31.1.05

[tendenze] Grid the town!

The Register parla del progetto AlmereGrid, ovvero di come trasformare una piccola città in un grande supercomputer.
Gli abitanti di Almere, cittadina olandese di 2200 abitanti costruita sul terreno rubato al mare 40 anni fa, sono collegati con i loro PC a una rete in fibra da 100 Mbps e offriranno le CPU di cui dispongono all'elaborazione dati CPU intensive, come ad esempio quelle del progetto SETI o del World Community Grid .
I progetti che potranno usufruire della disponibilità del primo supercomputer cittadino proverranno dall'ambito della ricerca e da aziende o istituti accademici olandesi, con lo scopo di promuovere la relazione tra cittadini e mondo della ricerca.
Il grid computing, così inteso, è un modo discreto per trar giovamento di tanta capacità elaborativa altrimenti sprecata.
Sto parlando di economia del potere di elaborazione: i computer di cui disponiamo, soprattutto i desktop, sono in media sottoutilizzati. Nell'arco di una giornata i PC di un impiegato o di un privato sono ipiegati al assio della potena solo per pochi minuti
Un programma a bassa priorità, che non influisce sulle prestazioni del proprio desktop, permette di sfruttare e non sprecare risorse che possono essere impiegate a vantaggio di comunità, che siano aziendali o anche di ricerca per la collettività.
Anche un'azienda può considerare di distribuire unità elaborative costituite da programmi e dati sui desktop dei propri dipendenti ogniqualvolta fossero necessarie attività di elaborazione intensiva: installando delle sonde sui PC è possibile determinarne la percentuale di inutilizzo e comprendere quanto è possibile trarne vantaggio con costi di sicuro molto inferiori alla messa in opera di sistemi dedicati.

Io sto facendo la mia parte contribuendo allo Human Proteome Folding project che gira con i programmi della World Community Grid. Prima di questo, il mio PC ospitava il programma SETI, ma ho cambiato ritenendo più importanti gli obiettivi della ricerca sulla genetica che quelli della ricerca di intelligenze extraterrestri.

BLinks:

[tendenze] Open Source: se non lo puoi combattere, fattelo amico

Sembra che la tendenza sia ormai consolidata: è partita prima IBM con il rilascio in open source di 500 brevetti software, ha seguito Sun con OpenSolaris e ben 1670 brevetti associati all'ultima versione del suo sistema operativo. Le grandi aziende di tecnologia stanno comprendendo che oggi è necessario far fronte alla sempre più crescente domanda di creare standard aperti e progetti collaborativi onde stimolare la crescita economica ed occupazionale, creando un circolo virtuoso che gioverà anche a loro. Lo dimostrano la partecipazione di IBM al consorzio Eclipse , a cui partecipano anche Borland, IBM, MERANT, QNX Software Systems, Rational Software3, Red Hat, SuSE, TogetherSoft, HP, Ericsson, il rilascio di OpenOffice da parte di Sun, il rilascio da parte di SAP di MaxDB, un database che incorpora le caratteristiche di MySQL e la compatibilità con i sistemi SAP. Altre iniziative ancora sono state lanciate, e si sta presentando il rischio di
Lo scenario che si sta prospettando è in perfetta sintonia con le opinioni di analisti e accademici che insistono sulla necessità di simili proposte grazie anche alla crescente penetrazione globale di Internet e delle comunità ad essa associate, un movimento non organizzato, nato dal basso che sta dando un nuovo impulso all'economia legata all'IT - software aperto significa minori costi di licenza e maggiore possibilità di usufruire di nuovi strumenti avanzati.
Ma se un'azienda vuole far perno sull'open source come traino per le sue attività e i suoi introiti, deve investire su un modello di business adeguato, che preveda anche l'esistenza di una comunità (o community) di sviluppatori e utilizzatori: il modello di sviluppo di tutte le iniziative aperte ha avuto infatti come componente fondante la partecipazione, non tanto basata su componenti altruistiche, ma piuttosto mossa dalla volontà di imparare, di mostrare qualcosa, di avere qualcosa di funzionante.
Sia IBM che SAP si sono appoggiate a comunità già avviate e operative da tempo, Sun sta invece utilizzando lo stesso approccio che utilizzò per promuovere Java allo scopo di sviluppare una comunità intorno al suo nuovo sistema operativo aperto.

Per quanto riguarda invece i modelli di concessione d'uso che un’azienda può utilizzare per abbracciare il mondo open source sono sostanzialmente di tre tipi:
  1. il modello dual-license, che prevede il rilascio di materiale sia sotto licenza aperta sia a pagamento per coloro che desiderano farne un uso commerciale;
  2. il modello basato sul supporto, dove le aziende forniscono oggetti gratuiti e aperti ma richiedono il pagamento per il loro supporto;
  3. fornitura di una versione gratuita con funzionalità limitate e pagamento di una licenza per l’aggiornamento a una versione più ricca.

Precedente articolo: L'open source sta spostando l'asse degli investimenti IT verso i servizi


28.1.05

[analisi] Gartner e Meta Group: matrimonio in crisi?

Leggo da The Register un'analisi sugli analisti: secondo KGC, un'azienda che svolge ricerche sulle aziende che svolgono ricerche, bisogna stare molto attenti sull'acquisizione di MetaGroup da parte di Gartner .
In primis, a detta della società, le due aziende non hanno svolto un buon lavoro di comunicazione sulle mosse post-acquisizione e circostanzia così questa affermazione "[T]he analysts are frequently called upon to give their advice and recommendations when technology vendors merge or get bought. Vendors that tend to get relatively positive coverage from the analysts surrounding their M&A (merger and acquisition) activities are the ones that do a good job of letting the world know, up front, just how things like products, policies, current contracts and go-forward business arrangements will be adjusted and honored. . . Conversely, vendors that tend to get creamed by the analysts in M&A are the ones who make the announcement, but don‚t seem to have any real plan for migrating customers, honoring contracts and articulating a go-forward plan and vision."
La KGC fa ricadere il processo di M&A nel secondo caso e arriva a ipotizzare conseguenze come la fuga del 50% dello staff Meta. Impressive. Very impressive. Indeed.

BLinks:

[tendenze] Dall'Era dell'Informazione all'Era Concettuale


Wired di febbraio contiene un articolo estratto da libro di Daniel H. Pink di prossima uscita "A Whole New Mind: Moving from the Information Age to the Conceptual Age".
Si parla della parte sinistra del cervello, quella che presiede le funzioni analitiche e sequenziali tra le altre, che negli anni '90 ha contribuito allo sviluppo dell'Era dell'Informazione (the Information Age). Si afferma poi che la parte destra, che invece si cura del contesto, delle emozioni e della sintesi, sarà quella che ci guiderà attraverso l'Età Concettuale (the Conceptual Age), in cui il lavoro che prima veniva svolto prevalentemente dalla parte sinistra del cervello viene ora svolto dalle macchine e in cui sussiste un'abbondanza di materialità, posseduta o da acquisire.
Come a dire che per lavorare meglio ci vorrà più fantasia, creatività e più esperienza di relazione, più intelligenza emozionale, più design emozionale, più branding emozionale, ma sempre unite alle funzioni presiedute dalla parte sinistra del cervello.
(Emozionale è la nuova buzzword che unita ad un termine qualsiasi lo rende più moderno stimolando la parte destra del cervello a collaborare con una pratica già consolidata ma considerata, fino a poco prima, solo dal punto di vista logico/analitico).

