“Centri di Elaborazione Dati” (CED) o, mutuando una locuzione inglese ormai universalmente utilizzata, “Data Center”. Facciamo un viaggio per conoscere meglio queste che sono le fondamenta di ogni soluzione informatica. Che per poter correttamente funzionare ed erogare i servizi per i quali è stata progettata, implementata e posta in esercizio, deve imprescindibilmente poggiare le proprie fondamenta su solide basi “materiali”.
Ossia, appunto, i Ced.
Questo vale nonostante uno dei principi che generalmente si associano ad un sistema informativo, a prescindere dalla dimensione, dalla finalità o dall’architettura su cui poggia, sia rappresentato dalla cosiddetta “dematerializzazione”, ossia da quel processo che tende a sostituire, quanto più possibile, documenti cartacei, attività fisiche, controlli di tipo umano o attrezzature meccaniche con algoritmi, file, database e capacità elaborative di tipo “virtuale”, “immateriale” se non addirittura “etereo”.
Allo stesso modo, se consideriamo una delle tendenze che da qualche anno riscuotono maggiore popolarità nel panorama mondiale dell’Information Technology, ossia il “Cloud”, possiamo immediatamente intuire come anche gli addetti ai lavori siano propensi, in uno sforzo di estrema sintesi, a presentare le nuove infrastrutture digitali come entità talmente astratte e “incorporee” da poter addirittura risiedere comodamente su un insieme più o meno popolato di “nuvole”, in posti esotici e comunque non ben definiti geograficamente e fisicamente.
Cos’è un centro elaborazione dati (CED)
I centri elaborazione dati sono veri e propri “quartieri generali” informatici, nei quali sono allocati, manutenuti, custoditi, protetti e costantemente monitorati, attraverso applicazioni software ma soprattutto sotto il coordinamento di personale altamente specializzato, tutti i dispositivi elettronici, gli strumenti di elaborazione e di connettività, gli archivi digitali e quanto serve a far funzionare l’intera architettura informatica, a sua volta in grado di ospitare un numero indefinito di applicazioni, siti internet, portali, software web-based, etc.
I CED devono essere, pertanto, pensati, ideati e costruiti in modo da poter rispondere alle esigenze ed ai compiti delicatissimi per i quali sono concepiti e, soprattutto, per garantire nel tempo i requisiti fondamentali di integrità, disponibilità e riservatezza delle informazioni ricevute, elaborate ed inoltrate potenzialmente in tutto il mondo.
Immaginiamo, ad esempio, cosa possa succedere se uno dei cosiddetti “grandi server” che ospita un servizio informatico di fondamentale importanza, quale può essere ad esempio il “fascicolo sanitario elettronico”, sia liberamente accessibile a personale non autorizzato, in grado di cancellare, modificare o visualizzare dati altamente sensibili, oppure sia collocato in una zona estremamente pericolosa perché vicina all’alveo di un fiume oppure perché considerata ad alto rischio sismico o soggetta ad instabilità di tipo sociale, politico, economico, etc.
Analogamente, se consideriamo che tutte le comunicazioni che oggi avvengono tramite la rete internet, ossia circa il 95% di tutte le forme di interlocuzioni quotidianamente scambiate da esseri umani, macchine, oggetti “intelligenti” sparsi in tutto il mondo, debba obbligatoriamente passare attraverso una serie più o meno complesso di CED tra loro interconnessi, si può ben comprendere come i Centri di Elaborazione Dati rappresentino veramente la base invisibile e sommersa di un immenso iceberg di cui le applicazioni e i software da noi utilizzati sono semplicemente la punta emersa oltre che la parte più piccola e probabilmente meno importante.
E’ stato, ad esempio, dimostrato che la maggior parte dei fenomeni di “crashing” delle principali piattaforme informatiche quali Twitter, Facebook, Instagram, etc, sia stata causata da malfunzionamenti di carattere tecnico nati e sviluppati all’interno di Centri di Elaborazioni Dati particolarmente sensibili e, anche per tale motivo, soggetti a continui attacchi, tentativi di manomissione o veri e propri assalti cyber-criminali.
Alla luce di quanto finora descritto, è possibile definire un Centro di Elaborazione Dati come l’insieme delle risorse umane, fisiche, architetturali, elettroniche e tecnologiche che permette ai sistemi informativi di essere pienamente funzionali e rispondenti alle esigenze per le quali sono stati creati e posti in produzione.
