Cos’è il governo dei sistemi informativi e perché è importante

 

Gli accadimenti più recenti (Covid, aumento esponenziale dei Cyber Attacks, ecc.) hanno evidenziato come l’importanza dei sistemi informativi all’interno delle aziende stia progressivamente crescendo, al fine di supportarne e garantirne l’operatività e l’evoluzione tecnologica ed organizzativa.

Di conseguenza, un governo dei sistemi informativi efficiente ed efficace sta diventando sempre più spesso un fattore cruciale per le aziende, talvolta anche in virtù di ragioni normative.

Purtroppo, nelle aziende – e in particolare nelle PMI – l’importanza di un corretto governo dei sistemi informativi viene spesso sottovalutata, talvolta considerandola riduttivamente come competenza esclusiva del dipartimento ICT.

 

Ma perché la problematica di una gestione “più attenta” dei sistemi informativi è così importante per l’azienda?

 

Come si osserva da una pluralità di “incidenti” occorsi ad aziende di dimensioni diverse, le cause ricorrenti vanno spesso individuate nelle insufficienti performances – o, addirittura, nell’indisponibilità (parziale o totale) – di applicazioni e sistemi IT, oppure dalla perdita dei dati. Queste carenze hanno quasi sempre conseguenze molto rilevanti sull’intero business dell’azienda: discontinuità produttive o logistiche, impatti economici-finanziari, impatti reputazionali. Di conseguenza, il coinvolgimento dell’imprenditore e del top management su tali temi rappresenta un fattore chiave per attuare una efficace politica di gestione dei sistemi informativi.

Vediamo alcuni esempi.

• Cosa succederebbe in azienda se alcuni dati critici venissero corrotti o criptati da un Cyber Attack e non si disponesse di dati di backup non corrotti dai quali poter ripartire?
• Cosa succederebbe in azienda se alcune applicazioni critiche (ad esempio l’ERP) non fossero disponibili per giorni o settimane, a causa della compromissione delle infrastrutture hardware o, addirittura, dell’intero data center?
• Quale sarebbe l’impatto per l’azienda se fossero cancellati (per errore o per dolo) dal repository documentale aziendale documenti vitali (ad esempio progetti o contratti) oppure se la stessa cosa accadesse per email altrettanto vitali scambiate, ad esempio, con clienti e fornitori?
• Quale sarebbe l’impatto reputazionale verso i propri stakeholder (clienti, fornitori, operatori della logistica, dipendenti, ecc.) qualora l’azienda stessa subisse un fermo operativo significativo, imputabile ad un’inefficace gestione dell’IT?
• Quali sarebbero le conseguenze (operative e relazionali interne) nel caso in cui un dipendente aprisse incautamente un documento allegato ad una email di phishing e causasse così un grave problema IT? E quali sarebbero le conseguenze se in azienda si riscontrasse un furto di identità (furto di user Id e password) e magari questo avesse causato un incauto pagamento di una cifra significativa?
• Quali sarebbero le conseguenze (legali, economiche e reputazionali) derivanti da un data breach con il conseguente furto di dati di clienti, fornitori, ecc.?

 

Come è possibile indirizzare il problema della gestione del rischio IT?

 

La problematica di una corretta gestione dei rischi legati ai sistemi informativi (IT Risk Management) può essere inquadrata all’interno di più ampi contesti quali l’Enterprise Risk Management (ERM)¹ o l’IT Governance², e ne costituisce parte integrante, come illustrato nella figura sotto riportata.

 

 

Seguendo questo approccio l’IT Risk Management può essere definito come “un processo finalizzato ad individuare e trattare, prevenire o mitigare gli eventi negativi dovuti all’utilizzo dell’IT, ma anche a concretizzare le opportunità legate ai sistemi informativi per supportare al meglio l’azienda”.³

Questa definizione sottolinea l’importanza di alcuni concetti fondamentali:

1. l’oggetto del processo di IT Risk Management è il rischio IT, definibile a sua volta come “la possibile esposizione a perdite per l’organizzazione, derivanti da un fallimento in ogni possibile aspetto del sistema informativo aziendale e può rientrare in una delle seguenti classi di rischio: business disruption, impatto relazionale, tecnologico e di governance”;
2. ha l’obiettivo di minimizzare la probabilità di impatto di eventi negativi e contemporaneamente quello di massimizzare i benefici conseguenti alle opportunità offerte dall’ICT;
3. l’IT Risk Management è un processo e non un’attività istantanea legata ad un preciso momento temporale.

