Utilizzare un servizio di cloud pubblico per applicazioni

c3: Pianificare, implementare e documentare la sicurezza e la protezione dei dati per soluzioni ICT

Gli informatici e le informatiche pianificano misure relative alla sicurezza e alla protezione dei dati, le implementano e le documentano: identificano dapprima i dati sensibili e li categorizzano. Modellano poi i dati sensibili secondo il principio di Privacy by design. Chiariscono i meccanismi di protezione necessari secondo la sensibilità dei dati e li qualificano. In questo contesto, tengono conto del quadro legale (RGPD tra gli altri) e lo applicano in funzione della situazione. Su questa base, elaborano un concetto di sicurezza dei dati e di ruoli conformemente al mandato, lo documentano e lo attuano (p. es. creare un backup, implementare le autorizzazioni di accesso, cifrare i dati).

d1: Raccogliere, standardizzare e automatizzare i processi ICT

Gli informatici e le informatiche raccolgono i processi ICT (p. es. gestione degli utenti, provisioning di servizi, analisi dei log), li standardizzano e li automatizzano. Migliorano in tal modo l’efficienza e la qualità dei processi ICT implementati: raccolgono dapprima le esigenze degli stakeholder in termini di processi aziendali e/o specifici all’azienda. Questa tappa può svolgersi nell’ambito di un colloquio di consulenza (a1). Dalle esigenze identificate, deducono una proposta di soluzione tecnica e la annotano tenendo particolarmente conto delle specificità dell’azienda interessata così come delle norme e degli standard (p. es. BPMN, strumenti di orchestrazione, strumenti di pianificazione, OS builds). Implementano poi la soluzione. Eseguono progressivamente l’automatizzazione dei processi definiti. A tal fine, utilizzano linguaggi di script, l’infrastruttura in quanto codice (IaC) e strumenti di orchestrazione adatti al contesto aziendale.

d3: Preparare la piattaforma di esecuzione delle soluzioni ICT

Gli informatici e le informatiche preparano la piattaforma di esecuzione delle soluzioni ICT: mettono a disposizione la piattaforma di esecuzione definitiva (d2), (p. es. catena continua di strumenti di consegna [Continuous Delivery Toolchain], piattaforma di virtualizzazione). In questo modo, intrattengono scambi stretti e proattivi con i partecipanti al progetto interessati. Configurano inoltre la piattaforma conformemente alle esigenze pianificate. Documentano in modo comprensibile le tappe e le configurazioni realizzate. Infine, verificano se la piattaforma messa a punto può essere accettata.

d4: Mettere in servizio le soluzioni ICT

Gli informatici e le informatiche mettono in servizio le soluzioni ICT conformemente alle esigenze definite. Si assicurano in tal modo che la soluzione consegnata al committente sia ottimale: a seconda del progetto, chiedono le autorizzazioni e i diritti di accesso richiesti per la messa in servizio. Se necessario, coordinano gli adattamenti da intraprendere sui sistemi periferici. Realizzano poi la messa in servizio (p. es. esecuzione di script di deployment, deployment). Intrattengono contatti regolari con gli stakeholder e li informano sullo stato di avanzamento della messa in servizio. Testano la soluzione secondo il concetto di test (d2). Infine, verificano la soluzione riguardo ai rischi di sicurezza. Consegnano la soluzione ICT al committente. Se necessario, dispensano una formazione o redigono una documentazione (cfr. a7).

f1: Pianificare e documentare i sistemi server e i loro servizi

Gli informatici e le informatiche pianificano e documentano i sistemi server e i loro servizi per i committenti più diversi (dalla microimpresa alle grandi società), redigono le documentazioni necessarie e ne assicurano il seguito. Forniscono in tal modo basi comprensibili per l’allestimento e la gestione dei servizi: raccolgono dapprima presso gli stakeholder interessati (p. es. committente, divisione interna, fabbricante) le esigenze in termini di funzioni richieste e chiariscono il budget previsto (→a1). A partire dalle esigenze identificate, elaborano una prima proposta o varianti di soluzione per i sistemi server e/o i servizi possibili (p. es. servizi web, basi di dati, servizi di archiviazione di dati, analitica dei dati). A seconda della situazione, tengono conto delle specificità dell’azienda, delle norme/standard tecnici e/o delle prescrizioni legali e della protezione informatica di base. Consigliano gli stakeholder, chiariscono le loro domande e sostengono la loro presa di decisione con confronti argomentati delle varianti proposte.