Vista la complessità, la portata e l’importanza delle tematiche a vario titolo connesse con le attività di un CED, è fondamentale chiarire, preliminarmente, come tutta la gestione di un Centro di Elaborazione Dati debba essere necessariamente strutturata secondo regole, procedimenti e norme in grado di garantire adeguati livelli di efficacia, efficienza e sicurezza.
In primo luogo, è opportuno sottolineare come tutta la sfera organizzativa e funzionale di un CED rientri a pieno a titolo all’interno del più ampio ed articolato processo di IT Governance di un’azienda, sia pubblica che privata, e deve, pertanto, rispondere a principi strategici, funzionali ed operativi volti, in ultima battuta, a garantire il perseguimento degli obiettivi fondamentali e vitali dell’intera organizzazione.
In tale contesto, la strutturazione di un CED dovrà prevedere un primo passo dedicato alla declinazione delle politiche di livello strategico, ossia della cosiddetta “missione” aziendale e della “visione” etica, professionale e commerciale indicata dal Top Management, in procedure, manuali e norme di carattere operativo, che sappiano contemperare gli aspetti legati alle “performance” del Centro, ossia agli output che dovranno essere forniti, con quelli, altrettanto importanti, della Sicurezza delle Informazioni e della Cyber Security, del tutto basilari ed imprescindibili in relazione alle attività concretamente svolte.
Interfaccia tra il CED ed il management aziendale
Da quanto appena illustrato, emerge chiaramente la necessità di un continuo allineamento tra la gestione e l’operatività del Centro di Elaborazione Dati ed il Governo dell’azienda, ossia con gli strati direttivi più alti dell’organizzazione.
Mutuando, a tale riguardo, quanto indicato dall’ISACA, che rappresenta un riferimento a livello mondiale nelle tematiche di IT Governance e Gestione della Sicurezza, una buona pratica da adottare è quella di porre il “Direttore”, o comunque la figura apicale chiamata a dirigere il CED, alle dirette dipendenze del CEO o comunque dell’Amministratore Delegato, così come assume particolare importanza che il Consiglio di Amministrazione (o un suo Organo omologo nel caso di aziende pubbliche o diversamente strutturate) sia periodicamente informato, attraverso report sintetici, dell’andamento delle attività poste in essere, al fine di consentire l’adozione di decisioni strategiche tempestive, efficienti e basate su informazioni certe, affidabili ed aggiornate in tempo reale.
Il CED, inteso come insieme complesso di risorse umane fortemente specializzate, dotazioni tecnologiche ed informatiche di alto livello e mezzo di condivisione di informazioni anche di carattere estremamente critico, può essere considerato, soprattutto in un’era in cui tutti (o quasi) i processi aziendali sono ormai digitalizzati, come uno dei principali strumenti che concretizzano le direttive del Management e, pertanto, incidono profondamente in tutta la vita di un’organizzazione, sia pubblica che privata.
Cosa succederebbe, ad esempio, se, a causa di un malfunzionamento di una componente (non solo tecnologica) interna del CED, un’informazione fosse erroneamente pubblicata sul sito internet anziché sulla bacheca aziendale?
Allo stesso modo, sarebbe accettabile che una decisione strategica del Management fosse basata su dati non corretti, in quanto provenienti da un sistema di elaborazione non ben tarato o congeniato o perché, addirittura, manipolati intenzionalmente da un soggetto interno o esterno all’organizzazione?
Si consideri, in particolare, l’imponente mole di informazioni della quale vengono fisiologicamente a conoscenze tutti gli operatori del CED e delle sconfinate possibilità che uno dei tecnici operanti nel Centro di Elaborazione Dati potrebbe avere nel modificare, alterare, cancellare o inserire fraudolentemente dati nei sistemi aziendali.
Appare utile ricordare, a tal proposito, come il Garante per la Protezione dei Dati Personali non solo abbia più volte invitato le imprese private e le amministrazioni pubbliche a porre in atto stringenti meccanismi di verifica, monitoraggio e tracciatura delle attività svolte da coloro che, per finalità aziendali, hanno accesso ai sistemi di elaborazione dei dati con utenze di tipo amministrativo ed in generale con alti privilegi sia verticali (scrittura, cancellazione, modifica) che orizzontali (in termini di estensione delle informazioni intercettabili) ma sia anche intervenuto, con propri atti, prevedendo pene e sanzioni più severe per chi abusa della propria posizione di “Amministratore di Sistema”.
