“Esiste oggi nelle aziende una oggettiva esigenza di flessibilità e innovazione. L’It deve essere in grado di trasformarsi agilmente per rispondere alle variabili di business e non divenire un freno rispetto a un percorso di innovazione ormai fondamentale per mantenersi competitivi nella complessità dell’attuale scenario. È per questo che tutte le imprese devono confrontarsi con il tema del cloud, che introduce oggettivi elementi di flessibilizzazione e di aumento della velocità di risposta agli stimoli di mercato”. Così Stefano Uberti Foppa, Direttore di ZeroUno, ha introdotto la Tavola Rotonda di Redazione che si è recentemente svolta a Milano dal titolo: “Come rendere il cloud sicuro per Banche e Assicurazioni”, organizzata da ZeroUno in collaborazione con Akamai (secondo appuntamento di un più ampio percorso sul tema della Security dedicato interamente al settore Finance). Accanto all’esigenza di flessibilità sopra citata, altri due trend, secondo Uberti Foppa, vanno tenuti in considerazione: da un lato l’affermarsi del Cybercrime come minaccia costante, e dunque l’affermarsi di un contesto strutturalmente rischioso in cui i sistemi informativi e le aziende in genere devono operare; dall’altro la profonda e rapida digitalizzazione che in particolare il settore del Finance sta subendo, prepotentemente chiamato ad aprirsi a nuove logiche di web-services e di mobility.
Il dibattito tra gli ospiti ha subito reso evidente che, a sfatare il luogo comune, non è la sicurezza in senso stretto l’elemento che desta maggiori preoccupazioni quando si parla di cloud, il quale, al contrario, è da tutti ritenuto tecnologicamente sicuro: “Le risorse sul piano della security che hanno a disposizione i provider sono certamente maggiori di quelle di cui possono disporre le singole aziende”, dice Alberto d'Ettorre, It Manager di Credit Agricole Vita. Anche Stefano Mainetti, Codirettore Scientifico dell’Osservatorio Cloud & ICT as a Service School of Management del Politecnico di Milano conferma che, secondo i dati di una recente survey sul tema Security in ambito Finance realizzata da ZeroUno e NetConsulting, e quelli di recenti ricerche svolte dal Politecnico stesso, l’It della maggioranza delle aziende ritiene il modello cloud più sicuro di quello on premise.
Eppure, quando si parla di applicazioni business critical, sono ancora poche le aziende del Finance ad abbracciare la nuvola, e spesso questa si limita a rappresentare una soluzione solo per applicazioni quali posta elettronica e sistemi Ucc. Quali sono allora le criticità che stanno rallentando una più diffusa adozione del cloud?
Un problema di trasparenza, controllo e compliance
“Il vero problema si presenta se il provider non può garantire i livelli di trasparenza necessari per essere allineati con ciò che richiedono le normative”, commenta Gianluca Pezzali, It Manager di Deutsche Bank, che con altri ospiti ha sottolineato come la legislazione italiana e quella europea, che si sovrappone, senza sostituirsi, alla prima, impongano alle aziende appartenenti al Finance norme che rispondono a logiche diverse da quelle su cui si fonda la nuvola, come quando, per esempio, richiedono la localizzazione dei server: "È limitativo dover valutare una soluzione cloud sulla base dell’ubicazione dei data center del provider – dice D’Ettorre – Un fornitore dovrebbe essere misurato su altri parametri quali la qualità del servizio, la capacità di garantire la Privacy e la Sicurezza dei dati, la possibilità di assicurare la disponibilità continua dell'infrastruttura". L’It si trova invece spesso, per motivi di compliance, a dover richiedere ai provider una trasparenza non facile da soddisfare. All’interno dei meccanismi aziendali questo si può tradurre in uno scontro tra i Sistemi Informativi, che spingono per l’adozione di servizi cloud, e il settore Legal, che deve garantire una scrupolosa applicazione delle normative. Non bisogna poi dimenticare che spesso, ai limiti imposti esternamente, si sommano quelli legati a policy interne alle aziende: “Nel nostro caso – dice Pezzali – non solo dobbiamo stipulare contratti che rispettino i rigidi regolamenti interni che come Deutsche Bank abbiamo, ma siamo tenuti anche a controllare costantemente che il Provider le stia effettivamente seguendo”.
È chiaro che questo tipo di esigenze non possono essere soddisfatte da servizi “standardizzati”, che in molti altri settori risultano sufficienti. Si richiede uno sforzo di personalizzazione dell’offerta rispetto alle esigenze del singolo cliente, o almeno a quelle del settore: “Sarebbe utile che i provider fornissero contratti pensati per questo specifico business”, ha detto Walter Facchi, Responsabile It Governance e Innovazione di Ubi Sistemi e Servizi, “Alcune nostre esigenze sono infatti del tutto peculiari: specifiche per noi irrinunciabili possono invece risultare assolutamente superflue per altre aziende”.