Un tale approccio può risultare sicuramente di grande valore per le aziende medio-grandi, in particolare quando esse intendano conseguire certificazioni rispetto a problematiche di gestione (ad esempio ISO 27001, ISO 22301, ecc.). Allo stesso tempo, però, impone però 5 prerequisiti fondamentali, che mal si adattano al contesto della PMI:

1. Un’ampia disponibilità di tempo e delle risorse dell’azienda per definire le priorità e gli ambiti di rischio, dal punto di vista dei processi aziendali. Questo approccio implica infatti un coinvolgimento attivo delle risorse aziendali, molto dispendioso, e quindi di notevole impatto sull’operatività aziendale.
2. Tempi lunghi prima di per poter disporre dei risultati di una tale analisi.
3. Un costo significativo, conseguente al notevole impiego di risorse necessarie per effettuare un’analisi efficace.
4. Ha la finalità di introdurre in azienda processi continuativi di monitoraggio e gestione del rischio, che quasi sempre impongono un ridisegno dei processi ICT e della stessa organizzazione ICT.
5. Si basa su valutazioni probabilistiche del rischio.

Per la verità, esiste anche un approccio alternativo: quello legato alle problematiche di gestione della continuità operativa, che si esplicitano in particolare tramite la Business Impact Analysis (BIA)⁴ , cioè “il processo di analisi delle attività critiche dell’azienda e degli effetti che un’interruzione potrebbe avere su di esse”.

Con questo diverso approccio si potrebbe ottenere il risultato di indirizzare il problema in maniera deterministica, anziché probabilistica, direttamente legata al contesto IT. Allo stesso tempo, anch’esso segue però un’impostazione per processi, basata su azioni continuative di monitoraggio e gestione del rischio e, quindi, presenta le medesime criticità in relazione al contesto della PMI sopra evidenziate. La risoluzione di tali problematiche richiederebbe un’elevata sensibilità del management dell’azienda verso la problematica della gestione del rischio, nonché l’accettazione di costi significativi derivanti da una tale gestione. Tutte cose che, purtroppo, sono molto rare nelle aziende della PMI, dove il dipartimento ICT viene quasi sempre visto come avente mera funzione di supporto.

 

Ma allora come si può indirizzare tale problematica in un’azienda della PMI?

 

Un approccio alternativo che risulta vincente in contesti di PMI è quello di non ricorrere ad un’analisi dei rischi per processi e all’implementazione di processi di monitoraggio e controllo (continuativi nel tempo), ma, piuttosto, approcciare il problema tramite un IT Risk Assessment puntuale e la conseguente proposizione di un piano di rimedio (Remediation Plan).

Questo approccio alternativo – ovviamente – non esclude un’evoluzione successiva in chiave IT Risk Management o di gestione della continuità operativa, ma le rimanda ad un momento successivo, in cui l’imprenditore e il top management avranno maturato una diversa consapevolezza del problema.

Rispetto alle metodologie classiche – di cui s’è parlato sopra, in ambito PMI, si ritiene più efficace utilizzare un approccio bottom-up che, a partire dalle possibili esposizioni al rischio nella gestione tecnologico-applicativa dell’IT, consenta poi di risalire alle implicazioni che queste hanno sul business dell’azienda.

Quindi l’assessment deve partire da un’analisi approfondita dell’organizzazione del dipartimento IT, della relativa struttura tecnologica-applicativa, delle interdipendenze legate ai dati e alle applicazioni stesse, nonché delle politiche di alta affidabilità, di business continuity, di backup e di Cybersecurity adottate in azienda. Tale approccio consente, inoltre, di limitare l’impatto sul personale dell’azienda, circoscrivendolo alle sole risorse IT.

Successivamente, dev’essere effettuata una stima dell’impatto tecnologico e dei relativi tempi di rispristino (MTPD⁵, RTO⁶ e RPO⁷), che potrebbero derivare da eventuali indisponibilità dei servizi IT.

Da tale analisi si deve poi risalire – mediante l’identificazione degli impatti derivanti dalle carenze posturali IT – alle implicazioni che quest’ultime hanno sugli specifici contesti di business. In particolare, dev’essere ricalibrata la precedente analisi tecnologica-applicativa, sui diversi impatti di business (business disruption, impatti relazionali, tecnologici e di governance), in modo da poter valutare le conseguenze che le carenze posturali IT potrebbero provocare sul business dell’azienda: discontinuità produttive o logistiche, impatti economici-finanziari, impatti reputazionali diretti o indiretti, implicazioni legali (contrattuali, normative o fiscali).

