Autorità per lInformatica nella Pubblica Amministrazione Valutazione del Rischio nella Pubblica...

Autorità per l’Informatica nella Pubblica Amministrazione

Valutazione del Rischio nellaPubblica Amministrazione

Centrale

Livio Zoffoli

Anno 2000

FORUM P.A. - 7/5/1999FORUM P.A. - 7/5/1999

AAutorità per l’utorità per l’IInformatica nella nformatica nella PPubblica ubblica AAmministrazionemministrazione 2

Argomenti

Definizione del settore di interventoDefinizione del settore di intervento

Progetti di adeguamento Anno 2000Progetti di adeguamento Anno 2000

Attività dell’AIPA per l’adeguamento all’Anno 2000Attività dell’AIPA per l’adeguamento all’Anno 2000

Valutazione del rischio Anno 2000Valutazione del rischio Anno 2000

Identificazione delle criticitàIdentificazione delle criticità

Interpretazione dei risultati ottenutiInterpretazione dei risultati ottenuti

Posizionamento complessivo della P.A.rispetto al Posizionamento complessivo della P.A.rispetto al

rischio Anno 2000rischio Anno 2000


Definizione del settore di Intervento

Amministrazioni destinatarie del D.Lgs. 39/93Amministrazioni destinatarie del D.Lgs. 39/93

Dimensioni TecnologicheDimensioni TecnologichePotenza di calcoloPotenza di calcolo 4.1004.100 MipsMipsBasi dati 1.013 unità perBasi dati 1.013 unità per 17.10017.100 GbyteGbytePosti di lavoro in retePosti di lavoro in rete 160.000160.000 PdLPdLPatrimonio applicativoPatrimonio applicativo 269.000269.000 KlocKloc

Spesa per l’informatica (IVA inclusa) Spesa per l’informatica (IVA inclusa) TotaleTotale 2.8002.800 Mld £Mld £SviluppoSviluppo 1.1001.100 Mld £ Mld £ EsercizioEsercizio 1.7001.700 Mld £Mld £

Fonte Relazione Annuale 1997Fonte Relazione Annuale 1997


Progetti di Adeguamento Anno 2000

Progetti specificiProgetti specificiAmministrazioni interessateAmministrazioni interessate 2121Progetti per (IVA inclusa)Progetti per (IVA inclusa) 107107

Mld £, pari al 6% della spesa di esercizioMld £, pari al 6% della spesa di esercizio

Progetti di reingegnerizzazioneProgetti di reingegnerizzazioneLa scelta più frequente è stata quella di rendere La scelta più frequente è stata quella di rendere

conformi i sistemi mediante reingegnerizzazione o conformi i sistemi mediante reingegnerizzazione o sostituzione di applicazioni esistentisostituzione di applicazioni esistenti

Fonte Piano Triennale 1998-2000Fonte Piano Triennale 1998-2000

AAutorità per l’utorità per l’IInformatica nella nformatica nella PPubblica ubblica AAmministrazionemministrazione

Progetti di Adeguamento Anno 2000

Dettaglio deiDettaglio dei

Progetti SpecificiProgetti Specifici


Attività dell’AIPA per l’Adeguamento all’Anno 2000

Lug-Ott 1998Lug-Ott 1998Prima rilevazione AIPAPrima rilevazione AIPA

Nov-Dic 1998Nov-Dic 1998Aggiudicazione gara comunitaria a Gartner Group Aggiudicazione gara comunitaria a Gartner Group

per la valutazione del rischioper la valutazione del rischioAvvio progetto, prima fase di valutazione del rischioAvvio progetto, prima fase di valutazione del rischio

Gen-Mar 1999Gen-Mar 1999Raccolta delle informazioni necessarieRaccolta delle informazioni necessarieAssistenza alle AmministrazioniAssistenza alle Amministrazioni

Apr-Mag 1999Apr-Mag 1999Validazione dei dati e predisposizione dei rapportiValidazione dei dati e predisposizione dei rapportiPresentazione dei risultatiPresentazione dei risultati


Obiettivi dell’indagine

Di carattere generale:Di carattere generale:Censire i sistemi informativi interessati dal problemaCensire i sistemi informativi interessati dal problemaValutare l’impatto Anno 2000 sui sistemi informativiValutare l’impatto Anno 2000 sui sistemi informativiValutare il rischio derivante, analizzarne il trendValutare il rischio derivante, analizzarne il trend

