ZeroUno, in collaborazione con Idc e Symantec, si è posto l’obiettivo di indagare come si stanno muovendo le aziende italiane per definire e mettere in pratica una strategia in grado di garantire la continuità del business. L’indagine si è svolta nei mesi di novembre e dicembre 2008 attraverso una web survey, accessibile dal sito Internet di ZeroUno, alla quale ha partecipato un campione di 85 aziende medie e medio-grandi, un panel consistente di utenti che permette di trarre considerazioni interessanti sul tema Business Continuity/Disaster recovery. Nel campione sono rappresentate il 35% di piccole aziende (fino a 200 addetti), il 27% di medie (da 201 a 1.000 dipendenti) e il 38% di grandi (oltre 1.000).
Ruoli, responsabilità e formazione
L’indagine ha rilevato che la maggior parte delle aziende gestisce internamente i servizi IT, tuttavia il peso dei servizi di terze parti è significativo in tutte le componenti, in particolare per la gestione dei server (27%), ma anche per quella delle hosted application (24%) e per le soluzioni di BC/DR (24%). Andando specificatamente ad analizzare ruoli e responsabilità relativi alla tematica della Business Continuity vediamo che nel 20% delle piccole e medie aziende non esiste un’organizzazione preposta a questa attività e nella maggior parte dei casi le procedure di BC sono seguite dal dipartimento IT; nelle grandi imprese esiste invece spesso una struttura dedicata (30% dei rispondenti); buona parte delle aziende individua comunque un ruolo preciso per la gestione del rischio informatico, che nel 40% dei casi spetta al Responsabile dei Sistemi Informativi. I dati relativi alle grandi aziende rappresentano percentuali di assoluto rilievo, paragonabili ad altri contesti europei, mentre i dati relativi alle piccole e medie aziende dimostrano che in queste realtà la business continuity è ancora vista in chiave primaria di disaster recovery: questa visione, sia pur in rapida evoluzione, è evidenziata dal basso numero di figure dedicate (leggermente inferiore alla media europea), dalla maggiore delega delle attività alla funzione IT e infine nella mancanza totale di una figura con tale ruolo che caratterizza più di un terzo delle organizzazioni.
La fotografia risultante dall’analisi del processo decisionale per l’acquisto di componenti per soluzioni di disaster recovery è l’esatto contraltare di quanto analizzato relativamente al profilo della funzione responsabile per BC/DR. Si sottolineano alcune significative evidenze emerse: se nel 46% dei casi tale responsabilità ricade in capo al responsabile sistemi informativi (che, ricordiamo, nel 40% dei casi è la funzione preposta alla BC/DR) è interessante sottolineare come nel 35% essa ricada in capo all’alta dirigenza aziendale rappresentata o dal board (20%) o dalla direzione generale (9%) o dalla direzione organizzazione (6%), come si vede in figura 1.
Figura 1: Decisore aziendale per l’acquisto di soluzioni di Disaster Recovery
(cliccare sull’immagine per ingrandirla)
Oggetto di particolare riflessione devono poi essere i dati relativi alle metodologie di formazione essendo la Business Continuity una pratica che trova quotidiano e continuo sviluppo all’interno dell’azienda e non un processo cristallizzato che necessita di una revisione a intervalli di tempo definiti. A fronte di tale presupposto risultano dati assolutamente non positivi (o non tranquillizzanti) quelli relativi all’utilizzo di un manuale interno come strumento principale nel 38% dei casi, nonché il 31% di casi in cui si dichiara la non esistenza di attività di education in ambito BC/DR. Se l’invio di messaggi di alert (31%), pur positivo, è indice più di un processo reattivo che preventivo, il 30% che dichiara complessivamente l’esistenza di processi di formazione continua (19%) o di programmi completi di training (11%) si posiziona sotto la media europea. L’utilizzo più massiccio di programmi di formazione che sfruttino anche la multimedialità interattiva offerta dalle piattaforme Internet e di e-learning potrebbe essere la modalità più adeguata per colmare questo gap e dare alle aziende quello strumento, l’education appunto, che è fondamentale per l’erogazione di processi efficienti ed efficaci di BC.
La sicurezza in azienda
I risultati di sintesi dell’indagine evidenziano che: l’e-mail è al primo posto tra le applicazioni “mission critical”, seguita dalle applicazioni custom/ verticali e dall’Erp; una procedura di risposta a incidenti informatici risulta ancora assente o da migliorare in più di un terzo del campione (soprattutto nelle piccole e medie imprese); solo il 20% è soddisfatto della procedura implementata e il restante 45% ritiene che sia possibileecessario un miglioramento.
La BC/DR (punti 3,9) rappresenta la principale sfida per la gestione del datacenter, seguita dalla sicurezza (3,5) e dal consolidamento/virtualizzazione (3,4), come si vede in figura 2.
