L`informatica o scienza si interessa al problema di modellare e

L’informatica o scienza si interessa al problema di modellare e progettare dispositivi
che realizzino procedure di trattamento dell’informazione nei contesti globali (Questa
è la definizione storica di informatica). Dietro questo concetto in realtà c’è un altro
concetto che è quello legato alla necessità di trasformare un processo organizzativo di
natura varia con la presenza di attori (esseri umani) in un processo nel quale alcuni
attori che sono strumenti che elaborano in modo automatico informazioni, decidono
chi deve successivamente elaborare le medesime informazioni prodotte, si
sincronizzano non con altri soggetti che hanno il medesimo scopo. In altri termini
stiamo parlando di un processo nel quale all’interno di un organizzazione, alcune
componenti, alcune unità vengono dematerializzate in un programma informatico. Si
è verificato un problema spesso per motivi commerciali e storici sottovalutato perchè
l’informatica di per sé ha una natura formale in quanto ad esempio un programma di
calcolatori è assolutamente simile a quella di un teorema matematico, trattando delle
informazioni in un contesto reale. E’ questa la contraddizione che ci accompagna che
da un lato non ha limitato la diffusione dell’informatica anzi ha garantito lo sviluppo
pervasivo delle tecnologie, dall’altro ha determinato un aspetto microscopico in
quanto le tecnologie rappresentano un qualcosa di costruito in maniera incrementale
in cui i processi relativi la sicurezza hanno un importanza molto bassa, la seconda
cosa è un aspetto macroscopico che riguarda lo sviluppo dell’informatica come
capacità di impatto sulle organizzazioni umane che è un processo assolutamente
indipendente dalla volontà di quei soggetti che governano lo sviluppo delle tecnologie
e dell’informatica. Si era pianificato uno sviluppo tecnologico in un certo modo ma il
risultato è stato completamente l’opposto. Nel 2002 ci fu un meeting internazionale
sulle tecnologie basati sui modelli Xterminal. (Si andava verso processi organizzativi
in cui tutte le funzioni che gli individui realizzino mediante sistemi informatici
saranno centralizzati mediante server farm, data-center, etc). Un idea di
organizzazione fortemente centralizzata in cui il business erano i sistemi informatici
centralizzati. Che cosa è successo? Tutto l’opposto. Oggi il 90% dell’apporto
economico (budget) che deriva dall’industria dell’ICT deriva da processi di natura
completamente diversi da quelli previsti, si basano su processi fortemente cooperativi
che determinano in maniera determinante il mercato ict ed hanno tagliato fuori i
grandi colossi dell’informatica (HP, IBM, Microsoft, etc). Il modello è nato cosi,
nessuno lo ha governato. Ciò sta modificando la percezione di cosa vuol dire un
organizzazione su rete.
Definizione di organizzazione
Quando parliamo di organizzazione ci riferiamo a delle entità che comunicano tra loro
per raggiungere un obiettivo comune. La comunicazione tra entità avviene attraverso
reti di comunicazione (ad esempio internet). Infatti lo scambio di risorse
(informazioni) stabilisce delle relazioni tra le entità che possono essere definite a
priori o essere generate durante il processo di interazione (iterativo, guidato o
spontaneo): consocio prima i processi e le regole con cui vengono gestiti e sono i
contesti in cui si applicano gli standard a tutti noti oppure il processo è descritto in
maniera iterativa, si specializzano oppure posso essere guidate, oppure può essere
spontaneo. Il processo di interazione può essere definito a priori e ci troviamo nel
classico esempio di organizzazioni gerarchiche di tipo aziendale dove conosco prima
di applicare l’organizzazione i processi che devono essere gestiti e conosco le regole e
sono i contesti in cui si applicano facilmente gli standard di sicurezza noti oppure il
processo di interazione è definito in modo iterativo, cioè nel momento in cui io riesco
ad interagire nella mia struttura le mie relazioni vengono definite, si specializzano
oppure possono essere guidate attraverso delle modalità o spontanee (un esempio di
questo è e-bay che ci accoglie e ci guida attraverso un sistema di regole di interazione
che piano piano ci fanno approfondire la relazione con il sistema organizzativo fino ad
avere determinati privilegi mediante un sistema che verrà analizzato in seguito.
