L`informatica o scienza si interessa al problema di modellare e
Transcript
L`informatica o scienza si interessa al problema di modellare e
L’informatica o scienza si interessa al problema di modellare e progettare dispositivi che realizzino procedure di trattamento dell’informazione nei contesti globali (Questa è la definizione storica di informatica). Dietro questo concetto in realtà c’è un altro concetto che è quello legato alla necessità di trasformare un processo organizzativo di natura varia con la presenza di attori (esseri umani) in un processo nel quale alcuni attori che sono strumenti che elaborano in modo automatico informazioni, decidono chi deve successivamente elaborare le medesime informazioni prodotte, si sincronizzano non con altri soggetti che hanno il medesimo scopo. In altri termini stiamo parlando di un processo nel quale all’interno di un organizzazione, alcune componenti, alcune unità vengono dematerializzate in un programma informatico. Si è verificato un problema spesso per motivi commerciali e storici sottovalutato perchè l’informatica di per sé ha una natura formale in quanto ad esempio un programma di calcolatori è assolutamente simile a quella di un teorema matematico, trattando delle informazioni in un contesto reale. E’ questa la contraddizione che ci accompagna che da un lato non ha limitato la diffusione dell’informatica anzi ha garantito lo sviluppo pervasivo delle tecnologie, dall’altro ha determinato un aspetto microscopico in quanto le tecnologie rappresentano un qualcosa di costruito in maniera incrementale in cui i processi relativi la sicurezza hanno un importanza molto bassa, la seconda cosa è un aspetto macroscopico che riguarda lo sviluppo dell’informatica come capacità di impatto sulle organizzazioni umane che è un processo assolutamente indipendente dalla volontà di quei soggetti che governano lo sviluppo delle tecnologie e dell’informatica. Si era pianificato uno sviluppo tecnologico in un certo modo ma il risultato è stato completamente l’opposto. Nel 2002 ci fu un meeting internazionale sulle tecnologie basati sui modelli Xterminal. (Si andava verso processi organizzativi in cui tutte le funzioni che gli individui realizzino mediante sistemi informatici saranno centralizzati mediante server farm, data-center, etc). Un idea di organizzazione fortemente centralizzata in cui il business erano i sistemi informatici centralizzati. Che cosa è successo? Tutto l’opposto. Oggi il 90% dell’apporto economico (budget) che deriva dall’industria dell’ICT deriva da processi di natura completamente diversi da quelli previsti, si basano su processi fortemente cooperativi che determinano in maniera determinante il mercato ict ed hanno tagliato fuori i grandi colossi dell’informatica (HP, IBM, Microsoft, etc). Il modello è nato cosi, nessuno lo ha governato. Ciò sta modificando la percezione di cosa vuol dire un organizzazione su rete. Definizione di organizzazione Quando parliamo di organizzazione ci riferiamo a delle entità che comunicano tra loro per raggiungere un obiettivo comune. La comunicazione tra entità avviene attraverso reti di comunicazione (ad esempio internet). Infatti lo scambio di risorse (informazioni) stabilisce delle relazioni tra le entità che possono essere definite a priori o essere generate durante il processo di interazione (iterativo, guidato o spontaneo): consocio prima i processi e le regole con cui vengono gestiti e sono i contesti in cui si applicano gli standard a tutti noti oppure il processo è descritto in maniera iterativa, si specializzano oppure posso essere guidate, oppure può essere spontaneo. Il processo di interazione può essere definito a priori e ci troviamo nel classico esempio di organizzazioni gerarchiche di tipo aziendale dove conosco prima di applicare l’organizzazione i processi che devono essere gestiti e conosco le regole e sono i contesti in cui si applicano facilmente gli standard di sicurezza noti oppure il processo di interazione è definito in modo iterativo, cioè nel momento in cui io riesco ad interagire nella mia struttura le mie relazioni vengono definite, si specializzano oppure possono essere guidate attraverso delle modalità o spontanee (un esempio di questo è e-bay che ci accoglie e ci guida attraverso un sistema di regole di interazione che piano piano ci fanno