Pink conclude così "Volete andare avanti oggi? Dimenticate quello che i vostri genitori vi hanno detto. Invece, fate qualcosa che all'estero [si parla anche di outsourcing, ndr] non possano fare con costi inferiori. Qualcosa che i computer non possano fare più velocemente. E qualcosa che soddisfi uno dei desideri non materiali e trascendenti di un'era di abbondanza. In other words, go right, young man and woman, go right." (L'ultima frase l'ho lasciata in lingua originale perchè la traduzione non avrebbe reso il senso del gioco di parole.)

25.1.05

[news] Il piano di Sun verso OpenSolaris

Nella sua campagna verso Open Solaris, Sun rilascierà oggi in open source DTrace, uno strumento di Dynamic Tracing utilizzato per il monitoraggio dei programmi in corso di esecuzione.

Oltre a questo, Sun finalmente svelerà il suo piano verso il suo Solaris aperto, che probabilmente vedrà il rilascio definitivo entro giugno di quest'anno e che sarà coperto dalla Community Development and Distribution License (CDDL) una licenza open source derivata dalla Mozilla Public License.

Nel progetto del nuovo sistema operativo, la società californiana ha speso 500 milioni di $ per lo sviluppo della versione 10, processo a cui hanno partecipato più di 1000 software engineers.

Tra le altre nuove features che rendono molto interessante il nuovo Solaris troviamo i container, che permettono di istanziare ambienti operativi virtuali, la possibilità di analisi predittiva dei guasti hardware, lo ZFS filesystem e il Linux Application Environment, nome in codice Janus, che permetterà al software sviluppato su Linux di girare anche su Solaris 10.

24.1.05

[←↑→↓] RSS e la semplicità

Provo sincera simpatia per John Maeda, emerito professore del MIT Media Lab,
Cambridge, Massachusetts, USA, di cui seguo il blog Simplicity.
Simplicity è un programma di ricerca sperimentale del MIT focalizzato sullo sviluppo di tecnologie per il design - design più semplici da capire, più facili da usare e più divertenti.
In uno dei recenti post ha osservato come l'RSS (Really Simple Syndication) non sia così semplice come il nome vorrebbe far credere.
Maeda ha prodotto tre file RSS nei rispettivi formati standard che coesistono attualmente, li ha verificati con i sistemi di validazione e ognuno di essi ha fornito 3 analisi diverse sulla compatibilità dei flussi.
E in ognuno dei 3 casi ha perso del tempo (e quindi denaro) per analizzare le diagnostiche.
Maeda arriva poi a una conclusione che non posso che condividere: i tecnologi tendono a sovraingegnerizzare le cose fino a portarle a un punto di non utilità. Un buon esempio di questo concetto è stato il Titanic: sovraingegnerizzato fino al punto della sovraconfidenza e privato del numero adeguato di scialuppe per motivi di estetica.

Personalmente non condivido l'entusiasmo del tecnologo che impegna molto tempo a ingegnerizzare materiale per creare prodotti pieni di funzionalità, o di quello che non condivide uno standard e ne costruisce un altro che serve allo stesso scopo, o quell'altro ancora che si entusiasma per aver sviscerato tutto il bene e il male di 4 tecnologie che risolvono lo stesso problema. Keep It Simple Stupid.
I risultati, positivi o negativi di questi sforzi si trascinano un costo che può essere troppo alto, sia in termini di perdita di tempo sia di raggiungimento di risultati scarsamente utilizzabili.
In pochi hanno ascoltato il Dalai Lama quando disse che la semplicità è la chiave per la felicità nel mondo moderno.

Per una definizione della semplicità
La semplicità è un modo per rendere più utilizzabile uno strumento (che sia un programma, un sito web, un'oggetto, un dispositivo, etc), "organizzando" il suo rapporto con l'utilizzatore e sfrondandolo degli elementi non necessari.
Non è uno stile di design, è una prospettiva, un approccio che spesso porta a ottenere i risultati più belli e più usabili.
Un errore comune è pensare che il l'ottenimento della semplicità sia una questione di riduzione, mentre invece la semplicità richiede un analisi e uno sforzo molto profondi.
Paradossalmente è più semplice creare strumenti complessi, perchè è molto complesso semplificarli.
Arricchire un sistema di features da indubbiamente molta soddisfazione al suo creatore e potrebbe dare una maggior soddisfazione anche agli utilizzatori che ne decreteranno il successo se il sistema sarà in grado di sostenere un alta utilizzabilità, peculiarità che deriva in primis dalla sua semplicità d'uso.
Essa deve diventare un approccio da collegare a qualsiasi attività produttiva: purtroppo, però, ho incontrato troppo spesso degli oggetti, che fossero programmi software, dispositivi, applicazioni, documenti, procedure, dove la semplicità era ben lungi dall'essere stata considerata nella fase di design.

Le allegorie del marketing tecnologico


Quante volte vi è capitato di leggere del materiale di marketing di un'azienda di tecnologia, di non capire il significato di alcuni termini, di documentarvi, di biasimarne l'utilizzo per poi trovarvi qualche tempo dopo ad esprimervi nel medesimo modo?
E quanto in fretta noi italiani assimiliamo un eufemismo tecnologico inglese da sfoggiare con celata supponenza nelle nostre discussioni?
Tempo fa, dopo aver sentito per l'ennesima volta il solito funzionario commerciale che vantava le soluzioni della sua azienda, gli ho chiesto "Soluzioni? Ma a quali problemi?"
L'evidente imbarazzo che trapelava dalla sua risposta non esauriente mi ha fatto riflettere a quanto alcuni termini abbiano un significato che si è logorato nel tempo.
Pensate a quando vi propongono delle soluzioni "enterprise": mi immagino nei panni del capitano Kirk che comunica al suo PC dicendo "Computer: mostrami il cruscotto degli andamenti del consumo di carburante negli ultimi 3 salti a velocità warp".
Quando poi le soluzioni sono pure scalabili, mi viene da pensare a un problema che è veramente grosso, se la sua soluzione diventa sempre più grande.
Che dire invece delle strategie basate sul "viral marketing", un marketing così veloce e pervasivo da contagiare anche i più inetti in materia?
Ma quando è iniziato tutto questo?
Tim Bajarin, analista presso la Creative Strategies fa iniziare l'era delle allegorie tecnologiche negli anni '80, quando Microsoft e Apple lottavano per rendere interessanti i propri prodotti al pubblico non tecnico: anzichè dire che i prodotti office avrebbero consetito di fare calcoli, elaborare informazioni e scrivere lettere, Microsoft se ne uscì a proporre una "soluione" ai problemi lavorativi di tutti i giorni.
Steve Jobs invece propose l'esperienza (o meglio la experience) di utilizzare un computer Apple a metà degli anni '80: ancora tutt'oggi la parola experience si utilizza nei contesti tecnologici più svariati, non ultimo il definire la capacità di migliorare un'interfaccia utente come user experience.
Come queste parole ce ne sono molte altre che hanno sforato anche in altri contesti: quando un impiegato dell'ufficio personale di una grande azienda un giorno mi ha detto che stavano operando un downsizing del personale mi sono immaginato i dirigenti che impartivano ordini a frotte di nanetti seduti alle loro piccole scrivanie.
E' qualcosa di più di un gergo, è una neolingua che pervade il nostro ambiente di lavoro quotidiano e che mi fa sempre più storcere il naso.
A voi no? Forse non avete mai fatto caso a quanti neologismi utilizzate. Date un'occhiata a BuzzWhack per rendervene conto.