Questo modello di e-bay, e questo aspetto di guida è presente per la maggior parte
delle interazioni, non sempre in quanto perché sia guidato il sistema deve essere in
grado di gestire i processi reali relative alle transazioni effettuate (ad esempio la forma
di pagamento paypal in e-bay). Se ad esempio i pagamenti vengono effettuati
all’esterno allora e-bay ne perde il controllo. Anche la parte relativa alla logistica non
è guidata da e-bay ma è solamente monitorata. In questo processo di e-commerce cosi
come strutturato non c’è un vero e proprio processo di interazione. E.bay ha un livello
iterativo, in quanto durante l’interazione con il sistema di e-bay noi acquistiamo degli
oggetti con cui facciamo delle cose più sofisticate). Vi sono sistemi in cui la
componente è molto piccola. Gli avatar sono degli ambienti relativi al mondo dei
giochi elettronici nei quali utilizzo una mia identità digitale (io sulla rete impersono
ad esempio il ruolo di un cavaliere ). Questa metafora può essere fatta per cosa più
sofisticate. Altro esempio è wikipedia, la più grande biblioteca mondiale su internet.
Nel concetto di organizzazione l’insieme di entità e relazioni formano una particolare
forma di organizzazione. A questo punto si verifica il problema della certificazione e
della sicurezza nelle forme di organizzazione suddette. Si ha quindi la necessità di
definire in modo formale: entità, relazioni, risorse e obiettivi.
Business process
Uno dei problemi principali che si verifica all’interno di un organizzazione è
rappresentato dalla coerenza dei dati presenti nelle diverse unità organizzative. Questo
è il problema principale dal quale si misura il livello di affidabilità di un
organizzazione. L’obiettivo di un organizzazione viene raggiunto attraverso un
Business process. Il Business process viene definito come collezione di attività
compiute dagli attori di un’organizzazione che, insieme, costituiscono i passi
necessari al compimento di un determinato obiettivo di business. Un esempio di BP è
quello relativo ad un’azienda che realizza un sistema informativo per un cliente: il
cliente descrive le proprie esigenze all’interfaccia aziendale, l’interfaccia comunica i
requisiti progettuali del sistema ai responsabili di progetto, i responsabili di progetto
coordinano i programmatori ed infine il prodotto finito viene consegnato al cliente.
Molto brevemente definiamo i work-flow. Un work flow (flusso di lavoro) è la
descrizione che certi attori, entità sviluppano dei task cooperando fra di loro per
descrivere un determinato compito. Se io parlo di un organizzazione gerarchica un
work flow è molto semplice e ben fatto. Ricevo il token e faccio di tutto. A questo
punto entra in gioco il concetto di un organizzazione virtuale che esiste in un certo
momento, istante nella quale quello che sicuramente rimane sono le cose che vengono
fatte dalle parti le quali accettano le regole del gioco, il cosiddetto cooperationagreement. Questo ca è il contenitore attraverso il quale si ha il risultato di tutti gli
accordi di un processo di cooperazione. Ciò si verifica quando più il processo è lento,
nel contesto del ca siamo in grado di definire le regole di sicurezza perchè possiamo
evolvere il processo delle regole definite. Anche qui e-bay è canonico e si iniziano ad
avere delle altre caratteristiche. Ciò avviene attraverso un cooperation-agreement in ebay. Tutti si basano sul giudizio iniziale fatto da e-bay. Il secondo punto è che tutto
questo funziona se viene fatto in maniera preciso cioè se ognuno conosce i mie
confini e mi sa giudicare. Questo è un tema che è nato in maniera spontanea. E’ stata
la chiave per la diffusione di grande penetrazione nei mercati mondiali (ad es.
amazon).
Dal nostro punto di vista ci troviamo di fronte alla necessità di rendere sicura un
organizzazione virtuale perché opera in un contesto virtuale ma che si fonda su una
struttura ben definita che può essere gerarchica, non gerarchica (senza l’atto
costitutiva) e quella ibrida (un misto delle due). Es. in un azienda che ha dei processi
gerarchici si confronta con una community verso l’esterno (meccanismi di interazione
economica, etc). Questo oggi ha un peso importante. Dobbiamo creare in questi casi
un modello di certificazione. Ad esempio carpisco le credenziali di un sito per
accedere ad degli archivi, l’interazione consiste nel acquisire le informazioni per
effettuare transazioni economiche.