Sicurezza e Privacy dei CED
Anche alla luce di quanto appena illustrato, è fondamentale che un’organizzazione curi con particolare attenzione, tra le attività fondamentali di implementazione di un CED, gli aspetti relativi alla privacy, alla tutela dei dati personali e della sicurezza delle informazioni, facendo riferimento, per quanto possibile, a standard internazionali quali la ISO/IEC 27001 e, soprattutto, adempiendo sempre in maniera piena e completa a tutte le normative di settore, con particolare riferimento alle disposizioni del Regolamento Generale per la Protezione dei Dati (Gdpr) che ha introdotto principi e regole del tutto innovative quali i concetti di “Accountability”, “Privacy by default”, “Privacy by Design”, etc.
In uno sforzo di estrema sintesi, è possibile affermare che un’organizzazione debba attentamente pianificare, progettare, ideare e sviluppare, già nelle fasi iniziali di tutto il processo (e comunque il più presto possibile), l’intera architettura posta a salvaguardia delle informazioni critiche aziendali ed a supporto della protezione dei dati personali.
In particolare, ancor prima dell’avvio dell’operatività di un CED, dovranno essere prese in considerazione ed appositamente normate, attraverso Manuali e Procedure formalmente approvati dal Management, almeno le seguenti tematiche basilari:
- Gestione degli Accessi fisici e logici, attraverso, ad esempio, la previsione di adeguate “barriere” quali porte blindate, tornelli, servizi di guardiania, etc ma anche tramite l’implementazione di appositi meccanismi di attribuzione dei permessi di ingresso negli stabili e di accesso in lettura, scrittura, modifica e cancellazione ai diversi software applicativi;
- Gestione delle modifiche (o “Change Management”), che sintetizza tutte le politiche finalizzate a tenere traccia delle variazioni intercorse ed a riconnetterle alle persone che le hanno generato; si pensi, ad esempio, ai casi di ingresso o uscita di personale dall’organizzazione ed alle conseguenti modifiche che devono essere effettuate in relazione all’abilitazione/disabilitazione di badge o di creazione/cancellazione di utenze connesse alle identità aziendali digitali;
- Gestione degli asset, attraverso un censimento, che in parte può avvenire in modalità automatica grazie ad appositi strumenti di scansione della rete, di tutti i dispositivi presenti ed operanti all’interno di una sala CED e delle loro caratteristiche principali;
- Gestione degli incidenti, che deve descrivere le modalità con le quali saranno affrontati tutti gli eventi anomali di piccola e media rilevanza con il fine di garantire, attraverso un’immediata risoluzione delle problematiche (i cosiddetti “work-around”), la continuità dei servizi e permettere l’avvio delle successive attività di individuazione ed “estirpazione” delle cause principali sottese al malfunzionamento (meglio conosciute tra gli addetti ai lavori come le “root causes”);
- Disaster Recovery e Business Continuity, che rappresentano l’insieme delle strategie, degli strumenti, delle procedure e delle attività previste per rispondere a disastri anche di grandi dimensioni che possono causare l’indisponibilità dell’intero Centro di Elaborazione o degli uffici amministrativi fondamentali per il suo funzionamento. In tale ambito è fondamentale prevedere soluzioni quali le repliche sincrone verso siti remoti, la predisposizione di accordi e convenzioni con terze parti per l’utilizzo di risorse in caso di emergenza, la formazione di tutto il personale, che deve essere a conoscenza di quali step procedurali debbano essere innescati a fronte di una situazione estremamente pericolosa.
Dal punto di vista strettamente tecnico, invece, il CED dovrà essere adeguatamente dimensionato e dotato di tutti i dispositivi, non solo elettronici, necessari per la corretta erogazione dei servizi da fornire sia agli utenti interni che a tutti gli stakeholders, inclusi i fornitori, i clienti, i partner, etc, che gravitano al di fuori del perimetro aziendale.
Il primo passo è, naturalmente, rappresentato dall’individuazione dell’ area geografica, dello stabile ed eventualmente dei locali che dovranno ospitare il Centro di Elaborazione Dati: come già anticipato in precedenza, è di vitale importanza che un CED sia posizionato in una zona quanto più possibile sicura, lontana da fonti di pericolo ambientali ed umane, connessa alle principali vie di comunicazione ma non adiacente a grandi “Concentratori” o “Hub” quali possono essere aeroporti o stazioni ferroviarie, e soprattutto servita da infrastrutture telematiche in grado di garantire l’interconnessione con la rete internet e quindi con i potenziali fruitori dei servizi erogati.
