Pianificare, sviluppare e implementare un servizio per l’Internet of Everything

b3: Consigliare i clienti in materia di protezione e sicurezza dei dati

Gli informatici e le informatiche consigliano i clienti sul modo di trattare i dati sensibili e propongono soluzioni per l’attuazione di misure di protezione: a tal fine chiariscono la situazione in materia di sicurezza presso il committente ponendo domande mirate sui sistemi, le reti, i software e i dati. Sulla base delle informazioni ottenute, propongono le misure di protezione necessarie e raccomandate per gli ambiti esaminati. Creano una presa di coscienza nel committente per quanto concerne i pericoli legati alla rete e al trattamento dei dati sensibili. Per adempiere questi compiti, si informano continuamente sulle modifiche apportate al quadro giuridico/alle prescrizioni legali applicabili nella fattispecie. Se necessario, formano i collaboratori nell’applicazione delle direttive informatiche proprie dell’azienda.

d1: Raccogliere, standardizzare e automatizzare i processi ICT

Gli informatici e le informatiche raccolgono i processi ICT (p. es. gestione degli utenti, provisioning di servizi, analisi dei log), li standardizzano e li automatizzano. Migliorano in tal modo l’efficienza e la qualità dei processi ICT implementati: raccolgono dapprima le esigenze degli stakeholder in termini di processi aziendali e/o specifici all’azienda. Questa tappa può svolgersi nell’ambito di un colloquio di consulenza (a1). Dalle esigenze identificate, deducono una proposta di soluzione tecnica e la annotano tenendo particolarmente conto delle specificità dell’azienda interessata così come delle norme e degli standard (p. es. BPMN, strumenti di orchestrazione, strumenti di pianificazione, OS builds). Implementano poi la soluzione. Eseguono progressivamente l’automatizzazione dei processi definiti. A tal fine, utilizzano linguaggi di script, l’infrastruttura in quanto codice (IaC) e strumenti di orchestrazione adatti al contesto aziendale.

d2: Definire il processo di consegna delle soluzioni ICT

Gli informatici e le informatiche definiscono il processo di consegna con il quale le soluzioni ICT sviluppate saranno consegnate al cliente. Garantiscono in tal modo una consegna della soluzione ICT professionale e conforme alle esigenze. Identificano dapprima i processi di consegna esistenti (p. es. deployment software e hardware) tenendo conto delle interfacce e degli stakeholder interessati. Determinano la piattaforma appropriata e/o le estensioni e gli adattamenti necessari. Documentano il processo di consegna definitivo e lo comunicano a tutti gli stakeholder coinvolti. Elaborano inoltre un concetto di test per la consegna (p. es. test delle funzioni e di integrazione) considerando gli eventuali rischi di sicurezza (p. es. ciclo di vita dell’hardware, messa in sicurezza del trasferimento di dati, concetto di sicurezza per il deployment). Annotano gli strumenti scelti (p. es. pipeline CI/CD, gestore di artefatti) e li comunicano agli stakeholder.

d3: Preparare la piattaforma di esecuzione delle soluzioni ICT

Gli informatici e le informatiche preparano la piattaforma di esecuzione delle soluzioni ICT: mettono a disposizione la piattaforma di esecuzione definitiva (d2), (p. es. catena continua di strumenti di consegna [Continuous Delivery Toolchain], piattaforma di virtualizzazione). In questo modo, intrattengono scambi stretti e proattivi con i partecipanti al progetto interessati. Configurano inoltre la piattaforma conformemente alle esigenze pianificate. Documentano in modo comprensibile le tappe e le configurazioni realizzate. Infine, verificano se la piattaforma messa a punto può essere accettata.

d4: Mettere in servizio le soluzioni ICT

Gli informatici e le informatiche mettono in servizio le soluzioni ICT conformemente alle esigenze definite. Si assicurano in tal modo che la soluzione consegnata al committente sia ottimale: a seconda del progetto, chiedono le autorizzazioni e i diritti di accesso richiesti per la messa in servizio. Se necessario, coordinano gli adattamenti da intraprendere sui sistemi periferici. Realizzano poi la messa in servizio (p. es. esecuzione di script di deployment, deployment). Intrattengono contatti regolari con gli stakeholder e li informano sullo stato di avanzamento della messa in servizio. Testano la soluzione secondo il concetto di test (d2). Infine, verificano la soluzione riguardo ai rischi di sicurezza. Consegnano la soluzione ICT al committente. Se necessario, dispensano una formazione o redigono una documentazione (cfr. a7).

