risk management

Cloud e gestione del lock-in: come scegliere un provider affidabile e ridurre i rischi

Prima di adottare un sistema cloud serve un’analisi dei rischi/benefici e un’attenta verifica dell’affidabilità del fornitore di servizi. Fondamentale implementare una strategia che combini strumenti, processi, policy e best practice, senza dimenticare il vendor lock-in e la conformità a regolamentazioni e standard

Pubblicato il 19 Ago 2022

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Group, Clusit, ENIA

cloud-it

Le aziende italiane sembrano ricorrere di più al cloud ibrido e al multi-cloud affidandosi alle varie soluzioni disponibili sul mercato (cloud pubblico o privato) anche se cercano, con fatica, di districarsi dai vincoli di qualsiasi natura del singolo provider.

La scelta delle organizzazioni privilegia soluzioni in grado di garantire sicurezza, portabilità dei workload e flessibilità quasi illimitata.

Tuttavia, se i clienti non possono spostarsi da un provider cloud all’altro senza incorrere in costi significativi, cause legali o incompatibilità tecnologiche, tale flessibilità è gravemente compromessa.

Pertanto, è quanto mai necessario comprendere sia le sfide che l’implementazione cloud ibrido e multicloud comporta sia come evitare lock-in praticati dai cloud provider che devono essere in grado di garantire la conformità alla normativa e l’interoperabilità.

Multi-cloud, così le aziende tagliano i costi: scenari di migrazione e strategie anti lock-in

Il problema del vendor lock-in

Ad oggi, molte organizzazioni si trovano a gestire la problematica del vendor lock-in. Tale termine si usa quando un’azienda o un’organizzazione desidera passare a un nuovo fornitore di servizi cloud, ma non può farlo, a causa della complessità, dei costi e del tempo necessari per effettuare tale passaggio.

Inoltre, è molto difficile spostare i database una volta configurati, soprattutto in una migrazione cloud che comporta lo spostamento dei dati in un tipo di ambiente completamente diverso, implicando la riformattazione dei dati. Senza dimenticare che, una volta che il software di una terza parte è incorporato nei processi di un’azienda, l’azienda può ritrovarsi a dipendere da quel software. Ancora, varie sono le circostanze che possono avere un impatto negativo su un’organizzazione a fronte del lock-in di un fornitore di servizi cloud e, precisamente:

  • La qualità del servizio di un fornitore diminuisce o non raggiunge mai la soglia desiderata.
  • Il fornitore può anche modificare drasticamente le proprie offerte di prodotti in modo tale da non soddisfare più le esigenze dell’organizzazione.
  • Il fornitore può cessare del tutto l’attività.
  • Il fornitore può imporre enormi aumenti di prezzo per il servizio, sapendo che i suoi clienti sono bloccati.

Trend futuri di gestione del lock-in

I vari Cloud Service provider si trovano sempre più in competizione e, conseguentemente, la problematica del lock-in risulta molto complessa dato che essi tendono ad utilizzare una serie di “elementi” e tecniche per sfavorire il passaggio dei clienti alla concorrenza. Pertanto, in futuro, le organizzazioni, per salvaguardarsi dal lock-in, dovranno sempre più effettuare un confronto delle offerte dei differenti operatori in modo da verificare la presenza di possibili strategie di lock-in e, nel caso, valutare eventuali costi di uscita.

È doveroso evidenziare che molte associazioni e aziende di primo piano cercano di evitare il lock-in soprattutto in termine di dati. Pertanto, la scelta del cloud sarà effettuata cercando di evitare nuove frammentazioni/silos e di stabilire relazioni con gli operatori cloud di grosse dimensioni in modo tale da ovviare a quelle norme che potenzialmente, o realmente, limitino il grado di libertà del mercato.