Una volta individuata la “location” dal punto di vista territoriale, dovrà essere effettuato un attento dimensionamento dell’area da utilizzare effettivamente, tenendo in debita considerazione, anche attraverso il calcolo del cosiddetto “Total Cost of Ownership” (TCO), descritto nel seguito della presente trattazione, tutte le principali esigenze, tra le quali anche le possibili necessità di ampliamento e rimodulazione delle attività che potrebbero sopraggiungere una volta che tutte le funzionalità siano effettivamente entrate a regime.
In linea di principio, ed in uno sforzo di estrema sintesi, è possibile suddividere le attrezzature di cui un CED deve dotarsi nelle seguenti macro-categorie:
- Gli armadi “rack”, compresi tutti gli accessori finalizzati a permettere la corretta allocazione di tutta la strumentazione necessaria (mensole, ventole di raffreddamento, predisposizioni per cablature interne, etc);
- Gli elaboratori elettronici ed i sistemi di storage, che fondamentalmente rappresentano le unità operative più semplici attraverso le quali i servizi sono effettivamente erogati; si pensi, ad esempio, ai server (anche a quelli di elevate dimensioni), ai cosiddetti NAS (Network Attached Storage), agli hardware “iper-convergenti” ed in generale a tutti quei dispositivi che garantiscono capacità computazionali ed adeguati spazi di memorizzazione per le informazioni a vario titolo scambiate ed elaborate.
- I dispositivi di rete, nel cui novero devono essere inclusi non solo gli strumenti quali gli switch o i router che consentono di gestire le interlocuzioni digitali ma anche e soprattutto tutti gli apparati di sicurezza in grado, a vario titolo, di filtrare le connessioni in ingresso ed in uscita, di individuare le trame malevole all’interno di flussi informativi e di prevenire e contrastare i tentativi di intrusioni nella rete interna così come le fughe incontrollate ed non autorizzate di informazioni (quali ad esempio gli ormai famosi fenomeni di “data breach”);
- I gruppi di continuità e i generatori elettrogeni, che permettono sia di filtrare e stabilizzare l’energia elettrica in ingresso, evitando picchi potenzialmente dannosi per gli apparati, sia di sopperire, grazie a fonti di alimentazioni alternative come il gasolio, alla temporanea ed improvvisa mancanza di erogazione da parte dei fornitori energetici;
- Le apparecchiature di sicurezza fisiche ed ambientali, ossia tutti quegli apparti in grado di prevenire, intercettare o mitigare i danni provenienti da diverse tipologie di minacce quali possono essere le intrusioni non autorizzate, gli allegamenti, gli incendi. Si pensi, ad esempio, alle sonde anti-inondazione, in grado di captare la presenza di acqua, ai pavimenti “flottanti”, ossia rialzati rispetto alla base dello stabile, ai sensori anti-fumo o ai sistemi di spegnimento del fuoco attraverso gas o polvere.
I professionisti impiegati in un CED: competenze necessarie
Un altro elemento assolutamente indispensabile nella predisposizione di un CED è costituito dall’individuazione di personale adeguato, in possesso delle specifiche competenze tecniche necessarie a gestire tutti gli aspetti connessi all’operatività di un Centro di Elaborazione Dati.