f1: Pianificare e documentare i sistemi server e i loro servizi

Gli informatici e le informatiche pianificano e documentano i sistemi server e i loro servizi per i committenti più diversi (dalla microimpresa alle grandi società), redigono le documentazioni necessarie e ne assicurano il seguito. Forniscono in tal modo basi comprensibili per l’allestimento e la gestione dei servizi: raccolgono dapprima presso gli stakeholder interessati (p. es. committente, divisione interna, fabbricante) le esigenze in termini di funzioni richieste e chiariscono il budget previsto (→a1). A partire dalle esigenze identificate, elaborano una prima proposta o varianti di soluzione per i sistemi server e/o i servizi possibili (p. es. servizi web, basi di dati, servizi di archiviazione di dati, analitica dei dati). A seconda della situazione, tengono conto delle specificità dell’azienda, delle norme/standard tecnici e/o delle prescrizioni legali e della protezione informatica di base. Consigliano gli stakeholder, chiariscono le loro domande e sostengono la loro presa di decisione con confronti argomentati delle varianti proposte.

f2: Mettere in servizio i sistemi server

Gli informatici e le informatiche mettono in servizio i sistemi server pianificati (per sistemi server si intendono l’hardware, le macchine virtuali o i container interni o basati cloud): una volta che la decisione di attuazione del sistema server è definitivamente presa, si procurano i componenti e/o le risorse necessarie (p. es. personale, materiale, infrastruttura, licenze, servizi cloud). Mettono poi in servizio i componenti e/o i servizi installandoli e configurandoli conformemente alle esigenze. A tal fine, procedono conformemente alla pianificazione stabilita e tengono conto delle esigenze interne, delle direttive e delle best practice. Verificano il sistema server eseguendo i test pianificati (→f1) e documentano i risultati. Se tutto è conforme, trasferiscono il sistema nell’ambiente produttivo e consegnano la documentazione al committente.

f3: Mettere in servizio i servizi del server

Gli informatici e le informatiche mettono in servizio i servizi del server pianificati (che possono p. es. essere un DNS, un server web, una base di dati, un JRE, una piattaforma collaborativa, un gateway IoT, un bus di messaggeria, l’analitica Big Data): una volta che la decisione di attuazione dei servizi del server è definitivamente presa, si procurano le risorse necessarie (p. es. personale, licenze, servizi cloud). In un’ulteriore tappa, mettono in servizio i servizi del server installandoli e configurandoli in funzione delle esigenze. A tal fine, procedono conformemente alla pianificazione stabilita e tengono conto delle esigenze interne, delle direttive e delle best practice. Verificano il servizio eseguendo i test pianificati (→f1) e lo trasferiscono nell’ambiente produttivo. Infine, aggiornano il manuale d’uso e lo trasmettono al committente.

f4: Mantenere e amministrare i sistemi server e i loro servizi

Gli informatici e le informatiche mantengono e amministrano i sistemi server e i loro servizi. Garantiscono in tal modo la loro gestione produttiva continua: a seconda delle esigenze del sistema o del servizio, definiscono dapprima i compiti di manutenzione e il loro ciclo (giornaliero, settimanale, mensile, in caso di eventi particolari, secondo gli accordi di livello di servizio). Eseguono in modo affidabile i compiti di manutenzione agli intervalli definiti e li documentano. Se sono necessari aggiornamenti (p. es. upgrade, correttivi, firmware), li testano e li installano nell’ambiente produttivo. Testano inoltre il funzionamento, la performance e la sicurezza dei sistemi e dei servizi a intervalli regolari. Se vengono apportate modifiche ai sistemi, le documentano in modo chiaro. Adottano un approccio rigoroso e fanno in modo che ogni intervento sui sistemi o servizi sia in qualsiasi momento tracciabile e comprensibile.

