Autorità per lInformatica nella Pubblica Amministrazione Conferenza Nazionale sullAdeguamento...
-
Upload
francesca-fortunato -
Category
Documents
-
view
220 -
download
0
Transcript of Autorità per lInformatica nella Pubblica Amministrazione Conferenza Nazionale sullAdeguamento...
Conferenza Nazionale sull’Adeguamento Informatico all’Anno 2000, 17-18 Giugno 1999
Autorità per l’Informatica nella Pubblica Amministrazione
Valutazione del Rischio nellaPubblica Amministrazione
Centrale
Marco Gentili
Area Monitoraggio e Verifiche
Anno 2000
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 2
Argomenti
Definizione del settore di interventoDefinizione del settore di intervento
Progetti di adeguamento Anno 2000Progetti di adeguamento Anno 2000
Monitoraggio dell’adeguamento Anno 2000Monitoraggio dell’adeguamento Anno 2000
Metodologia di valutazione del rischio Anno 2000Metodologia di valutazione del rischio Anno 2000
Posizionamento rispetto al rischio Anno 2000Posizionamento rispetto al rischio Anno 2000
Interpretazione dei risultati ottenutiInterpretazione dei risultati ottenuti
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 3
Definizione del settore di Intervento
60 Amministrazioni destinatarie del D.Lgs. 39/9360 Amministrazioni destinatarie del D.Lgs. 39/93
Dimensione Tecnologica complessiva pari a:4.1004.100 Mips di potenza di calcoloMips di potenza di calcolo17.10017.100 Gbyte di dati per 1.013 differenti basi Gbyte di dati per 1.013 differenti basi
datidati160.000160.000 posti di lavoro in reteposti di lavoro in rete269.000269.000 Kloc di patrimonio applicativoKloc di patrimonio applicativo
Spesa per l’informatica (IVA inclusa) (IVA inclusa) TotaleTotale 2.800 Mld £2.800 Mld £SviluppoSviluppo 1.100 Mld £ 1.100 Mld £ EsercizioEsercizio 1.700 Mld £1.700 Mld £
Fonte Relazione Annuale 1997Fonte Relazione Annuale 1997
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 4
Progetti di Adeguamento Anno 2000
Progetti specifici
AmministrazioniAmministrazioni 2121
Progetti per (IVA inclusa)Progetti per (IVA inclusa) 107107
Mld £ pari al 6% della spesa di esercizioMld £ pari al 6% della spesa di esercizioFonte Piano Triennale 1998-2000Fonte Piano Triennale 1998-2000
Progetti di reingegnerizzazione
AmministrazioniAmministrazioni 99
Progetti per (IVA inclusa)Progetti per (IVA inclusa) 252252
Mld £ pari al 23% della spesa di sviluppoMld £ pari al 23% della spesa di sviluppoFonte Pareri Emessi nel triennio 1997-1999Fonte Pareri Emessi nel triennio 1997-1999
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 5
Monitoraggio dell’Adeguamento Anno 2000
Lug-Ott 1998Lug-Ott 1998Prima rilevazione AIPAPrima rilevazione AIPA
Nov-Dic 1998Nov-Dic 1998Aggiudicazione gara comunitaria a Gartner GroupAggiudicazione gara comunitaria a Gartner GroupAvvio progetto di valutazione del rischioAvvio progetto di valutazione del rischio
Gen-Mar 1999Gen-Mar 1999Raccolta delle informazioni necessarieRaccolta delle informazioni necessarieAssistenza alle AmministrazioniAssistenza alle Amministrazioni
Apr-Mag 1999Apr-Mag 1999Validazione dei dati e predisposizione dei rapportiValidazione dei dati e predisposizione dei rapportiPresentazione dei risultatiPresentazione dei risultati
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione
Obiettivi dell’indagine
Di carattere generale:Di carattere generale:Censire i sistemi informativi interessati dal problemaCensire i sistemi informativi interessati dal problemaValutare l’impatto Anno 2000 sui sistemi informativiValutare l’impatto Anno 2000 sui sistemi informativiValutare il rischio derivante, analizzarne il trendValutare il rischio derivante, analizzarne il trendSupportare il Comitato Anno 2000 ai sensi dell’art. Supportare il Comitato Anno 2000 ai sensi dell’art.
