Negli ultimi anni il DAIT si è posto il problema di come imprimere una svolta all’insegna delle performance e della security, tanto nella raccolta quanto nella diffusione dei dati elettorali. Allo stesso tempo, si è dato anche l’obiettivo di razionalizzare i costi di esercizio. “Le nostre infrastrutture – racconta Salvatore Galatioto, Dirigente Area Sviluppo e Manutenzione Procedure dell’Ufficio Sistemi Informatici elettorali del DAIT struttura del Ministero dell’Interno che ha tra le sue responsabilità la raccolta e diffusione dei dati elettorali – dialogano con Comuni, Prefetture, altri organi interni della Pubblica amministrazione e gli organi di informazione. Queste interazioni avvengono tramite un portale costruito alcuni anni fa con la soluzione Oracle Webcenter Portal. Anche il database è Oracle. Fino a pochi anni fa – continua il responsabile IT del DAIT – per il controllo degli accessi usavamo la suite Oracle Access Management, che però avevamo personalizzato per adattarla ai nostri processi di gestione delle identità, che sono svolti in parte al centro [cioè nell’infrastruttura del DAIT, ndr], e in parte in remoto [presso i Comuni e le Prefetture, ndr]. Per la gestione delle identità, invece, avevamo sviluppato un’applicazione al nostro interno. A un certo momento abbiamo deciso di introdurre la strong authentication per le applicazioni alle quali accedono alcuni particolari utenti esterni. Mentre per gli applicativi usati dal nostro personale interno, infatti, potevano essere sufficienti le User-Id e le Password, per gli altri – data la delicatezza dei dati in questione – abbiamo ritenuto opportuno ricorrere a un ulteriore strato di sicurezza, senza pregiudicare, in alcun modo, la facilità d’uso da parte degli utenti di Comuni e Prefetture”.
Who's Who
Salvatore Galatioto
Per rispondere a questo obiettivo, per alcuni anni il Dait si avvale della soluzione Siteminder di CA Technologies (in seguito ribattezzato CA Single Sign-On), integrandola con l’Oracle Webcenter Portal, l’Oracle Access Management, l’Oracle Database e una soluzione di Identity & Access Management (IAM) realizzata in house. “Avevamo scelto Siteminder – spiega il Dirigente del DAIT – perché ci rendeva più semplice implementare la nostra scelta organizzativa di rilasciare e revocare in modo agile e snello i certificati di autenticazione, e in più non richiedeva l’utilizzo di token esterni [dispositivi fisici come, per esempio, le smart card, nelle quali sono memorizzati i dati dei certificati, ndr]. Con l’ambiente eterogeneo costituito da CA Siteminder, la nostra soluzione Iam e le tecnologie Oracle abbiamo gestito due tornate elettorali, durante le quali abbiamo riscontrato alcune instabilità. Inoltre, ogni qualvolta si verificava un disservizio – continua Galatioto – riuscivamo, comunque, in tempi brevi a ripristinare la continuità operativa, ma non a individuare altrettanto celermente il punto esatto in cui si verificava il fault (guasto). A questo punto abbiamo iniziato a cercare una soluzione che ci permettesse di eliminare questi problemi salvaguardando l’investimento nell’Oracle Webcenter Portal”.
