I servizi associati al concetto del cloud esistono già dalla nascita di Internet; sono i nuovi modelli di business basati sul cloud che, invece, evolvono costantemente, venendo a trasformare nello stesso tempo i modelli classici di “IT Governance”. Questa tendenza è più che un’evidenza se osserviamo le statistiche sulla crescita del mercato del cloud, abbinate all’evoluzione tanto rapida quanto complessa dei prodotti e dei servizi lanciati sul mercato dai grandi attori di questo settore.
A fronte di un numero ridotto di mercati “maturi” in cui le evoluzioni di questo settore sembrano prevedibili e irreversibili, non sono poche le regioni, gli Stati oppure i settori di affari che si avvicinano ancora con timore alle soluzioni basate su infrastrutture pubbliche di cloud.
Il nostro obiettivo è quello di di passare brevemente in rassegna le principali problematiche legate al cloud che verranno fatte, poiché riteniamo che gli attori principali non possano più ignorare le evoluzioni del cloud computing e i costi implicitamente collegati.
– La stragrande maggioranza dei fornitori di prodotti e servizi dedicati al cloud basano la loro promozione sull’impatto significativo delle loro soluzioni a livello dei costi e sulla professionalità dei propri impiegati. Di norma, se prendiamo la prospettiva dei costi, è molto più efficace usare un’infrastruttura IT flessibile (hardware e software) basata sui bisogni reali di consumo di un’organizzazione, facilmente adattabile e immediatamente scalabile in base alla crescita di questi bisogni.
È altrettanto evidente che una compagnia leader di mercato, che vanta come profilo esclusivo di attività l’elaborazione di soluzioni IT utilizzate a livello globale, detiene tecnologie migliori di quelle della stragrande maggioranza delle aziende che non hanno l’IT come attività principale.
Ciò nonostante, bisogna tenere conto che vi sono settori di business che, per motivi estremamente pragmatici, non possono trasferire completamente i loro affari sul cloud, perché persino le soluzioni ibride non offrono ancora un livello accettabile di scalabilità e, non sono competitive nel rapporto qualità-prezzo.
Se riassumiamo quanto scritto sinora, siamo convinti che ogni venditore di cloud (qualsivoglia sia la sua configurazione), dovrebbe promuovere i suoi servizi utilizzando risorse che conoscono nel dettaglio non solo i settori economici ai quali intende rivolgersi, ma anche il framework finanziario e legislativo nel quale vivono i suoi potenziali clienti.
– Da molti anni leggiamo articoli, o ascoltiamo conferenze specifiche di settore più o meno aperte al grande pubblico, che sottolineano come i bisogni e le conseguenti esigenze di sicurezza siano considerate come un fattore vincolante per l’evoluzione del mercato del cloud. Crediamo che questo tipo di affermazioni non presenti di fatto la realtà. Anzi, è proprio l’industria del cloud, e specialmente il suo ambito marketing e di integratori di soluzioni, che non si è ancora pienamente adattata alle esigenze di sicurezza o ad alcune condizioni specifiche che riguardano la protezione della vita privata online.
Se osserviamo la diversità e l’evoluzione permanente del mercato attuale del cloud, siamo convinti che non è la sicurezza e/o la protezione della privacy che bloccano il l’adozione del cloud in un’organizzazione, ma proprio la mancanza di comprensione da parte del mercato e della tecnologia. A questi bisogna aggiungere la mancanza di competenze per portare avanti un tale progetto; un mercato spesso immaturo e disattento ai bisogni locali, che non è quindi capace di generare un grado sufficiente di personalizzazione delle soluzioni proposte; ed infine un conservatorismo di molte mentalità dirigenziali. Tutti questi sono ostacoli che dovrebbero essere superati si da parte degli attori maggiori del mercato che da quella dei beneficiari, che si tratti indifferentemente di enti pubblici o di strutture private.
– Lato fornitori sarebbe opportuno concentrare gli sforzi per poter offrire quello che ricercano tutte le organizzazioni dal punto di vista della security e safety: la FIDUCIA, piuttosto che la risoluzione specifica di singole istanze di sicurezza o di protezione della privacy. Solitamente, in un’azienda non IT, quando il comitato dirigente fa la valutazione della fattibilità di un progetto, è alla ricerca, nel contratto, di argomenti solidi in particolare sui costi ma anche sulle garanzie necessarie per avere fiducia nella ditta e nel prodotto. Ci troviamo davanti ad un obiettivo molto più ampio di quello prettamente legato alla sicurezza delle operazioni che verranno esternalizzate sull’infrastruttura di un terzo.
Un contributo significativo alla valutazione dell’affidabilità di prodotti e servizi di un fornitore potrebbero essere almeno le risposte chiare alle seguenti domande:
dove, esattamente, saranno archiviati i dati della mia organizzazione?
