È risaputo che il passaggio ad un ambiente cloud offra vantaggi significativi. Per esempio, le risorse cloud possono essere ridimensionate rapidamente, aggiornate frequentemente e facilmente accessibili senza limitazioni geografiche. Tuttavia, il raggiungimento tangibile di questi obiettivi richiede una gestione efficace dei rischi organizzativi e tecnici.
Esaminiamo allora i principali fattori di rischio connessi all’adozione del cloud, indicando una metodologia che può essere utilizzata per valutare le scelte in cloud rispetto a questi fattori di rischio.
Non c’è transizione digitale senza sicurezza: come evitare costosi errori
Le principali criticità dell’adozione del cloud
L’adozione del cloud all’interno di un’organizzazione può interessare diverse business unit e può incidere radicalmente sul modo in cui queste operano. Pertanto, il management dovrebbe bilanciare le proprie scelte tenendo conto degli interessi degli stakeholder, delle opportunità, dei rischi e dei relativi problemi. Inoltre, occorre tenere presente che, mentre il settore dell’ICT vorrebbe avere accesso immediato alle nuove tecnologie o ai servizi innovativi per sfruttarne le potenzialità, i responsabili della sezione finanziaria potrebbero favorire iniziative che riducano i costi e forniscano un ritorno elevato sull’investimento. In pratica, se un’organizzazione non considerasse questi obiettivi concorrenti, non riuscirebbe ad ottimizzare il proprio investimento nel cloud computing.
In alcune organizzazioni, i dirigenti delle business unit hanno la facoltà di avviare autonomamente iniziative cloud per soddisfare le proprie esigenze. In questo caso, l’iniziativa cloud potrebbe essere in linea con gli obiettivi assegnati alla business unit. Ma se questi vantaggi locali non fossero coerenti con la strategia e gli obiettivi aziendali, l’organizzazione non otterrebbe i benefici desiderati dal management generale. Questo disallineamento tra gli obiettivi dell’organizzazione e quelli delle business unit e la mancanza di una governance coordinata rappresenta un fattore di rischio per l’adozione del cloud.
Una moltitudine di fattori organizzativi e tecnici può influire negativamente sulle iniziative cloud di un’organizzazione. Tra quelli organizzativi possiamo annoverare un’insufficiente strategia organizzativa, i ruoli e le responsabilità mal definiti, le competenze tecniche insufficienti e le procedure di gestione inadeguate. Mentre i fattori tecnici possono includere un’architettura e un design inadeguato; una scarsa integrazione tra le tecnologie on-premise e il cloud e, infine, un servizio cloud che non contempli le caratteristiche fondamentali di agilità, disponibilità e sicurezza. In sintesi, i manager devono dotarsi di un metodo efficace per valutare i rischi che possono condizionare il successo dell’adozione dei servizi cloud.
Il Metodo Mission Risk Diagnostic (MRD)
Il metodo proposto in questo articolo per l’attuazione di una valutazione dei rischi connessi all’adozione del Cloud è il Mission Risk Diagnostic (MRD), un procedimento efficace e dinamico per la gestione del rischio nel contesto dell’ICT. Il MRD è il risultato di un’attività di ricerca e sviluppo, avviata negli anni 90 dal Software Engineering Institute della Carnegie Mellon University, nell’ambito della gestione del rischio e ha prodotto negli anni una serie di metodi, strumenti e tecniche per la gestione del rischio per tutto il ciclo di vita del software (compresa l’acquisizione, lo sviluppo e l’operatività) e per l’ICT supply chain. Parallelamente, il SEI ha condotto ulteriori ricerche aventi ad oggetto diversi tipi di rischio, tra cui il rischio legato allo sviluppo del software, il rischio connesso ai sistemi di acquisizione, il rischio operativo, il rischio di mission, il rischio relativo alla progettazione di sistemi di cybersecurity, il rischio per la gestione degli incidenti e il rischio per la sicurezza delle informazioni, i cui risultati hanno contribuito allo sviluppo del metodo Mission Risk Diagnostic (MRD) che rappresenta un ottimo approccio mission-oriented per la valutazione del rischio nei processi di produzione, nei processi aziendali e nelle iniziative organizzative.
