Data center italiani ben presidiati, performanti ma anche sicuri. A raccontarlo agli analisti di Digital360 un campione di 100 aziende, appartenenti a diverse aree geografiche e a più settori. Dalle risposte emerge come ci sia grande ottimismo tra i CIO italiani: il 96% delle aziende si dice convinto che i propri data center siano pronti a supportare la digital transformation in atto.
Più di 7 aziende su 10 (74%) ha un data center proprietario (on premise o virtuale) su cui i CIO esprimono giudizi molto positivi. La mappatura del livello di soddisfazione ha considerato diversi aspetti. Sulla gestione dell’alimentazione, ad esempio, il campione si ritiene mediamente (53%) o molto soddisfatto (37%). Sulla gestione delle macchine (storage, server, appliance) il panel afferma di essere mediamente (52%) o molto soddisfatto (39%). Sulla gestione del parco applicativo i CIO si ritengono abbastanza (50%) o molto soddisfatti (40%). Anche sulla gestione delle postazioni di lavoro le imprese si dicono abbastanza (53%) o molto soddisfatte (39%).
Le numeriche, avvertono gli analisti, non devono però fuorviare la capacità di osservazione.
“Il quadro che esce dalla survey è la lettura di una situazione attuale complessivamente piuttosto positiva – ha spiegato Stefano Mainetti, Responsabile Scientifico Osservatorio Cloud & ICT as a Service del Politecnico di Milano -. In un quadro prospettico, la situazione potrebbe essere però meno adeguata rispetto a quanto emerge dalle risposte. Guardando più in dettaglio i criteri di scelta relativi al cloud, la fotografia è che quasi la metà del campione non abbia interesse e, quando c’è è comunque sempre in modalità privata: solo 5 aziende su 100 accolgono l’idea di una migrazione delle proprie infrastrutture IT al cloud pubblico. L’impatto della trasformazione digitale e dei trend associati all’Industria 4.0, tra cui l’utilizzo del cloud pubblico soprattutto per le componenti più innovative e ad alta dinamicità, risulta ancora sottostimato”.
Data center italiani: il cloud in valutazione
Parlando di data center italiani in cloud, solo il 26% delle aziende intervistate al momento ha un’infrastruttura allocata sulla nuvola e, di questo, solo il 10% in modalità public cloud. L’analisi rivela però che il 46% delle imprese è disposta a valutare la possibilità di una migrazione delle infrastrutture IT: in dettaglio il 25% delle organizzazioni italiane intervistate è propenso a scegliere l’hybrid cloud, il 16% una forma di private cloud e il 5% un modello di cloud pubblico.
Gli esperti ribadiscono come il cloud sia una scelta strategica, in quanto costituisce la piattaforma abilitante della trasformazione digitale, in un contesto in cui la crescente consapevolezza delle opportunità ad esso connesse permette oggi un utilizzo diffuso a molti ambiti della catena del valore dell’organizzazione. Pensiamo anche solo all’e-commerce e ai nuovi temi della disruption, che stanno portando le persone a utilizzare il trinomio mobile, app e cloud con una disinvoltura tale da aver portato i più innovatori a inventare nuovi servizi e a creare business che fino a ieri non esistevano.
“Immaginare le infrastrutture delle aziende italiane già pronte a cambiamenti di questa portata – ha sottolineato Mainetti -, è poco verosimile. Il rischio è quello di dover affrontare le prossime sfide, connesse alla digital transformation, senza aver una corretta base di competenze e di flessibilità infrastrutturale. Il fatto che la prevalenza del campione intervistato ritenga che i propri data center siano molto adeguati (47%) o abbastanza adeguati (49%) a supportare l’evoluzione del business ha, però, una sua chiave di senso: le risposte sono state date da chi si occupa di gestire le infrastrutture e dall’IT che, per ruolo e per natura, sono le figure che lavorano per renderle affidabili e sicure. In questo ambito i progetti evolutivi sono eventualmente rivolti al consolidamento e sono meno orientati alla sperimentazione del cloud pubblico. Se le stesse domande fossero state poste a direzioni di business volte al mercato o all’innovazione, i dati raccolti sarebbero stati probabilmente diversi”.
Gli analisti hanno poi esplorato le motivazioni che costituiscono un freno alla migrazione in cloud delle infrastrutture aziendali: al primo posto viene indicata ancora la sicurezza, da quasi la metà delle aziende (48%), seguita dai problemi associati alla connettività (20%) e alle criticità rispetto alle performance e all’affidabilità (17%). Significativo anche il fatto che l’8% delle organizzazioni adduca come ostacolo al cloud la perdita di presidio rispetto alla propria infrastruttura. La risposta, infatti, mette in evidenza come i modelli del Data Center Software Defined, dello IaaS e del Paas richiedano di continuare l’opera di evangelizzazione portata avanti da consulenti e provider.
