giovedì 25 ottobre 2007

Classificazione Blog


Ammesso e non concesso che fosse possibile una classificazione a tre dimensione dei blog ho provato a dare una classificazione ai possibili otto quadranti.
Ma sono un po' improvvisati...

Classifiche blog

Qualche considerazione in merito alle classifiche dei blog le cui discussioni raggiungono a volte elevati tassi di animosità.

- Il problema centrale è la ricerca di un modello di misure che rappresentino la realtà in modo affidabile, oggettivo e dichiarato.

- Le classifiche attualmente in auge sembrano aver bisogno di un "inventario" dei blog da classificare, non sono cioè in grado di misurare le performance di "tutti" i blog (anche se qui si apre un nuovo fronte sulla definizione di blog). Questo è comunque un limite, sarebbe come se l'ISTAT facce le sue statistiche inviando un questionario a tutti gli italiani ed alaborando solo i dati di quelli che rispondono volontariamente.

- Le classifiche basate sul numero di accesso sono ritenute inattendibili e facilmente manipolabili. Vero ma questo è un intralcio tecnico, dal punto di vista logico il parametro "numero di accessi" è importante (anzi sarebbe meglio parlare di numero di accesso/nell'unità di tempo, per esempio 523 accessi/giorno o 5322 accessi/mese)

- Classifiche che misurano la capacità di creare discussioni: il loro limite è nell'uso stesso del "link" , strumento che richiede una certa perizia del blogger e la volontà di partecipare al meccanismo. Comunque in questo momento sembra essere il sistema più affidabile per definire la capacità di un blog di influenzare la rete.

- Ridurre la classifica a una lista di una sola dimensione è un modello che limita e distorce la realtà, pesantemente; infatti al più si prendono in considerazione svariati parametri, si assegnano loro pesi diversi, si miscelano scuotendoli un po' fra loro ma alla fine si tira fuori un numero finale rappresentabile in una semiretta.

- Aggiungere delle dimensioni alla classifica potrebbe rispondere meglio, visivamente, alla percezione del fenomeno. Un passo avanti sarebbe utilizzare il quadrante magico di Gartner.
Ascisse e ordinate incrociandosi determinano quattro zone definendo le aree di ECCELLENZA (alto, alto); NICCHIA (basso, basso); VISIBILITA' (basso, alto); EMERGENTE (alto, basso). Per esempio: in ascisse PARTECIPAZIONE (Capacità di influenzare discussioni) e in ordinata il numero accessi ("velocità").

- L'ideale sarebbe introdurre una terza dimensione che dovrebbe essere la PROFONDITA' (tempo navigazione, qualità). In questo modo le aree racchiuse dal cubo sarebbero otto (2 al cubo).

lunedì 8 ottobre 2007

Se non fossi un informatico

La mia risposta è qui.

Preoccupazioni dei CIO

Prendo liberamente spunto da questo post di CIO News, CIOs Rank IT Talent Their No. 1 Worry, per alcuni spunti personali.

Si parte da un sondaggio. Come sempre bisogna tener conto che gli intervistati appartengono a grosse organizzazioni che risiedono negli U.S.A., ed ogni paragone con la realtà Europea ed Italiana è da mediare.

Detto questo, di cosa si proccupano i CIO?
  1. Attrarre, sviluppare e trattenere i professionisti IT
  2. Allineare strategie Business e IT
  3. Costruire le competenze IT
  4. .....
E via di seguito, la lista va avanti; chi è interessato può studiarsela con un link. Io mi fermo qui perchè la cosa interessante sta proprio nella prima riga.

Al primo posto, non ci sono i costi, nè la strategia, nè la tecnologia, nè le competenze.
Notare: Attrarre e Trattenere dei professionisti.
Come mi piace vedere al primo posto le persone!
Gli americani si accorgono che una schiera di gente che ha costruito in decenni di passione la competenza tecnica e, soprattutto, ha accresciuto, senza soluzione di continuità, la propria esperienza aziendale, sta andando in pensione. I candidati a sostituirli, i giovani che escono dalle università, sicuramente sono tecnicamente preparatissimi (in Italia è vero?) ma non possono competere con la loro esperienza, si vanno creando dei vuoti non colmati.
Vivaddio!
E' il grido interessato un cinquantaquattrenne come me e penso anche di altri della mia generazione (CIO o non CIO).
Magari, le persone diventassero il più importante "asset" aziendale.

giovedì 4 ottobre 2007

Gestione del rischio (2)

Per completare questa analisi dei rischi, deve poi seguire un'altra accurata identificazione delle misure adottate (o da adottare) dove, a fronte dei singoli rischi, si applica la classificazione della tabella T1.