21.1.05

[sicurezza] Preservare la proprietà intellettuale: strumenti informatici(2^ parte)

Continua l'analisi degli strumenti che aiutano le aziende a proteggere il proprio capitale intellettuale.
Link alla prima parte

Nell’amministrazione del proprio Capitale Intellettuale un’azienda necessita di un connubio felice di procedure e strumenti: la carenza di una di queste due componenti pregiudica il raggiungimeto dell’obiettivo vanificando gli investimenti attuati.
Supponiamo quindi che, una volta formulate le necessarie procedure in un certo stadio di raffinamento, l’azienda abbia implementato un sistema di Enterprise Content Management che regoli l’accesso ai documenti, come descritto nella precedente puntata.
Ora diventa necessario regolare il trattamento dell’informazione una volta che l’utente ne ha avuto l’accesso, ovvero, capire che cosa può avvenire una volta che il documento è stato scaricato sul PC del dipendente.
Le informazioni possono essere inviate via e-mail, scaricate su un server esterno via FTP o HTTP, copiate su una chiave USB o su un CD.

Dogane digitali
Alcuni prodotti di mercato permettono di monitorare i punti di uscita digitali di un’azienda in modo da determinare se delle informazioni stanno uscendo senza la relativa autorizzazione.
In pratica, ciò che hanno fatto società come Vericept Corp., Vidius Inc. and Vontu Inc è di costruire pacchetti in grado di sniffare e di esaminare il contenuto di allegati di email, file scaricati via ftp o http o scambiati attraverso Instant Messaging.
Utilizzando le tecnologie sviluppate per i sistemi anti-intrusione e di content-filtering, questi software esaminano il contenuto dei flussi di dati attraverso matching di parole chiave o regular expression.
I meccanismi di individuazione soffrono generalmente di un tasso di falsi positivi che dovrà essere gestito con un approfondito tuning e mantenimento.
Società come Intelligrate sono in grado di supportare i sistemi anti-intrusione con tecnologie che, utilizzando la Linguistica Computazionale e l’Elaborazione del linguaggio naturale, offrono un grado di individuazione più accurato ed efficiente.

Marcatura a uomo
Cosa succede quando gli interni di un azienda stampano documenti o li copiano in CD o chiavette USB e li portano con sé quando escono dal’azienda?
Qui entrano in gioco altri strumenti informativi, come quelli di Verdasys Inc., Liquid Machines Inc., Authentica Inc. and AegisDRM Ltd, che affrontano il problema della fuoriuscita di Proprietà Intellettuale sotto un’altra prospettiva: installando agenti software sul desktop dell’utente che tengono traccia delle azioni da lui svolte, incluse aperture e chiusure di file, copie su dispositivi rimuovibili e invio di file via rete e inviano un alert quando si presenta una violazione.
Questi prodotti consentono di definire policy flessibili e che vadano incontro alle esigenze delle normative sulla privacy aziendale, ma, a differenza di quelli del capitolo precedente, determinano la confidenzialità e la riservatezza dei documenti attraverso una marcatura che viene delegata all’amministratore.

20.1.05

[sicurezza] Linux meno vulnerabile di Windows (secondo un'analisi di Honeynet)

Il progetto Honeynet ha lo scopo di condurre ricerche sulla sicurezza connettendo ad Internet computer con sensori software (le cosiddette honeypot) e monitorando gli attacchi da parte degli hacker.
Ecco quello che riporta un'analisi su Linux da poco divulgata:
[...] l'aspetattiva di vita per la compromissione di un sistema Linux non patchato è aumentata da 72 ore a 3 mesi. Questo significa che un sistema Linux non patchato con configurazioni comunemente usate (come la RedHat 9.0 o Suse 6.2 in configurazione server) ha un'aspettativa di vita di 3 mesi prima di essere compromesse.
Questa è molto più alta di quella dei sistemi Windows, che hanno un'aspettativa di vita nell'ordine di pochi minuti.

L'analisi riguarda sistemi vulnerabili: una volta che i ricercatori hanno messo in rete i 20 sistem i Linux, hanno scoperto che nessun hacker tentava di penetrarli. Tutti gli attacchi erano rivolti verso i sistemi Windows.
Come afferma Bruce Schneier "Due anni fa un sistema Linux vulnerabile poteva essere aperto in meno di 3 giorni, ora ci vogliono 3 mesi. Perchè? Secondo me per due ragioni. Una, Linux è molto più sicuro di Windows. Due, i cattivi si focalizzano su Windows, perchè ne vale più la pena"

Se ne parla su cnet, su techweb e su eweek.

[e-commerce] Google combatte il Search Engine Spam con un tag

I blog, i forum e i guestbook sono spesso utilizzati da spammer senza scrupoli che scrivono commenti con l'unico scopo di lasciare un link alle pagine da pubblicizzare; questo, insieme a molti altri, è un metodo consolidato per ingannare i motori di ricerca sfruttando l'algoritmo di indicizzazione basato sul Page Rank.

Google, con il supporto di MSN, Yahoo!, Manila, Six Apart, Wordpress, Flickr, Blogger, Livejournal, Buzznet, Blojsom, Blosxom, ha annunciato l'introduzione di un nuovo modo per sfruttare un attributo HTML che cambierà il modo in cui molti motori di ricerca analizzano un sito: attraverso l'attributo rel="nofollow" che potrà essere inserito nei tag <a> che definiscono i link ad un certo URL, sarà possibile comunicare allo spider del motore di ricerca che sta analizzando la pagina di non seguire il link e di non computarlo nel calcolo del Page Rank.
I gestori di forum, blog e guestbook potranno inserire l'attributo nei fogli di stile, rendendo così immediato e automatico l'aggiornamento delle pagine.

Questa iniziativa irriterà non poco coloro che sfruttano le debolezze del sistema per trarne profitto, ma giova naturalmente alla grande maggioranza degli utenti dei motori di ricerca, stanca e delusa di trovare siti inutili tra i primi risultati delle proprie ricerche.