Tra le altre, è importante, prevedere almeno le seguenti figure:
Figura Professionale | Descrizione | Competenze |
Tecnico hardware | Si occupa prevalentemente di intervenire sulle componenti fisiche di un computer e di una rete locale, individuando, classificando e risolvendo le eventuali anomalie che potrebbero emergere durante l’utilizzo del sistema. |
|
Tecnico hardware-software | È una figura di interconnessione tre le componenti hardware e software ed in generale gestisce e sovraintende alla manutenzione dei PC sia Client che Server all’interno di piccole reti. |
|
Sistemista junior | E’ un tecnico specializzato in grado di occuparsi dell’installazione, configurazione, gestione/manutenzione, aggiornamento e monitoraggio di un sistema operativo e più in generale di uno o più sottosistemi di un sistema informatico. |
|
Sistemista senior | Può essere considerato il fisiologico risultato della crescita professionale di un sistemista junior ed offre soluzioni informatiche di più ampio respiro, considerando anche l’impatto economico e la scalabilità. E’ una delle prime figure di interfaccia con la sfera manageriale dell’azienda. |
|
Coordinatore tecnico-commerciale | Si occupa prevalentemente di tematiche connesse all’approvvigionamento di soluzioni esterne, è in grado di valutare e comparare diverse opzioni e deve possedere adeguate competenze linguistiche e professionali per interloquire con la Direzione, preparando, dove necessario, anche adeguati “Business Case”. |
|
Sviluppatore web | Si occupa prevalentemente di sviluppa applicationi “web-based”, sfruttando programmi di creazione di siti o tecnologie HTML, ASP, DOTNET, PHP, python, JSP, Javascrit, etc |
|
Sviluppatore software junior | Sviluppa applicazioni di varia natura utilizzando linguaggi soprattutto visuali BASIC, C, C#, Visual Basic, Java, Python, etc |
|
Sviluppatore software senior | Può essere considerata come la naturale evoluzione di uno sviluppatore SW junior, rispetto al quale ha generalmente una maggiore predisposizione, derivante dall’esperienza acquisita, a coordinare team, anche di grandi dimensioni. Si occupa di analizzare la struttura dell’applicazione, e proporre le soluzioni tecnologiche migliori. |
|
Come funziona un CED: organizzazione
Dopo aver descritto, sia pure in maniera estremamente sintetica, le principali caratteristiche strutturali, fisiche, tecnologiche ed umane di un CED, proviamo a definire quale possa essere l’organizzazione di riferimento di un Centro di Elaborazione Dati ed, in linea generale, quali siano i compiti generalmente affidati a tali unità organizzative.
Riprendendo quanto indicato dall’Agenzia per l’Italia Digitale nelle “Linee Guida per la razionalizzazione dell’infrastruttura informatica della PA” (disponibile al seguente indirizzo), nel quale è contenuta un’interessante riflessione di carattere generale su come è organizzato un CED in Italia, i compiti affidati alle strutture che sovraintendono ai Data Center riguardano tipicamente le aree del “Data Processing” (Job Control e scheduling, gestione nastri e device di tipo DASD – Direct Access Storage Device), l’help desk su questioni riguardanti il funzionamento degli apparati, la gestione del software di sistema, dell’hardware, il capacity planning delle risorse, la gestione degli apparati di telecomunicazione e delle reti, etc…
A tali funzioni vanno poi aggiunte tutte quelle non dirette alla gestione di asset informatici, ma necessarie per il corretto funzionamento burocratico-amministrativo della struttura stessa quali la logistica, l’amministrazione, la gestione delle risorse umane, etc.
Da quanto appena riportato, appare del tutto evidente come un CED debba essere considerato alla stregua di un’ “Unità Operativa Complessa” dotata di elevata autonomia organizzativa, contabile ed economica e, pertanto, il cui funzionamento debba essere normato attraverso appositi Regolamenti operativi ed all’interno della quale debbano essere individuate specifiche posizioni di responsabilità, cui assegnare obiettivi, budget ed indicatori quantitativi di performance.
Da un punto di vista maggiormente tecnico, invece, il punto di riferimento universalmente accettato per la realizzazione e la gestione operativa e l’organizzazione di un data center sono le “Telecommunications Infrastructure Standard For Data Centers” o “TIA-942”, che fanno parte degli standard nazionali americani (American National Standard) e forniscono preziose indicazioni sulla definizione degli spazi, sulla realizzazione dei cablaggi e sulle condizioni ambientali, classificando i data center in 4 livelli (o TIER):
LIVELLO (TIER) | DESCRIZIONE | UPTIME PREVISTO (SU BASE ANNUA) |
TIER 1 – BASIC | Data center dotato di un solo sistema di alimentazione e un solo sistema di raffreddamento. Le politiche di backup e i componenti ridondati sono assenti o se presenti lo sono per un numero molto limitato di componenti; | 99,671% |
TIER 2 – REDUNDANT COMPONENT | Data center dotato di un solo sistema di alimentazione e un solo sistema di raffreddamento. Alcuni componenti sono ridondati ed esistono politiche di backup. | 99,741% |
TIER 3 – CONCURRENTLY MAINTENABLE | Data center dotato di più sistemi di alimentazione e più sistemi di raffreddamento. Tutti i componenti sono ridondati. La maggior parte delle manutenzioni e degli aggiornamenti non richiedono di portare offline il data center. | 99,982% |
TIER 4 – FAULT TOLERANT | Data Center progettato e creato per essere totalmente fault-tolerant e ogni componente è ridondato. Ha più sistemi di alimentazione e di raffreddamento. | 99,995% (il downtime annuale massimo non deve superare i 26,3 minuti). |
E’ importante sottolineare come, nonostante non siano previsti specifici programmi per la certificazione di conformità, il sito www.tia-942.org raccolga in maniera centralizzata, e su base volontaria, un archivio dei soggetti coinvolti nei processi di formazione, di accreditamento e di revisione.