Questo passaggio potrebbe essere riassunto tramite una tabella come quella riportata in figura, che mette in correlazione l’impatto tecnologico-applicativo con quello di business, e dalla quale si possono poi evincere le attribuzioni delle diverse priorità di intervento.

 

Ai diversi colori delle celle nella tabella corrispondono diversi indici di impatto complessivo e, conseguentemente, diversi livelli di priorità di intervento, secondo la seguente logica:

• Rosso – priorità 1 (critica)
• Arancio – priorità 2 (medio-alta)
• Giallo – priorità 3 (media)
• Grigio-Verde – priorità 4 (medio-bassa)
• Verde scuro – priorità 5 (bassa)

Come ultimo passo – ma non per questo meno importante – l’assessment si deve concludere con l’indicazione di una serie di azioni di rimedio (Remediation Plan) che, grazie ai passaggi precedenti, devono essere contestualizzate e prioritizzate, in base allo specifico contesto di business dell’azienda stessa.

Attenzione! Il risultato dell’assessment va inteso come il risultato di un’analisi puntuale, condotta in un ben determinato momento temporale. Le azioni di rimedio consigliate alla termine dell’assessment consentono all’azienda di migliorare la propria postura rispetto alle aree di rischio esaminate, ma anch’esse devono essere inquadrate come riferite al preciso momento temporale in cui l’assessment è stato condotto. Successive modificazioni in termini di architetture IT, aggiornamento dei sistemi IT, carichi di lavoro, interdipendenze applicative, ecc. potrebbero anche modificare le risultanze dell’assessment stesso. Questo però non riduce affatto l’importanza delle azioni di rimedio precedentemente consigliate ed eventualmente già adottate, le quali, in ogni caso, contribuiscono a colmare lacune importanti nella gestione dei sistemi informativi dell’azienda.

 

Vantaggi per l’azienda

 

La finalità di un tale assessment è quella di aiutare le aziende nel processo di mitigazione dei rischi IT, prevedendo le conseguenze di un degrado o di un’interruzione dell’operatività dei sistemi, ed è, quindi, indispensabile al fine di erogare in maniera efficace ed efficiente i diversi servizi aziendali supportati dalle risorse IT, cercando di minimizzare il possibile danno per gli utilizzatori del servizio (interni e/o esterni all’azienda).

Come già detto in precedenza, l’adozione della modalità di analisi in esame, a discapito di quelle più accademiche e strutturate, risponde a ragioni di convenienza temporale, economica, ma anche a ragioni pratiche.

Infatti, seguendo tale approccio è possibile ricondurre l’identificazione dei rischi e delle conseguenti azioni di rimedio, alle errate posture tecnologiche-applicative da cui esse derivano.

In altre parole, tale approccio consente di identificare con maggiore facilità e chiarezza le carenze tecnologiche, applicative ed organizzative, in modo da definire più precisamente le conseguenti azioni di rimedio consigliate, ma anche – e soprattutto – le relative priorità di intervento. Quest’ultimo aspetto è di importanza cruciale dato che non è ragionevole pensare che tutte le azioni di rimedio suggerite nel Remediation Plan possano essere implementate immediatamente.

Inoltre, queste modalità facilitano la comprensione da parte dell’azienda delle ragioni di business che stanno alla base delle azioni tecniche di rimedio consigliate e delle relative priorità ad esse associate.

Un’ulteriore possibile ricaduta positiva di una tale metodica è quella di aiutare l’organizzazione aziendale a fare proprio un atteggiamento consapevole e proattivo rispetto a queste tematiche, che sono di grande impatto per gli obiettivi di business, economici-finanziari, reputazionali, nonché per quelli normativi e contrattuali.

 

Conclusione

 

Il risultato che l’azienda può conseguire con il IT Risk Assessment sono quindi molteplici:

1. 1. Condurre un’analisi dettagliata, indipendente e completa sulle eventuali errate posture e vulnerabilità presenti nell’attuale gestione dei sistemi informativi;
   2. ricondurre tali problematiche tecnico-applicative al loro effettivo impatto sulle attività di business dell’azienda;
   3. attribuire a tali impatti un valore di gravità più o meno elevata, aiutando così l’azienda a definire un livello di urgenza degli interventi, tarandoli sulle specifiche necessità aziendali.