Parte il progetto di IT modernization
Parte quindi, nel 2014, un piano in tre fasi. Nel corso della prima, per quanto concerne il controllo degli accessi, Oracle Access Management e l’applicazione di identity management sviluppata in house vengono sostituiti dalla soluzione CA Advanced Authentication. “Devo dire – interviene Galatioto – di avere molto apprezzato la professionalità del fornitore uscente [Oracle, ndr] nell’aiutarci a gestire la transizione, sotto il coordinamento nostro, di CA Technologies e di Oracle stessa. Questo ottimo coordinamento si è verificato anche quando abbiamo dovuto intervenire sulla parte applicativa per modificare una parte delle chiamate verso i nuovi strumenti di identity access management. L’impatto sulle applicazioni, oltre ad essere stato imposto come vincolo progettuale, comunque, è stato ridotto al minimo sia in virtù alle caratteristiche della soluzioni CA Technologies, che grazie al supporto specialistico offerto da tutti”. A questo punto il manager del DAIT ci tiene a sottolineare la presenza e il ruolo giocato dalle persone della sua struttura: “Come politica – spiega Galatioto – noi non lasciamo mai che tutto un lavoro sia svolto all’esterno senza il nostro intervento. E questo non solo per esercitare un controllo, ma anche per essere soggetti attivi di un progetto. Da questo punto di vista, credo che siamo un po’ un’eccezione, ma possiamo permettercelo perché disponiamo di molte persone di valore. È vero che alcune competenze le acquisiamo in seguito all’implementazione di una nuova tecnologia, ma ci teniamo ad acquisirle per poter collaborare più attivamente in seguito a tale implementazione. Inoltre, non abbiamo mai voluto delegare a terzi la scelta di nuove soluzioni”.
Semplificare l’architettura e l’interazione con l’esterno
Nella prima fase del progetto, dunque, DAIT adotta CA Strong Authentication e CA Application Performance Management, una soluzione, sottolinea Galatioto “che ci consente di monitorare le funzionalità e le prestazioni delle applicazioni e delle infrastrutture interessate in modo semplice, intuitivo, preciso e affidabile. Ci permette di individuare i colli di bottiglia e ridurre al massimo eventuali momenti di down della ‘macchina elettorale’. Qualsiasi problema prestazionale viene identificato rapidamente, per cui possiamo intervenire celermente per risolverlo”. Nella seconda fase l’attenzione si è spostata sulla riduzione della complessità dell’architettura e dell’eterogeneità degli strumenti utilizzati. Il DAIT decide, a seguito di un approfondito studio e di una accurata valutazione, quindi, di sostituire completamente la precedente piattaforma di sicurezza, rimpiazzandola con l’intera suite di gestione delle identità di CA Technologies, comprendente anche CA Single Sign-On, CA Directory e CA Identity Management and Governance.“La nuova piattaforma di sicurezza basata su strumenti Ca Technologies – afferma Galatioto – è già stata messa alla prova in occasione dell’ultima revisione semestrale di elettori e sezioni, e gli utenti (tutti gli ottomila Comuni italiani) non hanno avuto alcun problema riguardante la gestione delle identità e degli accessi. Nessun blocco, quindi, e i nostri telefoni hanno smesso di squillare”.
La terza fase ha l’ambizione di semplificare e ottimizzare le comunicazioni con i diversi tipi di utenti esterni. Più precisamente si è scelto di ‘esporre’ i servizi DAIT ad altre applicazioni che utilizzano API (Application programming interface, software che descrive esattamente come un programma può interagire con un altro, sviluppato da una terza parte) anziché web service (anche questi, come le API, mirano a permettere la comunicazione fra programmi e device diversi attraverso un network, e più specificatamente il Web. I web service, però, a differenza delle API sono più semplificati e si limitano a rendere leggibili da entrambi i sistemi dei dati esposti secondo degli standard di comunicazione Web, come Soap, Rest o Xml-Rpc. I web service non contengono set ricchi di istruzioni di integrazione come le API vere e proprie, ma costituiscono comunque come delle piccole API incapsulate nel protocollo Http).
Anche per questo obiettivo di passaggio graduale dai web service alle API (ricordiamo che, secondo molti osservatori, siamo nell’era della API Economy) il Dipartimento per gli Affari Interni e Territoriali (DAIT) ha scelto una soluzione di CA Technologies. In seguito all’adozione di CA API Management, tutti i soggetti che intrattengono scambi di dati, non solo elettorali, con il Ministero dell’Interno potranno iniziare a scrivere applicazioni standardizzate. “Sono dell’idea – conclude Galatioto – che in tema di innovazione tecnologica la Pubblica amministrazione non possa mai fermarsi, ma debba seguire il mercato, adottando il meglio di ciò che può consentirle di fornire servizi migliori ai diversi ‘clienti’. Nel nostro caso, i Comuni”.