L’obiettivo principale del MRD
L’obiettivo principale del MRD è determinare la grandezza in cui è posizionato un processo di produzione, un processo aziendali e un’iniziativa organizzativa per raggiungere i suoi obiettivi. Ad oggi, il metodo MRD è stato utilizzato nell’ambito dell’acquisizione e dello sviluppo del software, nella gestione degli incidenti di cybersecurity, nella sicurezza del software, nella supply chain del software e nella gestione del portafoglio aziendale. In questo articolo è descritta una proposta per applicare il MRD nell’adozione dei servizi cloud.
In genere, un assessment MRD richiede un team di assessment che valuti 15-25 fattori di rischio per un determinato insieme di obiettivi. A ciascun fattore di rischio è associata una domanda in un formato previsto nell’enunciazione del metodo MRD. Ogni domanda di rischio è del tipo “SÌ/NO” ed è formulata tenendo conto del punto di vista del successo. Per esempio, una delle domande MRD per l’adozione del cloud è: il business case dell’organizzazione giustifica la decisione di passare al cloud?
Per ogni domanda può essere selezionata una delle seguenti opzioni:
- SÌ, la risposta è quasi certamente “sì”. Non esiste nessuna incertezza. C’è poca o nessuna probabilità che la risposta possa essere “no”. (~ > 95% di probabilità di “sì”)
- Probabilmente SÌ: la risposta è molto probabilmente “sì”. C’è qualche possibilità che la risposta possa essere “no”. (~ 75% di probabilità di “sì”)
- Ugualmente probabile: la risposta è ugualmente probabile sia “sì” o “no”. (~ 50% di probabilità di “sì”)
- Probabilmente NO: la risposta è molto probabilmente “no”. C’è qualche possibilità che la risposta possa essere “sì”. (~ 25% di probabilità di “sì”)
- NO, la risposta è molto probabilmente “no”. C’è qualche possibilità che la risposta possa essere “sì”. (~ < 5% di probabilità di “sì”)
È opportuno che sia documentata la motivazione alla base di ogni risposta, poiché esplicita il ragionamento per cui è stata scelta. Dovrebbero essere citati anche tutte le evidenze a sostegno della scelta, come i risultati delle interviste agli stakeholders e le informazioni estratte dalla documentazione di sistema. La registrazione delle scelte e delle prove a corredo sono importanti sia per la convalida dei dati e dei prodotti informatici associati, che per fini storici o per sviluppare le lezioni apprese.
I fattori di rischio per l’adozione del cloud
La ricerca ha individuato un set composto da 24 fattori di rischio per l’adozione del cloud. Sono stati sviluppati traendo spunto dai report e dai framework pubblicati in tema di adozione del cloud, oltre dall’esperienza di soggetti che hanno già adottato il cloud. Questi fattori di rischio devono essere considerati come un set iniziale che può essere adattato ad ambienti universali. I fattori di rischio che condividono attributi organizzativi e gestionali comuni vengono assegnati ad un’area comune. Pertanto, sono state individuate le seguenti aree per i fattori di rischio dell’adozione del cloud secondo il metodo MRD:
- Planning and Preparation
- Governance and Management
- Organizational Capability
- Environment
- Engineering Lifecycle
- Quality of Service
La suddivisione dei fattori di rischio per aree facilita l’adozione di soluzioni comuni per la mitigazione del rischio basate su caratteristiche di rischio condivise. Analizziamo in dettaglio i fattori di rischio e le domande associate per ciascuna area.
Per rispondere ai quesiti associati ad ogni fattore di rischio, il metodo MDR suggerisce una serie di elementi da tenere in considerazione per l’applicazione corretta dello stesso.
