Autorità per lInformatica nella Pubblica Amministrazione Conferenza Nazionale sullAdeguamento Informatico allAnno 2000, Giugno 1999 Valutazione del Rischio nella Pubblica Amministrazione Centrale Marco Gentili Area Monitoraggio e Verifiche Anno 2000
Autorità per lInformatica nella Pubblica Amministrazione 2 Argomenti Definizione del settore di intervento Definizione del settore di intervento Progetti di adeguamento Anno 2000 Progetti di adeguamento Anno 2000 Monitoraggio delladeguamento Anno 2000 Monitoraggio delladeguamento Anno 2000 Metodologia di valutazione del rischio Anno 2000 Metodologia di valutazione del rischio Anno 2000 Posizionamento rispetto al rischio Anno 2000 Posizionamento rispetto al rischio Anno 2000 Interpretazione dei risultati ottenuti Interpretazione dei risultati ottenuti
Autorità per lInformatica nella Pubblica Amministrazione 3 Definizione del settore di Intervento 60 Amministrazioni destinatarie del D.Lgs. 39/93 Dimensione Tecnologica complessiva pari a: 4.100Mips di potenza di calcolo 4.100Mips di potenza di calcolo Gbyte di dati per differenti basi dati Gbyte di dati per differenti basi dati posti di lavoro in rete posti di lavoro in rete Kloc di patrimonio applicativo Kloc di patrimonio applicativo (IVA inclusa) Spesa per linformatica (IVA inclusa) Totale2.800 Mld £ Totale2.800 Mld £ Sviluppo1.100 Mld £ Sviluppo1.100 Mld £ Esercizio1.700 Mld £ Esercizio1.700 Mld £ Fonte Relazione Annuale 1997
Autorità per lInformatica nella Pubblica Amministrazione 4 Progetti di Adeguamento Anno 2000 Progetti specifici Amministrazioni21 Amministrazioni21 Progetti per (IVA inclusa)107Mld £ pari al 6% della spesa di esercizio Progetti per (IVA inclusa)107Mld £ pari al 6% della spesa di esercizio Fonte Piano Triennale Progetti di reingegnerizzazione Amministrazioni9 Amministrazioni9 Progetti per (IVA inclusa)252Mld £ pari al 23% della spesa di sviluppo Progetti per (IVA inclusa)252Mld £ pari al 23% della spesa di sviluppo Fonte Pareri Emessi nel triennio
Autorità per lInformatica nella Pubblica Amministrazione 5 Monitoraggio dellAdeguamento Anno 2000 Lug-Ott 1998 Prima rilevazione AIPA Prima rilevazione AIPA Nov-Dic 1998 Aggiudicazione gara comunitaria a Gartner Group Aggiudicazione gara comunitaria a Gartner Group Avvio progetto di valutazione del rischio Avvio progetto di valutazione del rischio Gen-Mar 1999 Raccolta delle informazioni necessarie Raccolta delle informazioni necessarie Assistenza alle Amministrazioni Assistenza alle Amministrazioni Apr-Mag 1999 Validazione dei dati e predisposizione dei rapporti Validazione dei dati e predisposizione dei rapporti Presentazione dei risultati Presentazione dei risultati
Autorità per lInformatica nella Pubblica Amministrazione Obiettivi dellindagine Di carattere generale: Censire i sistemi informativi interessati dal problema Censire i sistemi informativi interessati dal problema Valutare limpatto Anno 2000 sui sistemi informativi Valutare limpatto Anno 2000 sui sistemi informativi Valutare il rischio derivante, analizzarne il trend Valutare il rischio derivante, analizzarne il trend Supportare il Comitato Anno 2000 ai sensi dellart. 19 della Legge 144/99 Supportare il Comitato Anno 2000 ai sensi dellart. 19 della Legge 144/99 Relativi ad ogni Amministrazione: stimare le dimensioni del problema ed identificare le priorità stimare le dimensioni del problema ed identificare le priorità stimolare lavvio di progetti di adeguamento e monitorarne lesecuzione stimolare lavvio di progetti di adeguamento e monitorarne lesecuzione identificare le aree informative più a rischio e stimolare la predisposizione di piani di emergenza identificare le aree informative più a rischio e stimolare la predisposizione di piani di emergenza
Autorità per lInformatica nella Pubblica Amministrazione 7 Monitoraggio Anno Fasi FASE I - Identificazione del rischio FASE I - Identificazione del rischio Impostazione raccolta dati Impostazione raccolta dati Raccolta datimaggiore impegno per le P.A. Raccolta datimaggiore impegno per le P.A. Evidenza aree critiche Evidenza aree critiche FASE II - Revisione del rischio Aggiornamento dati raccolti minore impegno per le P.A. Aggiornamento dati raccolti minore impegno per le P.A. Approfondimenti su aree critiche Approfondimenti su aree critiche FASE III - Conferma del rischio Aggiornamento dati raccolti minore impegno per le P.A. Aggiornamento dati raccolti minore impegno per le P.A. Approfondimenti sui piani di emergenza
Autorità per lInformatica nella Pubblica Amministrazione 8 Monitoraggio Anno Attività Primaria Responsabilità Secondaria Responsabilità PA Avvio Lavori Consegna Dati Revisione Dati ufficiali di fase Risultati preliminari Raccolta dati Assistenza Inserim ento Dati Validazione Revisione preliminare Emissione Rapporti Risposta a domande Presentazi one Raccolta dati Correzione Dati Risposta a domande Avvio operativo Presentazione preliminare Presentazione preliminare Acquisizione Questionario Generale sul rischio AIPA Gartner Risultati definitivi
Autorità per lInformatica nella Pubblica Amministrazione 9 Valutare il Rischio Anno 2000 Livello di Conformità In che misura il fenomeno Anno 2000 può determinare delle disfunzioni allinterno delle Amministrazioni? In che misura il fenomeno Anno 2000 può determinare delle disfunzioni allinterno delle Amministrazioni? Rischio per la Missione In che misura eventuali disfunzioni possono compromettere la capacità delle Amministrazioni di erogare i propri servizi? In che misura eventuali disfunzioni possono compromettere la capacità delle Amministrazioni di erogare i propri servizi? Rischio Organizzativo In che misura le Amministrazioni sono in grado di rimuovere eventuali disfunzioni? In che misura le Amministrazioni sono in grado di rimuovere eventuali disfunzioni?
