giovedì 30 maggio 2019

Garante e formazione gratuita per DPO

Il Garante ha lanciato il progetto T4DATA, ossia eventi di formazione gratuita per DPO del settore pubblico e privato.

Il primo evento sarà ad Ancona il 7 giugno e poi ce ne saranno altri. Sono anche previsti webinar:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9113500.

Provvedo a diffondere la notizia, anche perché l'iniziativa mi sembra molto
meritoria.

lunedì 20 maggio 2019

Manuale sul diritto europeo in materia di protezione dei dati - ed. 2018

Nicola Nuti degli Idraulici della Privacy e Franco Vincenzo Ferrari di DNV GL mi hanno segnalato la pubblicazione del "Manuale sul diritto europeo in materia di protezione dei dati - edizione 2018" da parte del Council of Europe:
- https://publications.europa.eu/en/publication-detail/-/publication/5b0cfa83-63f3-11e8-ab9c-01aa75ed71a1/language-it.

giovedì 16 maggio 2019

ITIL 4 Foundation - I contenuti

Poco tempo fa avevo annunciato la disponibilità dell'esame ITIL 4 Foundation:
- http://blog.cesaregallotti.it/2019/04/itilv4-solo-foundation.html.

Dopo aver letto il manuale di ITIL 4 Foundation, posso dire che mi è piaciuto. Il primo motivo è perché è breve e mette già a disposizione le informazioni di base del modello ITIL, senza doverle estrarre da volumi più ampi. Il secondo motivo è perché tecnicamente è molto più convincente, coerente e utile delle ultime 2 versioni (ITILv3 e ITIL 2011). Riporto quindi nel seguito i miei appunti sulle parti tecniche.

Ora il modello ruota intorno a 3 elementi chiave: le attività del SVS (Service value system), le pratiche e i principi.

Le attività del SVS sono 6: pianificazione, miglioramento, coinvolgimento (engage), progettazione (design) e transizione, ottenimento o realizzazione, consegna e supporto (in precedenza, ITIL ruotava intorno alle 5 fasi di strategia, progettazione, transizione, esercizio, miglioramento continuo).

Sono anche trattate le 4 "dimensioni della gestione dei servizi", ossia le vecchie 4 P, anche se con nome leggermente diverso.

Le "pratiche" corrispondono ai "processi" delle precedenti versioni. Sono 34 divise in generali, di servizio e tecniche. Si vede quindi che non sono diminuite. L'idea è però quella di fornire indicazioni in merito agli aspetti della gestione dei servizi, non di presentare un modello unitario e coerente di queste pratiche. Mi permetto di tradurre così: dopo averci tormentati con i processi e la loro importanza, dopo averne creati troppi, dopo non essere riusciti a diminuirli, gli autori di ITIL hanno rinunciato a dare una visione dei processi come sistema (ossia a correrlarli tra loro) e li hanno chiamati "pratiche".

Se pure molte indicazioni sono interessanti, è in effetti difficile capire le relazioni tra le pratiche di "service design" e "change control" (non mi pare siano spiegate) e tra le pratiche di "release management" e "deployement management" (anche se per queste è fornita una spiegazione).

Sulle pratiche, segnalo poche cose:
- rinuncia al termine "risorse umane" per "forza lavoro e talenti" (workforce and talent);
- sottolinea che il CMS (configuration management system) è importante, ma non è necessario che sia di dettaglio e che è possibile averne più di uno (questo ricordando certi consulenti che promuovono un unico CMS o CMDB o Asset inventory, evidentemente senza avere idea di cosa sono veramente);
- ricorda che i processi di controllo dei change possono essere distinti per ambienti distinti (in molti pensavano ad un unico change manager per tutti i change);
- rinuncia (per lo meno a livello di foundation) al change manager e al CAB (change advisory board), ricordando solo che vanno previsti diversi livelli di autorizzazione per i change;
- riduce notevolmente l'importanza della pratica di "change control" rispetto a quanto in precedenza era importante il processo di change management (lo cita solo una volta nei 4 esempi forniti in Appendice A);
- usa il termine "continuity" per eventi di elevato impatto, contrariamente ad altri (per esempio il BCI) che invece lo usano anche per incidenti di impatto minore.

