CASO STUDIO

PARTE SECONDA

Il caso studio è sì relativo ad un progetto di nuova edificazione, ma in cui il, BIM (e quindi anche l’ACDat) è entrato in una fase successiva a quella di brief, concept e parzialmente a quella di design. Da qui l’impossibilità di seguire alla lettera quanto contenuto nella norma inglese. L’Ambiente di Condivisione dei Dati si caratterizza per la sua divisione in tre macro-aree (progetto, construction, cantiere) identificabili come tre fasi distinte, che però, per la particolarità del progetto, non sono sequenziali.

Accessibilità della committenza PAS 1192.

Nella norma il “work in progress” non è visibile al “client” o committente, che invece ha accesso alla “client shared area”, dopo che le informazioni sono state verificate ed approvate dalla stessa figura.

CASO STUDIO

Nel caso studio, già dal principio la committenza ha accesso a tutti i blocchi, anche a quelli relativi al work-in- progress perché come già illustrato in precedenza non esiste una distinzione nell’authoring degli account.

Confronto con il D.M. 560/2017

Relativamente all’Ambiente di condivisione dei Dati è il Decreto Ministeriale 560/2017 indica delle caratteristiche che questo deve possedere, senza però entrare in specifiche tecniche o prestazionali.

Dal principio, l’art. 2, comma 1 esprime cosa si intende per Ambiente di Condivisione dei Dati, definendolo come

“un ambiente digitale di raccolta organizzata e condivisione di dati relativi ad un’opera e strutturati in informazioni relative a modelli ed elaborati digitali prevalentemente riconducibili ad essi, basato su un’infrastruttura informatica la cui condivisione è regolata da precisi sistemi di sicurezza per l’accesso, di tracciabilità e successione storica delle variazioni apportate ai contenuti informativi, di conservazione nel tempo e relativa accessibilità del patrimonio informativo contenuto, di definizione delle responsabilità nell’elaborazione dei contenuti informativi e di tutela della proprietà intellettuale”.

Termini quali: sicurezza, tracciabilità,

conservazione, accessibilità, responsabilità e tutela rappresentano

la chiave di volta che tiene assieme i “conci” del sistema per come è stato pensato.

introdotti dal D.M. 560/2017 sono:

Sicurezza D.M. 560/2017.

Il D.M. richiede che sia garantita la sicurezza relativamente all’accesso ai contenuti informativi.

CASO STUDIO

Nel caso studio la sicurezza ai contenuti informativi è garantita dallo stesso ACDat, nello specifico la piattaforma Owncloud che, come qualsiasi infrastruttura informatica è noto che non si può escludere del tutto che vi possano essere delle vulnerabilità, che però vengono tenute sotto controllo. La piattaforma scelta come Ambiente di Condivisione Dati, possiede infatti un programma, un cosiddetto “Bug

Bounty Programme” che si appoggia a

un team di “White hat hackers”, hacker informatici “buoni”, in contrapposizione ai balck/gray hat hackers, che a differenza di questi ultimi vengono autorizzati e ricompensati, dalle aziende o dipartimenti statali ad individuare le vulnerabilità del sistema; il numero e il livello di gravità delle vulnerabilità individuate sono pubbliche.

Come anche garantito dall’azienda stessa, la sicurezza è garantita attraverso controlli quali:

Admin Set User-File-level Permissions

Definizione di quando e dove i file sono condivisi. Possibilità di definire un termine di tempo massimo (data) di accesso. Possibilità da parte degli amministratori di creare regole ad-hoc per il controllo degli accessi in base anche alla localizzazione geografica, intervalli di tempo tec.

File Firewall

Proibizione accesso ai file che non sono conformi agli standard. Un tag in un file può ad esempio determinare l’accesso, sulla base di specifici requisiti.

Encryption (crittografia)

Due livelli di crittografia, crittando dati nel server e supportando la crittografia per dati in transito.

La piattaforma utilizza la crittografia principalmente in due modi: nel trasferimento dei dati al e dal server e quando li conserva in un server esterno

Key management

Piuttosto che gestire le chiavi di crittografia nel cloud, con il relativo rischio, la piattaforma permette di gestirle nel proprio “key store”.

File Integrity Checking

Per prevenire il danneggiamento, l’integrità dei file caricati e scaricati viene automaticamente verificata comparando le loro checksums (la sequenza di bit

associata al pacchetto trasmesso) prima e dopo il trasferimento.