BLinks:

17.1.05

[sicurezza] Casseforti open source

Matt Blaze è un professore fuori dal comune: insegnante al dipartimento di Computer and Information Science dell'Università della Pennsylvania, nel tempo libero si diletta ad applicare i criteri di analisi della sicurezza informatica ad elementi del mondo non-digitale.
Nel suo ultimo rapporto, Safecracking for the Computer Scientist (PDF; 2.6 MB ), ci mostra come la prospettiva di analisi di un tecnologo informatico sia in grado di valutare e individuare le debolezze delle casseforti e dei dispositivi affini(caveau etc): l'analisi, davvero interessante e definita "eccellente" da Bruce Schneier, ha evidenziato le carenze strutturali insite nel processo di gestione della sicurezza di questi sistemi e ha sollevato un vero e proprio vespaio nel mondo degli "esperti" di forzieri e affini.
L'approccio di questi ultimi, infatti, si richiama al vetusto metodo "security through obscurity", un approccio che prevede l'occultamento delle informazioni sul funzionamento di un sistema e che ha come maggior svantaggio la lenta, se non addirittura nulla, evoluzione dei sistemi stessi.
Blaze, invece, facendo un reverse engineering dei dispositivi e divulgando informazioni sui loro funzionamenti e debolezze, fa in modo che esse non siano solo patrimonio di costruttori e scassinatori e sollecita la necessità di costruire dispositivi sempre più sicuri.
Vi consiglio di leggere i pareri infiammati degli espertoni di cassaforti sul gruppo alt.locksmithing

[strumenti] BEST migliora i progetti di Enterprise System Implementation

Non importa quanto grande sia la vostra società, storicamente il 60% dei progetti di Enterprise System Implementation (ESI) fallisce. BEST è un approccio dedicato all'assessment che aiuta le imprese a focalizzarsi sui rischi umani e organizzativi che impediscono ai progetti di realizzare effettivi benefici di business.
E' con questa introduzione che si presenta il progetto BEST, un'iniziativa in cui l'Unione Europea ha investito 4 milioni di euro e che ha raduntao 12 partner in tutta Europa.

Budget sottodimensionati, ambiti limitati, specifiche poco definite e fallimenti nel rilascio sono motivazioni che gli IT manager riconoscono come parte dei fallimenti dei progetti; BEST ne ha analizzato le motivazioni, in un progettto durato 28 mesi e che ha studiato 250 scenari di successo e fallimento.

BEST è l'acronimo di Better Enterprise System Implementation, ovvero la ricerca del modo migliore per assicurare il cambiamento attraverso l'IT nelle aziende di ogni dimensione evitando gli errori che i progetti precedenti hanno commesso.

L'aspetto umano infatti ha un impatto considerevole sui progetti IT: nei progetti inerenti i sistemi sono presenti anche componenti di cambiamento di business, non solo hardware e software: quante volte è capitato di avere un sistema perfettamente funzionante e nessuno che lo sapesse gestire, ad esempio?

Molti dei fallimenti esaminati sono dovuti alla sottovalutazione dell'aspetto organizzativo: il cambiamento introdotto dalla nuova tecnologia aveva ripercussioni anche sul lato del personale e, sebbene alcune aziende avessero affrontato precedentemente problemi similari, la conoscenza era andata persa nei meandri dell'organizzazione.

BEST è dedicato alle aziende nella fase di selezione di un prodotto IT o in un processo di change management: progettato per fornire benefici tangibili propone un approccio che parte dal controllo dello stato di salute, utilizzando strumenti di diagnostica, e che arriva alla definizione del processo di implementazione, elemento sempre dinamico.

Attraverso riunioni, workshop, interviste vis-a-vis a ogni livello dell'organizzazione, si delinea un BEST assessment: la conoscenza è pacchettizzata utilizzando uno strumento e una metodologia di assessment. Lo strumento utilizza domande contestuali per localizzare catene CEAO (cause-events-actions-outcome) in situazioni similari e le domande sono interconnesse in modo che ognuna rappresenti punti di decisione dove assumere o rimuovere rischi.

Sebbene in progetto sia terminato a fine novembre 2004, alcuni dei partner stanno lavorando ad attività di commercializzazione e di collaborazione con lo scopo di sviluppare la base di conoscenza: attraverso il sito del progetto è possibile entrare in contatto con il project manager e con i partner.

Questo approccio, oltre a richiedere un necessario tempo di studio, chiede all'organizzazione di soffermarsi a riflettere e analizzare i casi di successso e insuccesso: la condivisione di queste analisi è uno degli ostacoli maggiori alla riuscita di progetti come questo, sebbene ne sia anche il punto di forza. Un'azienda è prima di tutto gelosa delle proprie procedure e del proprio modus operandi, ravvisando in un approccio di questo genere un modo per uscire allo scoperto e ammettere le proprie debolezze.

L'errore qui sta nel non considerare che molte aziende hanno a che fare con processi non ottimizzati, non solo perfettibili, ma ancora distanti dal fornire benefici tangibili, e questo avviene soprattutto perchè i processi di business non devono procedere in compartimenti stagni, ma sono interconnessi e interdipendenti.

Il successo di un approccio come il BEST sta invece nella volontà di condivisione dei criteri utilizzati nei progetti. L'ideale sarebbe arrivare a un approccio similare allo sviluppo open source: nel'ambito della gestione dei progetti ogni variabile deve essere definibile, monitorabile e presentabile in modo da poter essere valutata anche da chi altro desideri contribuire all'analisi e alla definizione di un modello.

In questo modo sarà possibile condividere non solo una knowledge base di progetti, ma un ambiente di analisi del processo durante lo svoglersi dello stesso: una delle problematiche più difficili è la gestione della privacy di ogni azienda, ovvero trovare il modo di descrivere le attività progettuali senza però divulgare informazioni sensibili.

Per approfondimenti: Home page del progetto

14.1.05

[news] La Mini di Google

Mini è la buzzword che fa marketing in questi ultimi giorni: dopo il Mini Mac, ora abbiamo anche il Mini Google, cioè Google Mini un'appliance in grado di ricercare all'interno di un numero massimo di 50.000 documenti e che costerà solo 4.995 $.
Studiato per le piccole e medie aziende, il Google Search Appliance di release 4.2 incorpora la possibilità di accedere a nuovi tipi di dati, tra cui i database relazionali.
Si parla inotlre di una API di integrazione per permettere l'accesso anche a dati conservati su sistemi legacy.

[sicurezza] Preservare la proprietà intellettuale: strumenti informatici (1^ parte)

Una ricerca di Accenture dello scorso anno sul valore dei beni intengibili nelle aziende ha evidenziato ancora una volta due caratteristiche fondamentali del capitale intellettuale: è un bene aziendale imprescindibile, ma i profili della sua gestione e della misurazione delle performance nelle imprese reali sono molto lontani da quelli dell’azienda ideale.
Alcune aziende affermano che fino all’80% del proprio asset è costituito da proprietà intellettuale, e non è difficile da credere, soprattutto nelle aziende di servizi.
All’interno del capitale intellettuale rientrano proprietà che possono avere o no un aspetto tangibile, ma che sono spesso rappresentate digitalmente come brevetti, marchi di fabbrica, informazioni confidenziali di business, progetti, architetture, diritti d’autore, algoritmi, codice software, schemi hardware, invenzioni, processi di businesss e altro ancora.
Per dare un’dea di quanto costi a un’azienda una perdita di CI, basti sapere che dal luglio 2000 al giugno 2001 le società americane hanno perso fino a 59 miliardi di dollari (studio PricewaterhouseCoopers, the U.S. Chamber of Commerce and the American Society for Industrial Security International): la perdita media per la ricerca e sviluppo è stata di 404.000 $ e di dati finanziari di 356.000 $.
Queste cifre sorprendono anche i professionisti dell’Information Security, che hanno un buon livello di fiducia nelle contromisure adottate per impedire la fuoriuscita di dati proprietari: laddove però la causa sia interna, ovvero per il 70% dei casi, l’attività è molto più difficile da gestire.
Chi lavora all’interno dell’azienda, dipendenti, ma anche consulenti stanziali, stagisti, partner, è generalmente considerato un utente “di fiducia” che ha accesso alla rete aziendale: può capitare che una di queste figure, per insoddisfazione o corruzione ad esempio, inoltri alla concorrenza informazioni confidenziali (piani, programmi, software, dati dei clienti, etc) attraverso una varietà di metodi che spaziano dalla semplice e tracciabile email ai più sicuri DVD masterizzati o schede USB.
Ua volta che il segreto non è più tale la società può adire alle vie legali, con esiti disparati: oltre ai costi di avvocati e di tribunale sono purtroppo da conteggiare anche i costi dovuti alla perdita di reputazione e di mancato market timing.