Autorità per lInformatica nella Pubblica Amministrazione 10 Livello di Conformità Mostra lavanzamento che lAmministrazione ha rispetto alla risoluzione dei problemi anno 2000 Viene misurato sulla scala COMPARE che va da 0 a 5 0 problematica sconosciuta, nessuna attività di adeguamento, nessuna conformità 1 presa di conoscenza del problema, prima macro pianificazione 2 inventario dei sistemi coinvolti, determinazione del livello di rischio per lAmministrazione 3 comprensione del problema, allocazione delle risorse necessarie (tecniche, umane, finanziarie) 4 sostenibilità operativa, principali sistemi adeguati, rischio ridotto, è garantita la continuità dei servizi 5 tutti i sistemi sono conformi, nessun rischio
Autorità per lInformatica nella Pubblica Amministrazione 11 Rischio per la Missione Mostra la situazione di rischio che lAmministrazione ha rispetto alla risoluzione dei problemi anno 2000 Viene misurato su una scala che va da 0 a 5 0nessun inconveniente, rischio minimo 1inconvenienti di tipo minore, completa disponibilità delle funzionalità aziendali 2inconvenienti di tipo limitato, alcune funzioni possono non essere più disponibili 3blocco di alcune unità organizzative dellAmministrazione 4blocco delloperatività dellAmministrazione 5effetti catastrofici sulla operatività dellAmministrazione, interruzione di servizio e gravi interferenze sulloperatività di altre Amministrazioni
Autorità per lInformatica nella Pubblica Amministrazione 12 Rischio Organizzativo Valuta la capacità di rispondere ad adeguamenti di carattere normativo rispondere ad adeguamenti di carattere normativo programmare ladeguamento organizzativo e finanziario programmare ladeguamento organizzativo e finanziario individuare i sistemi critici, predisporre piani di progetto individuare i sistemi critici, predisporre piani di progetto estendere lanalisi alle entità esterne coinvolte nella erogazione dei servizi estendere lanalisi alle entità esterne coinvolte nella erogazione dei servizi predisporre piani di emergenza predisporre piani di emergenza Viene misurato su una scala che va da 1 a 7 1 elevata possibilità di successo, rischio minimo alta possibilità di fallimento, rischio massimo
Autorità per lInformatica nella Pubblica Amministrazione Componenti Analizzate livello di conformità e rischio per la missione sono stimati separatamente per le infrastrutture informatiche le infrastrutture informatiche le applicazioni e procedure le applicazioni e procedure
Autorità per lInformatica nella Pubblica Amministrazione 14 Amministrazioni Analizzate 50 Amministrazioni Centrali ed Enti su 6083% 10 Amministrazioni non hanno fornito dati 10 Amministrazioni non hanno fornito dati Amministrazione Autonoma Monopoli di Stato Amministrazione Autonoma Monopoli di Stato Consiglio di Stato Consiglio di Stato DIA DIA ENAM ENAM INCA INCA IPSEMA IPSEMA Ministero dellIndustria Ministero dellIndustria Ministero del Lavoro e della Previdenza Sociale Ministero del Lavoro e della Previdenza Sociale Ministero dei Trasporti - Aviazione Civile Ministero dei Trasporti - Aviazione Civile UNIRE UNIRE 62 Unità Organizzative su 7484% 4 Amministrazioni di grande complessità sono state analizzate relativamente a diverse unità organizzative 4 Amministrazioni di grande complessità sono state analizzate relativamente a diverse unità organizzative
Autorità per lInformatica nella Pubblica Amministrazione 15 Infrastrutture Informatiche - Marzo 1999 Livello di conformità
Autorità per lInformatica nella Pubblica Amministrazione 16 Infrastrutture Informatiche - Marzo 1999 Stato di avanzamento lavori
Autorità per lInformatica nella Pubblica Amministrazione 17 Infrastrutture Informatiche - Marzo 1999 Rischio per la Missione
Autorità per lInformatica nella Pubblica Amministrazione 18 Infrastrutture Informatiche - Marzo 1999 Conformità / Rischio per la Missione 37% 48% 15%
Autorità per lInformatica nella Pubblica Amministrazione 19 Applicazioni e Procedure - Marzo 1999 Livello di conformità
Autorità per lInformatica nella Pubblica Amministrazione 20 Applicazioni e Procedure - Marzo 1999 Stato di avanzamento lavori