I costi di un centro elaborazione dati, investimento e ROI
La realizzazione e la messa in esercizio di un Centro di Elaborazione Dati richiede, per la complessità dell’intero processo di implementazione, manutenzione e gestione, un’attenta e ponderata analisi in merito all’opportunità di affrontare i cospicui investimenti richiesti e soprattutto alla quantificazione dei potenziali ricavi, con particolare riferimento al cosiddetto ROI, o “Return of Investment”, che, in estrema sintesi, misura la redditività e l’efficienza economica della gestione caratteristica senza considerare le fonti utilizzate.
In tale contesto, fondamentale importanza riveste il “Total Cost of Ownership” (TCO) che, sviluppato da Gartner nel 1987, costituisce un valido strumento finalizzato, in linea generale, a calcolare tutti i costi, diretti e indiretti, connessi, a vario titolo, al ciclo di vita di un’apparecchiatura informatica, ossia all’acquisto, all’installazione, alla gestione, alla manutenzione ed al definitivo smaltimento.
E’ bene preliminarmente sottolineare come non esistano al momento standard universalmente accettati o utilizzati per la quantificazione del TCO dell’infrastruttura fisica di un data center e che, pertanto, sia renda necessario procedere attraverso tecniche “empiriche” e di volta in volta personalizzate in base alla situazione contingente.
Un interessante contributo in tal senso arrivùa dal “White Paper #6” della APC, denominato “Calcolo del ‘Total Cost Of Ownership’ (Tco) della Infrastruttura per Sale Ced”, all’interno del quale sono forniti spunti, suggerimenti e metodologie finalizzate al calcolo del TCO, partendo dalla considerazione che comunque necessario disporre, per giungere ad un risultato affidabile, di “di una notevole quantità di dati, compresi le spese in conto capitale e i costi relativi agli interventi tecnici, all’installazione e alla gestione dei vari elementi dell’infrastruttura fisica della sala CED nonché parametri di progetto quali il numero di metri quadrati per rack, il numero di watt per rack, il piano di utilizzo, il ciclo di vita atteso, le opzioni di ridondanza ecc”.
Riprendendo alcune riflessioni contenute nel citato documento, un elemento discriminante nel calcolo di un TCO di un Data Center può essere sicuramente costituito dalla percentuale di utilizzo stimata delle singole apparecchiature di cui un CED si compone: è del tutto evidente, ad esempio, che un armadio rack utilizzato al 100% dello spazio disponibile avrà, per via degli alti costi fissi connessi alla manutenzione dell’intera infrastruttura, da un lato, un costo di gestione simile a quello di un analogo “contenitore” utilizzato al 50% ma produrrà, dall’altro, entrate ben superiori grazie ad un numero decisamente superiore di servizi potenzialmente erogati e di clienti raggiunti o comunque raggiungibili.
I vantaggi di avere un CED in azienda
Attraverso la quantificazione del TCO e di indicatori economico-finanziari come il ROI e naturalmente in base a parametri di fondamentale importanza quali la natura aziendale, la tipologia di servizi forniti, la natura, la distribuzione geografica e le esigenze dei clienti, è possibile individuare quale possa essere la soluzione migliore per la propria organizzazione aziendale tra due possibili opzioni:
- Realizzare e Gestire un CED all’interno della propria struttura;
- Utilizzare i Servizi (soprattutto di tipo Cloud) offerti da uno dei provider presenti sul mercato.
Entrambe le soluzioni presentano naturalmente aspetti positivi e potenziali criticità che è necessario confrontare e soppesare attentamente al fine di adottare quella maggiormente adeguata per la propria situazione.