Come proteggersi da questa minaccia?
Procedure, procedure, procedure: snelle, facili da mantenere e da implementare.
Una procedura ricca di annessi burocratici non sarà mai abbastanza veloce da rispondere alle azioni destrutturate, e non sarà mai facilmente assimilata e quindi messa in pratica.
Si ottiene un risultato migliore perdendo un po’ di tempo in più nel raffinamento della procedura per renderla più funzionale possibile, che emanandone in fretta una che sarà pesante da amministrare e da divulgare.
Esistono alcuni strumenti che supportano l’attività di monitoraggio della documentazione, ma ribadisco che gli strumenti sono solo un ausilio alle procedure interne: un approccio che prevede l’implementazione di uno strumento avulso da una procedura è destrutturato e fallimentare.
Gli strumenti facilitano un’attività e sostituiscono altri strumenti: non sono la soluzione al problema.

Enterprise Content Management
Una delle risposte migliori alla richiesta di strutturazione del capitale aziendale viene dalle soluzioni di Enterprise Content Management che consentono un’amministrazione centralizzata dei documenti con le seguenti caratteristiche:

  • Organizzare e classificare documenti elettronici
  • Ricercare documenti
  • Condividere informazioni
  • Gestione di check in e check out per la modificare dei documenti
  • Versionamento
  • Tracciamento dell’accesso ai documenti

Una delle regole basilari della sicurezza delle informazioni è la definizione delle regole di accesso ai dati: ogni utente è titolato, per quello che riguarda la sua mansione professionale, ad accedere a un gruppo limitato di informazioni aziendali.
Attraverso le soluzioni di ECM gli accessi ai documenti elettronici sono registrati e riportati e alcuni dei prodotti sono in grado di individuare il comportamento di accesso dei singoli utenti.
Tra le aziende meglio posizionate nell'ambito dell'ECM cito Filenet, con le cui soluzioni e partner ho avuto modo di lavorare e apprezzarne le qualità.

Nella prossima parte parlerò degli strumenti di individuazione e controllo della perdite di capitale intellettuale


13.1.05

[sicurezza] Da Responsabile IT a Chief Espionage Officer la strada è breve

Vi propongo un interessante articolo su Baseline che illustra alcuni casi di spionaggio industriale condotti negli ultimi due anni da Direttori dei Sistemi Informativi, che, da soli o con l’aiuto di terzi, hanno sottratto o distrutto informazioni di aziende rivali.
Nel jet-set del crimine informatico gli attori più popolari sono i cracker o i creatori di virus, che, sebbene molto perniciosi, agiscono con scarse prospettive di ritorno economico.
Lo spionaggio industriale è invece meno popolare, ma altrettanto pernicioso sebbene abba finalità differenti: sia che avvengano dall’esterno o dall’interno (30% e 70% rispettivamente) i crimini ad esso legati spesso non sono denunciati causa il pericolo di danni all’immagine aziendale.
Ciò che è fondamentale comprendere per un’azienda, come già ribadito in un precedente articolo, è la necessità di investimenti in procedure e cultura della sicurezza, non solo in ferramenta e programmi che creano solidi bastioni sotto cui vanno e vengono contrabbandieri di informazioni in un vero e proprio termitaio. E definire un responsabile della sicurezza con una formazione anche sulle tecniche di prevenzione della sottrazione di informazioni.

[news] Il nuovo feed di conneXioni

Da oggi è disponibile un nuovo feed di conneXioni erogato da FeedBurner all'indirizzo http://feeds.feedburner.com/ConnexioniDiStefanoBonacina
Il feed è anche accessibile via browser.
Aggiornate il vostro feedreader.

12.1.05

[news] Una mailing list per i professionisti italiani dell'ICT

Dal momento che mi sembrava non esistesse una lista di discussione dedicata ai profesionisti italiani dell'Information & Communication Technology, ne ho aperto una su Yahoogroups.
Per il momento si tratta di una lista aperta, cioè non moderata e i cui temi di discussione sono liberi, sebbene attinenti a ciò che gravita intorno al mondo dell'ICT.
Caratteristiche della lista:
- possibilità di ricevere
- archiviazione dei messaggi
- gestione di sondaggi
- possibilità di iscrizione in modalità digest o singolo messaggio
Per iscriversi a ICT Italia:
Powered by groups.yahoo.com


[news] IBM pubblica la guida per la migrazione da Windows a Linux

IBM ha pubblicato una guida piuttosto corposa (268 pagine) per aiutare le imprese a migrare i loro sistemi da Windows a Linux. La guida è mirata a utenti con consocenze tecniche ma soprattutto agli amministratori IT aziendali e particolare attenzione è rivolta alla migrazione del desktop e dei programmi di office automation.
Gli autori affermano di aver voluto creare una guida che includesse sì dei suggerimenti pratici, ma soprattutto che guidasse il lettore attraverso alcune importanti considerazioni e problematiche di pianificazione generalmente presenti durante la fase di migrazione.

Io aggiungo che molte (non tutte, badate) applicazioni Windows non portabili su Linux possono girare nell'ambiente di emulazione Wine.

Un applauso a IBM che conferma ancora una volta come l'interesse verso l'ambiente open source anche da parte delle grosse aziende sia sempre più crescente.

11.1.05

Disponibile la Relazione informativa curata dal Dipartimento per l'Innovazione e le Tecnologie sul Digital Rights Management

Sul sito di Assodigitale sono disponibili tutti i documenti relativi alla Relazione Informativa prodotta e curata dal Dipartimento per l'Innovazione e le Tecnologie sul Digital Rights Management - Gestione dei Diritti dei Contenuti Digitali, ossia l’insieme di tecnologie e norme per la gestione del diritto d’autore.

[sicurezza] McAfee automatizza la protezione dal Google Hacking

Ricordate il virus santy che utilizzava il risultato di una query su google per trovare potenziali vittime?
E l'elenco di webcam private accessibili a tutti?
Ebbene, McAfee, attraverso la sua partecipata FoundStone, ha pensato di automatizzare la verifica di potenziali falle di sicurezza rintracciabili attraverso Google con il suo programma SiteDigger, disponibile gratuitamente.

Se ne parla su cnet news.

Come dice Johnny Long, autore del libro "Google Hacking for Penetration Testers," e ideatore del sito "i hack stuff", "questi strumenti sono molto utili ai webmaster. il team della sicurezza non ha modo di star dietro a Google se non con l'automazione."
Se desiderate avere un'idea di quanto singolare può essere il risultato di una ricerca su Google, date un'occhiata al suo sito.

