blog.imm.cnr.it

Con riferimento al Comunicato diramato da FLC CGIL CNR in data 26 giugno 2022 in materia di sicurezza informatica ed esternalizzazioni, qui riportato in allegato, si trasmette a tutto il personale la nota sottoscritta dal Consiglio di Amministrazione dell’Ente con la volontà di tutelare equilibrio e correttezza nel trasferimento delle informazioni all’interno della Comunità del CNR.

Distinti saluti

Il Consiglio di Amministrazione

-----------------------------------------------------------------------------------------

SICUREZZA INFORMATICA ED ESTERNALIZZAZIONI

Nota del 27 giugno 2022, Consiglio Nazionale delle Ricerche

Con riferimento al Comunicato diramato da FLC CGIL CNR in data 26 giugno 2022 dal titolo “Mentre si predispone il Piano di Rilancio, si mortifica il personale e si esternalizzano le attività”, si ritiene doverosa una puntualizzazione circa quegli aspetti argomentati in maniera tale da ingenerare potenziale misinterpretazione e sfiducia in un momento nel quale, invece, è quanto mai opportuno tutelare equilibrio e correttezza nel trasferimento delle informazioni all’interno della comunità del CNR.

Dal comunicato di FLC CGIL CNR:
“(...) si assiste ad una gestione poco trasparente e che sembra avviarsi verso l’esternalizzazione di attività chiave, che sottolinea la scarsa considerazione che i Vertici hanno delle competenze del personale. L’esternalizzazione di alcuni servizi ICT del CNR, è a nostro avviso un provvedimento che necessita sicuramente di approfondimento per capire quali criticità risolve e quali criticità pone, ma soprattutto a quale scelta politica risponde”.

“La FLC CGIL non condivide l’idea che il principale Ente pubblico di ricerca in Italia proponga l’esternalizzazione di attività per le quali dispone già delle competenze interne e in un settore in cui sono stati già investite ingenti risorse”.

“Prendiamo atto dal CV presente nel sito del CNR, che il nuovo dirigente, fino al giorno precedente il suo ingresso al CNR, è stato Azure Specialist for Education and Research – Microsoft, nel ruolo di ‘punto di riferimento, Microsoft, per il mercato italiano degli atenei e dei centri di ricerca’.”.

“La FLC CGIL a tutela non solo della corretta funzionalità dell’Ente, ma anche della professionalità del personale che negli anni ha contribuito allo sviluppo del CNR, chiede una gestione trasparente dei processi di riorganizzazione dell’Ente che abbia come fulcro la valorizzazione delle competenze maturate dal personale che per anni ha contribuito al prestigio del CNR”.

Facendo riferimento a scelte di tipo organizzativo connesse a dinamiche di tipo tecnico, si ritiene utile specificare che il termine “esternalizzazione”, anche detta “outsourcing (parola inglese traducibile letteralmente come "approvvigionamento esterno"), è in economia e organizzazione aziendale, l'insieme delle pratiche adottate dalle imprese o dagli enti pubblici di ricorrere ad altre imprese per lo svolgimento di alcune fasi del proprio processo produttivo o fasi dei processi di supporto” (da Wikipedia).
È noto che il fenomeno dell'outsourcing afferisca principalmente al settore delle imprese private – e, in particolare, a quello industriale e dei servizi – ma è diventato “di grande interesse anche per il settore pubblico, nel quale se ne osserva una sempre maggiore diffusione. L'esternalizzazione incide in maniera decisiva sull'attuale processo di modernizzazione e di riorganizzazione della Pubblica Amministrazione” (da PAQ – Pubblica Amministrazione di Qualità, Dipartimento della Funzione Pubblica).

Nella gestione della qualità secondo il modello ISO 9001 è considerato outsourcing il processo (di realizzazione del prodotto) affidato all'esterno ma che potrebbe essere svolto (oppure è svolto parzialmente) all'interno avendone il know-how.

Il Cloud (in inglese “nuvola”) non è altro che uno spazio computazionale e di archiviazione locato in Internet, su server di fornitori, accessibile in qualsiasi momento da ogni luogo utilizzando semplicemente una connessione di rete.
L’adozione di servizi cloud qualificati per le PA è sancito dalle linee guida Agid per la digitalizzazione delle pubbliche amministrazioni (principio cloud-first), è un obbligo per tutte le PA che non abbiano un data center qualificato in Gruppo A da Agid al momento del censimento del 2018.
I data center in Gruppo B come quelli CNR sono qualificati con CIRCOLARE N. 01 del 14 giugno 2019 da Agid “con carenze strutturali e/o organizzative o che non garantiscono la continuità dei servizi”, come la pressoché totalità nel comparto Università e Ricerca (solo due università hanno data center in Gruppo A).
I servizi cloud qualificati da Agid, elencati nell’Agid cloud marketplace, sono inclusi sulla base di requisiti di sicurezza, livelli di supporto e affidabilità che non sono realizzabili localmente dalle PA garantendo un adeguato livello di efficacia, efficienza ed economicità della spesa pubblica.