La descrizione formale del Business Process (entità, task e sequenza di attività) viene
espressa attraverso i Workflow (WF).Questa definizione richiede di essere specificata
in quanto può essere inconsistente o incoerente
Cooperation Agreement
A volte `e necessario stabilire degli accordi orientati al raggiungimento dell’obiettivo
di business. Gli accordi stabiliscono le regole di cooperazione. Infatti l’atto formale
che definisce i WF della VO è detto cooperation agreement. La cooperazione può
avvenire sia in base ad accordi antecedenti che a legami dinamici. Il cooperation
agreement permette di: semplificare i processi di certificazione e di messa in
sicurezza; individuare i confini e le responsabilità di ogni singola organizzazione.
Virtual Organization
Un insieme di entità, che hanno delle relazioni tra loro e si scambiano risorse
perseguendo un obiettivo comune, viene detto Virtual Organization. Perchè vengono
definite virtual?Perché è necessario passare all’individuazione ed identificazione degli
attori, dei ruoli e dei flussi informativi. Però nel contempo si verifica un problema che
è quello di certificare e garantire la sicurezza dei flussi informativi della Virtual
Organization. Le Virtual Organization si formano in diversi modi e si possono
classificare secondo la metodologia di aggregazione:
1) gerarchica
2) non gerarchica
3) ibrida
4) Modello di sicurezza e certificazione si basa sulla metodologia di
aggregazione
Virtual Organization gerarchica
Le VO gerarchiche nascono all’interno di un insieme di standard più o meno
consolidati che possono supportare l’organizzazione. Sono nati in ambito militare.
Nella pki (Pubblic Key Infrastracture) ho delle credenziali che mi danno un ruolo
rispetto ad un soggetto e quello che mi può capitare è quello di aver ottenuto la
possibilità di dare le credenziali di quel soggetto che sta sopra di me. Nelle VO
gerarchiche si ha un caso più semplice in cui la VO (attori, ruoli, flussi) si mappa su
una struttura organizzativa pre esistente. E’ gerarchica in quanto i ruoli associati agli
attori sono definiti a priori e non cambiano nel tempo. I flussi informativi della VO
coincidono con quelli della struttura organizzativa pre-esistente. Esistono degli
strumenti standard per garantire i requisiti di sicurezza per le VO gerarchiche che
sono :
1) Piani di sicurezza (Standard BS7799);
2) Public Key Infrastructure (PKI)
Un esempio di VO gerarchica, la quale permette di incapsulare delle informazioni e
delle relazioni all’interno dell’organizzazione gerarchiche stesse è quella di
un’organizzazione aziendale formata da dipendenti, manager e consiglio di
amministrazione. Ogni dipendente ha un proprio manager e ogni manager risponde al
consiglio di amministrazione. Non ci sono contatti diretti tra consiglio di
amministrazione e dipendenti, quindi nella gerarchia organizzativa sono presenti dei
flussi informativi solamente tra livelli adiacenti.
In questo scenario possono essere applicate delle metodologie di sicurezza. Ad
esempio, può essere progettato e implementato un piano di sicurezza. Questo `e
possibile perchè si conoscono a priori i ruoli e i flussi informativi di ogni entità e
questi non cambiano nel tempo. Dall’esempio notiamo come la topologia
dell’organizzazione sia strettamente gerarchica e spesso relazioni informali o generate
nei processi operativi hanno grande importanza ma non vengono rilevate da questa
metodologia
Virtual Organization non gerarchica
Questo è il caso in cui la VO (attori, ruoli, flussi) non si mappa su una struttura
organizzativa pre-esistente. Le relazioni tra entità non sono note a priori. Infatti i ruoli
possono mutare nel tempo, mentre la topologia della struttura organizzativa non `e
(necessariamente) definita in modo gerarchico. E difficile definire i requisiti di
sicurezza, infatti non esistono metodologie e tecnologie standard applicabili ad
organizzazioni di questo tipo. I rapporti che si creano dinamicamente sono determinati
da dinamiche sociali. Oggigiorno, organizzazioni di questo tipo sono molto diffuse e
hanno un impatto economico e sociale molto elevato. Tipicamente si tende a non
farlo. Questo è il problema. Infatti non si riesce a progettare sistemi di home-banking
efficienti.