A lato dei risultati specifici di cui sopra, esistono però anche altri risultati meno tangibili, ma non per questo meno importanti, che possono essere raggiunti:

1. 4. La creazione di una nuova consapevolezza aziendale (soprattutto da parte dell’imprenditore e del top management) relativamente alle problematiche di gestione del rischio IT;
   5. una valutazione dei rischi IT che non sia meramente tecnologica-applicativa (tipica delle figure più tecniche), ma che sia maggiormente business-oriented e quindi più facilmente presentabile e comprensibile anche da parte delle diverse linee di business e dal top management;
   6. un atteggiamento proattivo per la gestione del rischio, cosa che potrebbe anche portare, in un secondo momento, all’implementazione di politiche continuative di monitoraggio e gestione del rischio finalizzate alla prevenzione di possibili rischi, ma anche ad un efficace e tempestivo rispetto di obblighi di compliance, fattore che sempre più frequentemente rappresenta un significativo vantaggio competitivo.

 

---

 

¹ Secondo il framework per la gestione integrata del rischio aziendale, pubblicata nel 2004 dal Committee of Sponsoring Organizations (COSO), l’Enterprise Risk Management (ERM), si può definire come “un processo (continuo e trasversale all’organizzazione), governato dal top management dell’azienda, che ha l’obiettivo di definire la strategia a tutti i livelli dell’azienda, per al fine di identificare i potenziali eventi che possono avere un impatto sull’organizzazione e gestire il rischio, compatibilmente con il proprio livello di propensione al rischio, nonché a  e fornire ragionevoli garanzie in relazione al conseguimento degli obiettivi aziendali”.

² Secondo l’IT Governance Institute il governo dei sistemi informativi (IT Governance) è responsabilità del Board e dell’altao direzione e può essere definito come “parte integrante della Corporate Governance e si concretizza grazie alla presenza di meccanismi decisionali, strutture organizzative e processi, che assicurano che l’IT sia in grado di supportare ed eventualmente estendere obiettivi e strategie aziendali”.

³ Questo approccio suggerisce di partire da un’analisi per processi, che parte degli obiettivi di business, per poi ricondurli ad esigenze di processi specificatamente riconducibili al perimetro delle responsabilità IT. Secondo alcune metodologie top-down, ampiamente diffuse si deve quindi partire dall’’identificazione dei rischi correlati agli obiettivi aziendali (Enterprise Goals), per poi risalire agli obiettivi IT (Alignment Goals) e da questi, ai processi IT (Governance and Management Objectives)  e alle relative Management (Best) Practices.

⁴  LA Business Impact Analysis (BIA)  è “il processo di analisi delle attività dell’azienda e degli effetti che un’’interruzione potrebbe avere su di esse. Consente di stabilire le priorità per il recupero dei processi critici mediante la definizione del Maximum Tolerable Period of Disruption (MTPD). La correlata ‘Analisi delle Minacce (Risk Assessment), invece, promuove la comprensione dei rischi relativi ai processi critici, delle loro dipendenze e delle potenziali conseguenze in caso di interruzione. Queste attività costituiscono la base su cui vengono definiti – in fase di progettazione – i Recovery Time Objective (RTO)  e i Recovery Point Objective (RPO), e su cui vengono selezionate le strategie e le tattiche di continuità operativa e le misure di mitigazione delle minacce”  (-  da Wikipedia, https://it.wikipedia.org/wiki/Gestione_della_continuit%C3%A0_operativa

⁵ Il ’MTPD (Maximum Tolerable Period of Disruption) rappresenta il massimo periodo di indisponibilità che un servizio si può permettere, prima che la situazione diventi critica o irrecuperabile.

⁶ Il Recovery Time Objective (RTO) è il tempo necessario per il pieno recupero dell’operatività di un sistema o di un processo organizzativo. È in pratica la massima durata, prevista o tollerata, del downtime occorso.

⁷  Il Recovery Point Objective (RPO) è uno dei parametri usati nell’ambito delle politiche di disaster recovery per descrivere la tolleranza ai guasti di un sistema informatico. Esso rappresenta la quantità di dati prodotti ma non ancora sincronizzati, in caso di incidente o disastro, su un archivio (storage o file) di sicurezza. Indica quindi il massimo tempo che deve intercorrere tra la generazione di un’informazione e la sua messa in sicurezza (ad esempio attraverso backup) e, conseguentemente, fornisce la misura della massima quantità di dati che il sistema potrebbe perdere a causa di guasto improvviso.