Relativi ad ogni Amministrazione:Relativi ad ogni Amministrazione:stimare le dimensioni del problemastimare le dimensioni del problema identificare le prioritàidentificare le prioritàstimolare l’avvio di progetti di adeguamentostimolare l’avvio di progetti di adeguamentostimolare la predisposizione di piani di emergenzastimolare la predisposizione di piani di emergenzamonitorare le aree informative identificate prioritariemonitorare le aree informative identificate prioritariemonitorare l’adeguamento dei sistemi informativimonitorare l’adeguamento dei sistemi informativi


Fasi dell’indagine

FASE I - FASE I - Identificazione del rischioIdentificazione del rischio Impostazione raccolta dati Impostazione raccolta dati Raccolta datiRaccolta dati

(maggiore impegno per le Amministrazioni)(maggiore impegno per le Amministrazioni)Evidenza aree criticheEvidenza aree critiche

FASE II - FASE II - Revisione del rischioRevisione del rischioAggiornamento dati raccoltiAggiornamento dati raccolti

(minore impegno per le Amministrazioni)(minore impegno per le Amministrazioni)Approfondimenti su aree critiche Approfondimenti su aree critiche

FASE III - FASE III - Conferma del rischioConferma del rischio Aggiornamento dati raccolti Aggiornamento dati raccolti

(minore impegno per le Amministrazioni)(minore impegno per le Amministrazioni)


Valutare il Rischio Anno 2000

Livello di ConformitàLivello di Conformità In che misura il fenomeno Anno 2000 può In che misura il fenomeno Anno 2000 può

determinare delle disfunzioni all’interno delle determinare delle disfunzioni all’interno delle Amministrazioni?Amministrazioni?

Rischio per la MissioneRischio per la Missione In che misura eventuali disfunzioni possono In che misura eventuali disfunzioni possono

compromettere la capacità delle Amministrazioni di compromettere la capacità delle Amministrazioni di erogare i propri servizi?erogare i propri servizi?

Rischio OrganizzativoRischio Organizzativo In che misura le Amministrazioni sono in grado di In che misura le Amministrazioni sono in grado di

rimuovere eventuali disfunzioni?rimuovere eventuali disfunzioni?


Livello di Conformità

Mostra lo stato di avanzamento dell’Amministrazione Mostra lo stato di avanzamento dell’Amministrazione rispetto alla risoluzione dei problemi anno 2000 rispetto alla risoluzione dei problemi anno 2000

Viene misurato sulla scala Viene misurato sulla scala COMPARECOMPARE che va da 0 a 5 che va da 0 a 50 0 problematica sconosciutaproblematica sconosciuta,, nessuna attività di nessuna attività di

adeguamento, nessuna conformitàadeguamento, nessuna conformità1 1 presa di conoscenza del problemapresa di conoscenza del problema, prima macro , prima macro

pianificazionepianificazione2 2 inventario dei sistemi coinvoltiinventario dei sistemi coinvolti, determinazione del , determinazione del

livello di rischio per l’Amministrazionelivello di rischio per l’Amministrazione33 comprensione del problemacomprensione del problema, allocazione delle risorse , allocazione delle risorse

necessarie (tecniche, umane, finanziarie)necessarie (tecniche, umane, finanziarie)44 sostenibilità operativasostenibilità operativa, , principali sistemi adeguati, principali sistemi adeguati,

rischio ridotto, è garantita la continuità dei servizirischio ridotto, è garantita la continuità dei servizi55 tutti i sistemi sono conformitutti i sistemi sono conformi, nessun rischio, nessun rischio


Rischio per la Missione

Mostra la situazione di rischio che l’Amministrazione Mostra la situazione di rischio che l’Amministrazione ha rispetto alla risoluzione dei problemi anno 2000ha rispetto alla risoluzione dei problemi anno 2000

Viene misurato su una scala che va da 0 a 5Viene misurato su una scala che va da 0 a 500 nessun inconvenientenessun inconveniente, , rischio minimorischio minimo11 inconvenienti di tipo minoreinconvenienti di tipo minore, completa disponibilità , completa disponibilità

delle funzionalità aziendalidelle funzionalità aziendali22 inconvenienti di tipo inconvenienti di tipo limitatolimitato, alcune funzioni possono , alcune funzioni possono

non essere più disponibili non essere più disponibili 33 blocco di alcune unità organizzativeblocco di alcune unità organizzative

dell’Amministrazionedell’Amministrazione44 blocco dell’operativitàblocco dell’operatività dell’Amministrazione dell’Amministrazione55 effetti catastroficieffetti catastrofici sulla operatività sulla operatività

dell’Amministrazione, interruzione di servizio e gravi dell’Amministrazione, interruzione di servizio e gravi interferenze sull’operatività di altre Amministrazioniinterferenze sull’operatività di altre Amministrazioni