Un esempio di VO non gerarchica è un’organizzazione formata da un insieme di
individui fra i quali (non tutti) esiste un interesse comune. Si veda il seguente grafico:
Una tecnologia nasce per fare una cosa e non per fare altre anche se poi in realtà
potrebbe farle. Questo è un punto fondamentale. Nella VO non gerarchica ci sono
operazioni non transitive ad es. implementare un pki su questa tipologia è
praticamente impossibile. Questo è il futuro. Un Esempio di VO non gerarchica ci
viene dato da E-bay che se ci pensiamo non vende niente, non ha contenuti ma la sua
forza sta nella sua figura di intermediario finanziario che esso svolge. Questo nasce
dal fatto che il momento in cui i due soggetti nascono cooperano contestualmente. In
questo modello (ad esempio www.google.it ) ha un ruolo nel business. Chi sa fare
bene questo, sa fare business nella rete.
Questa VO `e dinamica, cambia rapidamente nel tempo. Non esistono rapporti
gerarchici e gli attori possono crescere o decrescere nel tempo (conoscenza di nuove
persone e nascita di nuove forme di collaborazione): Infine possono cambiare i ruoli
associati alle entità. L’obiettivo non `e stabilito a priori, ma viene inteso come un
interesse comune (stesso vantaggio per tutti). La cooperazione non è governata
“centralmente”, ma è generata dinamicamente dall’evoluzione delle relazioni interpersonali. Da qui si evince il concetto di osservazione che non comporta rischi ma
permette la conoscenza degli altri soggetti.
Virtual Organization ibrida
E’ il caso in cui solamente una parte della VO si mappa su una struttura organizzativa
pre-esistente. Una parte `e statica e nota priori, mentre l’altra `e dinamica ed evolve
nel tempo. L’applicazione di metodologie che garantiscono la sicurezza e
certificazione dei flussi organizzativi `e possibile solamente per una parte dei processi
di una VO. Nessuna conoscenza a priori della VO nella sua totalità ed è difficile
identificare i confini e le responsabilità di ogni attore. I rapporti che si creano
dinamicamente sono determinati da dinamiche sociali.
Un esempio di VO ibrida ci viene dato dalla scena di un delitto. L’organizzazione
virtuale si forma quando viene constatato un crimine. Gli eventi del processo
investigativo sono necessari per l’identificazione dell’autore del crimine. La prima
operazione consiste nel trasporto del ferito o la constatazione del decesso. La polizia
gestisce la scena del crimine: deve garantirne l’integrità. I task del processo
investigativo sono: definire il perimetro della scena del crimine, coordinare il
personale investigativo, esaminare e catalogare le eventuali prove, interrogare i
testimoni oculari e, al termine, pulire l’area. Possono essere coinvolti altri attori come
consulenti esterni (medici legali, criminologi, etc). Questa VO `e ibrida in quanto
solamente i componenti della polizia investigativa e scientifica sono noti a priori.
Altri attori come gli indagati e i testimoni sono componenti dinamiche e non note a
priori della VO. Non tutti gli attori hanno gli stessi interessi, di conseguenza è difficile
individuare un obiettivo della VO. Gli attori sono indipendenti infatti i ruoli attribuiti
ad essi possono variare nel corso delle indagini (ad esempio, un indagato può
diventare testimone o può non far più parte della VO). E possibile definire delle
procedure di sicurezza riguardo la gestione interna dell’indagine, ma è facilmente
intuibile che altri processi sono molto difficili da modellare.
Metodologie per modelli non gerarchici
Le metodologie standard (PKI e piani di sicurezza) sono efficaci solamente in
organizzazioni gerarchiche in cui gli attori, i ruoli e i flussi informativi sono noti a
priori. Allo stesso tempo è necessario fare identificare delle metodologie che
permettano di descrivere le VO non gerarchiche e ibride. Un modello che permette di
descrivere le relazioni dinamiche tra attori è quello delle Social Network.
Social Network
Il formalismo utilizzato per lo studio e l’analisi delle Social Network è la teoria dei
grafi. Una Social Network è individuata da un insieme di soggetti e dalle relazione tra
di essi. Le SN richiedono una formalizzazione matematica in quanto le relazioni tra
due soggetti possono essere di differenti tipi (amicizia, lavoro, etc). Quando un
soggetto ha relazioni di diverso tipo esse vengono definite multiplex.