Sicurezza nel mirino ma permangono diversi gap culturali
La ricerca, in dettaglio, indica come i tre principali freni all’adozione della nuvola siano legati ai temi della sicurezza e della business continuity. Esiste, infatti, una correlazione diretta con il fatto che il 75% dei data center italiani siano proprietari e come il 95% delle aziende affermi di avere livelli di sicurezza molto adeguati (48%) o mediamente adeguati (47%) a garantire la business continuity e la protezione dei dati. Il cambio di marcia del cloud destabilizza la governance.
“Proteggere i dati è una cosa, la business continuity un’altra. I limiti della sicurezza sono le vision: logiche, priorità e approcci diversi e non sempre funzionali – ha ribadito Luca Bechelli, Membro del Comitato Tecnico Scientifico CLUSIT e consulente indipendente per la sicurezza informatica -. È sempre un problema culturale: non ci si aspetta dal sistema informativo che certe informazioni debbano essere controllate e verificate. Si tollera che il sistema informativo possa sbagliare. Mancano un’analisi corretta: quanto è corretto il dato? Quanto è tempestivo? Che misure ho adottato per dirmi se il dato è stato alterato da una frode, acceduto da chi non è autorizzato? Solo con le giuste domande si possono mettere in campo approcci risolutivi. Queste tematiche legate alla sicurezza oggi sono molto disattese. In realtà sono poche le imprese che presidiano realmente la qualità dei dati. I livelli di riservatezza e di integrità dovrebbero far riferimento a criteri adottati di data governance e di data quality supportati da strumenti capaci di misurare e rendere trasparente la tolleranza e la correttezza dei flussi. Invece oggi si continua a ritenere che con un po’ di autenticazione degli utenti e account nominali si sia risolta la protezione delle informazioni. Avere contezza dei dati, invece, non è affatto scontato ed è fuori dal perimetro dei controlli che applica la maggior parte delle aziende. Quante hanno fatto un’analisi dei rischi vera e propria per capire l’adeguatezza delle misure? Dire “nessuno ha toccato i dati” finché sono rimasti intonsi non significa avere una buona sicurezza. Fare le opportune verifiche rispetto alle minacce che ci sono oggi e dimostrare di avere adottato misure adeguate non è ancora una cosa che le aziende hanno interiorizzato”.
L’esperto sottolinea come, parlando di cybercrime e di sicurezza aziendale, il 38% di risposte non sia una percentuale di protezione alta. È basica, perché non riflette una metodologia capace di affrontare le minacce nella loro evoluzione a capacità infinita.
“Che quasi il 49% delle aziende abbia una figura dedicata alla gestione della sicurezza che risponde al top management – conclude Bechelli – è invece un dato positivo. Che la sicurezza sia un tema del board e non dell’IT, infatti, è un bel segnale di maturità aziendale. Vuole dire che la direzione ha visibilità e commitment per intraprendere decisioni e scelte utili a disegnare servizi strategici e magari anche più appeal. Quel 49% delle imprese che ha una figura dedicata alla gestione della sicurezza che risponde al CIO, infatti, rivela una strategia meno efficace. La questione è il conflitto di interessi del CIO, la cui mission è spendere meno, rendere tutto più efficiente e proteggere le informazioni rimanendo nei budget. Rispetto alle risposte legate ai livelli di sicurezza adeguati a garantire la continuità operativa e la protezione dei dati, che la prevalenza delle risposte si collochi in alto è una conferma del fatto che le aziende hanno investito su questo aspetto da tempo: business continuity e disaster recovery sono stati i primi passi della governance consapevole. Sulla sicurezza invece ho dei dubbi: che il 47% risponda con una valutazione 4 e un 48% risponda con una valutazione 5 andrebbe approfondito. Nelle aziende, infatti, c’è una certa inconsapevolezza rispetto alle basi su cui debba essere fondata la protezione dei dati. Anonimizzazione, crittografia, solo per citare due approcci: a quale livello sono applicate? Il GDPR aiuta a definire l’asticella su cui andrebbe misurato il livello di adeguatezza sul livello di protezione dei dati. Il vero problema è che in Italia siamo fermi a best practice obsolete”.
In conclusione, i ricercatori mettono in luce come le imprese italiane oggi sperimentano disservizi per motivi tecnici più che per i furti di dati (anche perché spesso non sono coscienti di aver subito perdite di questo tipo). Quello che manca, è la capacità di scegliere figure dedicate alla sicurezza in azienda dotate anche di budget e margini di manovra. Le aziende difficilmente vanno a prendere un esperto di sicurezza. Quello che fanno è spesso cercare un bravo sistemista, un esperto IT a cui si dice che deve occuparsi anche di sicurezza. Il che non è strategico e rende i livelli di protezione disfunzionali.