Rischio Organizzativo

Valuta la capacità di:Valuta la capacità di: rispondere ad adeguamenti di carattere normativorispondere ad adeguamenti di carattere normativo programmare l’adeguamento sul piano organizzativo e programmare l’adeguamento sul piano organizzativo e

finanziario finanziario individuare i sistemi critici, predisporre piani di progettoindividuare i sistemi critici, predisporre piani di progetto estendere l’analisi alle entità esterne coinvolte nella estendere l’analisi alle entità esterne coinvolte nella

erogazione dei servizierogazione dei servizi predisporre piani di emergenzapredisporre piani di emergenza

Viene misurato su una scala che va da 1 a 7Viene misurato su una scala che va da 1 a 71 1 elevata possibilità di successo, rischio minimo22334455667 7 alta possibilità di fallimento, rischio massimoalta possibilità di fallimento, rischio massimo


Amministrazioni Analizzate

Amministrazioni Centrali ed EntiAmministrazioni Centrali ed Enti 5050 unità su 60, unità su 60, 83%83%

Unità OrganizzativeUnità Organizzative 6262 unità su 74, unità su 74, 84%84% Alcune delle Amministrazioni di maggiore complessità Alcune delle Amministrazioni di maggiore complessità

sono state suddivise in differenti unità organizzativesono state suddivise in differenti unità organizzativeSegretariato generale della DifesaStato maggiore della DifesaStato maggiore della MarinaStato maggiore dell'AeronauticaStato maggiore dell'EsercitoSegretariato (e altro)Dipartimento delle DoganeDipartimento delle EntrateDipartimento del PersonaleDipartimento del TerritorioDipartimento di Pubblica sicurezzaDirezione generale degli affari generali e del personaleDirezione generale dell'amministrazione civile/servizi elettoraliDirezione generale protezione civile - servizi antincendiDipartimento del Tesoro (I )Dipartimento della Ragioneria generale dello Stato (I I )Dipartimento per le politiche di sviluppo e coesione (I I I )Dipartimento dell'amm. generale del personale/servizi del tesoro (IV)

Difesa

Finanze

Interno

Tesoro


Amministrazioni non Analizzate

10 Amministrazioni non hanno fornito le informazioni 10 Amministrazioni non hanno fornito le informazioni necessarie all’analisi, queste Amministrazioni necessarie all’analisi, queste Amministrazioni dovranno essere analizzate nella FASE IIdovranno essere analizzate nella FASE II

Amministrazione Autonoma Monopoli di StatoAmministrazione Autonoma Monopoli di StatoConsiglio di StatoConsiglio di StatoDIADIAENAMENAM INCAINCA IPSEMAIPSEMAMinistero dell’IndustriaMinistero dell’IndustriaMinistero del Lavoro e della Previdenza SocialeMinistero del Lavoro e della Previdenza SocialeMinistero dei Trasporti - Aviazione CivileMinistero dei Trasporti - Aviazione CivileUNIREUNIRE


Componenti Analizzate

La valutazione del livello di conformità e del business risk è La valutazione del livello di conformità e del business risk è effettuata separatamente pereffettuata separatamente per

le le infrastrutture informaticheinfrastrutture informatiche le le applicazioni e procedureapplicazioni e procedure