Figura 2: Sfide per la gestione dei datacenter
(cliccare sull’immagine per ingrandirla)
La BC risulta poi al top anche tra le preoccupazioni riguardanti la sicurezza, seguita dalla scarsa consapevolezza/sensibilità interna e dalla difficoltà di controllare i flussi di informazioni in entrata/uscita (tutte voci che hanno totalizzato un punteggio che va da 3,4 a 3,8); fondamentali per la gestione dell’infrastruttura di IT Security vengono indicati il continuo aggiornamento dell’ambiente con le nuove patches seguito, in ordine di importanza, dal monitoraggio dell’ambiente IT e dall’aggiornamento degli utenti. L’affidabilità è al top della piramide dei requisiti fondamentali di un’offerta di IT security; sono considerati attributi significativi anche la facilità di integrazione e la copertura funzionale.
L’analisi dei dati nel suo complesso permette di rilevare un dato di particolare importanza: per ognuno dei principali aspetti di sicurezza/compliance/gestione analizzati la priorità è medio-alta o alta; questo dato mette in evidenza come la percezione della tematica sicurezza sia oggi realmente a 360 gradi afferendo anche a componenti (come la compliance) che per lungo tempo erano considerati non rientrare nel concetto di sicurezza. Più in particolare, e sempre limitandoci a un’analisi macro, emergono due driver/percezioni su tutti: l’importanza delle tematiche business continuity/disaster recovery; un concetto di sicurezza che sicuramente si basa su sistemi efficienti ma che concettualmente si sposta dall’infrastruttura all’utente. Si tratta in pratica di fare in modo che l’utente possa operare in sicurezza non solamente in chiave di sistemi di protezione classici (anti-virus, firewalls, ecc). ma anche in chiave di gestione dell’informazione in modo che l’informazione arrivi correttamente all’utente cui necessita (e solo a lui) nei modi e tempi adeguati e sui device in uso in quel momento.
Investimento in un’area strategica
L’indagine rivela che esiste già una soluzione di BC in circa la metà delle aziende mentre la parte rimanente prevede di implementarla entro un anno (18%) o in tempi più lunghi (16%); solo il 13% non ne ha in previsione l’implementazione (prevalentemente piccole e medie imprese). Nella maggior parte delle realtà che hanno partecipato alla survey non esiste un piano di aggiornamento del BC plan, o questo viene aggiornato solo in presenza di cambiamenti significativi (solo il 16% lo aggiorna regolarmente ogni 6 mesi e il 25% una volta l’anno). Particolarmente positivi i risultati della domanda relativi ai driver alla base dei processi di implementazione di soluzioni di BC (figura 3). Ognuno dei fattori indicati (dalla focalizzazione sul core business aziendale alla mancanza di skill adeguati) va in un’unica e precisa direzione: la Business Continuity, come è giusto che sia, viene percepita non come un costo ma come un investimento che da un lato va a coprire un’area strategica dell’azienda, dall’altro funge da elemento che, ottimizzando una molteplicità di funzioni, permette di ridurre i costi, rendendo più efficienti aree non coperte o coperte fino a oggi da soluzioni eterogenee e, in quanto tali, trainanti significativi costi di gestione e manutenzione.
Figura 3: Driver dell’implementazione di soluzioni di Business Continuity
(cliccare sull’immagine per ingrandirla)
La relazione coni fornitori
I dati relativi ai rapporti con i fornitori di soluzioni di Disaster Recovery e ai “desiderata” nei loro confronti esprimono, di fatto, la fotografia di quello che era lo stato dell’offerta IT fino a 12/24 mesi fa: un’offerta ipertrofica dove solamente un numero limitato di fornitori era/è veramente in grado di dare valore aggiunto al cliente e di qualificarsi rispetto ad esso non come mero fornitore di tecnologia ma come vero e proprio partner. Essere partner è un concetto che si declina in due principali caratteristiche: avere a portafoglio prodotti allo stato dell’arte; conoscere in dettaglio il modello di business, l’organizzazione, il mercato e i processi del cliente.
Alla base del 41% di organizzazioni che dichiara come sia il dipartimento interno ad erogare la soluzione di DR (figura 4) sussiste in massima parte l’incapacità del vendor di erogare la qualità attesa. Il consolidamento del mercato lato offerta sta determinando una naturale “selezione della specie” che si aggregherà appunto attorno a quei pochi fornitori capaci di dare prodotti e servizi allo stato dell’arte, conoscenza del cliente, capacità di supporto.
Figura 4: Attuale fornitore di soluzioni di disaster recovery
(cliccare sull’immagine per ingrandirla)
Il ritorno dell’investimento
La virtualizzazione dei server e dello storage e la replica hardware dei dati sono considerati i maggiori facilitatori per una strategia di BC/DR. Le previsioni per i prossimi 12/24 mesi indicano un’ulteriore accelerazione di questo trend in primis sul fronte delle piccole e medie imprese.
Figura 5: Business Impact Analysis
(cliccare sull’immagine per ingrandirla)
Per quanto riguarda l’analisi del ritorno dell’investimento di soluzioni di BC/DR, circa il 38% delle aziende non ha mai condotto una Business Impact Analisys (figura 5) mentre di chi ha adottato tale indicatore (o lo sta adottando) il 60% non risulta avere una conoscenza dei risultati: questi dati (dove sussiste una notevole differenza tra grandi e piccole-medie imprese) sono coerenti con tutta l’analisi fin qui compiuta. Nonostante la percentuale elevata di coloro che non risultano avere una conoscenza dei risultati, il fatto che il 60% delle aziende abbia deciso di condurre una Business Impact Analysis dimostra che la Business Continuity sta iniziando ad essere considerata come un fattore strategico per l’azienda.