Esistono differenti tipologie di relazioni tra soggetti:
1) binarie;
2) signed;
3) ordinal;
4) valued.
Una relazione di tipo binario è rappresentata dalla presenza o meno di un arco (ad
esempio, la relazione “essere amico di”). Una relazione di tipo signed indica il
giudizio di un soggetto nei confronti di un altro: positivo (arco etichettato con +),
negativo (arco etichettato con −), neutro (assenza di arco). Una relazione di tipo
ordinal ha l’obiettivo di esprimere una classificazione che un soggetto compie nei
confronti di altri. Una relazione di tipo valued rappresenta i legami tra i soggetti
assegnando ad ogni legame un valore (assumiamo tra −100 e 100) che indica la forza
della relazione. Per l’analisi di una SN vengono usati diversi parametri. L’analisi delle
connessioni può essere un buon indice delle caratteristiche della SN. La quantità e la
tipologia di connessioni possono essere utili per comprendere il grado di coesione, di
solidarietà e della complessità di una SN. Un passaggio fondamentale ci viene dato
dall’importanza della valutazione dell’out-degree e dell’in-degree di ogni nodo del
grafo che rappresenta la SN:
1)out-degree alto corrisponde a un’elevata influenza nei confronti degli altri soggetti;
2) in-degree alto corrisponde a un soggetto molto prestigioso che ha molto potere in
quanto riceve molte informazioni
Altro elemento fondamentale è la cosiddetta densità della rete, utile a stabilire la
velocità di propagazione delle informazione all’interno della SN che è direttamente
proporzionale ad essa. Inoltre si verifica la raggiungibilità dove un soggetto è
raggiungibile se esiste un cammino che li congiunge. Poi si ha la distanza che dipende
dalla metrica utilizzata, è utile per capire quali soggetti hanno maggiore opportunità e
maggior potere all’interno della SN. E’ importante capire chi detiene maggior potere
all’interno di una SN. Il potere non `e una proprietà assoluta ma deriva dalle relazioni
di ogni soggetto, è una conseguenza dei rapporti tra i soggetti della SN. Per
“misurare” il potere `e interessante considerare differenti proprietà:
1) grado di connessioni: numero di connessioni di ogni soggetto (out-degree e outdegree), un elevato numero di connessioni è indice di maggiori possibilità in quanti si
ricevono molte informazioni e si influenzano molti soggetti;
2) grado di vicinanza: il potere deriva anche dalla possibilità di comunicare facilmente
con altri soggetti, essere vicini a molti soggetti aumenta il proprio potere;
3) grado di intermediazione: se un soggetto ha il ruolo di intermediatore allora ha
molto potere perchè ha molte informazioni e senza la sua presenza i due soggetti non
potrebbero comunicare;
Una caratteristica importante `e l’equivalenza strutturale, cioè la somiglianza tra due o
più soggetti. L’equivalenza strutturale `e molto rara, si verifica quando due soggetti
hanno esattamente le stesse connessioni. Due soggetti che hanno lo stesso ruolo
all’interno della SN avranno un alto grado di equivalenza strutturale. Si possono
utilizzare dei metodi numerici per misurare le proprietà delle SN, questa analisi `e
utile per capire le attitudini sociali della popolazione e per suddividere i soggetti in
ruoli e/o gruppi. La struttura di una SN è di fondamentale importanza in quanto
possiamo individuare tre tipologie di reti:
1. ego-centric network
2. socio-centric network
3. open-system network
Una ego-centric network è una rete con un soggetto centrale, ha una struttura molto
simile a quella di una VO gerarchica come quella descritta in precedenza. Una sociocentric network è una rete chiusa che descrive i rapporti di un insieme di soggetti
appartenenti alla stessa organizzazione ( o nucleo sociale). Una open-system network
è una rete in cui i confini non sono necessariamente definiti, questa tipologia di reti è
la più interessante ma anche la più complessa da studiare. Per mezzo delle SN `e
possibile descrivere le differenti VO descritte in precedenza:
VO gerarchica = ego-centric social network
VO non gerarchica = open-system social network
VO ibrida = socio-centric social network
Dottor Antonio Guzzo Responsabile CED del Comune di Praia a Mare