e3: Mantenere e sviluppare le reti

Gli informatici e le informatiche mantengono le reti nell’ambito di contratti di manutenzione e, se necessario, ne proseguono lo sviluppo (miglioramento continuo dei servizi): negli intervalli di manutenzione definiti, eseguono in loco controlli visivi dei componenti della rete e decidono se devono essere prese misure (p. es. depolverizzazione). Controllano la registrazione dei componenti della rete (p. es. variazioni di temperatura, tassi di flusso, tassi di performance, carico della rete, messaggi di errore). Se necessario, prendono misure per sviluppare la rete a corto o lungo termine (p. es. componenti supplementari, rielaborazione della rete, adattamento della configurazione, correttivi e aggiornamenti).

e4: Implementare, documentare e verificare la sicurezza delle reti

Gli informatici e le informatiche implementano, documentano e verificano la sicurezza delle reti. Garantiscono in tal modo che i sistemi critici siano protetti in modo appropriato contro gli attacchi o le infezioni: analizzano dapprima i potenziali rischi in materia di sicurezza della rete e li valutano. A tal fine, utilizzano strumenti attuali e specifici alla gestione (p. es. scanner di porte). Su questa base, concepiscono le misure di sicurezza fisiche e sistemiche nella rete locale (e1). Attuano le misure di sicurezza pianificate implementando servizi e componenti di sicurezza (p. es. firewall, VPN, NAT, VLAN, DMZ). Infine, testano le misure di sicurezza in modo sistematico e ne documentano il funzionamento.

e5: Analizzare, ottimizzare e documentare la performance di una rete

Gli informatici e le informatiche analizzano, ottimizzano e documentano la performance di una rete. Queste tappe si svolgono tipicamente durante il funzionamento, per cicli regolari, o in caso di segnalazione di problemi (p. es. monitoraggio, messaggi degli utenti): dopo la presa di contatto e la descrizione del problema (p. es. l’avvio di un’applicazione è lento) da parte di uno stakeholder, chiariscono dapprima le cause possibili. Analizzano il carico della rete (LAN) e definiscono poi varianti di soluzione (p. es. ripartizione del carico, qualità del servizio [QoS], PoE). In questo modo, tengono conto di diversi fattori, p. es. le ripercussioni del cablaggio sulla performance. Documentano la soluzione scelta e adattano la configurazione dei componenti corrispondenti (p. es. switch, router, access point).

e6: Sorvegliare le reti

Gli informatici e le informatiche sorvegliano le reti in continuo. Garantiscono in tal modo un funzionamento ininterrotto della rete e identificano in tempo i problemi, le disfunzioni e le possibilità di miglioramento: con l’aiuto di diversi strumenti di monitoraggio, sorvegliano le reti in continuo, sia per la loro azienda sia per clienti nell’ambito di accordi di livello di servizio (SLA). Verificano in particolare la disponibilità e la capacità di funzionamento dei componenti della rete. Sorvegliano inoltre il carico della rete (p. es. performance dei componenti e delle linee di trasmissione). Valutano il livello di urgenza dei messaggi/avvisi entranti e prendono per tempo le misure appropriate (trouble shooting). Circoscrivono l’errore al livello dei componenti. Procedono in modo strutturato e con tenacia finché identificano l’errore. Infine, organizzano la procedura di soppressione di l’errore in collaborazione con gli stakeholder interessati e documentano l’incidente per tracciabilità.

g2: Verificare la fattibilità tecnica dei prototipi di interfacce utente e svilupparli