10.1.05

[tendenze] Come cambiare l'opinione pubblica con Google ovvero PoliticalSpam for Search Engines 1.0

Fino a dove ci si può spingere per influenzare l'opinione pubblica?
Da noi in Italia c'è Berlusconi e le sue 5 reti e mezzo, e negli Stati Uniti, oltre alla televisione semipresidenziale Fox, c'è pure Google.
Google? Ma pensavamo che Internet avesse un sistema di autoprotezione ...
Beh, pare che Ken Lay, ex-CEO e Direttore di Enron, abbia trovato un modo, per così dire, elegante, per permettere a chi cerca il suo il nome o quello di Enron con Google e Yahoo abbia tra i primi risultati il link al sito dove egli spiega la sua versione dei fatti. A un prezzo che varia dai 5 ai 12 cents al click.

Il giochetto ha funzionato fino a quando non è stato scoperto dalla stampa: se provate ora a lanciare una ricerca con le parole chiave suggerite, troverete solo siti istituzionali di informazione.

La notizia arriva dal blog BattelleMedia che l'ha ripresa dallo Houston Chronicles.

[analisi] Anti-spyware di Microsoft: atto dovuto o ammissione della propria impotenza?

Microsoft ha da poco firmato l’acquisizione di GIANT, società produttrice di un antispyware, e giovedì 6 gennaio scorso rilascia la versione beta del suo nuovo anti-spyware.
La notizia, secondo me, può portare ad alcune considerazioni: gli utenti di Windows sono certamente felici di avere un supporto anche dal produttore del sistema operativo che il loro computer utilizza. Molti di loro non sapevano nemmeno cosa fosse lo spyware, poiché l’utilizzo di programmi come Adware è ancora ciscoscritto a una fascia limitata di utenti.
L'azienda di Redmond si merita il plauso del pubblico perché il nuovo programma, che porta ancora il marchio GIANT e che è beta solo per necessità del nuovo marketing digitale, era atteso da tempo.
Microsoft ha dichiarato che la versione del programma, e i suoi aggiornamenti, saranno gratuiti fino al 31 luglio e ha aggiunto che non è ancora stata presa una decisione sull’eventuale pricing del software e del servizio. Se Microsoft decidesse di commercializzare il software, utilizzando il modello a sottoscrizione come negli antivirus, entrerà in un business da milioni di dollari.
Ritengo però che non sia assolutamente lecito far pagare un servizio che pone rimedio a spyware che si installano grazie alle falle del sistema operativo e al suo browser preferito!
E' auspicabile che l’anty-spyware venga incluso nelle future versioni di Windows, così come lo è Internet Explorer.
Questa mossa, insieme al prossimo rimedio che Microsoft renderà pubblico contro il dilagare dei virus, ha un aspetto grottesco: la società di Bill Gates riconosce che il suo sistema operativo e il suo browser sono pieni di falle però al momento non può fare di meglio. Ad oggi le società che producono anti-virus stanno davvero fatturando milioni, ed è pensabile che un mercato similare si possa creare anche per lo spyware, che ancora non ha la stessa perniciosità e possibilità di diffusione dei virus, ma che sta vedendo incrementarsi di popolarità.
E' accettabile che un’azienda, che non sia Microsoft, produca un software anti-spyware per Windows, ma non che lo faccia Microsoft.
Non è solo un nuovo business: l’azienda di Redmond ci sta dicendo che non può fare nulla per sistemare i buchi dei propri programmi, perché è tutto diventato più grande di quanto si potesse prevedere e le è sfuggito di mano: un sistema operativo troppo grosso, costruitio su una base relativamente solida, troppi programmi, troppi utenti, troppo tempo per fare un processo di certificazione della qualità adeguato.
Per cambiare qualcosa dovremo aspettare Longhorn, forse, e questo evento ci sta suggerendo che mancherà ancora molto, molto tempo.

Nota: Microsoft Jargon
Nella licenza di utilizzo del software, al punto 5, si denomina lo spyware come PUS (Potentially Unwanted Software): il programma aiuterà a rimuovere il PUS dal proprio computer (sic!)

Aggiornamento del 17 gennaio 2005
Da questo articolo pubblicato sul newsgroup it.comp.sicurezza.windows è nata un'interessante discussione

7.1.05

[analisi] Quanto sarà aperto Solaris 10?

Nel dicembre del 2004 Sun ha sottoposto all’Open Source Initiative, l’organismo che governe le licenze open source, una nuova licenza denominata CDDL (Common Development and Distribution License). Si tratta di una versione modificata della MPL, ovvero Mozilla Public License Version 1.1, poiché nessuna delle 50 licenze open-source andava incontro alle esigenze della società californiana.
Pochi giorni fa la OSI ha dato il primo voto di supporto alla licenza, ed è stato quindi superato il primo dei gradini verso l’approvazione.
Sembra che Sun abbia manifestato una certa fretta per l’approvazione della licenza, fatto che potrebbe significare una necessità impellente collegata al rilascio in questo mese di Solaris 10, sistema operativo di cui Sun intende rilasciare alcune parti in open source.
Questi due fatti ci conducono a speculare sulla possibilità che la licenza utilizzata per Solaris 10 sia proprio la CDDL: il fatto che la licenza non sia compatibile con la GPL non preclude la certificazione come open source se risponde ai criteri dell’OSI di apertura e di condivisone e ridistribuzione del codice.
Come dichiarato nella lettera di accompagnamento “…come la Mozilla Public License, la CDDL non sarà compatibile con la GPL, poiché contiene requisiti non compresi nella GPL. È quindi possibile che i file [programmi e librerie, n.d.r.] rilasciati sotto la CDDL non potranno essere combinati con file rilasciati sotto GPL..:”
Sun quindi potrebbe cercare di seguire le orme del processo di sviluppo di Mozilla, e di FireFox, e al contempo impedire la migrazione degli applicativi sviluppati per Solaris 10 verso Linux, mentre invece sarà sempre possibile il viceversa, poiché Linux è coperto da GPL.
Inoltre, come ha ben affermato Linus Torvalds, “…penso ci siano dei parallelismi con modello “noi controlliamo il processo” utilizzato per Java. Personalmente penso che il loro problema [di Sun] sia che vogliono controllare troppo il risultato finale, e a causa di ciò non otterranno nessuno dei reali vantaggi dell’open source”.
Sun è una delle società che più ha sofferto dell’avvento di Linux, molto più di Microsoft: nei server di fascia medio-bassa, dove Sun era leader fino a pochi anni fa, Linux sta continuando a erodere fette di mercato.
Il sistema operativo della società californiana ha il vantaggio di incorporare in una sola entità alcune delle caratteristiche presenti in diverse distribuzioni di Linux:
1. può essere configurato con un alto grado di sicurezza, così come il Security Enhanced Linux (SELinux), sviluppato dalla NSA;
2. implementa lo ZFS file system, ma alcune distribuzioni di Linux implementano il Reiser4 (SuSE, Lindows, FTOSX, Libranet, Gentoo, Xandros and Yoper), sponsorizzato dalla DARPA, l’XFS (sviluppato da SGI), o il JFS, di IBM. E che dire poi dell'altro zFS, progetto di IBM per Linux?;
3. Solaris permette alle applicazioni di girare in istanze virtuali del sistema operativo, isolate dal resto del sistema: i Solaris container sono simili allo User-mode Linux, che fornisce funzionalità molto simili.