19 della Legge 144/9919 della Legge 144/99
Relativi ad ogni Amministrazione:Relativi ad ogni Amministrazione:stimare le dimensioni del problema ed identificare le stimare le dimensioni del problema ed identificare le
prioritàprioritàstimolare l’avvio di progetti di adeguamento e stimolare l’avvio di progetti di adeguamento e
monitorarne l’esecuzionemonitorarne l’esecuzione identificare le aree informative più a rischio e identificare le aree informative più a rischio e
stimolare la predisposizione di piani di emergenzastimolare la predisposizione di piani di emergenza
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 7
Monitoraggio Anno 2000 - Fasi
FASE I - FASE I - Identificazione del rischioIdentificazione del rischio Impostazione raccolta dati Impostazione raccolta dati Raccolta datiRaccolta dati maggiore impegno per le P.A.maggiore impegno per le P.A.Evidenza aree criticheEvidenza aree critiche
FASE II - FASE II - Revisione del rischioRevisione del rischioAggiornamento dati raccolti Aggiornamento dati raccolti minore impegno per le P.A.minore impegno per le P.A.Approfondimenti su aree critiche Approfondimenti su aree critiche
FASE III - FASE III - Conferma del rischioConferma del rischio Aggiornamento dati raccolti Aggiornamento dati raccolti minore impegno per le P.A.minore impegno per le P.A.Approfondimenti sui piani di emergenza
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 8
Monitoraggio Anno 2000 - Attività
Primaria Responsabilità
Secondaria Responsabilità
PA
Avvio Lavori
Consegna Dati
Revisione Dati ufficiali di fase
Risultati preliminari
Raccolta dati AssistenzaInserim
ento Dati
ValidazioneRevisione
preliminareEmissioneRapporti
Rispostaa domande
PresentazioneRaccolta dati
Correzione
Dati
Rispostaa domande
Avvio operativo
Presentazionepreliminare
Presentazionepreliminare
Acquisizione QuestionarioGenerale sul
rischio
AIPA Gartner
Risultati definitivi
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 9
Valutare il Rischio Anno 2000
Livello di ConformitàLivello di Conformità In che misura il fenomeno Anno 2000 può In che misura il fenomeno Anno 2000 può
determinare delle disfunzioni all’interno delle determinare delle disfunzioni all’interno delle Amministrazioni?Amministrazioni?
Rischio per la MissioneRischio per la Missione In che misura eventuali disfunzioni possono In che misura eventuali disfunzioni possono
compromettere la capacità delle Amministrazioni di compromettere la capacità delle Amministrazioni di erogare i propri servizi?erogare i propri servizi?
Rischio OrganizzativoRischio Organizzativo In che misura le Amministrazioni sono in grado di In che misura le Amministrazioni sono in grado di
rimuovere eventuali disfunzioni?rimuovere eventuali disfunzioni?
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 10
Livello di Conformità
Mostra l’avanzamento che l’Amministrazione ha Mostra l’avanzamento che l’Amministrazione ha rispetto alla risoluzione dei problemi anno 2000 rispetto alla risoluzione dei problemi anno 2000
Viene misurato sulla scala Viene misurato sulla scala COMPARECOMPARE che va da 0 a 5 che va da 0 a 500 problematica sconosciutaproblematica sconosciuta,, nessuna attività di nessuna attività di
adeguamento, nessuna conformitàadeguamento, nessuna conformità11 presa di conoscenza del problemapresa di conoscenza del problema, prima macro , prima macro
pianificazionepianificazione22 inventario dei sistemi coinvoltiinventario dei sistemi coinvolti, determinazione del , determinazione del
livello di rischio per l’Amministrazionelivello di rischio per l’Amministrazione33 comprensione del problemacomprensione del problema, allocazione delle risorse , allocazione delle risorse
necessarie (tecniche, umane, finanziarie)necessarie (tecniche, umane, finanziarie)44 sostenibilità operativasostenibilità operativa, , principali sistemi adeguati, principali sistemi adeguati,
rischio ridotto, è garantita la continuità dei servizirischio ridotto, è garantita la continuità dei servizi55 tutti i sistemi sono conformitutti i sistemi sono conformi, nessun rischio, nessun rischio
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 11
Rischio per la Missione