approfondire la relazione con il sistema organizzativo fino ad avere determinati privilegi mediante un sistema che verrà analizzato in seguito. Questo modello di e-bay, e questo aspetto di guida è presente per la maggior parte delle interazioni, non sempre in quanto perché sia guidato il sistema deve essere in grado di gestire i processi reali relative alle transazioni effettuate (ad esempio la forma di pagamento paypal in e-bay). Se ad esempio i pagamenti vengono effettuati all’esterno allora e-bay ne perde il controllo. Anche la parte relativa alla logistica non è guidata da e-bay ma è solamente monitorata. In questo processo di e-commerce cosi come strutturato non c’è un vero e proprio processo di interazione. E.bay ha un livello iterativo, in quanto durante l’interazione con il sistema di e-bay noi acquistiamo degli oggetti con cui facciamo delle cose più sofisticate). Vi sono sistemi in cui la componente è molto piccola. Gli avatar sono degli ambienti relativi al mondo dei giochi elettronici nei quali utilizzo una mia identità digitale (io sulla rete impersono ad esempio il ruolo di un cavaliere ). Questa metafora può essere fatta per cosa più sofisticate. Altro esempio è wikipedia, la più grande biblioteca mondiale su internet. Nel concetto di organizzazione l’insieme di entità e relazioni formano una particolare forma di organizzazione. A questo punto si verifica il problema della certificazione e della sicurezza nelle forme di organizzazione suddette. Si ha quindi la necessità di definire in modo formale: entità, relazioni, risorse e obiettivi. Business process Uno dei problemi principali che si verifica all’interno di un organizzazione è rappresentato dalla coerenza dei dati presenti nelle diverse unità organizzative. Questo è il problema principale dal quale si misura il livello di affidabilità di un organizzazione. L’obiettivo di un organizzazione viene raggiunto attraverso un Business process. Il Business process viene definito come collezione di attività compiute dagli attori di un’organizzazione che, insieme, costituiscono i passi necessari al compimento di un determinato obiettivo di business. Un esempio di BP è quello relativo ad un’azienda che realizza un sistema informativo per un cliente: il cliente descrive le proprie esigenze all’interfaccia aziendale, l’interfaccia comunica i requisiti progettuali del sistema ai responsabili di progetto, i responsabili di progetto coordinano i programmatori ed infine il prodotto finito viene consegnato al cliente. Molto brevemente definiamo i work-flow. Un work flow (flusso di lavoro) è la descrizione che certi attori, entità sviluppano dei task cooperando fra di loro per descrivere un determinato compito. Se io parlo di un organizzazione gerarchica un work flow è molto semplice e ben fatto. Ricevo il token e faccio di tutto. A questo punto entra in gioco il concetto di un organizzazione virtuale che esiste in un certo momento, istante nella quale quello che sicuramente rimane sono le cose che vengono fatte dalle parti le quali accettano le regole del gioco, il cosiddetto cooperationagreement. Questo ca è il contenitore attraverso il quale si ha il risultato di tutti gli accordi di un processo di cooperazione. Ciò si verifica quando più il processo è lento, nel contesto del ca siamo in grado di definire le regole di sicurezza perchè possiamo evolvere il processo delle regole definite. Anche qui e-bay è canonico e si iniziano ad avere delle altre caratteristiche. Ciò avviene attraverso un cooperation-agreement in ebay. Tutti si basano sul giudizio iniziale fatto da e-bay. Il secondo punto è che tutto questo funziona se viene fatto in maniera preciso cioè se ognuno conosce i mie confini e mi sa giudicare. Questo è un tema che è nato in maniera spontanea. E’ stata la chiave per la diffusione di grande penetrazione nei mercati mondiali (ad es. amazon). Dal nostro punto di vista ci troviamo di fronte alla necessità di rendere sicura un organizzazione virtuale perché opera in un contesto virtuale ma che si fonda su una struttura ben definita che può essere gerarchica, non gerarchica (senza l’atto costitutiva) e quella ibrida (un misto delle due). Es. in un azienda che ha dei processi gerarchici si confronta con una community verso l’esterno (meccanismi di interazione economica, etc). Questo oggi ha un peso