competere con la loro esperienza, si vanno creando dei vuoti non colmati.
Vivaddio!
E' il grido interessato un cinquantaquattrenne come me e penso anche di altri della mia generazione (CIO o non CIO).
Magari, le persone diventassero il più importante "asset" aziendale.

giovedì 4 ottobre 2007

Gestione del rischio (2)

Per completare questa analisi dei rischi, deve poi seguire un'altra accurata identificazione delle misure adottate (o da adottare) dove, a fronte dei singoli rischi, si applica la classificazione della tabella T1.


N. Misura Rischio contrastato Descrizione Misura adottata Già adottato Si/No Chi se ne occupa

Misure fisiche



1 Sistema antincendio R13


2 Estintori R13


3 Conditioning System R14


4 Video sorveglianza R11


5 Antifurto R12


6 Restrizioni accessi R11, R12


7 UPS R14


8 Distruggi documenti R16



Backup:



9 Hardware R3, R4, R8, R13, R15


10 Software R3, R4, R8, R13, R15


11 Procedure R3, R4, R8, R13, R15


12 Restore R3, R4, R8, R13, R15


13 Ghosts (image) copies R3, R4, R8, R13, R15


14 Dispositivi per il controllo accessi R11


15 Armadi ignifughi R4, R14



Hardware:



16 Alimentazione R8


17 Schede rete R8


18 Hard Disks R8


19 Dispositivi Network R8


20 Connessione internet R8


21 Clustering R8



Policy



22 Password R1, R2, R3, R4


23 Domain Controllers R1, R2, R3, R4, R9, R10


24 Firewalls o Routers R7, R8, R9, R10


25 VPN R9, R10


26 Funzionalità del SO R7, R9, R10


27 Piano di Disaster Recovery R8, R13



Software tools:



28 Proxy Server R7, R9, R10


29 Antivirus R5


30 Anti-Spyware R9, R10


31 Anti-Spamming R6


32 Software and OS upgrading tools R2, R5, R7, R8, R9, R10



Manutenzione e garanzie



33 Garanzie server R8


34 Garanzia dispositivi Network R8


35 Accesso Internet R8


36 Monitoraggio Network R8



Documentation:



37 Procedure documentate R2, R3, R4, R8, R14, R15


38 Regolamento R2, R3


Gestione del rischio (1)

Risk Management

Introduzione

La gestione del rischio comprende tutte le attività necessarie dal riconoscimento e consapevolezza fino allo sviluppo di strategie che possano attenuare il rischio.

Una strategia può portare a diversi tipi di comportamento; per esempio "evitare il rischio", "ridurre l'effetto negativo", "trasferire il rischio ad una terza parte (assicurazione, contratti manutenzione)"; "accettare le conseguenze"


Un risk management non ha quindi il compito di eliminare i rischi, ma di ridurlo all'interno di un livello accettato dalla specifica azienda.

Una attenta analisi deve considerare che le minacce possono provenire da differenti sorgenti, come per esempio: l'ambiente, la tecnologia, le persone.

Risk Analysis

Una analisi dei rischi necessita innanzi tutto una classificazione.

Nella tabella T1 è riportata una classificazione a due livelli, avendo suddiviso le minaccie in tre classi.

Il passo successivo è la valutazione della probabilità dell'evento.

Sono considerazioni in parte soggettive e comunque dipendenti dalle specifiche condizioni del sistema in esame.

Nella tabella T1 si propone una semplice scala da 0 a 3, indicando con 0 evento che non si verificherà mai e con 3 evento altamente probabile.


Se si vuole misurare il rischio occorre prendere in considerazione almeno un altro parametro: l'impatto che il danno avrà sul sistema.

Anche in questo caso viene proposta la stessa scala da 0 a 3.

La misura del rischio può essere calcolata moltiplicando i due valori identificati (il risultato sarà dato da una scala con sette distinti valori che vanno da 0 a 9).

Infine (ultima colonna), bisogna prendere delle decisioni e decidere se il rischio sarà tollerato, o se deve essere ridotto.

Tabella T1 - Classificazione rischi - azioni adottate o da adottare

Descrizione del Rischio (minacccia o vulnerabilità)

Probabilità dell'evento

Impatto del danno

Misura del rischio

Trattamento adottato




T=Tollerato
R=Ridotto
E=Eliminato
F=Trasferito

P: da 0 a 3

D: da 0 a 3

M=PxD

Comportamento





R1

furto di Login

2

3

6

R

R2

Mancanza di consapevolezza, negligenza

3

2

6

R

R3

Comportamento disonesto o fraudolento

1

3

3

R

R4

Errore umano

2

1

2

R

Tecnologia





R5

Virus e programmi malware

1

3

3

R

R6

Spamming

1

1

1

R

R7

Danni dolosi

1

3

3

R

R8

Funzionamento improprio, non disponibilità o deterioramento dispositivi

2

2

4

T

R9

Accessi esterni remoti non autorizzati

2

3

3

R

R10

Intrusione nella rete

1

3

3

R

Ambiente





R11

Accesso non autorizzato in aree sensibili

1

3

3

R

R12

Furto di dispositivi

2

3

6

R

R13

Eventi catastrofici (terremoti, fulmini, incendi, allagamenti, ...): naturali o dolosi.

1

3

3

F

R14

Guasti ai sistemi di infrastruttura (impianto elettrico, condizionamento...)

1

2

2

R

R15

Errore tecnico umano

2

2

4

R

R16

Altri eventi

0

0

0

R

(segue)