Mostra la situazione di rischio che l’Amministrazione Mostra la situazione di rischio che l’Amministrazione ha rispetto alla risoluzione dei problemi anno 2000ha rispetto alla risoluzione dei problemi anno 2000
Viene misurato su una scala che va da 0 a 5Viene misurato su una scala che va da 0 a 500 nessun inconvenientenessun inconveniente, , rischio minimorischio minimo11 inconvenienti di tipo minoreinconvenienti di tipo minore, completa disponibilità , completa disponibilità
delle funzionalità aziendalidelle funzionalità aziendali22 inconvenienti di tipo limitatoinconvenienti di tipo limitato, alcune funzioni possono , alcune funzioni possono
non essere più disponibili non essere più disponibili 33 blocco di alcune unità organizzativeblocco di alcune unità organizzative
dell’Amministrazionedell’Amministrazione44 blocco dell’operativitàblocco dell’operatività dell’Amministrazione dell’Amministrazione55 effetti catastroficieffetti catastrofici sulla operatività sulla operatività
dell’Amministrazione, interruzione di servizio e gravi dell’Amministrazione, interruzione di servizio e gravi interferenze sull’operatività di altre Amministrazioniinterferenze sull’operatività di altre Amministrazioni
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 12
Rischio Organizzativo
Valuta la capacità diValuta la capacità di rispondere ad adeguamenti di carattere normativorispondere ad adeguamenti di carattere normativo programmare l’adeguamento organizzativo e finanziario programmare l’adeguamento organizzativo e finanziario individuare i sistemi critici, predisporre piani di progettoindividuare i sistemi critici, predisporre piani di progetto estendere l’analisi alle entità esterne coinvolte nella estendere l’analisi alle entità esterne coinvolte nella
erogazione dei servizierogazione dei servizi predisporre piani di emergenzapredisporre piani di emergenza
Viene misurato su una scala che va da 1 a 7Viene misurato su una scala che va da 1 a 711 elevata possibilità di successoelevata possibilità di successo, rischio minimo, rischio minimo223344556677 alta possibilità di fallimentoalta possibilità di fallimento, rischio massimo, rischio massimo
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione
Componenti Analizzate
livello di conformità e rischio per la missione sono stimati livello di conformità e rischio per la missione sono stimati separatamente perseparatamente per
le le infrastrutture informaticheinfrastrutture informatiche le le applicazioni e procedureapplicazioni e procedure
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 14
Amministrazioni Analizzate
5050 Amministrazioni Centrali ed Enti su 60 Amministrazioni Centrali ed Enti su 60 83%83% 10 Amministrazioni non hanno fornito dati10 Amministrazioni non hanno fornito dati
Amministrazione Autonoma Monopoli di StatoAmministrazione Autonoma Monopoli di Stato Consiglio di StatoConsiglio di Stato DIADIA ENAMENAM INCAINCA IPSEMAIPSEMA Ministero dell’IndustriaMinistero dell’Industria Ministero del Lavoro e della Previdenza SocialeMinistero del Lavoro e della Previdenza Sociale Ministero dei Trasporti - Aviazione CivileMinistero dei Trasporti - Aviazione Civile UNIREUNIRE
6262 Unità Organizzative su 74 Unità Organizzative su 74 84%84%4 Amministrazioni di grande complessità sono state 4 Amministrazioni di grande complessità sono state
analizzate relativamente a diverse unità organizzativeanalizzate relativamente a diverse unità organizzative
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 15
Infrastrutture Informatiche - Marzo 1999Livello di conformità
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 16
Infrastrutture Informatiche - Marzo 1999 Stato di avanzamento lavori
37%
26%
35%
2% Fase PreoperativaDeterminazioneAdeguamenti
Fase OperativaRilascioAdeguamenti
SostenibilitàOperativaRaggiunta
Conformità Anno 2000Raggiunta
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 17
Infrastrutture Informatiche - Marzo 1999 Rischio per la Missione
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 18
Infrastrutture Informatiche - Marzo 1999 Conformità / Rischio per la Missione
37%
48%
15%
Rischio per la Missione
Livello diConformità
NessunRischio
Inconvenienti
Minori
Blocco dialcune
funzioni
Blocco diunità
organizz.