Per ogni pratica, sono indicati gli impatti sulle 6 attività del SVS. Questo punto spesso non mi è risultato chiaro e, anzi, alcune relazioni non mi hanno trovato d'accordo. Si tratta sicuramente di un tentativo di correlare il modello SVS con le 34 pratiche. Come spesso succede, i tentativi di correlare modelli diversi risultano difficili e il risultato non è buono.

I principi sono 8. Sono trattati all'inizio e poi quasi dimenticati. Di questi, anche come conclusione di questa analisi superficiali, vorrei ricordarne 3:
- il primo è la promozione della "progressione iterativa con riscontri" ossia dell'approccio Agile, criticando, in qualche modo, chi ha cercato di adottare ITIL con un approccio di reingenierizzazione dei processi (si ritorna, insomma, al Kaizen promosso nell'ambito della qualità);
- il secondo è di "partire da dove si è", ossia di essere consapevoli del proprio stato prima di iniziare attività di miglioramento; questo lo ricordo perché include, finalmente, una critica alle misurazioni e un richiamo all'importanza del monitoraggio;
- il terzo principio che ricordo è quello di "rendere semplice e pratico", spesso dimenticato da manager, consulenti e auditor; la frase che mi sono segnato è: "Simplicity is the ultimate sophistication".

Ora dovrò sostenere l'esame. Le differenze rispetto a ITIL 2011 sono molte e molti consigliano di seguire il corso completo. Io ho preferito studiare da solo il manuale. Spero di non aver fatto una scelta sbagliata.

venerdì 10 maggio 2019

Mia intervista per Coretech

CoreTech, nella persona di Roberto Beneduci (Founder & CEO), mi ha invitato a tenere un intervento al suo convegno annuale (CoreTech Summit) sul tema della business continuity.

Mi hanno quindi fatto un'intervista "preventiva" pubblicata su LinkedIn. Per chi vuole ascoltarmi (e ascoltare anche Roberto) per poco più di 12 minuti, il link è questo (mi pare che questo video sia visibile anche senza accedere a LinkedIn):
- https://www.linkedin.com/feed/update/urn:li:activity:6531774727407562752.

Pubblicazione ISO/IEC 27050-2

Seppur con grande ritardo, segnalo che a settembre 2018 è stata pubblicata la ISO/IEC 27050-2:2018 dal titolo "Information technology -- Electronic discovery -- Part 2: Guidance for governance and management of electronic discovery":
- https://www.iso.org/standard/66230.html.

Non mi pare aggiunga alcunché a quanto già noto, visto che è soprattutto una norma di tipo "gestionale" e non tecnico.

In sostanza, senza fornire molti dettagli, dice di prevedere regole in merito a: archiviazione, identificazione delle prove, dichiarazioni e comunicazione, gestione del rischio, monitoraggio e rendicontazione.

martedì 7 maggio 2019

Controllo dei lavoratori, Statuto lavoratori, penale e civile

Franco Vincenzo Ferrari di DNV GL Business Assurance Italia mi ha segnalato un articolo dal titolo "Cassazione penale: utilizzabili le riprese di un impianto di video-sorveglianza non conforme alla normativa privacy":
- https://www.forensicsgroup.eu/2019/05/cassazione-penale-utilizzabili-le-riprese-di-un-impianto-di-video-sorveglianza-non-conforme-alla-normativa-privacy/.

Si tratta di una sentenza della Cassazione, per cui si possono usare in un processo penale delle prove raccolte da strumenti di monitoraggio non coerenti con l'art. 4 dello Statuto dei lavoratori. Infatti questo riguarda il diritto privato e non il penale.