 

I servizi di Cloud Computing offerti dai principali attori che operano in questo mercato (Amazon Web Services – AWS, Microsoft Azure, Google Cloud, IBM, ecc.) si basano sul modello computazionale della virtualizzazione delle risorse IT.

Questo modello consente di separare il concetto di risorse logiche – quelle che servono per erogare i servizi al singolo utente – dal concetto di risorse fisiche – quelle che ospitano al loro interno una o più risorse logiche e ne consentono il funzionamento.

 

Ma cos’è esattamente il Cloud Computing?

 

Il US National Institute of Standards and Technology (NIST) definisce il Cloud Computing come “a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources that can be rapidly provisioned and released with minimal management effort or service provider interaction”.

Esempi di risorse computazionali (computing resources) includono i server, le apparecchiature di comunicazione e di sicurezza, la memoria (storage), i servizi applicativi, di Intelligenza Artificiale o Analytics, i servizi di gestione e di monitoraggio.

Amazon Web Services (AWS), a sua volta, aggiunge alla definizione un fondamentale aspetto commerciale, il “pay-as-you-go pricing”.

Quindi, in altre parole con il Cloud Computing, un’organizzazione o un’impresa …

• può ottenere in totale autonomia,
• la disponibilità di risorse computazionali configurate, esattamente come essa desidera.
• Questi servizi sono messi a disposizione del cloud provider utilizzando la rete Internet, tramite connessioni protette,
• nel giro di pochi minuti,
• e possono essere attivati, disattivati o ridimensionati ogni qualvolta il cliente lo desideri .
• Il costo di tali servizi dipenderà esclusivamente dal reale utilizzo degli stessi (pay-as-you-go), in base a regole che normalmente variano da servizio a servizio, nonché a caratteristiche specifiche del servizio richiesto (ad esempio lo spazio utilizzato per servizi di memorizzazione).

 

I principali modelli di servizio del Cloud Computing

 

I servizi del Cloud Computing possono essere erogati in base a diversi modelli: SaaS, PaaS e IaaS.

• SaaS

Il modello SaaS, che fornisce al cliente servizi applicativi “pronti per l’uso”. In questo caso, il fornitore della soluzione gestisce interamente l’infrastruttura sottostante e l’intero ambiente applicativo.

Questo è il modello con il quale vengono erogati i servizi della maggior parte delle applicazioni moderne più diffuse: posta elettronica (ad es. Microsoft Office365), soluzioni di gestione documentale e archiviazione sostitutiva, tool di collaborazione on-line (ad es. Sharepoint e Teams), CRM (ad es. Salesforce), ma anche – e sempre più spesso – soluzioni ERP in cloud (ad esempio Infor o SAP).

Confrontate con analoghe soluzioni in data center (on-premises), questo modello consente di ottenere vantaggi significativi nel contesto delle PMI. Infatti esso scarica l’azienda da tutti gli oneri e i costi legati alla gestione applicativa e, soprattutto, da quelli relativi all’acquisto e alla gestione delle infrastrutture hardware sottostanti.

• PaaS e IaaS

Senza entrare troppo in particolari tecnologici, possiamo dire che questi due ulteriori modelli si differenziano perché nel primo caso (PaaS), il cloud provider mette a disposizione del suo cliente un ambiente operativo completo (hardware e software di sistema) mentre, nel secondo caso (IaaS), mette a disposizione on-demand le sole risorse hardware, ma non quelle software (sistema operativo, ambienti di sviluppo, ecc.).

In entrambi i casi il cliente gode del vantaggio di poter disporre delle risorse necessarie con grande flessibilità di configurazione, oltre a preservare la libertà di incrementare/decrementare a suo piacimento le risorse computazionali messe a disposizione dal cloud provider.

Questi vantaggi generali, si rivelano particolarmente significativi in un contesto di PMI. A titolo di esempio, si immagini un’azienda che utilizzi un vecchio applicativo residente su AS/400. Questo potrebbe essere spostato in cloud (sfruttando un modello PaaS oppure IaaS). In tal modo l’azienda potrebbe risolvere il problema dall’aggiornamento dell’hardware ormai obsoleto, quello della mancanza di competenze per la gestione di detto ambiente, fino alla riduzione dei costi complessivi di gestione (TCO) di tale ambiente (costi di manutenzione e supporto).