Planning and Preparation
Il successo dell’adozione di tecnologie cloud inizia con le attività di pianificazione e predisposizione di un’organizzazione. Un’efficace pianificazione e predisposizione fornisce una solida base per avviare un’iniziativa cloud e consente all’organizzazione di quantificare i finanziamenti e le risorse sufficienti a supportarla. L’area Planning and Preparation include i seguenti fattori di rischio e le associate domande MRD:
- Business Case: Il business case dell’organizzazione giustifica la decisione di passare al cloud?
- Strategy: La strategia cloud dell’organizzazione definisce sufficientemente il ruolo del cloud computing nell’organizzazione?
- Plan: Il piano di attuazione e gestione delle tecnologie cloud è sufficiente?
Governance and Management
La governance si concentra sull’allineamento della strategia e degli obiettivi IT dell’organizzazione con la strategia e gli obiettivi aziendali. Un programma di governance efficace è progettato per massimizzare il valore aziendale degli investimenti IT riducendo al minimo i rischi associati. Il management rappresenta il coordinamento e l’amministrazione dei task per raggiungere gli obiettivi aziendali. Le attività gestionali di un’organizzazione devono essere implementate in conformità con il sistema di regole, pratiche e processi di governance dell’organizzazione. L’area Governance e Management include i seguenti fattori di rischio e le associate domande MRD:
- Governance: Le regole di governance dell’organizzazione sono sufficienti per la gestione dei servizi cloud?
- Financial Management: I processi finanziari dell’organizzazione sono sufficienti per la gestione dei servizi cloud?
- Change Management: L’organizzazione ha implementato un piano di gestione del cambiamento organizzativo per l’iniziativa cloud?
- Supplier Management: L’organizzazione dispone di un processo sistematico per valutare, selezionare e gestire i fornitori di servizi cloud (CSP)?
Organizational Capability
La capacità organizzativa è la combinazione di persone, processi e tecnologie che differenzia un’organizzazione e le consente di eseguire la propria strategia. Le capacità di un’organizzazione consentono di eseguire un insieme coordinato di attività, utilizzando le risorse organizzative, allo scopo di raggiungere un insieme specifico di obiettivi aziendali. Per l’adozione del cloud, le funzionalità di interesse consentono lo sviluppo e l’implementazione di un framework sistematico per l’adozione di servizi cloud. L’area Organizational Capability include i seguenti fattori di rischio e le associate domande MRD:
- Organizational Roles and Responsibilities: L’organizzazione dispone di un team per l’adozione delle tecnologie cloud?
- Organizational Competencies: Le persone che lavorano all’iniziativa di adozione del cloud hanno le conoscenze, le competenze e le capacità necessarie per svolgere il proprio lavoro?
- Task Execution: Le attività dell’iniziativa di adozione del cloud vengono eseguite in modo efficace ed efficiente?
- Coordination: Le attività per l’adozione e l’implementazione del cloud, all’interno di ciascun team e tra i vari team, sono coordinate in modo appropriato?
- Tools and Technology: I membri del team cloud hanno familiarità e sono in grado di utilizzare gli strumenti nativi di ciascun CSP?
- Resilience: L’iniziativa cloud ha capacità e competenze sufficienti per gestire eventi imprevisti e circostanze mutevoli?
Environment
L’ambiente di un’organizzazione è costituito da fattori interni ed esterni che influenzano le performance, l’operatività e le risorse di un’organizzazione. Gli elementi interni includono la struttura, la cultura e la politica organizzativa, nonché l’infrastruttura di comunicazione. Gli elementi esterni includono eventuali vincoli che un progetto eredita dalle organizzazioni padre o da un ambiente aziendale più ampio. I vincoli possono includere restrizioni imposte dalle leggi e dai regolamenti, oppure limitazioni derivati dai servizi forniti da terze parti. L’area Environment comprende i seguenti fattori di rischio e le relative domande MRD:
- Organizational Conditions: Le condizioni aziendali, organizzative e normative facilitano l’esecuzione dell’iniziativa cloud?
- Compliance: I servizi cloud sono conformi alle leggi, ai regolamenti e alle autorizzazioni?