Dal punto di vista della sicurezza, gli elevati standard e certificazioni di processo a cui devono aderire i fornitori determina che l’accesso a servizi cloud lasci una traccia informatica sull’identità digitale di chi vi accede, ed è quindi possibile in ogni momento gestire la sicurezza e la confidenzialità delle informazioni con un livello di affidabilità molto elevato.

I servizi cloud contrattualizzati Microsoft sono inclusi nei canoni di licenza a copertura del CNR per altre funzionalità (Office). I servizi sono già più convenienti rispetto ai costi di mercato, per l’appartenenza al comparto della Ricerca e, qualora non bastassero i servizi e lo spazio inclusi, si può acquistare in convenzione delle estensioni a costi accessibili.

Stante le premesse qui esposte, si rileva che i servizi di posta elettronica, unitamente ad altri servizi informatici attualmente in uso al CNR, non rispettano i protocolli AGID 2017 di sicurezza (https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict, obbligatori dal 31 dicembre 2017 e previsti tra le responsabilità dell’art 17 del CAD).
L’importanza di questi aspetti è palese nel contesto internazionale attuale, importanza ribadita dalla recente determina della nuova costituita Agenzia per la Cybersicurezza Nazionale (628 DT DG 628 - 15 dic 2021) che costituisce il “Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione”.
Tale regolamento conferma e arricchisce le importanti linee di azione a cui le PA devono dare risposta.

I sistemi cloud nel marketplace della PA sono gli strumenti raccomandati per rispondere alle caratteristiche qualificanti dei servi della PA e dei protocolli di sicurezza AGID per la gestione dei dati e delle informazioni. Non si tratta quindi di procedere ad esternalizzazioni tout court (ricorso ad altre imprese per lo svolgimento di alcune fasi del processo produttivo) bensì di utilizzare strumenti professionali per gestire da parte del CNR i servizi digitali e le funzioni di sicurezza informatica.

D’altra parte, la scelta di sviluppare all’interno, utilizzando l’applicativo Sigla, le nuove funzionalità riguardanti la contabilità economica e patrimoniale è la prova oggettiva dell’attenzione allo sviluppo e al rafforzamento delle competenze interne e non, come viene affermato, di scelte di campo verso l’outsourcing.

Il CNR già da dieci anni si avvale delle utenze Microsoft Office, senza però utilizzare i servizi Cloud già inclusi nel servizio acquistato. Ciò significa che invece di utilizzare un servizio gratuitamente il CNR ha speso risorse interne per svolgere le stesse attività e investito risorse finanziarie in sistemi che non rispettano i minimi requisiti di sicurezza.

Nella condanna “generica” ad una procedura di “esternalizzazione”, il comunicato FLC CGIL CNR non prende in esame il contesto appena descritto, né criticità, potenzialità, funzionalità del sistema informatico attualmente in uso, il cui riordino e rilancio avrebbe ricadute positive immediate sull’organizzazione del lavoro – e quindi sul benessere – dei lavoratori del CNR.
Inoltre, FLC CGIL CNR si espone con un attacco personale rivolto a professionisti del settore selezionati con modalità che la stessa sigla sindacale giudica trasparenti, sottolineando come “sebbene la norma consenta l’incarico diretto, il DG ha emesso l’avviso pubblico esplorativo di una manifestazione di interesse (Prot. AMMCNT 0002307/2022 del 14/01/202) per l’affidamento dell’incarico dirigenziale non generale del nuovo ufficio”.

FLC CGIL CNR non approva infatti l’esperienza maturata in Microsoft dal nuovo Dirigente dell’Ufficio Agenda Digitale e Processi che ha fra le sue competenze l’organizzazione dei Servizi ICT, in coordinazione con il dirigente preposto ICT, la trasformazione digitale nella pubblica amministrazione con particolare riguardo al Codice dell'Amministrazione Digitale, al Piano Triennale per l'Informatica nella Pubblica Amministrazione, all'iniziativa europea CEF Digitali e la pianificazione e coordinamento della strategia di sicurezza informatica relativamente ai dati e ai processi per una semplificazione nell’uso dei servizi, un incremento della qualità dei servizi con riduzione di tempi e di costi.

Una critica che – oltre a non tenere conto del fatto che l’Ente già si avvale di servizi Microsoft – stride in maniera palese con l’affermazione in apertura del comunicato, in cui si legge: “Il personale e le sue competenze sono, o dovrebbero essere, il valore aggiunto dell’Ente, il pilastro sul quale costruire la riorganizzazione e il rilancio del più grande Ente Pubblico di Ricerca italiano”.

Dunque: come potrebbe, il CNR, tutelare quanto appena esposto, se nei suoi processi di reclutamento dovesse limitare l’accesso a professionisti/ricercatori provenienti da esperienze professionali eccellenti, per evitare il sospetto di una supposta dipendenza dalle istituzioni di provenienza? Non è forse interesse di tutti i lavoratori del CNR, qualunque sia il proprio profilo professionale, mansione, esperienza e livello di competenze, poter fruire nello svolgimento dei propri compiti del conforto delle migliori soluzioni tecnologiche, nel rispetto dei termini di legge, della sicurezza e dell’autonomia del singolo?

Il Consiglio di Amministrazione