Il provider e la personalizzazione dell’offerta
Rispetto al complesso rapporto che si viene a creare tra vendor e azienda Finance, queste alcune riflessioni emerse:
- per l’It trovare un provider dotato di spirito collaborativo, disposto a essere il più trasparente possibile e capace di personalizzare il servizio sulla base delle esigenze specifiche della propria azienda è di primaria importanza; ma si deve comunque tener conto che non è corretto pensare alla nuvola come se si trattasse di outsourcing: “Con il cloud si compra un servizio, non un progetto”, ha ricordato Mainetti, evidenziando un limite da considerare quando si apre una tavola di discussione col vendor. Secondo Gabriele Oleotti, Security Manager di Assimoco, agevolare questo dialogo è anche responsabilità dell’It: “Dovremmo impegnare le nostre risorse per dare gli input giusti affinché i provider sappiano che tipo di informazioni ci servono, dove abbiamo bisogno di trasparenza”;
tra i fattori che suscitano scetticismo nelle aziende Finance, l’impossibilità di conoscere i processi propri del partner tecnologico: “Sappiamo che la sicurezza del cloud è tecnologicamente elevata”, ha detto Emanuele Cantù, Security Officer di Axa Technology, “è la mancanza di controllo sulle procedure e sull’organizzazione di chi ci fornisce i servizi che ci preoccupa”;
- è stato invece riconosciuto come evidente vantaggio la possibilità di sfruttare la maggiore esperienza che alcuni provider possono vantare: monitorando costantemente la rete, questi possono infatti assistere e riconoscere più facilmente e velocemente una minaccia rispondendo con una rapidità e adeguatezza difficile da ottenere per la singola azienda.Come ha commentato Alessandro Livrea, Major Account Executive di Akamai, questa esperienza si traduce anche in un nuovo modello operativo basato sulla prevenzione: “Grazie ai big data e alla grande quantità di traffico che monitoriamo, possiamo analizzare il comportamento degli indirizzi Ip in tempo reale, bloccando quelli che reputiamo dannosi, fermando così la minaccia all’origine, con impatti positivi rispetto non solo ai Ddos ma anche ai malware e ad attacchi di altro tipo”.
Costi e benefici: calcolare la “perdita di opzione”
Esistono altri aspetti che gli ospiti all’evento hanno fatto emergere come potenziali freni all’adozione del cloud. Pezzali affronta il tema dei costi: “Da un punto di vista teorico il cloud ha dei vantaggi sotto il profilo dei risparmi”, sottolinea il manager riferendosi alle facilitazioni proprie della logica del servizio che permettono di evitare ingenti investimenti in hardware altrimenti indispensabili, “ma dobbiamo considerare che molte realtà hanno un legacy importante e devono comunque mantenere infrastrutture interne per governare tutto ciò che non viene messo sulla nuvola”. Inoltre sono stati evidenziati come “costi nascosti” della nuvola, quelli ad esempio legati alle risorse umane: se infatti da un lato l’It, sfruttando la logica del servizio che il cloud offre, viene sgravato da una serie di compiti sul piano della manutenzione dei sistemi aziendali proprietari, dall’altro, proprio in nome di quelle esigenze di trasparenza e di compliance sopra citate, si generano nuove necessità legate al controllo delle procedure e delle modalità con cui il provider opera, che finiscono per impegnare altrettanto pesantemente le risorse dei sistemi informativi, impedendo così quel risparmio che potrebbe pesare positivamente sul calcolo del Tco. Mainetti ha voluto però ricordare che è bene calcolare con attenzione anche i benefici economici meno immediati: “C’è sempre una ‘perdita di opzione’ che va considerata: l’agilità è un valore che ha molti benefici intangibili. Dobbiamo non essere miopi, domandarci quanto la nostra azienda dovrà essere digitale e multicanale nei prossimi anni e fare un business plan tenendo conto, nel calcolo dei Roi, di cosa può costare perdere le opportunità che solo la flessibilità del cloud potrebbe offrirmi”. Altri ospiti hanno portato invece all’attenzione il tema del rapporto con il management, che spesso non concede all’It i tempi necessari per studiare progetti complessi, quali la migrazione verso il cloud, in modo adeguato, un freno che si va a sommare, come ha rilevato Cantù, a una più generale resistenza al cambiamento: “Se i dubbi sono troppi, la tendenza in molti casi è evitare di addentrarsi in territori nuovi, anche se di fatto non esistono problemi chiaramente identificabili”.
Andare oltre queste perplessità sarà comunque necessario: “Indipendentemente da quanto sia o meno sicuro, il cloud è ormai un passo inevitabile: sottrarsi a questo cambiamento sarebbe come se alla fine degli anni Novanta si fosse preteso di non avere una casella di posta elettronica aziendale”, ha commentato Oleotti. Sulla stessa linea D’Ettorre: “Per quanto non si possano negare le problematiche legate alla mancanza di padronanza dei dati, le esigenze di flessibilità e velocità sono cresciute al punto da far pendere la bilancia dalla parte del cloud”. Infine, se davvero la nuvola è tecnologicamente più sicura, adottarla è anche la risposta più adeguata al costante aumento del cybercrime e dei problemi che potrà causare: “L’urgenza è alta: in termini quantitativi il danno che gli attacchi informatici provocano cresce del 26% all’anno, contro un aumento solo del 16% delle spese dedicate alla sicurezza – dice Livrea – Di fronte a questo trend sarà sempre più difficile per la singola azienda difendersi adeguatamente”. Il Cloud Journey sembra quindi da molti punti di vista un percorso obbligato; come ha detto Mainetti: “Il tema è ormai, oggi, non se entrare nel cloud, ma solo come farlo”.