Blocco diServiziPrimari
Impattosu
Organizz.esterne
Totale
Conformità di tutti isistemi 1 1
Conformità dei sistemicritici 1 8 13 22
Risorse allocate iniziodegli interventi 3 13 2 18
Dimensionamento delproblema e pianificazione 2 8 3 13
Sensibilizzazione 2 2 4 8Nessuna sensibilità 0
Totale 2 15 36 9 0 0 62
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 19
Applicazioni e Procedure - Marzo 1999 Livello di conformità
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 20
Applicazioni e Procedure - Marzo 1999 Stato di avanzamento lavori
55%26%
16%3%
Fase PreoperativaDeterminazioneAdeguamenti
Fase OperativaRilascioAdeguamenti
SostenibilitàOperativaRaggiunta
Conformità Anno 2000Raggiunta
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 21
Applicazioni e Procedure - Marzo 1999 Rischio per la Missione
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 22
Applicazioni e Procedure - Marzo 1999 Conformità / Rischio per la Missione
21%
50%
29%
Rischio per la Missione
Livello diConformità
NessunRischio
Inconvenienti
Minori
Blocco dialcune
funzioni
Blocco diunità
organizz.
Blocco diServiziPrimari
Impattosu
Organizz.esterne
Totale
Conformità di tutti isistemi 1 1 1
Conformità dei sistemicritici 3 6 1 10
Risorse allocate iniziodegli interventi 1 2 12 6 21
Dimensionamento delproblema e pianificazione 1 1 10 9 21
Sensibilizzazione 3 2 2 7Nessuna sensibilità 1 0
Totale 2 9 31 19 0 1 62
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 23
Sintesi dei Risultati - Marzo 1999
Forte focalizzazione degli interventi in ambito Forte focalizzazione degli interventi in ambito informatico ed in particolare sulle infrastrutture ITinformatico ed in particolare sulle infrastrutture IT
Sufficiente coerenza con i tempi per l’adeguamento delle Infrastrutture Informatiche
Ritardi evidenti nell’adeguamento delle Applicazioni e Procedure
0 1 2 3 4 5
Infrastrutture Informatiche
Applicazioni e Procedure
Conformità
Rischio
= Valore più Frequente
Conformità
Rischio
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 24
Interpretazione dei Risultati - Marzo 1999
Le tecnologie informatiche non giocano un ruolo tale Le tecnologie informatiche non giocano un ruolo tale
da pregiudicare l’operatività in caso di disfunzione da pregiudicare l’operatività in caso di disfunzione
esiste la possibilità di problemi circoscrittiesiste la possibilità di problemi circoscritti
si esclude il blocco completo dei servizisi esclude il blocco completo dei servizi
Infrastrutture Informatiche
conformità accettabile
rischio per la missione limitato
Applicazioni e Procedure
conformità bassaconformità bassa
rischio per la missione moderato
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 25
Rischio Organizzativo - Marzo 1999
0
5
10
15
20
25
30
35
40
1 2 3 4 5 6 7
Livello di Rischio Organizzativo
Nu
mer
o A
mm
inis
traz
ion
i
MinimoRischio
MassimoRischio
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 26
Interpretazione dei Risultati - Marzo 1999
Rischio Organizzativo AccentuatoRischio Organizzativo Accentuato50 Amministrazioni, il 75%, dovrebbero rivedere e 50 Amministrazioni, il 75%, dovrebbero rivedere e
migliorare le modalità di gestione degli adeguamenti migliorare le modalità di gestione degli adeguamenti
Le tematiche su cui migliorare sonoLe tematiche su cui migliorare sonosensibilizzazione al rischio e programmazione sensibilizzazione al rischio e programmazione
interventi di adeguamentointerventi di adeguamento identificazione dei sistemi criticiidentificazione dei sistemi criticipianificazione e governo dei progetti di adeguamentopianificazione e governo dei progetti di adeguamentogestione delle entità esterne coinvolte nei servizigestione delle entità esterne coinvolte nei servizipredisposizione dei piani di emergenzapredisposizione dei piani di emergenza
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 27
Posizionamento rispetto al Rischio Anno 2000