Engineering Lifecycle
I fattori di rischio che un’iniziativa cloud deve affrontare includono sia i problemi organizzativi, che quelli tecnici, ed entrambi possono influire sul potenziale di successo dell’iniziativa. Fino a questo punto, ci siamo concentrati sui fattori di rischio organizzativi relativi alla preparazione e predisposizione, alla governance e alla gestione, alla capacità organizzativa e all’ambiente. Ora rivolgiamo la nostra attenzione alle questioni tecniche, a partire dai fattori di rischio del Engineering Lifecycle. Il ciclo di vita di progettazione riguarda le fasi di sviluppo di un sistema, tra cui lo sviluppo concettuale, i requisiti, l’architettura, l’implementazione, il test e la valutazione, la distribuzione, la produzione e la rimozione. I problemi tecnici relativi al ciclo di vita includono l’assenza o incompletezza dei requisiti, un’architettura inadeguata, la scarsa integrazione tra le tecnologie locali e il cloud e un supporto operativo inadeguato per le tecnologie cloud. L’area Engineering Lifecycle include i seguenti fattori di rischio e le associate domande MRD:
- Requirements: I requisiti per l’ambiente cloud sono ben compresi?
- Architecture: L’architettura aziendale riduce sufficientemente i rischi del cloud pubblico?
- Implementation and Integration: La piattaforma di ciascun CSP è ben integrata con i servizi critici dell’infrastruttura di base che risiedono in locale?
- Test and Evaluation: I processi, i metodi e gli strumenti di test e valutazione (T&E) per l’ambiente cloud sono sufficienti?
- Operations: I processi per il funzionamento e la manutenzione dell’ambiente cloud sono sufficienti?
Quality-of-Service
La qualità del servizio (QoS) descrive o misura il modo in cui i servizi cloud dovrebbero soddisfare le esigenze e i requisiti degli utenti durante la produzione. In quest’area vengono esaminati i rischi inerenti alla soluzione tecnica fornita da un progetto o da un’iniziativa. I fattori di rischio del servizio QoS si concentrano sulla correttezza e la completezza della soluzione tecnica implementata. Per un’iniziativa cloud, il QoS riguarda le prestazioni e le funzionalità fornite da un ambiente cloud, nonché gli attributi di qualità, come la disponibilità e la sicurezza. L’area Quality-of-Service include i seguenti fattori di rischio e le relative domande MRD:
- Performance: I servizi cloud soddisferanno i requisiti di performance dell’organizzazione?
- Agility: I servizi cloud saranno sufficientemente agili per soddisfare i requisiti aziendali dell’organizzazione?
- Availability: I servizi cloud soddisferanno i requisiti di disponibilità dell’organizzazione?
- Security: L’ambiente cloud sarà sufficientemente sicuro?
Applicazione del MRD per l’adozione del cloud
Come già anticipato, il modello per la valutazione del rischio sull’adozione del cloud sopradescritto riproduce un set di fattori di rischio sviluppato utilizzando le informazioni pubblicate sui principali framework di adozione del cloud e sui suggerimenti del personale tecnico che ha accumulato esperienza sia nel cloud computing, che nelle iniziative di adozione del cloud. Inoltre, includono informazioni provenienti da fonti affidabili, tra cui Amazon, Microsoft e Google.
Il metodo rappresenta un primo passo nello sviluppo dei fattori di rischio per l’adozione del cloud, occorre applicarlo per testare la sua efficacia e prevedere eventuali revisioni che contemplino i suggerimenti provenienti dalla produzione. Il passo successivo consiste nell’applicare la versione corrente del MRD all’adozione del cloud per le organizzazioni che prevedono di adottare i servizi cloud. Gli sviluppi futuri recepiranno sicuramente i risultati dell’analisi dei feedback di chi applicherà di metodo.
*Questo articolo si basa su una ricerca, effettuata dal Software Engineering Institute della Carnegie Mellon University, dal titolo “Cloud Migration Risks, Threats and Vulnerabilities” e sul relativo report tecnico “Cloud Security Best Practices”. Per approfondimenti si consiglia di consultare il white paper “A Prototype Set of Cloud Adoption Risk Factors“