Gli informatici e le informatiche verificano la fattibilità tecnica dei prototipi di interfacce utente e li sviluppano in termini di convivialità: ricevono dal committente o da altri partner direttive e indicazioni concettuali applicabili alle interfacce utente. Su questa base, sviluppano mockup o modelli di interfacce funzionali (p. es. mock-up, grid, wireframe) utilizzando strumenti grafici. A seconda della situazione, apportano adattamenti alle bozze già elaborate. Identificano poi gli elementi problematici dell’interfaccia utente, p. es. le informazioni interdipendenti o i componenti non standard. Verificano la fattibilità di tali elementi tramite prototipi elaborati su carta o tramite strumenti. In tal modo, tengono conto di diversi aspetti quali l’estensione delle informazioni, le dipenden-

g3: Valutare e documentare la sicurezza delle applicazioni e delle interfacce

Gli informatici e le informatiche valutano la sicurezza delle applicazioni e delle interfacce e documentano i loro risultati: chiariscono dapprima le questioni di sicurezza relative all’ambiente di sistema, p. es. quali sono le interfacce esistenti, chi sono gli utenti dell’applicazione, quali altri sistemi accedono all’applicazione, quale è la necessità di protezione dei dati rispettivamente dell’applicazione (disponibilità, confidenzialità, affidabilità, integrità), quali direttive interne o prescrizioni legali devono essere rispettate. Sulla base del loro esame, deducono i rischi a cui possono essere esposte l’applicazione e le sue interfacce. Al riguardo, adottano un approccio prospettivo e mettono in evidenza i metodi di minacce e le manipolazioni possibili provenienti dall’esterno. Discutono in squadra i risultati della loro analisi e ne traggono le misure appropriate.

g4: Elaborare varianti di attuazione di un’applicazione e sviluppare la soluzione sul piano concettuale

Gli informatici e le informatiche elaborano varianti di attuazione di un’applicazione e sviluppano un concetto di realizzazione per la variante scelta. In questo contesto, lavorano in stretta collaborazione con la loro squadra e con gli stakeholder: con bozze e descrizioni, presentano dapprima le varianti fondamentali in relazione alla loro implementazione (p. es. tecnologie, componenti, framework, librerie, sistemi). Congiuntamente con gli stakeholder rispettivi, stabiliscono un’analisi di utilità comprensibile delle diverse varianti con criteri decisionali pertinenti e valutabili. Sulla base dell’analisi di utilità, consigliano lo stakeholder nella sua presa di decisione al fine di fargli adottare la soluzione ottimale. In tal modo, vegliano affinché la soluzione sia difendibile sui piani etico e legale. Infine, verificano la variante scelta, eventualmente in forma di analisi di fattibilità (→ a3).

g5: Implementare le applicazioni e le interfacce secondo il concetto rispettando le esigenze di sicurezza

Sulla base delle esigenze definite e delle bozze/dei modelli sviluppati, gli informatici e le informatiche implementano le applicazioni e le interfacce. Si può trattare di nuove applicazioni o di un’estensione apportata a un’applicazione esistente: mettono dapprima in atto un ambiente di sviluppo e di esecuzione appropriato. Il concetto di realizzazione prestabilito e le direttive aziendali servono da base a questa tappa. Passano poi alla programmazione del back-end e del front-end secondo le esigenze definite. A tal fine, utilizzano i linguaggi di programmazione dati e strumenti di sviluppo. Testano regolarmente l’implementazione al fine di rilevare errori e li correggono (debug). Vegliano a rispettare sistematicamente le disposizioni regolamentari.

g6: Verificare la qualità e la sicurezza delle applicazioni e delle interfacce

Gli informatici e le informatiche verificano la qualità e la sicurezza delle applicazioni e delle interfacce sulla base di concetti di test. Garantiscono in tal modo che le applicazioni siano implementate conformemente alle esigenze e gli errori soppressi, e che l’applicazione sarà convalidata per la messa in produzione: stabiliscono dapprima un concetto di test in cui descrivono l’ambiente di test dell’applicazione con le indicazioni pertinenti (p. es. sistema, attore, dati, utenti, autorizzazioni). Definiscono poi i tipi di test che saranno utilizzati (p. es. unit test, test di accettazione degli utenti, test di integrazione, test di carico/performance o test di sicurezza). Su questa base, determinano i mezzi di test appropriati. Descrivono poi i casi di test (test case) in relazione ai casi d’uso (use case) e alle esigenze. In tal modo, adottano diversi angoli di approccio (p. es. valori limite, situazioni di errore). Si assicurano che i casi di test definiti siano completi e coprano le esigenze funzionali e non funzionali. Infine, eseguono i test, annotano i risultati e sottopongono i difetti rilevati a correzione.