Di fatto, il lock-in è un vincolo che difficilmente continuerà ad essere accettato, soprattutto considerando il fatto che le organizzazioni ambiscono ad essere del tutto libere di elaborare le proprie strategie d’impresa combinando le soluzioni offerte dai vari provider e integrando i diversi servizi a quelli già implementati internamente nelle proprie strutture. Ovvero, le organizzazioni spingeranno i Cloud Service Provider a considerare l’eliminazione dei lock-in al fine di evitare di pregiudicare l’enorme potenziale di creazione di valore offerto dai paradigmi del cloud. Ne consegue che la tendenza futura consisterà nell’adottare codici e standard aperti, che permettono di rafforzare l’interoperabilità e creare valore per le organizzazioni che devono essere in grado di migrare i carichi di lavoro verso le infrastrutture e le localizzazioni più adatte alle proprie esigenze di business.

Sfide nell’implementazione del cloud ibrido o multicloud

Le organizzazioni, nell’implementazione del multicloud, si trovano ad affrontare numerose sfide derivanti da ambienti sempre più interoperabili e diversificati, quali:

  • Mancanza di personale esperto nella gestione di ambienti ibridi o multi-cloud.
  • Maggiore superficie di attacco estesa a fronte dell’integrazione di più fornitori di cloud, con conseguente più difficile gestione e protezione dell’ambiente.
  • Maggiore supervisione di tutte le risorse, unitamente alla governance e alla supervisione del rischio su un’ampia varietà di risorse, su più piattaforme cloud e on premise.
  • Difficile integrazione di più piattaforme, anche avvalendosi di API, poiché i fornitori di cloud utilizzano tecnologie diverse per ottenere un vantaggio competitivo.
  • Gestione più complessa dei controlli di sicurezza a fronte di un’ampia varietà di servizi e prodotti dei fornitori di servizi cloud.
  • Gestione problematica delle latenze dovute ai trasferimenti di dati tra piattaforme diverse che possono generare problemi di prestazioni e affidabilità.

Le organizzazioni, a fronte di quanto sopra, dovranno sempre più attuare una scelta oculata e strategica del cloud ibrido o multicloud. Esse dovranno valutare e pianificare, prima di passare all’implementazione, considerando gli aspetti riguardanti sia la tecnologia sia i processi.

Come scegliere un cloud service provider

Innanzitutto, l’organizzazione – metaforicamente parlando – dovrà “andare in analisi” per conoscere sé stessa per capire in toto le proprie esigenze e vulnerabilità oltre ad affrontare e cercare di prevenire/risolvere la problematica del lock-in. Ne consegue che la scelta ponderata del Cloud Service Provider scaturirà dallo svolgimento delle attività di seguito descritte.

  • Due diligence e comparazione delle offerte – Si tratta di: verificare se le offerte sono conformi alle esigenze dell’organizzazione; esaminare i diversi preventivi per determinare i risparmi sui costi; analizzare gli accordi sul livello di servizio; comprendere i processi e costi di trasferimento dei dati; verificare se tra i clienti del provider vi sono altre aziende simili alla propria per poter effettuare ulteriori indagini/verifiche di affidabilità.
  • Pianificazione della modalità di uscita dal contratto – Risulta fondamentale includere un piano di uscita e considerare i relativi costi potenziali, in modo da tutelare l’azienda e quantificare in modo preventivo i costi totali a cui si rischia di incorrere. Inoltre, è quanto mai necessario avere una corretta comprensione sia delle clausole di risoluzione del contratto cloud sia dei costi di migrazione dei dati fuori dal cloud. Risulta altresì strategico prevedere una strategia di backup che mantenga una seconda copia dei dati al di fuori del cloud in modo da semplificare l’accesso ai dati e la transizione a un altro cloud, ove necessario.
  • Progettazione delle proprie applicazioni in modo da rendere la migrazione il più flessibile possibile – I componenti dell’applicazione cloud devono essere liberamente collegati ai componenti dell’applicazione che interagiscono con essi.
  • Valutazione dell’architettura nativa del cloud – Devono essere analizzati i rischi e stabilite le priorità dell’organizzazione in modo tale da decidere se adottare un’architettura nativa del cloud o considerare una dipendenza ridotta.
  • Massimizzazione della portabilità dei dati – Uno dei fattori più critici delle migrazioni cloud è costituito dai dati in quanto formati e modelli diversi possono causare problemi di portabilità. Pertanto, è consigliabile evitare la formattazione proprietaria e descrivere i modelli di dati nel modo più chiaro possibile, utilizzando gli standard di schema applicabili per creare una documentazione dettagliata, leggibile sia dal computer sia dall’utilizzatore. Altresì importante è verificare che il Cloud Service Provider offra un modo per estrarre i dati in modo semplice ed economico in modo da garantire la transizione dei dati da un provider all’altro.
  • Implementazione di strumenti e di processi DevOps – Essi sono necessari per massimizzare la portabilità del codice. In particolare, la tecnologia dei container aiuta ad isolare il software dal suo ambiente e ad astrarre le dipendenze dal provider cloud e, poiché la maggior parte dei Cloud Service Provider supporta formati container standard, ove necessario, dovrebbe risultare facile trasferire un’applicazione a un nuovo fornitore.
  • Verifica del rispetto delle normative relative alla privacy – Servizi Cloud forniti da operatori di paesi diversi dal nostro devono essere puntualmente ed attentamente esaminati anche in termini di paese di riferimento per la regolazione di dispute giudiziarie.
  • Security by design – È necessario progettare sin dall’inizio il giusto livello di sicurezza unitamente alla scelta dei Cloud provider.