importante. Dobbiamo creare in questi casi un modello di certificazione. Ad esempio carpisco le credenziali di un sito per accedere ad degli archivi, l’interazione consiste nel acquisire le informazioni per effettuare transazioni economiche. La descrizione formale del Business Process (entità, task e sequenza di attività) viene espressa attraverso i Workflow (WF).Questa definizione richiede di essere specificata in quanto può essere inconsistente o incoerente Cooperation Agreement A volte `e necessario stabilire degli accordi orientati al raggiungimento dell’obiettivo di business. Gli accordi stabiliscono le regole di cooperazione. Infatti l’atto formale che definisce i WF della VO è detto cooperation agreement. La cooperazione può avvenire sia in base ad accordi antecedenti che a legami dinamici. Il cooperation agreement permette di: semplificare i processi di certificazione e di messa in sicurezza; individuare i confini e le responsabilità di ogni singola organizzazione. Virtual Organization Un insieme di entità, che hanno delle relazioni tra loro e si scambiano risorse perseguendo un obiettivo comune, viene detto Virtual Organization. Perchè vengono definite virtual?Perché è necessario passare all’individuazione ed identificazione degli attori, dei ruoli e dei flussi informativi. Però nel contempo si verifica un problema che è quello di certificare e garantire la sicurezza dei flussi informativi della Virtual Organization. Le Virtual Organization si formano in diversi modi e si possono classificare secondo la metodologia di aggregazione: 1) gerarchica 2) non gerarchica 3) ibrida 4) Modello di sicurezza e certificazione si basa sulla metodologia di aggregazione Virtual Organization gerarchica Le VO gerarchiche nascono all’interno di un insieme di standard più o meno consolidati che possono supportare l’organizzazione. Sono nati in ambito militare. Nella pki (Pubblic Key Infrastracture) ho delle credenziali che mi danno un ruolo rispetto ad un soggetto e quello che mi può capitare è quello di aver ottenuto la possibilità di dare le credenziali di quel soggetto che sta sopra di me. Nelle VO gerarchiche si ha un caso più semplice in cui la VO (attori, ruoli, flussi) si mappa su una struttura organizzativa pre esistente. E’ gerarchica in quanto i ruoli associati agli attori sono definiti a priori e non cambiano nel tempo. I flussi informativi della VO coincidono con quelli della struttura organizzativa pre-esistente. Esistono degli strumenti standard per garantire i requisiti di sicurezza per le VO gerarchiche che sono : 1) Piani di sicurezza (Standard BS7799); 2) Public Key Infrastructure (PKI) Un esempio di VO gerarchica, la quale permette di incapsulare delle informazioni e delle relazioni all’interno dell’organizzazione gerarchiche stesse è quella di un’organizzazione aziendale formata da dipendenti, manager e consiglio di amministrazione. Ogni dipendente ha un proprio manager e ogni manager risponde al consiglio di amministrazione. Non ci sono contatti diretti tra consiglio di amministrazione e dipendenti, quindi nella gerarchia organizzativa sono presenti dei flussi informativi solamente tra livelli adiacenti. In questo scenario possono essere applicate delle metodologie di sicurezza. Ad esempio, può essere progettato e implementato un piano di sicurezza. Questo `e possibile perchè si conoscono a priori i ruoli e i flussi informativi di ogni entità e questi non cambiano nel tempo. Dall’esempio notiamo come la topologia dell’organizzazione sia strettamente gerarchica e spesso relazioni informali o generate nei processi operativi hanno grande importanza ma non vengono rilevate da questa metodologia Virtual Organization non gerarchica Questo è il caso in cui la VO (attori, ruoli, flussi) non si mappa su una struttura organizzativa pre-esistente. Le relazioni tra entità non sono note a priori. Infatti i ruoli possono mutare nel tempo, mentre la topologia della struttura organizzativa non `e (necessariamente) definita in modo gerarchico. E difficile definire i requisiti di sicurezza, infatti non esistono metodologie e tecnologie standard applicabili ad organizzazioni di questo tipo. I rapporti che si creano dinamicamente sono determinati da dinamiche sociali. Oggigiorno, organizzazioni di questo tipo sono molto diffuse e hanno un impatto economico e