- I vantaggi di un Centro Elaborazione Dati in azienda: i risvolti maggiormente positivi connessi all’implementazione di un proprio CED sono sicuramente quelli di una maggiore indipendenza da fornitori esterni e dalla conseguente possibilità di acquisire competenze sistemistiche, strumentali, elettroniche ed informatiche che potrebbero poi essere riutilizzate per la fornitura di ulteriori servizi e, conseguentemente, per l’ampliamento del proprio perimetro commerciale. Un elemento discriminante ancora una volta potrebbe essere la percentuale presunta di utilizzo delle attrezzature presenti nel Centro di Elaborazione Dati che, nel caso fosse particolarmente elevata, renderebbe economicamente più vantaggiosa la predisposizione di un proprio CED.
- I vantaggi del cloud: Ricorrere ai servizi di un fornitore cloud permetterebbe, al contrario, di semplificare tutto il processo organizzativo e previsionale in quanto sarebbe possibile acquistare le sole risorse necessarie in base alle esigenze del momento senza preoccuparsi, tra l’altro, delle attività di approvvigionamento di professionalità, competenze e personale in grado di coordinare tutte le complesse attività connesse alla gestione di un CED.
Assume fondamentale importanza, però, nel momento in cui si decide di utilizzare servizi cloud, o in generale nel caso di outsourcing, la predisposizione e la sottoscrizione di adeguati contratti che includano specifici livelli di servizio (SLA), obblighi del fornitore, penali e condizioni per il trasferimento delle attività verso un secondo provider, al fine soprattutto di evitare il cosiddetto rischio di “Vendor lock-in”, ossia di dipendenza assoluta e potenzialmente distruttiva da un singolo fornitore.
I costi di un CED e l’investimento per aprire un CED
Dalle analisi e dalle decisioni di natura strategica conseguenti alle attività appena descritte, con particolare riferimento alla quantificazione del TCO ed alla scelta tra la soluzione interna o il ricorso a servizi (soprattutto Cloud) di terze parti, deriva fisiologicamente la determinazione dell’investimento economico cui è necessario far fronte per aprire un CED.
In linea con quanto già indicato, l’utilizzo di fornitori esterni per le attività connesse ad un Centro di Elaborazioni Dati permetterebbe naturalmente di abbattere sensibilmente la spesa ed il connesso impegno amministrativo – burocratico, permettendo, grazie alle caratteristiche di flessibilità e scalabilità peculiari del Cloud, di avviare il progetto senza dover “immobilizzare” un ingente capitale iniziale e di rimodulare progressivamente l’investimento e la spesa in maniera direttamente proporzionale all’andamento del proprio business.
Come aprire un CED: normative e burocrazia in Italia.
Come abbiamo avuto modo di vedere nel corso della presente trattazione, un Centro di Elaborazione Dati può essere considerato, in linea di principio, alla stregua di un’unità organizzativa aziendale, composta da risorse umane, beni materiali, quali grandi server, dispositivi di memorizzazione, apparati di reti e linee di comunicazione, ed immateriali, come i software, le competenze specialistiche, etc.
In tale ambito, un CED è sottoposto alle leggi di carattere generale che regolamentano in Italia le attività imprenditoriali e le pubbliche amministrazioni oltre che naturalmente a tutte le disposizioni, le linee guida, i regolamenti e le normative nazionali ed europee emanante nel settore della sicurezza delle informazioni, della cyber-security, della protezione dei dati e di tutto quanto riguarda la digitalizzazione e l’informatizzazione dei processi aziendali.
Oltre al già richiamato Regolamento Generale per la Protezione dei Dati Personali (GDPR), occorre far naturalmente riferimento al Codice per l’Amministrazione Digitale, che riunisce e organizza in un unico testo le norme riguardanti l’informatizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese, e le circolari emesse dall’Agenzia per l’Italia Digitale che, insieme al Team per la Trasformazione Digitale, costituisce uno degli strumenti operativi attraverso i quali si concretizzano le direttive del Governo in ambito informatico e tecnologico.
E’ necessario, però, al fine di dissolvere sul nascere eventuali dubbi interpretativi, distinguere con chiarezza il CED così come illustrato finora dalla definizione (purtroppo coincidente) di Centro Elaborazione Dati prevista disciplinata dall’art. 1, comma 5, legge n. 12/1979, secondo il quale “per lo svolgimento delle operazioni di calcolo e stampa relative agli adempimenti in materia di lavoro, previdenza ed assistenza sociale dei lavoratori dipendenti, nonché per l’esecuzione delle attività strumentali ed accessorie, le imprese artigiane e le piccole imprese, anche in forma cooperativa, possono avvalersi di Centri di elaborazione dati, che devono in ogni caso essere assistiti da uno o più soggetti iscritti agli albi professionali indicati dalla legge stessa”.