Di fatto, quando un’organizzazione si accinge a selezionare un cloud service provider, deve, in primis, conoscere i requisiti tecnici, di servizio, di sicurezza, di governance dei dati e di gestione dei servizi di cui si ha bisogno, in modo tale da confrontare i vari cloud service provider in base alla propria check-list soprattutto in termini di: protezione dei dati; sicurezza; condivisione di normative e standard che possono essere applicati, utilizzati e compresi da tutti.

La selezione del Cloud provider presuppone le seguenti azioni, ovvero:

Verificare i piani di continuità del cloud provider contemplando l’inserimento delle clausole di continuità nei contratti, oltre a richiedere la conferma dell’osservanza anche da parte dei sub-fornitori.

Verificare i servizi di connettività e l’alimentazione nei data center e come vengono gestiti in caso di disastro/disruption.

Verificare la gestione dei guasti hardware e inserire nel contratto la loro modalità di risoluzione.

Verificare la modalità di replica dei dati e dove vengono custoditi ai fini di conformità al GDPR.

Verificare le specifiche del data center utilizzato dal cloud provider.

Verificare i casi di tempi di inattività che si sono verificati negli ultimi 18 mesi.

Verificare la frequenza di svolgimento dei test in termini di ripristino, di emergenza e diponibilità dell’ultimo rapporto.

Conclusioni

È quanto mai necessario, prima di adottare un sistema Cloud, effettuare un’attenta analisi dei rischi/benefici, cercando di ridurre al minimo i primi attraverso un’attenta verifica dell’affidabilità del fornitore di servizi al quale ci si intende affidare.

Inoltre, risulta fondamentale implementare una strategia che combini gli strumenti, i processi, le policy e le best practice, senza dimenticare le problematiche di vendor lock-in, delle responsabilità e della conformità a regolamentazioni e standard.

Le organizzazioni dovranno considerare attentamente il contratto con il Cloud Service Provider che si convertirà in una sorta di “contratto pre-matrimoniale” in grado di fornire maggior tutela e quantificare preventivamente i costi, assicurandosi di aver ben compreso tutte le clausole di risoluzione e i costi di migrazione dei dati fuori dal cloud.

È necessario essere altresì consapevoli che l’implementazione del cloud non è una destinazione, bensì un viaggio in divenire. Man mano che si sviluppa l’infrastruttura cloud, anche la governance del cloud e i piani di risk management, di business continuity e di cyber security dovranno essere aggiornati e modificati. Solo così sarà raggiunto l’obiettivo finale, che non è solo l’essersi garantita la resilienza organizzativa ed operativa, ma di averlo fatto secondo un approccio proattivo e non più reattivo, di crescita e non solo di sopravvivenza

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4