N. Misura Rischio contrastato Descrizione Misura adottata Già adottato Si/No Chi se ne occupa

Misure fisiche



1 Sistema antincendio R13


2 Estintori R13


3 Conditioning System R14


4 Video sorveglianza R11


5 Antifurto R12


6 Restrizioni accessi R11, R12


7 UPS R14


8 Distruggi documenti R16



Backup:



9 Hardware R3, R4, R8, R13, R15


10 Software R3, R4, R8, R13, R15


11 Procedure R3, R4, R8, R13, R15


12 Restore R3, R4, R8, R13, R15


13 Ghosts (image) copies R3, R4, R8, R13, R15


14 Dispositivi per il controllo accessi R11


15 Armadi ignifughi R4, R14



Hardware:



16 Alimentazione R8


17 Schede rete R8


18 Hard Disks R8


19 Dispositivi Network R8


20 Connessione internet R8


21 Clustering R8



Policy



22 Password R1, R2, R3, R4


23 Domain Controllers R1, R2, R3, R4, R9, R10


24 Firewalls o Routers R7, R8, R9, R10


25 VPN R9, R10


26 Funzionalità del SO R7, R9, R10


27 Piano di Disaster Recovery R8, R13



Software tools:



28 Proxy Server R7, R9, R10


29 Antivirus R5


30 Anti-Spyware R9, R10


31 Anti-Spamming R6


32 Software and OS upgrading tools R2, R5, R7, R8, R9, R10



Manutenzione e garanzie



33 Garanzie server R8


34 Garanzia dispositivi Network R8


35 Accesso Internet R8


36 Monitoraggio Network R8



Documentation:



37 Procedure documentate R2, R3, R4, R8, R14, R15


38 Regolamento R2, R3


Gestione del rischio (1)

Risk Management

Introduzione

La gestione del rischio comprende tutte le attività necessarie dal riconoscimento e consapevolezza fino allo sviluppo di strategie che possano attenuare il rischio.

Una strategia può portare a diversi tipi di comportamento; per esempio "evitare il rischio", "ridurre l'effetto negativo", "trasferire il rischio ad una terza parte (assicurazione, contratti manutenzione)"; "accettare le conseguenze"


Un risk management non ha quindi il compito di eliminare i rischi, ma di ridurlo all'interno di un livello accettato dalla specifica azienda.

Una attenta analisi deve considerare che le minacce possono provenire da differenti sorgenti, come per esempio: l'ambiente, la tecnologia, le persone.

Risk Analysis

Una analisi dei rischi necessita innanzi tutto una classificazione.

Nella tabella T1 è riportata una classificazione a due livelli, avendo suddiviso le minaccie in tre classi.

Il passo successivo è la valutazione della probabilità dell'evento.

Sono considerazioni in parte soggettive e comunque dipendenti dalle specifiche condizioni del sistema in esame.

Nella tabella T1 si propone una semplice scala da 0 a 3, indicando con 0 evento che non si verificherà mai e con 3 evento altamente probabile.


Se si vuole misurare il rischio occorre prendere in considerazione almeno un altro parametro: l'impatto che il danno avrà sul sistema.

Anche in questo caso viene proposta la stessa scala da 0 a 3.

La misura del rischio può essere calcolata moltiplicando i due valori identificati (il risultato sarà dato da una scala con sette distinti valori che vanno da 0 a 9).

Infine (ultima colonna), bisogna prendere delle decisioni e decidere se il rischio sarà tollerato, o se deve essere ridotto.

Tabella T1 - Classificazione rischi - azioni adottate o da adottare

Descrizione del Rischio (minacccia o vulnerabilità)

Probabilità dell'evento

Impatto del danno

Misura del rischio

Trattamento adottato




T=Tollerato
R=Ridotto
E=Eliminato
F=Trasferito

P: da 0 a 3

D: da 0 a 3

M=PxD

Comportamento





R1

furto di Login

2

3

6

R

R2

Mancanza di consapevolezza, negligenza

3

2

6

R

R3

Comportamento disonesto o fraudolento

1

3

3

R

R4

Errore umano

2

1

2

R

Tecnologia





R5

Virus e programmi malware

1

3

3

R

R6

Spamming

1

1

1

R

R7

Danni dolosi

1

3

3

R

R8

Funzionamento improprio, non disponibilità o deterioramento dispositivi

2

2

4

T

R9

Accessi esterni remoti non autorizzati

2

3

3

R

R10

Intrusione nella rete

1

3

3

R

Ambiente





R11

Accesso non autorizzato in aree sensibili

1

3

3

R

R12

Furto di dispositivi

2

3

6

R

R13

Eventi catastrofici (terremoti, fulmini, incendi, allagamenti, ...): naturali o dolosi.

1

3

3

F

R14

Guasti ai sistemi di infrastruttura (impianto elettrico, condizionamento...)

1

2

2

R

R15

Errore tecnico umano

2

2

4

R

R16

Altri eventi

0

0

0

R

(segue)