Lo stesso approccio potrebbe essere usato a proposito di SAP in ambiente IBM Power (piuttosto diffuso in aziende di medie dimensioni), demandando al cloud provider i problemi legati alla gestione dell’alta affidabilità, dei backup dell’ambiente applicativo e della gestione degli ambienti di test e sviluppo che – per loro stessa natura – richiedono quasi sempre flessibilità nel numero delle istanze e nelle relative caratteristiche dimensionali, nonché tempestività nella disponibilità.

 

 

Ma un’azienda come può fruire del servizio offerto dai cloud provider?

 

Una seconda catalogazione dei servizi di Cloud Computing verte invece sulla modalità di fruizione dei servizi e distingue tra public, private e hybrid cloud.

Questa catalogazione dipende da alcuni fattori chiave:

• dove le infrastrutture sono messe a disposizione;
• da chi sono possedute e gestite;
• come le infrastrutture e i relativi servizi sono messi a disposizione del cliente.

Nel public cloud i data center, l’hardware e le infrastrutture sono interamente posseduti e gestiti dal cloud provider, vengono condivisi tra i diversi utilizzatori e pagati a consumo. La connessione alle risorse avviene tramite la rete Internet, utilizzando modalità protette di connessione e di accesso alle risorse in Cloud. In questo modo la condivisione dell’ambiente cloud non comporta alcun impatto in termini di sicurezza e privacy delle informazioni, perché questo aspetto viene interamente gestito dal cloud provider.

Con questa modalità di erogazione del servizio, si ottiene normalmente un grado di affidabilità molto elevato perché il cloud provider può fare leva sul fatto che i suoi data center sono distribuiti a livello geografico e in questo modo egli è in grado di garantire un’elevata continuità di servizio nell’erogazione dei servizi richiesti e nel salvataggio delle informazioni.

Per contro il private cloud (noto anche come corporate cloud) è invece un ambiente cloud in cui tutte le risorse hardware e software sono accessibili e fruibili, in maniera esclusiva, da un’unica organizzazione o azienda. Ovviamente questo approccio comporta costi molto maggiori rispetto al public cloud e, per questa ragione, viene normalmente utilizzato da grandi organizzazioni che debbono garantire che le loro risorse IT e i dati in loro possesso siano gestiti nel rispetto di normative regolatorie specifiche.

L’hybrid cloud – infine – è una combinazione di infrastrutture tradizionali di Data Center (on-premises), di public e di private cloud.

Con sempre maggior frequenza, si sta imponendo un’ulteriore evoluzione di quest’ultimo modello: l’hybrid-multicloud. Questo si riferisce all’utilizzo di servizi forniti da due o più cloud provider, sotto forma di risorse computazionali (IaaS e PaaS) oppure di servizi applicativi (SaaS), quali possono essere ad esempio Office365, Salesforce, Sharepoint, ecc.

Quest’ultimo approccio sta diventando – molto rapidamente – quello più utilizzato nelle aziende perché comporta innegabili vantaggi di flessibilità nella scelta dei servizi cloud da utilizzare (by-passando eventuali limitazioni o vincoli legati alla scelta del cloud provider) e di maggiore continuità di servizio, poiché l’eventuale indisponibilità dei servizi di un cloud provider impatterà solamente la porzione dei servizi erogati da esso.

Quest’ultimo modello è quello che meglio si adatta alle esigenze delle PMI perché consente di avvalersi dei servizi SaaS di fornitori diversi (ad esempio Microsoft per Office365 e Sharepoint, Salesforce per il CRM, IBM per la gestione documentale, ecc.), riuscendo a conciliarlo con la necessità di mantenere on-premises la gestione di alcune applicazioni più datate (ad esempio un ERP su AS/400) ed iniziando – nel contempo – ad utilizzare alcuni servizi di Analytics, IoT o di remotizzazione dei backup in cloud.

 

Ma quali sono i vantaggi specifici del Cloud Computing?

 

Sono molteplici, di seguito ho provato di seguito ad elencare i principali.

1. Spostare il modello di spesa da capital ad operational (da Capex ad Opex)

In un modello tradizionale le spese per le risorse informatiche sono essenzialmente di tipo Capex.

Infatti l’utilizzo di risorse computazionali on-premises (Data enter, server fisici, storage, ecc,), prevede un investimento iniziale, prima di poter effettivamente utilizzare le risorse.
Con l’utilizzo di risorse in cloud viene invece a decadere la necessità dell’investimento ex-ante, perché le risorse possono venir attivate gradualmente e pagate solamente a consumo.