Authentication (autenticazione) Virus Scan

Scan effettuato quando richiesto nel momento in cui i file vengono caricati. Si tratta quindi di capire quale possa essere la soglia di sicurezza da considerarsi accettabile.

Sul piano poi delle responsabilità è interessante considerare in che parte esse possano ricadere sull’utente (user finale) e sulla scelta del tipo di ACDat. Sono quelle illustrate, questioni che molto probabilmente non vengono considerate fintanto che non siano causa di perdita di dati o danno economico. È chiaro che avrebbe senso parlare di conformità di un Ambiente di Condivisione dei Dati al D.M. 560/2017. L’ambito della sicurezza informatica è della gestione dei dati è materia molto vasta e in continua evoluzione, dove a fronte di una forte domanda di protezione corrisponde un alto numero di attacchi.

Capire fino a che punto un sistema possa considerarsi sicuro è al di fuori delle competenze del gestore dell’ACDat, che si affida così ad un sistema garantito e indubbiamente alla propria esperienza

personale. Al momento l’accesso avviene attraverso credenziali composte da username e password personali. Tracciabilità

D.M. 560/2017.

Il D.M. richiede che le variazioni apportate ai contenuti informativi siano tracciabili, e quindi che di queste si possa avere un report con lo storico che illustri il percorso che hanno seguito, proprio come avviene per i prodotti alimentari. Per quanto riguarda il concetto di tracciabilità si veda il capitolo XX. Seguire il flusso (delle informazioni) dalla foce alla sorgente.

CASO STUDIO

Anche in questo caso, è una questione che afferisce alle funzionalità possedute dall’ACDat. È doveroso sottolineare che molti servizi di cloud storage non la possiedono, funzionando bene come contenitori di dati, senza però soddisfare questa caratteristica così importante nel momento in cui si vadano ad indagare possibili responsabilità.

La piattaforma non permette solo di controllare i permessi in possesso ad ogni user, ma permette anche al personale IT di verificare la tracciabilità dei dati, permettendogli di capire come, quando e dove il dato è stato inserito e condiviso. Si hanno così tutte le

informazioni necessarie a valutare l’uso dell’ACDAt e degli strumenti utili a seguire le attività di condivisione di file.

Conservazione D.M. 560/2017.

Il D.M. richiede che venga garantita la conservazione nel tempo del patrimonio informativo.

Il D.M. però non dice solo che deve essere conservato, (senza che si specifichi per quanto) ma che ne deve anche esser garantita l’accessibilità. Non deve sembrare una ripetizione di un concetto già espresso quello dell’accessibilità. Il patrimonio informativo dev’essere necessariamente conservato e reso accessibile, il legame tra conservazione e accessibilità è inscindibile. Per fare un esempio, sarebbe come essere in possesso di un documento scritto in una lingua in disuso, senza che vi sia mai stato un dizionario che permetta di tradurre da quella lingua a una lingua nota. Si pensi a documenti conservati su floppy disk, supporti informatici oramai in fuori produzione. In questo caso il floppy disk garantisce la conservabilità (sempre considerando una variabile tempo non ben definita), ma non producendo più hardware che ne permettano la lettura, le informazioni, pur conservate, risultano illeggibili (inaccessibili). Ciò che si richiede nella pratica è che, per esempio, un modello .IFC sia sempre leggibile,

magari per almeno 50 anni (vita utile di un edificio comune) e presumibilmente fino alla sua demolizione. Il tema della conservabilità dei dati si lega a quello della loro protezione; il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR) (a riguardo si veda il cap. X, parte 1) tra le altre cose richiede che questi siano conservati non più del necessario e archiviati in modo tale da garantire una sicurezza contro gli attacchi accidentali. Ecco che utilizzo dell’ACDat (Ambiente di Condivisione Dati) e rispetto delle GDPR (General Data Protection Regulation) dovrebbero lavorare in modo coerente.

CASO STUDIO

La conservazione del patrimonio informativo a livello di organizzazione aziendale è descritta nel Manuale

della Qualità, che indica che tutti i file

su cui lavorano gli operatori debbano risiedere sul server e che debbano essere organizzati in cartelle caratterizzate da una struttura ben definita.

La loro nomenclatura si struttura attorno ad un codice che indica: il nome della commessa, la fase di lavorazione, la macroarea di competenza, la tipologia di elaborato e la revisione.

Esempio:

Nel documento I linguaggi del BIM: la digitalizzazione dei processi tra prassi e norme il caso studio del Lefay Resort & SPA Dolomiti (pagine 137-140)