sociale molto elevato. Tipicamente si tende a non farlo. Questo è il problema. Infatti non si riesce a progettare sistemi di home-banking efficienti. Un esempio di VO non gerarchica è un’organizzazione formata da un insieme di individui fra i quali (non tutti) esiste un interesse comune. Si veda il seguente grafico: Una tecnologia nasce per fare una cosa e non per fare altre anche se poi in realtà potrebbe farle. Questo è un punto fondamentale. Nella VO non gerarchica ci sono operazioni non transitive ad es. implementare un pki su questa tipologia è praticamente impossibile. Questo è il futuro. Un Esempio di VO non gerarchica ci viene dato da E-bay che se ci pensiamo non vende niente, non ha contenuti ma la sua forza sta nella sua figura di intermediario finanziario che esso svolge. Questo nasce dal fatto che il momento in cui i due soggetti nascono cooperano contestualmente. In questo modello (ad esempio www.google.it ) ha un ruolo nel business. Chi sa fare bene questo, sa fare business nella rete. Questa VO `e dinamica, cambia rapidamente nel tempo. Non esistono rapporti gerarchici e gli attori possono crescere o decrescere nel tempo (conoscenza di nuove persone e nascita di nuove forme di collaborazione): Infine possono cambiare i ruoli associati alle entità. L’obiettivo non `e stabilito a priori, ma viene inteso come un interesse comune (stesso vantaggio per tutti). La cooperazione non è governata “centralmente”, ma è generata dinamicamente dall’evoluzione delle relazioni interpersonali. Da qui si evince il concetto di osservazione che non comporta rischi ma permette la conoscenza degli altri soggetti. Virtual Organization ibrida E’ il caso in cui solamente una parte della VO si mappa su una struttura organizzativa pre-esistente. Una parte `e statica e nota priori, mentre l’altra `e dinamica ed evolve nel tempo. L’applicazione di metodologie che garantiscono la sicurezza e certificazione dei flussi organizzativi `e possibile solamente per una parte dei processi di una VO. Nessuna conoscenza a priori della VO nella sua totalità ed è difficile identificare i confini e le responsabilità di ogni attore. I rapporti che si creano dinamicamente sono determinati da dinamiche sociali. Un esempio di VO ibrida ci viene dato dalla scena di un delitto. L’organizzazione virtuale si forma quando viene constatato un crimine. Gli eventi del processo investigativo sono necessari per l’identificazione dell’autore del crimine. La prima operazione consiste nel trasporto del ferito o la constatazione del decesso. La polizia gestisce la scena del crimine: deve garantirne l’integrità. I task del processo investigativo sono: definire il perimetro della scena del crimine, coordinare il personale investigativo, esaminare e catalogare le eventuali prove, interrogare i testimoni oculari e, al termine, pulire l’area. Possono essere coinvolti altri attori come consulenti esterni (medici legali, criminologi, etc). Questa VO `e ibrida in quanto solamente i componenti della polizia investigativa e scientifica sono noti a priori. Altri attori come gli indagati e i testimoni sono componenti dinamiche e non note a priori della VO. Non tutti gli attori hanno gli stessi interessi, di conseguenza è difficile individuare un obiettivo della VO. Gli attori sono indipendenti infatti i ruoli attribuiti ad essi possono variare nel corso delle indagini (ad esempio, un indagato può diventare testimone o può non far più parte della VO). E possibile definire delle procedure di sicurezza riguardo la gestione interna dell’indagine, ma è facilmente intuibile che altri processi sono molto difficili da modellare. Metodologie per modelli non gerarchici Le metodologie standard (PKI e piani di sicurezza) sono efficaci solamente in organizzazioni gerarchiche in cui gli attori, i ruoli e i flussi informativi sono noti a priori. Allo stesso tempo è necessario fare identificare delle metodologie che permettano di descrivere le VO non gerarchiche e ibride. Un modello che permette di descrivere le relazioni dinamiche tra attori è quello delle Social Network. Social Network Il formalismo utilizzato per lo studio e l’analisi delle Social Network è la teoria dei grafi. Una Social Network è individuata da un insieme di soggetti e dalle relazione tra di essi. Le SN richiedono una formalizzazione matematica in quanto le