In un contesto di PMI questo aspetto rappresenta un grande vantaggio, poiché può consentire all’azienda di far partire nuovi progetti con la rapidità richiesta dal business, ma senza dover investire risorse significative, soprattutto quando non ci sia stata la possibilità di valutare con certezza la completa realizzabilità ed efficacia del progetto stesso. Inoltre, può consentire di avviare un progetto con una gradualità di spesa, dato che le prime fasi di un progetto hanno quasi sempre bisogno di risorse più contenute, che poi andranno incrementate se e quando questo diverrà operativo e il numero degli utenti crescerà.

Per contro questa impostazione impone un attento controllo delle spese relative al cloud, dato che esse tendono ad essere intrinsecamente variabili nel tempo.

2. Con l’adozione del Cloud viene anche by-passata la necessità di dimensionare ed investire ex-ante su risorse che potrebbero restare poi inutilizzate o – per contro – di dover gestire limitatazioni di capacità, conseguenti a richieste impreviste o sottostimate. Anche questo vantaggio si coniuga particolarmente bene con il contesto delle PMI, perché consente un’ulteriore ottimizzazione della spesa, tanto più significativa quanto più piccola è l’azienda.

3. Riduzione del Total Cost of Ownership, grazie al risparmio sul fronte delle spese di gestione e di manutenzione delle infrastrutture fisiche.

La gestione dei data center e delle relative infrastrutture fisiche (server, e apparati vari) richiede, di solito, anche un significativo dispendio di tempo del personale IT e, conseguentemente, di risorse economiche. L’adozione del cloud computing consente di demandare al cloud provider questi compiti riducendo così il TCO di gestione e manutenzione delle infrastrutture di elaborazione delle informazioni

Consente inoltre non disperdere le risorse IT, liberandole da compiti routinari e potendole così dedicare ad altri compiti a maggior valore aggiunto per l’azienda.
Anche questo aspetto può risultare di particolare rilevanza in un contesto di PMI dove, spesso, lo staffing del personale IT è sottodimensionato e soffre anche di carenze di skill, a causa dell’eccessiva ampiezza dello spettro delle competenze che sarebbero richieste. La possibilità offerta dal cloud di esternalizzare la gestione degli ambienti ICT può consentire alle aziende PMI di ridurre i costi di gestione, sfruttando meglio le proprie risorse critiche. Ma c’è di più: il cloud può consentire alle PMI di poter utilizzare servizi di monitoraggio ed intervento in modalità 24×7, cosa pressoché impossibile in quei contesti dove lo staffing delle risorse ICT è – come appunto si accennava sopra – usualmente sottodimensionato.

4. Aumento della velocità e dell’agilità (elasticity).

In un contesto tradizionale, un’azienda deve dimensionare le risorse di cui ha bisogno, acquistarle, attenderne l’arrivo, installare e configurarle, per poi, finalmente, poterle utilizzare. Nel caso di apparecchiature fisiche questo processo potrebbe richiedere anche 2-3 mesi.

Nel cloud, invece, una volta definite le risorse necessarie, basta richiederle al cloud provider per ottenerne l’uso in pochi minuti. Inoltre, la flessibilità fornita dai cloud provider può consentire di partire con una minima allocazione delle risorse necessarie per testare la soluzione, e poi incrementare le risorse, al progressivo crescere della richiesta. Oppure – ancora – di attivare risorse aggiuntive solamente nei periodi in cui esse siano necessarie (pensiamo ad esempio alle risorse necessarie in ambito GDO nel periodo natalizio o in quello dei saldi in ambito fashion).

Questo vantaggio del Cloud Computing è particolarmente importante nel contesto PMI – perché consente alle aziende di reagire molto più velocemente, al mutare delle necessità del business.

Ad esempio, le caratteristiche di flessibilità e velocità offerte dal cloud, potrebbero rendere più flessibile, più rapida e più conveniente l’adozione di soluzioni IoT, di Analytics oppure – ancora -l’adozione di soluzioni di continuità operativa (Disaster Recovery), che potrebbero necessitare della disponibilità on-demand di risorse in cloud.

5. Fornire un servizio su scala globale, in pochi minuti.

Tutti i principali cloud provider operano su scala globale mediante data center distribuiti su scala mondiale. Questa impostazione globale dei cloud provider consente di distribuire rapidamente le applicazioni in diverse parti del mondo (Content Delivery Network). Ciò significa che se un’azienda si trova in una parte del mondo diversa da quella dei propri utenti o clienti, quest’ultimi potranno comunque essere in grado di accedere alle applicazioni dell’azienda senza ritardi dovuti alla latenza della rete.