La presentazione di un’infrastruttura associata a servizi e prodotti di tipo cloud che verrebbe distribuita geograficamente a livello globale è certo una strategia di marketing mirata ad offrire un’immagine delle dimensioni impressionanti di una gestione di questo tipo, ma è insufficiente ad assicurare un grado adeguato di fiducia. Nella maggioranza delle presentazioni promosse dall’industria del cloud, viene affermato che l’epoca dei data-centers sta per finire, e questo proprio mentre tutti gli affari basati sul cloud non possono esistere senza un’infrastruttura robusta proprio di data center. La scalabilità di questa infrastruttura, la localizzazione dei data centers e le loro condizioni di sicurezza fisica sono dei fattori essenziali per contribuire alla fiducia di un cliente potenziale. Spesso il fattore geografico è parte degli obblighi legali, senza il rispetto dei quali una parte dei clienti potenziali dovrebbero, pur migrando sul cloud, continuare ad assumersi i costi ed i rischi legati alla gestione dei loro propri data center.
Come sono misurabili la disponibilità e la ridondanza dei canali di comunicazione utilizzate dal cliente per accedere a questa infrastruttura e/o ai servizi di cloud? I piani di business continuity
sono obbligatori in non pochi settori economici, e devono contenere risposte e soluzioni chiare su questo aspetto, che raramente viene considerato nel quadro delle strategie di marketing dell’industria del cloud.
Quali sono le garanzie sulla sicurezza delle infrastrutture e delle applicazioni nel cloud? Troppo spesso, tali garanzie sono generiche: sono presentati dati statistici che dimostrano il livello scarso di incidenti di sicurezza, la professionalità degli specialisti in sicurezza del fornitore di cloud – senza tener conto che anche il cliente ha dei professionisti molto qualificati! L’esternalizzazione delle infrastrutture e di una parte dei servizi sul cloud trasferisce la responsabilità della loro amministrazione ad un terzo, e quindi il potenziale cliente ha bisogno di più dettagli e prove tangibili sulla sua professionalità, sicurezza e scalabilità del cloud. Vi è pure la possibilità che le autorità nazionali di regolamentazione o di controllo in questo campo di attività sollecitino in modo esplicito i dati riguardanti l’architettura di sicurezza delle infrastrutture esternalizzate per verificarne la conformità con le norme in vigore – ad oggi, sono rarissime le descrizioni di prodotti e supporti di tipo cloud nelle quali ritroviamo questo tipo di informazioni.
Perché credete, ancora in merito all’uso del cloud, che i paesi più piccoli o quelli meno sviluppati economicamente non abbiano bisogno degli stessi approcci di quelli usati nei paesi dell’Europa Occidentale o negli Stati Uniti? Internet permette ormai l’accesso degli stessi fornitori per diverse zone del mondo, e le differenze vi saltano agli occhi. Per esempio, si possono osservare senza grandi sforzi le differenze di approccio del mercato associati alle analisi degli investimenti diretti nell’infrastruttura IT sul territorio degli Stati in questione. Certamente, le ditte specializzate nel cloud tengono conto delle opportunità e delle dimensioni di un mercato, ma è altrettanto possibile che molti clienti potenziali dei paesi dell’Est europeo abbiano esattamente lo stesso livello di pretese che quelli dell’Europa occidentale. Ignorare totalmente questa realtà in una strategia di affari è uno sbaglio che porta un danno significativo nell’acquisizione della fiducia del cliente.
(Per i fornitori di sicurezza nel campo del cloud computing o delle infrastrutture di tipo cloud) A che tipologie esatte di dati si potrà avere accesso tramite l’infrastruttura locale del cliente e che dati saranno immessi in questa infrastruttura? Anche se i vantaggi dell’uso di un’infrastruttura complessa di tipo cloud, per l’analisi di dati risultanti da diversi tipi di incidenti e di attacchi cibernetici sono molteplici, sarebbe preoccupante se ci si dovesse addirittura proteggere dai propri partner. In poche parole, se non ci si conosce e non è stata ancora costituita una vera relazione di affari basata sulla fiducia, sarà difficile proporre una soluzione «automatizzata» basata sul cloud e che abbia un accesso esteso proprio all’infrastruttura che noi siamo pagati per difendere Qual è la comprensione comune e corretta del concetto di cloud ibrido? Anche se questo tema meriterebbe un ampio approccio concettuale e tecnico come preludio, esso è una soluzione potenziale per molti campi ancora inaccessibili per il mercato del cloud. Ora, dalle discussioni che abbiamo avuto con diversi fornitori, abbiamo potuto costatare che esistono ancora delle differenze significative sulla comprensione e i modelli di promozione e di implementazione di questo tipo di cloud. Anche se troppo spesso la sincerità viene sanzionata, direi a nome mio e di molti altri colleghi che il nostro sforzo per poter capire l’offerta di un potenziale fornitore dovrebbe essere minimo.