relazioni tra due soggetti possono essere di differenti tipi (amicizia, lavoro, etc). Quando un soggetto ha relazioni di diverso tipo esse vengono definite multiplex. Esistono differenti tipologie di relazioni tra soggetti: 1) binarie; 2) signed; 3) ordinal; 4) valued. Una relazione di tipo binario è rappresentata dalla presenza o meno di un arco (ad esempio, la relazione “essere amico di”). Una relazione di tipo signed indica il giudizio di un soggetto nei confronti di un altro: positivo (arco etichettato con +), negativo (arco etichettato con −), neutro (assenza di arco). Una relazione di tipo ordinal ha l’obiettivo di esprimere una classificazione che un soggetto compie nei confronti di altri. Una relazione di tipo valued rappresenta i legami tra i soggetti assegnando ad ogni legame un valore (assumiamo tra −100 e 100) che indica la forza della relazione. Per l’analisi di una SN vengono usati diversi parametri. L’analisi delle connessioni può essere un buon indice delle caratteristiche della SN. La quantità e la tipologia di connessioni possono essere utili per comprendere il grado di coesione, di solidarietà e della complessità di una SN. Un passaggio fondamentale ci viene dato dall’importanza della valutazione dell’out-degree e dell’in-degree di ogni nodo del grafo che rappresenta la SN: 1)out-degree alto corrisponde a un’elevata influenza nei confronti degli altri soggetti; 2) in-degree alto corrisponde a un soggetto molto prestigioso che ha molto potere in quanto riceve molte informazioni Altro elemento fondamentale è la cosiddetta densità della rete, utile a stabilire la velocità di propagazione delle informazione all’interno della SN che è direttamente proporzionale ad essa. Inoltre si verifica la raggiungibilità dove un soggetto è raggiungibile se esiste un cammino che li congiunge. Poi si ha la distanza che dipende dalla metrica utilizzata, è utile per capire quali soggetti hanno maggiore opportunità e maggior potere all’interno della SN. E’ importante capire chi detiene maggior potere all’interno di una SN. Il potere non `e una proprietà assoluta ma deriva dalle relazioni di ogni soggetto, è una conseguenza dei rapporti tra i soggetti della SN. Per “misurare” il potere `e interessante considerare differenti proprietà: 1) grado di connessioni: numero di connessioni di ogni soggetto (out-degree e outdegree), un elevato numero di connessioni è indice di maggiori possibilità in quanti si ricevono molte informazioni e si influenzano molti soggetti; 2) grado di vicinanza: il potere deriva anche dalla possibilità di comunicare facilmente con altri soggetti, essere vicini a molti soggetti aumenta il proprio potere; 3) grado di intermediazione: se un soggetto ha il ruolo di intermediatore allora ha molto potere perchè ha molte informazioni e senza la sua presenza i due soggetti non potrebbero comunicare; Una caratteristica importante `e l’equivalenza strutturale, cioè la somiglianza tra due o più soggetti. L’equivalenza strutturale `e molto rara, si verifica quando due soggetti hanno esattamente le stesse connessioni. Due soggetti che hanno lo stesso ruolo all’interno della SN avranno un alto grado di equivalenza strutturale. Si possono utilizzare dei metodi numerici per misurare le proprietà delle SN, questa analisi `e utile per capire le attitudini sociali della popolazione e per suddividere i soggetti in ruoli e/o gruppi. La struttura di una SN è di fondamentale importanza in quanto possiamo individuare tre tipologie di reti: 1. ego-centric network 2. socio-centric network 3. open-system network Una ego-centric network è una rete con un soggetto centrale, ha una struttura molto simile a quella di una VO gerarchica come quella descritta in precedenza. Una sociocentric network è una rete chiusa che descrive i rapporti di un insieme di soggetti appartenenti alla stessa organizzazione ( o nucleo sociale). Una open-system network è una rete in cui i confini non sono necessariamente definiti, questa tipologia di reti è la più interessante ma anche la più complessa da studiare. Per mezzo delle SN `e possibile descrivere le differenti VO descritte in precedenza: VO gerarchica = ego-centric social network VO non gerarchica = open-system social network VO ibrida = socio-centric social network Dottor Antonio Guzzo Responsabile CED del Comune di Praia a Mare