In particolare, evitando di entrare, in questa sede, nel merito dei rapporti che devono intercorrere, secondo quanto stabilito dalla normativa civilistica e giuslavoristica, con i liberi professionisti abilitati ed iscritti ad Albi Professionali, è possibile affermare che le organizzazioni appena descritte offrano, ai sensi della disciplina di settore, differenti servizi afferenti soprattutto alla contabilità di un’azienda, riferibili soprattutto alla trascrizione all’inserimento dei dati contabili in sistemi di elaborazione più o meno complessi e riguardano principalmente la preparazione delle fatture, delle buste paga , etc.
E’ del tutto evidente, in ogni caso, come un Centro di Elaborazione di Dati Contabili, che sulla scorta dei servizi offerti, deve necessariamente essere dotato di partita IVA ed essere iscritto al Registro delle Imprese, possa affidare le attività strettamente connesse alla gestione informatica e digitale delle informazioni trattate ad un CED (inteso nel senso “informatico” del termine) con il fine di automatizzare e rendere più efficienti e moderni i propri processi organizzativi.
Come implementare un CED in un’azienda
Come anticipato in precedenza, la predisposizione di CED all’interno di un’azienda richiede un forte coinvolgimento del Top Management che, necessariamente, deve garantire la predisposizione e l’utilizzo di appositi strumenti di Governo di un servizio strategico per il funzionamento dell’intera organizzazione ed è chiamato a effettuare una costante azione di monitoraggio, con il fine principe di tenere sempre allineate le attività del Centro di Elaborazione Dati alla Mission Aziendale.
Con lo scopo preliminare di sgombrare il campo da molteplici dubbi che generalmente insorgono nell’attuazione di un processo di creazione di un CED aziendale, è importante ricordare che per la concretizzazione di tale obiettivo, che rientra nell’ambito della macro-organizzazione interna, non è necessario costituire una società, né tantomeno aprire una partita IVA, richiedere l’iscrizione al Registro delle Imprese o sottoscrivere atti pubblici alla presenza di un notaio o altro pubblico ufficiale.
Potrebbe essere, però, opportuno valutare la compatibilità con il proprio statuto e con l’oggetto sociale nel caso in cui il realizzando Centro di Elaborazione Dati non fosse destinato ad un mero utilizzo interno ma anche alla fornitura, ad esempio attraverso sistemi Cloud, di servizi CED in outsourcing.
Conclusioni
E’ possibile affermare come un Centro di Elaborazione Dati rappresenti la controparte fisica, materiale, organizzativa e, per certi versi, “umana”, delle applicazioni software che quotidianamente ed in maniera ormai continuativa sono utilizzate in tutto il mondo.
Se, infatti, è del tutto usuale pensare ai sistemi informativi alla stregua di entità astratte e virtuali, è altrettanto vero che tutte le architetture digitali distribuite per il mondo devono necessariamente essere incastonate all’interno di CED più o meno complessi e strutturati che, sempre più, stanno divenendo elementi cruciali e snodi nevralgici per tutte le attività commerciali, finanziarie, economiche, sociali, politiche e ricreative a livello planetario.
Basti pensare che l’infrastruttura su cui si poggia la rete internet è costituita da immensi Data Center interconnessi tra loro che, non a caso, sono stati inseriti dai diversi Governi del mondo tra gli asset di primaria importanza per la sicurezza nazionale e la salvaguardia della popolazione.
Per tali motivazioni, naturalmente secondo logiche di proporzionalità e scalabilità, la creazione, l’implementazione, la messa in esercizio di un CED deve necessariamente seguire, seppur in assenza di una vera e propria normativa specifica di settore, modelli di riferimento che consentano alle aziende pubbliche e private di perseguire i propri obiettivi strategici ed al contempo garantiscano la tutela dei dati personali e, più in generale, riescano a preservare le caratteristiche di integrità, disponibilità e riservatezza dei dati, che si pongono alla base della Sicurezza Cibernetica e dell’intero sistema di governo dei sistemi informativi complessi.