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 28
Posizionamento rispetto ad altre NazioniLivello di Conformità 0 1 2 3 4 5
= Valore più Frequente
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 29
Posizionamento rispetto ad altri Settori
Livello di Conformità 0 1 2 3 4 5
= Valore più Frequente
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 30
Interpretazione del Posizionamento
Si evidenziano comportamenti estremamente Si evidenziano comportamenti estremamente differenziati e disomogenei tra le Amministrazionidifferenziati e disomogenei tra le Amministrazioni
Il basso livello di informatizzazione della Il basso livello di informatizzazione della Amministrazione Italiana attenua la probabilità di gravi Amministrazione Italiana attenua la probabilità di gravi disfunzionidisfunzioni
Rispetto alla componente informatica il posizionamento Rispetto alla componente informatica il posizionamento del 54% delle Amministrazioni èdel 54% delle Amministrazioni è
coerente con quello dei settori bancario e assicurativocoerente con quello dei settori bancario e assicurativo
migliore della media mondiale delle Amministrazionimigliore della media mondiale delle Amministrazioni
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 31
Prossimi Risultati
Maggio - GiugnoMaggio - Giugnoavvio II faseavvio II fase, aggiornamento informazioni, aggiornamento informazionivalidazione dati, assistenza Amministrazionivalidazione dati, assistenza Amministrazionipredisposizione rapporti II fasepredisposizione rapporti II fase
Luglio - AgostoLuglio - Agostopresentazione risultati II fasepresentazione risultati II faseavvio III faseavvio III fase, aggiornamento informazioni, aggiornamento informazioni
Settembre - OttobreSettembre - Ottobrevalidazione dati, assistenza Amministrazioni validazione dati, assistenza Amministrazioni predisposizione rapporti III fasepredisposizione rapporti III fasepresentazione risultati III fasepresentazione risultati III fase
Autorità per l’Informatica nella Pubblica AmministrazioneAutorità per l’Informatica nella Pubblica Amministrazione 32
Amministrazioni Centrali
Infrastrutture Informatiche
Applicazioni e Procedure
Enti PubbliciNon Economici
Infrastrutture Informatiche
Applicazioni e Procedure
Consiglio di Stato n.p. n.p. ENAM n.p. n.p.DIA n.p. n.p. INCA n.p. n.p.Industria n.p. n.p. IPSEMA n.p. n.p.Lavoro n.p. n.p. UNIRE n.p. n.p.Monopoli di Stato n.p. n.p. INPDAP n.p. 3,5Trasporti - AC n.p. n.p. ANPA 4,8 5,0Finanze - Personale n.p. 4,9 INPS 4,8 2,6CFS 5,0 2,7 CRI 4,6 4,5Lavori Pubblici 4,7 4,1 CNR 4,4 3,2Agenzia Roma Capitale 4,7 0,0 ISFOL 4,3 4,4Comunicazioni 4,6 5,0 ISAE 4,0 3,8Finanze - Dogane 4,5 4,1 CONI 3,8 3,3Finanze - Entrate 4,5 3,8 INAIL 3,8 2,8Finanze - Altro / Segretariato 4,4 4,0 ICE 3,6 3,4Beni Culturali 4,4 1,9 ENPALS 3,3 1,6Tesoro - Dip.PSC (Dip. III) 4,3 4,2 INEA 3,2 2,7Avvocatura 4,3 4,1 ENAC 3,2 2,0Difesa - Esercito 4,2 3,4 ISTAT 2,7 3,3Tesoro - Dip. Personale (Dip. IV) 4,2 2,7 ISS 2,7 3,0Difesa - Aeronautica 4,1 3,5 IIMS 2,5 4,0Arma dei Carabinieri 4,1 3,0 ENPAF 2,5 3,1Finanze - Territorio 4,0 3,9 CFPC 2,5 2,7Interno - DGAGP/CED 4,0 3,0 ACI 2,5 1,5Tesoro - Dip.RGS (Dip. II) 4,0 3,0 IPOST 2,3 2,9Commercio Estero 3,8 2,9 ENEA 2,2 3,3Guardia di Finanza 3,8 2,9 AIMA 2,0 2,6Pubblica Istruzione 3,7 2,9 ENIT 1,8 2,4Interno - PS 3,6 2,5 INPDAI 1,1 2,0Università 3,6 2,0 ISPELS 1,0 1,7Affari Esteri 3,5 3,4Trasporti - MCTC 3,5 3,0Sanità 3,5 2,0Interno - DGAC/DCSE 3,2 3,1Difesa - Marina 3,2 2,1Difesa - Stato Maggiore 3,0 n.aPolitiche Agricole 3,0 1,9Grazia e Giustizia 2,5 1,6Interno - DGPC/SA 2,2 2,5Tesoro - Dip. Tesoro (Dip. I) 2,1 2,0Presidenza 2,0 3,7Trasporti - SM 1,9 4,1Difesa - Segretariato Generale 1,9 2,7 LegendaTrasporti - DG POC 1,6 1,0Ambiente 1,5 n.a. n.a. = non applicabileCorte dei Conti 1,2 3,7 n.p. = non pervenuto
Livello di Conformità
Dati - Marzo 1999