L’integrazione del piano di Business Continuity all’interno dei processi di change management aziendali e l’esecuzione periodica dei test di ripartenza sono le tematiche meno affrontate nel piano di Business Continuity: anche in questo caso abbiamo una conferma di quanto sopra commentato. Tutto quanto è a supporto di una pervasività maggiore della BC anche a livello di processi e organizzazione aziendale è uno stadio appannaggio a oggi di una minoranza di organizzazioni appartenenti quasi esclusivamente al segmento grandi imprese. Per le altre si attende una presa di coscienza più lenta ma solida di cui si vedranno i risultati nei prossimi 12/24 mesi
Conclusioni
La prima considerazione sui risultati dell’analisi della ricerca ZeroUno, valutati nel loro complesso, è la netta soluzione di continuità rispetto a un’analoga survey effettuata nel corso dell’anno 2005 da Idc. Soluzione di continuità da leggere a due livelli: da un lato (e in questo caso il miglioramento è radicale in primis tra le medio e grandi aziende) si è passati dalla semplice “percezione” alla “certezza” sul ruolo centrale della Business Continuity come elemento strategico all’interno del sistema informativo; dall’altro lato (in misura analogamente rilevante anche se di magnitudo inferiore) si sta fortemente affermando l’idea di una Business Continuity come fattore abilitante l’efficienza dell’intero business aziendale e non solamente del sistema informativo.
L’insieme di questi due elementi ha determinato un significativo aumento delle aziende già in possesso di una soluzione di BC (52%) e un numero altrettanto significativo (18%) che l’implementerà nel corso dei prossimi 12 mesi. Si tratta di numeri straordinariamente superiori a quelli registrati nella precedente indagine effettuata da Idc.
La seconda considerazione rilevante è più a livello tecnologico o, per meglio dire, “tecnologico e di processo” ed evidenzia come tre elementi stiano giocando un ruolo centrale come fattori abilitanti l’adozione di soluzioni di BC: consapevolezza del ruolo sempre più centrale e strategico del dato “non strutturato” (per esempio le e-mail) verso il dato strutturato (o transazionale come Erp, Scm ecc.) con l’esigenza di “copertura” anche di questa tipologia di dati; forte spinta verso la BC derivante dalle tecniche e soluzioni di virtualizzazione; analoga spinta, in chiave anche di integrazione, derivante da un approccio sempre più a 360 gradi rispetto alla tematica IT Security non vista più come un insieme di soluzioni da scegliere in maniera parcellizzata ma come soluzione completa.
Questi trend, tra di loro fortemente intrecciati, uniti alla particolare situazione di mercato portano ad alcune altre considerazioni rilevanti: la Business Continuity è considerata un investimento strategico per l’azienda: ciò comporterà che nonostante l’attesa flessione (-2,4%) degli investimenti in IT nel 2009 il segmento BC continuerà a fare registrare positivi tassi di crescita; investire in soluzioni di BC trainerà una decisa e profonda revisione del sistema IT volto a identificarne e abbatterne le aree di inefficienza (processo agevolato anche dai paralleli processi di virtualizzazione); il tutto porterà a un IT più coerente con le specifiche esigenze aziendali gettando le basi verso una logica di pay per use; l’IT nel suo complesso si caratterizza sempre più come asset aziendale elevando anche il ruolo del responsabile sistemi informativi laddove lo stesso sia capace di mutare il proprio mindset.
A fronte di questo scenario, letto volutamente nella sua accezione positiva, esistono indubbie aree di miglioramento: aziende senza ancora una strategia in area security/BC; aziende dove il ruolo dell’IT è ancora marginale e considerato “lontano” dal core business aziendale; aziende (in questo caso anche alcune tra quelle precedentemente considerate “virtuose”) dove manca un tool di monitoraggio del ritorno dell’investimento o efficaci soluzioni di systems management; su questi punti si ritiene che nel corso dei prossimi 12-24 mesi si assisterà a un altro significativo progresso verso maggiori standard di efficienza; sarà proprio l’attuale difficile contesto economico a incentivare e spingere verso la ricerca di una maggiore efficienza sia sui processi core dell’azienda che sull’IT.
Rimangono infine altri due punti salienti da affrontare per l’azienda che decide di investire in BC come asset strategico: da un lato la necessità di “guardarsi dentro” (organizzazione, processi, procedure): non esiste soluzione IT che possa dare il ritorno atteso e possibile se implementata in aziende che non sono organizzate in maniera efficiente; dall’altro lato, una volta deciso di investire in BC in chiave sia di prima implementazione sia di upgrade, avere la capacità si identificare in un mercato ancora ridondante chi è quel fornitore capace, a fronte di una offerta tecnologica allo stato dell’arte, di qualificarsi come reale partner di business.
* Antonio Romano è direttore generale di Idc Italia