Infrastrutture InformaticheLivello di conformità


Infrastrutture InformaticheRischio per la Missione



COMPARE Nessun

Rischio

Inconvenienti

Minori

Blocco di

alcune

funzioni

Blocco di

unità

organizzative

Blocco di

Servizi

Primari

Impatto su

organizzazioni

esterne

Totale

11

1 8 1322

3 13 218

2 8 3

13

2 2 4 8

0

Totale 2 15 36 9 0 0 62

Area delle

Criticità

Infrastrutture informaticheLivello COMPARE - Rischio per la Missione

Infrastrutture informaticheLivello COMPARE - Rischio per la Missione

Conformità dei sistemi

Conformità di tutti i

sistemi

critici

Risorse allocate inizio

degli interventi

Dimensionamento del

problema e

pianificazione

Sensibilizzazione

Nessuna sensibilità


Rischio moderato Rischio medio alto Rischio alto


COMPARE 1 2 3 4 5 6 7 Totale


sistemi

1 1

Conformità dei sistemi

critici

3 7 10 2 22


degli interventi

1 4 6 7 18

Dimensionamento del

problema e

pianificazione

5 4 4 13

Sensibilizzazione 6 2 8

Nessuna sensibilità 0

Totale 1 4 16 26 15 0 0 62

Area delle

Criticità

Infrastrutture informaticheLivello COMPARE - Rischio Organizzativo

Infrastrutture informaticheLivello COMPARE - Rischio Organizzativo


Applicazioni e ProcedureLivello di conformità


Applicazioni e ProcedureRischio per la Missione



COMPARE

Nessun

Rischio

Inconvenienti

Minori

Blocco di

alcune

funzioni

Blocco di

unità

organizzative

Blocco di

Servizi

Primari

Impatto su

organizzazioni

esterne

Totale

Conformità di tutti

i sistemi

1 1 2

Conformità deisistemi critici

3 6 1 10

Risorse allocate

inizio degli

interventi

1 2 12 6 21

Dimensionamento

del problema e

pianificazione

1 1 10 9 21

Sensibilizzazione 3 2 2 7

Nessuna sensibilità 1 1

Totale 2 9 31 19 0 1 62

Area delle

Criticità

Applicazioni e procedureLivello COMPARE - Rischio per la Missione

Applicazioni e procedureLivello COMPARE - Rischio per la Missione


Rischio moderato Rischio medio

alto

Rischio alto


COMPARE 1 2 3 4 5 6 7 Totale


sistemi

1 1 2

Conformità dei

sistemi critici

1 3 6 10


degli interventi

2 5 11 3 21

Dimensionamento del

problema e

pianificazione

1 5 7 8 21

Sensibilizzazione 1 2 4 7

Nessuna sensibilità 1 1

Totale 0 4 16 27 15 0 0 62

Area delle

Criticità

Applicazioni e procedureLivello COMPARE - Rischio organizzativo

Applicazioni e procedureLivello COMPARE - Rischio organizzativo


Sintesi dei Risultati:Livello di Conformità e Rischio per la Missione

0 1 2 3 4 5

InfrastruttureInformatiche

Applicazionie Procedure

Conformità


Conformità

= Valore più Frequente

La situazione fotografata a marzo 1999 mostra Sufficiente coerenza con i tempi per l’adeguamento

delle Infrastrutture InformaticheRitardi evidenti nell’adeguamento delle Applicazioni e

Procedure



Interpretazione dei Risultati

Forte focalizzazione degli interventi in ambito Forte focalizzazione degli interventi in ambito informatico ed in particolare sulle infrastruttureinformatico ed in particolare sulle infrastrutture

Infrastrutture Informatiche, , conformità accettabileconformità accettabile 23 Amministrazioni, il 37%, hanno raggiunto la 23 Amministrazioni, il 37%, hanno raggiunto la

sostenibilità operativa (livello di conformità sostenibilità operativa (livello di conformità 4 4))21 Amministrazioni, il 34%, non hanno avviato la 21 Amministrazioni, il 34%, non hanno avviato la

fase di adeguamento (livello di conformità fase di adeguamento (livello di conformità 2 2))

Applicazioni e Procedure, , conformità bassaconformità bassa 12 Amministrazioni, il 19% hanno raggiunto la 12 Amministrazioni, il 19% hanno raggiunto la

sostenibilità operativa (livello di conformità sostenibilità operativa (livello di conformità 4 4))29 Amministrazioni, il 47% non hanno avviato la 29 Amministrazioni, il 47% non hanno avviato la

fase di adeguamento (livello di conformità fase di adeguamento (livello di conformità 2 2))



Livello di Rischio per la Missione limitatoLivello di Rischio per la Missione limitatoesiste la possibilità di problemi circoscrittiesiste la possibilità di problemi circoscrittisi esclude la possibilità di blocco completo dei servizisi esclude la possibilità di blocco completo dei servizi le tecnologie informatiche non giocano un ruolo tale le tecnologie informatiche non giocano un ruolo tale

da pregiudicarne l’operatività in caso di disfunzione da pregiudicarne l’operatività in caso di disfunzione se la disfunzione dovesse manifestarsi è possibile se la disfunzione dovesse manifestarsi è possibile

erogare i servizi con procedimenti manuali/alternativierogare i servizi con procedimenti manuali/alternativi

