Trade off tra costi contenuti e dunque più accessibili o sicurezza dell’infrastruttura IT? C’è pero la soluzione.

Formazione del personale per digitalizzare la PA

A cura di Antonio Capobianco, CEO Fata Informatica

Quello dell’adozione di software Open Source da parte della PA è un tema molto dibattuto e per ciò stesso attualissimo, che pone di fronte a un bivio scomodo: costi contenuti e dunque più accessibili o sicurezza dell’infrastruttura IT?

Posta in questi termini la questione diventa quanto mai complicata. Il tema della sicurezza è, infatti, così strategico da non poter essere messo in discussione a patto di far franare l’intera infrastruttura informatica di qualsivoglia azienda – pubblica o privata che sia -. Si comprende allora il perché nonostante se ne faccia riferimento esplicitamente anche all’interno del Codice dell’Amministrazione Digitale (CAD) – in particolare all’art. 68-, l’adozione di un software Open Source da parte della PA risulti una prassi poco adottata.

All’indubbio vantaggio di un costo iniziale di acquisizione estremamente basso, se non nullo, si affiancano d’altro canto dei difetti che ne ostacolano la diffusione.

Analizzando l’art.68 del CAD viene riportato che nelle analisi comparative le PA devono valutare anche le garanzie del fornitore in materia di livelli di sicurezzaconformità alla normativa in materia di protezione dei dati personali, livelli di servizio tenuto conto della tipologia di software acquisito.

Proprio questo passaggio mette in evidenza tre ragioni ostative all’utilizzo dell’open source, ovvero:

  1. Scarsa attenzione alla sicurezza
  2. Difficoltà di utilizzo
  3. Mancanza assoluta di assistenza

Sul primo punto una certa preoccupazione non è peregrina. Le soluzioni open source non assicurano alti livelli di vincoli di sicurezza delle infrastrutture nelle quali vengono installate, determinando spesso delle vere e proprie back door di accesso alle infrastrutture stesse. Gli sviluppatori di soluzioni open source spesso inseriscono nel loro codice delle chiamate a web service su un loro portale web per controllare l’installato e la crescita della loro soluzione, cosa che spesso fa allertare i Security Specialist.

Altro nodo centrale riguarda la difficoltà di utilizzo: un sistema open source per essere manutenuto ha bisogno di eccellenti competenze e si potrebbe incorrere in un Lock in non sul vendor ma sul tecnico che sta manutenendo quella soluzione. Generalmente queste competenze vengono possedute da un minimo numero di persone che se abbandonano l’azienda possono mettere a repentaglio il successo dell’intero progetto di monitoraggio. L’adozione di soluzioni open source se è vero che allontana lo spauracchio del vendor lock in, introduce però il problema, forse più subdolo, del technician lock in.

Strettamente connesso con questo tema c’è poi quello dell’assistenza da parte della casa madre. Un tema ben noto a coloro che utilizzano il modello open source: molto spesso si è infatti lasciati privi di supporto anche solo da remoto.

Questi gli aspetti ostativi, ma veniamo ai vantaggi collegati alla scelta di soluzioni open source. Il principale sta proprio nella sua natura, ovvero la gratuità. Non solo l’open source nasce come gratuito (anche se non sempre!) ma è anche possibile installarlo per quanti nodi si vogliono senza costi aggiuntivi.

Inoltre si tratta di una modalità di sviluppo dei sistemi informatici ampiamente supportata da una comunità internazionale che spesso ne incrementa le funzionalità aggiuntive come successo ad esempio nel caso di Nagios: qui la comunità internazionale ha continuato a sviluppare plug in che ne incrementano la capacità di monitoraggio dei più disparati sistemi. A ben vedere, una soluzione commerciale non sarebbe mai riuscita ad avere questa varietà di plug in, tanto meno in modalità gratuita.

Non è un caso se già da tempo il Ministero per l’innovazione e le tecnologie si è espresso a favore dell’utilizzo di software open source da parte della Pubblica Amministrazione, sottolineando il contenimento dei costi, la trasparenza, la non dipendenza della P.A. da un singolo fornitore, la possibilità di riutilizzare il software e di accesso al software anche da parte delle economie locali in un’ottica orientata all’equilibrio, al pluralismo e all’aperta competizione.

Delineato così il panorama, occorre domandarsi se quel bivio sopracitato esista realmente o se al contrario sia possibile adottare soluzioni che abbiano i vantaggi dell’open source senza per questo rinunciare alla sicurezza, alla facilità di utilizzo e all’assistenza.

La riposta arriva dal colosso Red Hat che ha indicato la via maestra, adottando il sistema open source ed elevandolo a livelli di affidabilità e sicurezza che tutti conosciamo. Oggidiverse aziende hanno un business model basato sull’adozione di soluzioni open source che vengono migliorate, rese più semplici da utilizzare e supportate senza snaturarle.

Una delle principali aziende italiane che ha adottato con successo questo modello di business è Fata Informatica che nel 2004 ha sviluppato la soluzione di monitoraggioSentinet3® partendo proprio da Nagios.

Sentinet3® è da tempo ampiamente utilizzato dal Ministero della Difesa e dalle più prestigiose pubbliche amministrazioni italiane perché in grado di fornire loro i vantaggi del sistema open source Nagios – ovvero compatibilità con tutti i plug in sviluppati dalla comunità open source e invariabilità del costo della soluzione con l’aumento dei sistemi da mettere sotto monitoraggio – e al tempo stesso una soluzione pienamente supportata, semplice da usare grazie ad un’interfaccia user friendly e soprattutto attenta alle più stringenti esigenze di sicurezza che tutte le infrastrutture IT- in particolar modo quelle operanti in settori strategici come il Ministero della Difesa – devono assicurare.

Insomma, perché scegliere tra open source e sicurezza, quando è possibile avere l’uno e l’altro?