Autorità per lInformatica nella Pubblica Amministrazione 21 Applicazioni e Procedure - Marzo 1999 Rischio per la Missione
Autorità per lInformatica nella Pubblica Amministrazione 22 Applicazioni e Procedure - Marzo 1999 Conformità / Rischio per la Missione 21% 50% 29%
Autorità per lInformatica nella Pubblica Amministrazione 23 Sintesi dei Risultati - Marzo 1999 Forte focalizzazione degli interventi in ambito informatico ed in particolare sulle infrastrutture IT Sufficiente coerenza con i tempi per ladeguamento delle Infrastrutture Informatiche Ritardi evidenti nelladeguamento delle Applicazioni e Procedure Infrastrutture Informatiche Applicazioni e Procedure Conformità Rischio = Valore più Frequente Conformità Rischio
Autorità per lInformatica nella Pubblica Amministrazione 24 Interpretazione dei Risultati - Marzo 1999 Le tecnologie informatiche non giocano un ruolo tale da pregiudicare loperatività in caso di disfunzione esiste la possibilità di problemi circoscritti esiste la possibilità di problemi circoscritti si esclude il blocco completo dei servizi si esclude il blocco completo dei servizi Infrastrutture Informatiche conformità accettabile rischio per la missione limitato Applicazioni e Procedure conformità bassa conformità bassa rischio per la missione moderato
Autorità per lInformatica nella Pubblica Amministrazione 25 Rischio Organizzativo - Marzo 1999 Minimo Rischio Minimo Rischio Massimo Rischio Massimo Rischio
Autorità per lInformatica nella Pubblica Amministrazione 26 Interpretazione dei Risultati - Marzo 1999 Rischio Organizzativo Accentuato 50 Amministrazioni, il 75%, dovrebbero rivedere e migliorare le modalità di gestione degli adeguamenti 50 Amministrazioni, il 75%, dovrebbero rivedere e migliorare le modalità di gestione degli adeguamenti Le tematiche su cui migliorare sono sensibilizzazione al rischio e programmazione interventi di adeguamento sensibilizzazione al rischio e programmazione interventi di adeguamento identificazione dei sistemi critici identificazione dei sistemi critici pianificazione e governo dei progetti di adeguamento pianificazione e governo dei progetti di adeguamento gestione delle entità esterne coinvolte nei servizi gestione delle entità esterne coinvolte nei servizi predisposizione dei piani di emergenza predisposizione dei piani di emergenza
Autorità per lInformatica nella Pubblica Amministrazione 27 Posizionamento rispetto al Rischio Anno 2000
Autorità per lInformatica nella Pubblica Amministrazione 28 Posizionamento rispetto ad altre Nazioni Livello di Conformità = Valore più Frequente
Autorità per lInformatica nella Pubblica Amministrazione 29 Posizionamento rispetto ad altri Settori Livello di Conformità = Valore più Frequente
Autorità per lInformatica nella Pubblica Amministrazione 30 Interpretazione del Posizionamento Si evidenziano comportamenti estremamente differenziati e disomogenei tra le Amministrazioni Il basso livello di informatizzazione della Amministrazione Italiana attenua la probabilità di gravi disfunzioni Rispetto alla componente informatica il posizionamento del 54% delle Amministrazioni è coerente con quello dei settori bancario e assicurativo coerente con quello dei settori bancario e assicurativo migliore della media mondiale delle Amministrazioni migliore della media mondiale delle Amministrazioni
Autorità per lInformatica nella Pubblica Amministrazione 31 Prossimi Risultati Maggio - Giugno avvio II fase, aggiornamento informazioni avvio II fase, aggiornamento informazioni validazione dati, assistenza Amministrazioni validazione dati, assistenza Amministrazioni predisposizione rapporti II fase predisposizione rapporti II fase Luglio - Agosto presentazione risultati II fase presentazione risultati II fase avvio III fase, aggiornamento informazioni avvio III fase, aggiornamento informazioni Settembre - Ottobre validazione dati, assistenza Amministrazioni validazione dati, assistenza Amministrazioni predisposizione rapporti III fase predisposizione rapporti III fase presentazione risultati III fase presentazione risultati III fase
Autorità per lInformatica nella Pubblica Amministrazione 32 Livello di Conformità Dati - Marzo 1999