A titolo di esempio si pensi ad un’azienda che operi su scala mondiale attraverso uffici e siti produttivi in Europa, Americhe o Asia. Utilizzando meccanismi di questo tipo – messi a disposizione dal proprio cloud provider – sarà in grado di garantire latenze minime ai propri utenti, indipendentemente dal fatto che essi operino in Europa, in Asia o nelle Americhe.

Fra tutti i vantaggi, questo è probabilmente quello meno sentito in una PMI ma va anche rilevato che – sempre più spesso – anche le aziende della PMI tendono ad assumere dimensioni internazionali con la conseguente necessità di offrire servizio in diverse parti del mondo, minimizzando i tempi di latenza. Questa ulteriore capacità dei cloud provider di fornire un servizio rapido su scala globale, potrebbe risultare un vantaggio da non trascurare anche nel contesto della PMI.

 

Ma qual è la sicurezza garantita nel Cloud Computing?

 

Il modello di sicurezza relativo al Cloud Computing viene definito “condiviso” tra il cloud provider e il cliente (Shared Responsibility Model).

Ad esempio, secondo AWS, quest’ultima è responsabile di operare, gestire e proteggere l’infrastruttura globale che utilizza per offrire i servizi di Cloud Computing .

Viceversa, il cliente del servizio di Cloud Computing, rimane responsabile di tutto quello che egli crea e porta nel cloud. In altre parole – poiché il cliente del cloud provider mantiene completo controllo sul contenuto – egli rimane responsabile di gestire la sicurezza dei propri contenuti, inclusa la responsabilità circa cosa memorizzare nel cloud, quali servizi cloud utilizzare, come garantire il salvataggio dei dati e la disponibilità dell’infrastruttura nel tempo, nonché come controllare chi e quando può accedere ad essi.

Questo fatto ci porta ad evidenziare che la sicurezza rimane una delle complessità maggiori che l’utilizzo del Cloud Computing può implicare per qualsiasi azienda, ma in particolare per una PMI, a causa delle carenze di staffing e skills di cui abbiamo parlato in precedenza.

Evidentemente si tratta di un aspetto da non sottovalutare anche se va evidenziato che problematiche analoghe, emergerebbero comunque, anche se si optasse per l’adozione di un approccio on-premises. Anzi, merita sottolineare che spesso il cloud provider fornisce consigli e best-practices che possono essere di prezioso aiuto alle aziende in questo ambito (ad esempio il Well-Architected Framework di AWS).

Per concludere vorrei sottolineare un ultimo punto di interesse, già accennato in precedenza: l’utilizzo delle risorse dei cloud provider è intrinsecamente dinamico e, anzi, proprio questo ne costituisce uno dei vantaggi principali. Per contro, anche la gestione dei costi diventa estremamente dinamica ed esiste un concreto rischio di arrivare a valutarne l’impatto economico solamente ex-post. Fortunatamente, anche in questo caso, i cloud provider mettono a disposizione dei loro clienti strumenti per tenere sotto controllo la spesa, preimpostando soglie di costo e/o di utilizzo e facendo generare messaggi di alert nel caso in cui la spesa o l’utilizzo si stia avvicinando troppo ad esse (ad esempio in quest’ambito AWS fornisce i tools quali AWS Budget e AWS Cost Explorer di AWS).

 

Riassumendo ….

 

Nonostante l’adozione del Cloud Computing richieda una particolare attenzione per gli aspetti di sicurezza e di gestione della spesa, esso comporta vantaggi estremamente significativi nel contesto della PMI perché:

• consente di spostare la spesa da Capex ad Opex, eliminando la necessità di investimenti ex-ante;
• consente di utilizzare soluzioni software in SaaS, “pronte-per-l’uso”;
• permette di realizzare risparmi nella gestione delle infrastrutture (acquisti, manutenzione hardware, oneri di aggiornamento dei sistemi e delle skills) e di rispondere molto più velocemente alle richieste del business, “gradualizzando” la spesa per i nuovi progetti e riducendo così l’impatto economico nel caso di insuccesso del progetto;
• rende possibile lo spostamento in cloud di applicazioni ospitate su infrastrutture “datate”, riducendo così i rischi legati alla loro gestione ed indirizzando anche il problema della mancanza di skill;
• abilitando l’esternalizzazione delle attività di gestione di tutta o parte dell’infrastruttura, consente di liberare risorse critiche per poterle dedicare ad attività più importanti.