Linux ha però il grande vantaggio di supportare una grande quantità di hardware, caratteristica resa possibile dall’enorme comunità di sviluppatori che supporta il sistema operativo.

Per quanto riguarda poi il supporto a livelli industriale della piattaforma, Sun può contare su una rete di filiali sparse in tutto il mondo con una solida esperienza alle spalle, ma Linux viene ormai distribuito e supportato da IBM, HP, Novell, società con robuste strutture tecniche; ultimamente anche RedHat sta potenziando la propria struttura di supporto.
Difficile pensare che Solaris 10 possa ripetere il grande successo di Java, un linguaggio nato per essere portabile: Java è nato in un periodo tecnologico in cui non esisteva nulla di simile. Anche Linux è nato in un periodo tecnologico in cui non esisteva nulla di simile: FreeBSD è infatti arrivato un’anno e mezzo dopo.
Solaris 10, se fosse in open source, arriverebbe sicuramente con un po’ di ritardo, ma potrebbe recuperare il favore del pubblico se fosse completamente aperto rilasciando anche le tecnologie avanzate che lo caratterizzano.
Questo è quello che la comunità degli sviluppatori si auspica e che potrebbe portare notevoli vantaggi anche a Sun.

5.1.05

[sicurezza] Le webcam online si trovano con Google e le minacce alla sicurezza aumentano

Provate questa o quest'altra ricerca con Google e troverete più di 2500 risultati.
Di cosa si tratta? Di webcam che trasmettono online in diretta. Non sono webcam messe a disposizione da enti del turismo, da locali o musei, ma si tratta di telecamere collegate in rete senza protezione.
Potrete spiare persone che lavorano in ufficio, parcheggi, negozi e altro ancora.

Questa notizia porta all'attenzione quello che può diventare un nuovo filone dei crimini informatici.
La caratteristica di molti accessori informatici, una derivazione della connettività in rete, è di avere un mini web server utilizzato per facilitarne la gestione: non solo webcam, quindi, ma anche stampanti e apparecchiature di rete, la cui sicurezza deve essere gestita allo stesso modo con cui si gestisce la sicurezza di pc, server e mainframe, ma che invece sono spesso soltanto messi in rete.
Unendo questa falla di sicurezza alla ubiqua ricerca di Google è possibile pensare di penetrare nei sistemi di un'azienda sfruttando uno dei possibili bachi: non è detto infatti che il web server di una stampante sia talmente povero di funzionalità da non permetterne un utilizzo come ponte per colpire sistemi in rete più complessi o di fare una copia dei file inviati alla stampa.

Blinks:

[analisi] Come navigano i dipendenti delle aziende

Per chi lavora nel marketing, nelle vendite o sviluppa analisi societarie, trovare un certo tipo di informazioni su un'azienda può essere un compito arduo o semplicemente lungo.
Per alcuni obiettivi di analisi, VisitorVille® Intelligence offre un servizio che permette di sapere come i dipendenti di 200.000 aziende e organizzazioni utilizzano il web.
Monitorando migliaia di siti web e raggruppando gli indirizzi IP in blocchi è possibile scoprire molte informazioni sulle aziende: i dipendenti Microsoft utilizzano Google per il 66% delle ricerche e MSN Search per il 20%, mentre il 21% dei dipendenti di Google utilizza FireFox o Mozilla. I dipendenti Apple usano per il 68% Safari e quelli di Deutsche Telekom sono i più grandi utilizzatori di Linux, mentre il 39% dei dipendenti Sun utilizza SunOS.
I report che VisitorVillage fornisce permettono di conoscere quali sistemi utilizza un'azienda, quanto sono utilizzati i motori di ricerca e i siti di e-commerce, come comparare l'utilizzo di Internet tra diverse società.
Purtroppo, a causa della vastissima popolarità che sta avendo il servizio dopo la pubblicazione della news, il sito http://intelligence.visitorvillage.it non è in grado di fornire informazioni utili al momento della pubblicazione di questo articolo.

VisitorVillage realizza anche un programma di analisi molto interessante, che rappresenta il traffico sulla rete attraverso il paradigma del traffico cittadino: come in SimCity, avremo server raffigurati da grattacieli e utenti rappresentate da omini.
Il programma inoltre fornisce analisi delle visite, statistiche del siti web, grafici, analisi del clickstream e delle campagne, monitoraggio del traffico, filtri configurabili e molto altro ancora.

4.1.05

[sicurezza] Il mercato della gestione della sicurezza in Europa è in crescita

Secondo Yankee Group il mercato della gestione della sicurezza delle informazioni per l'area EMEA (Europe, Middle East, Africa) è in continua crescita.
Il tema della sicurezza sta acquisendo sempre più attenzione e le imprese si apprestano a siglare contratti con fornitori di servizi di gestione della sicurezza (altrimenti detti "managed security service providers", o MSSPs) e il mercato prevede una crescita degli introiti dai 500 milioni di dollari del 2003 agli 800 milioni del 2008.

Il mercato della gestione della sicurezza è piuttosto piccolo se comparato con le spese globali su prodotti e servizi di sicurezza, calcolate in 11.6 miliardi di dollari nel 2004. Si tratta però di un mercato giovane che trae sostanza dalla necessità di specializzazione sempre più alta anche nel campo della sicurezza, che spesso è ancora gestita da personale che segue anche altre tematiche IT .

Cosa possiamo imparare dal disastro in Asia (aggiornamento)

Vi segnalo alcuni interventi interessanti sul disastro in Asia e su cosa fare nel futuro.

L'Intervento di Jeremy Rifkin
"È una colossale sveglia quella che in questi giorni è scattata per l'umanità, una campana suonata per tutti, nessuno escluso. Siamo assolutamente vulnerabili nei confronti della natura, solo l'unione può darci qualche speranza di evitare il peggio".

L'intervento di Alex Steffen su WorldChanging
"Can we prevent the next Tsunami 2004-type disaster?
We can't stop earthquakes from happening. We can't block or dispel tsunamis before they hit shore. What we can do is prevent the kind of loss of life seen this week. "

Secondo Robert X. Cringely, grazia a Internet, è possibile realizzare un sistema di allarme anti-tsunami in brevissimo tempo:
How to Build a Global Internet Tsunami Warning System in a Month

[news] L'università di Madras aveva previsto il terremoto in Asia

In questo articolo si afferma che il dipartimento di geologia applicata dell'università di Madras avesse previsto il terremoto qualche giorno prima che si verificasse.
Sebbene il gruppo avesse avvisato alcuni enti, tra cui l' USGS, l'International Union of Geodesy and Geophysics (IUGG), l'International Association of Seismic Processes in the Earth's Interior (IASPET) e la NASA, ha preferito non avvisare il governo indiano sulle possibili devastazioni, poichè la metodologia utilizzata, per il momento, consente di raggiungere solo il 70-75% di successo.

Mi auguro che questa notizia venga diffusa il più possibile per sensibilizzare i governi a trovare una maggiore collaborazione in quello che dovrebbe diventare un movimento globale contro i disastri naturali, movimento facilitato dalle possibilità di comunicazione quasi immediata che ci offre la tecnologia, ma che necessita di finanziamenti e quindi di un impegno da parte soprattutto dalle nazioni plutocratiche.