Infrastrutture Informatiche, , rischio limitatorischio limitato53 Amministrazioni, l’ 85%, presentano un rischio 53 Amministrazioni, l’ 85%, presentano un rischio

limitato (Rischio per la Missione limitato (Rischio per la Missione 2 2))

Applicazioni e Procedure, , rischio limitatorischio limitato42 Amministrazioni, il 68%, presentano un rischio 42 Amministrazioni, il 68%, presentano un rischio

limitato (Rischio per la Missione limitato (Rischio per la Missione 2 2))


Sintesi dei Risultati:Rischio Organizzativo

0

5

10

15

20

25

30

35

40

1 2 3 4 5 6 7

Livello di Rischio Organizzativo

Nu

mer

o A

mm

inis

traz

ion

i

MinimoRischio

MassimoRischio



Rischio Organizzativo AccentuatoRischio Organizzativo Accentuato50 Amministrazioni, il 75%, dovrebbero rivedere e 50 Amministrazioni, il 75%, dovrebbero rivedere e

migliorare le modalità di gestione degli adeguamentimigliorare le modalità di gestione degli adeguamenti

Le tematiche su cui migliorare sonoLe tematiche su cui migliorare sonosensibilizzazione al rischiosensibilizzazione al rischioprogrammazione degli interventi di adeguamentoprogrammazione degli interventi di adeguamento identificazione dei sistemi criticiidentificazione dei sistemi criticipianificazione dei progetti di adeguamentopianificazione dei progetti di adeguamentogoverno dei progetti di adeguamentogoverno dei progetti di adeguamentopiani di emergenzapiani di emergenzagestione delle entità esterne coinvolte gestione delle entità esterne coinvolte

nell’erogazione di servizinell’erogazione di servizi


Posizionamento rispetto al Rischio Anno 2000


Posizionamento rispetto ad altre NazioniLivello di Conformità 0 1 2 3 4 5


Posizionamento rispetto ad altri settori

Livello di Conformità 0 1 2 3 4 5


Interpretazione del Posizionamento

Comportamenti estremamente differenziati a seconda Comportamenti estremamente differenziati a seconda della dimensione dell’Amministrazionedella dimensione dell’Amministrazione

Il basso livello di informatizzazione di alcune delle Il basso livello di informatizzazione di alcune delle Amministrazioni, generalmente le più piccole, Amministrazioni, generalmente le più piccole, diminuisce la probabilità di gravi disfunzioni rispetto diminuisce la probabilità di gravi disfunzioni rispetto ad altri settori e nazioniad altri settori e nazioni

Il posizionamento, Il posizionamento, solo rispetto alla componente solo rispetto alla componente informaticainformatica, del 54% delle Amministrazioni, del 54% delle Amministrazioni

è coerente con quello dei settori bancario, è coerente con quello dei settori bancario, assicurativo, e degli USAassicurativo, e degli USA

è migliore della media mondiale delle è migliore della media mondiale delle Amministrazioni e dei paesi in via di sviluppoAmministrazioni e dei paesi in via di sviluppo


Completamento del Progetto

Aprile - GiugnoAprile - GiugnoAvvio II faseAvvio II fase, aggiornamento informazioni, aggiornamento informazionivalidazione dati, assistenza Amministrazionivalidazione dati, assistenza Amministrazionipredisposizione rapporti II fasepredisposizione rapporti II fase

LuglioLuglioPresentazione risultati II fasePresentazione risultati II faseAvvio III faseAvvio III fase, aggiornamento informazioni, aggiornamento informazioni

Agosto - OttobreAgosto - Ottobrevalidazione dati, assistenza Amministrazioni validazione dati, assistenza Amministrazioni predisposizione rapporti III fasepredisposizione rapporti III fase

NovembreNovembrePresentazione risultati III fasePresentazione risultati III fase

Autorità per lInformatica nella Pubblica Amministrazione Valutazione del Rischio nella Pubblica...

Documents

Transcript of Autorità per lInformatica nella Pubblica Amministrazione Valutazione del Rischio nella Pubblica...