h1: Definire la piattaforma appropriata per la consegna delle applicazioni

Gli informatici e le informatiche analizzano le diverse esigenze relative al funzionamento delle applicazioni e definiscono la piattaforma appropriata: analizzano dapprima le esigenze predefinite e identificano le dipendenze tra i componenti (microservizi, software esistente, applicazioni/interfacce). Su questa base, determinano la piattaforma appropriata al funzionamento dell’applicazione (cloud, on-site, client, ibrido, multicloud). Definiscono poi il modello di strati (SaaS, PaaS, IaaS) in funzione delle condizioni quadro dello stakeholder (p. es. costi, responsabilità, attuazione). Identificano le esigenze di sicurezza (protezione dei dati inclusa) che devono essere soddisfatte dalla piattaforma e scelgono i servizi appropriati. Valutano le risorse richieste e le selezionano in funzione delle raccomandazioni dell’operatore della piattaforma (performance, esigenze di spazio di archiviazione, disponibili-

h2: Definire il processo di consegna delle applicazioni

Gli informatici e le informatiche definiscono il processo di consegna delle applicazioni nonché le tecniche e gli strumenti da utilizzare: per la definizione del processo di consegna, si basano sul modello procedurale definito (p. es. scrum). Analizzano dapprima le dipendenze tra i diversi componenti in relazione al processo di consegna. Integrano anche le migrazioni pianificabili (Code First, schema di base di dati, di dati) tenendo conto dell’architettura. Determinano le pratiche di integrazione appropriate (p. es. Git flow, tronco, integrazione continua) in funzione del tipo di applicazione e del modello procedurale scelto e le annotano.

h3: Implementare il processo di consegna delle applicazioni

Gli informatici e le informatiche implementano il processo di consegna delle applicazioni secondo la procedura definita: se ciò non è ancora stato fatto, stabiliscono una prova di concetto (proof of concept [PoC]) per la soluzione scelta (→ a3.5). Implementano poi il processo di consegna definito. Installano i servizi, scrivono gli script di automatizzazione e definiscono le variabili d’ambiente utilizzando i metodi e gli strumenti appropriati (p. es. pipeline CI/CD, CLI, YAML). Mettono a disposizione i componenti (ambiente di esecuzione/servizi) e impacchettano l’applicazione (p. es. docker, container). Amministrano e versionano gli artefatti. A tal fine, adottano un approccio strutturato, controllano regolarmente il loro lavoro al fine di identificare errori e, se del caso, li sopprimono.

g4: Elaborare varianti di attuazione di un’applicazione e sviluppare la soluzione sul piano concettuale

Gli informatici e le informatiche elaborano varianti di attuazione di un’applicazione e sviluppano un concetto di realizzazione per la variante scelta. In questo contesto, lavorano in stretta collaborazione con la loro squadra e con gli stakeholder: con bozze e descrizioni, presentano dapprima le varianti fondamentali in relazione alla loro implementazione (p. es. tecnologie, componenti, framework, librerie, sistemi). Congiuntamente con gli stakeholder rispettivi, stabiliscono un’analisi di utilità comprensibile delle diverse varianti con criteri decisionali pertinenti e valutabili. Sulla base dell’analisi di utilità, consigliano lo stakeholder nella sua presa di decisione al fine di fargli adottare la soluzione ottimale. In tal modo, vegliano affinché la soluzione sia difendibile sui piani etico e legale. Infine, verificano la variante scelta, eventualmente in forma di analisi di fattibilità (→ a3).