[analisi] I costi dell'outsourcing all'estero (2^ parte)

Riprendo oggi il tema dei fattori economici legati all'ooutsourcing estero esaminando due fattori peculiari del modello di business: le differenze culturali e quelle procedurali.

Seguito della prima parte

Differenze culturali
Ogni società culturale è caratterizzata da modelli di comportamento che permeano anche l'approccio verso il lavoro: l'atteggiamento dialettico e valutativo di fronte a una proposta che caratterizza un progettista software, ad esempio, è molto comune in occidente, ma lo è molto meno negli altri paesi. La mancanza di responsi spontanei non sollecitati, che sono molto comuni nel nostro mondo del lavoro e a cui siamo abituati tanto da non annoverarli nelle procedure operative formali, deve essere ben chiara a chi utilizzerà aziende estere: la non consapevolezza introduce un elemento di instabilità con i conseguenti ritardi di raffinazione del processo e quindi di consegna dei progetti.

L’incertezza sulla produttività è uno degli impedimenti principali all’outsourcing estero: secondo una ricerca di Meta Group (ora Gartner) nei primi due anni di attività si verifica un calo di efficienza del processo di sviluppo del 20%. Questo può comportare un 20% di costi ulteriori da aggiungere al contratto.
Un altro fattore che può influenzare la produttività è l’alto turnover delle aziende estere: in India, ad esempio, il tasso di logoramento dei lavoratori può salire fino al 35% (analisi della National Association of Software and Service Companies). La conseguenza è una reiterazine del processo di trasferimento della conoscenza.
Inoltre, si posssono presentare difficoltà di comunicazione che introducono ulteriori ritardi e che richiedono molti più viaggi di quelli preventivati, sia del committente che del produttore.
Il problema della lingua è uno dei maggiori freni: la lingua franca utilizzata, sia per l’Europa dell’Est che per i paesi asiatici, è l’inglese. Il tasso di alfabetizzazione linguistica dei dipendenti delle aziende di outsourcing è molto alto, mentre non si può dire lo stesso dei lavoratori italiani: questo introduce non poche incomprensioni e conseguenti ritardi.
È bene considerare preventivamente dei corsi di aggiornamento linguistico dedicati in special modo a chi avrà a che fare con realtà estere.

Differenze procedurali
In molte imprese straniere la strutturazione del processo di sviluppo è molto definita e consolidata: è normale aveer a che fare con aziende già in possesso di certificazioni ISO e Capability Maturity Model (CMM) di livello 3 o 5, perché ciò permette loro di presentarsi ai clienti con un alto profilo e promettendo alti gradi di qualità.
Anche per l’azienda committente sarà necessario avere processi interni di sviluppo ben definiti, riparando quelle condizioni per cui gran parte della conoscenza è sulle spalle di poche persone la cui assenza potrebbe comportare drammatiche conseguenze.
La predisposizione di questi processi solitamente richiede, oltre a un solido impegno interno, anche servizi di consulenza e costi di certificazione: il costo del tempo impiegato dalle risorse interne per predisporsi all’aggiornamento è comunque un investimento non necessariamente collegato alle esigenze di outsourcing, ma lo si può far eventualmente rientrare per comodità.
Un altro punto di criticità è anche la redazione di specifiche precise: nello sviluppo svolto all’interno spesso le specifiche sono più lasche, poiché esistono dinamiche consolidate di comunicazione che portano rapidamente a un raffinamento.
Scrivere specifiche per l’esterno, e ancor di più, per un’azienda estera in cui si parla un’altra lingua può essere un compito costoso e durare più del doppio del tempo normalmente impiegato.

Questi due pezzi hanno voluto tracciare un quadro d'insieme della dimensione economica relativa all'outsourcing all'estero: in futuro parlerò anche di altre tematiche relative ai vantaggi e agli svantaggi di un progetto di esternalizzazione, ai rischi di perdita del capitale intellettuale e all'impatto che sta avendo e avrà sull'industria.

3.1.05

[analisi] I costi dell'outsourcing all'estero (1^ parte)

Conviene alle aziende italiane affidarsi a partner nei paesi emergenti per lo sviluppo di applicazioni? È vero che i costi di un programmatore di Bangalore siano pari al 20% del suo collega italiano?
Per entrambe le domande la risposta è sì, sebbene un progetto di offshoring non coinvolga solo i meri costi della manodopera e richieda una gestione diversa dal normale outsourcing: esistono costi che in un primo momento non sono evidenti o sono additittura nascosti e non prevedibili.

Il processo di selezione
Alcune analisi affermano che i costi di selezione di un fornitore di servizi variano dallo 0.2 % al 2% all’anno.
I costi includono le richieste di documentazione, l’invio di richieste di proposta (RFP) e la valutazione delle risposte e infine la negoziazione del contratto e i costi legali. Alcune aziende assegnano il compito a una risorsa interna, mentre altre si affidano a un consulente in selezione.
L’intero processo può durare da 3 a 8 mesi.
Il processo di due diligence è fondamentale, ma può esserlo anche una visita presso la sede dell’azienda candidata: i costi del viaggio e della permanenza all’estero per le persone coinvolte nella selezione sono da considerarsi parte del progetto.

La transizione
I costi di transizione sono probabilmente la voce più alta del processo di outsourcing: alcune esperienze mostrano come questo periodo possa durare da 3 mesi a un anno.
È necessario portare i partner in Italia per trasferire la conoscenza, che è un processo che richiede tempo e risorse che verranno distolte dal normale processo di sviluppo.
La sola comunicazione telefonica o telematica e l’invio delle specifiche non bastano: è un metodo che sebbene tagli i costi e i tempi iniziali, richiede un tempo di raffinamento successivo molto lungo.
Tempo fa ho incontrato un project manager piuttosto adirato con un’azienda outsourcer indiana poiché non erano state comprese le specifiche inviate, sebbene fossero state molto dettagliate. Ho scoperto poi che gli indiani non erano mai stati in Italia ad assimilare la conoscenza, nonostante avessero chiesto un periodo di permanenza di alcuni loro impiegati. La giustificazione del project manager italiano riguardava l’urgenza del progetto e la fiducia nelle potenzialità di comprensione degli indiani, perché “ormai abituati a lavorare in questo modo”.
Il risultato finale fu che il progetto venne consegnato con 4 mesi di ritardo.

L’azienda straniera dovrebbe analizzare la tecnologia e le architetture del committente prima di iniziare lo sviluppo. In sede dovranno poi essere approntate le adeguate infrastrutture, tra cui la connettività di rete, voce che potrebbe avere un costo ragguardevole, ma che può usufuire dei vantaggi delle VPN, che consentono collegamenti veloci su banda non-dedicata.

I progetti possono essere molto diversi tra loro: alcune aziende mirano a portare all’interno parte della forza lavoro straniera, ma alcune esperienze suggeriscono che il risparmio si ha solo quando almeno l’80-85% della manodopera straniera è all’estero.
In ogni caso, se i progetti sono diversi e corposi, è opportuno avere qualche referente dell’outsourcer stanziale presso l’azienda committente: questo facilita lo scambio di rapporti, lo velocizza e permette di superare agevolmente le eventuali differenze culturali.

Continua nella seconda parte