Il caso del virus NotPetya riaccende il tema delle vulnerabilità di sicurezza conosciute e non risolte, questo virus infatti utilizza gli stessi meccanismi infettivi utilizzati cinque settimane fa da Wannacry.
I casi eclatanti di NotPetya, Wannacry e British Airways sono parenti molto stretti tra loro. Wannacry e NotPetya più che un incidenti di sicurezza sono incidenti al buon senso, oggi non è più pensabile non mantenere i sistemi operativi aggiornati ed è necessario farlo continuamente. Questo implica avere architetture applicative tali che introdurre patch di sicurezza a livello infrastrutturale o applicativo non sia un problema e non debba richiedere periodi eccessivi di test e verifica. Significa rivedere la propria architettura tecnologica e applicativa per razionalizzarla e aggiornarla (ad esempio costruendo architetture a servizi o microservizi che siano in grado di isolare i diversi strati), eliminare periodicamente le stratificazioni applicative e infrastrutturali e organizzare le operation dei sistemi esistenti in modo da gestire incidenti e problemi ma soprattutto prevenirli. Se i sistemi operativi adottati dai computer infetti fossero stati aggiornati alle ultime versioni e se vi fosse stata una buona gestione dei sistemi informativi i danni sarebbero stati ridotti al minimo.
British Airways pone, per certi versi, gli stessi problemi. Come può una compagnia aerea rimanere bloccata ed esporsi a multe e rimborsi milionari solo perché (come riportato dai comunicati ufficiali) un tecnico ha staccato una presa elettrica? O perché ha affidato l’outsourcing dei sistemi informativi in india per ottenere il costo più basso possibile (come riportano i sindacati inglesi). Come è possibile non avere un piano di business continuity in grado di gestire la comunicazione all’esterno e all’interno e mettere in atto azioni immediate per il ripristino delle condizioni minime per operare?
Sia Wannacry che British Airways hanno colpito principalmente in UK offuscando il prestigio che gli inglesi hanno conquistato nella corretta gestione dell’IT con l’introduzione della metodologia ITIL universalmente riconosciuta come la più efficace ad organizzare l’esercizio dei sistemi informativi. Questi tre casi in particolare hanno messo ancora una volta in evidenza come l’IT non sia una commodity ma è sempre di più parte strategica delle organizzazioni, in quelle digitali ne è il cuore.
Nel 2003, nel celebre articolo di Nicholas Carr “IT Doesn’t Matter” egli sosteneva come non fosse più così importante presidiare l’IT ma ormai era da considerarsi una “commodity” da gestire spendendo il meno possibile e il suo contributo marginale alla creazione di valore aziendale.
L’articolo aprì un considerevole dibattito, molti CIO ed esperti misero in discussione le fondamenta dell’argomentazione dell’autore e alcuni anni più tardi anche Carr ebbe a rivedere in parte le sue posizioni, tuttavia si creò la diffusa idea che spendere in IT sarebbe stato un po’ come buttare via soldi.
Un discorso di facile presa per un management che poco comprendeva l’IT, non riusciva a parlare con gli informatici e che si sentiva tuttavia ricattato (ed in parte era vero) da personale tecnico e soprattutto vendor.
Negli anni seguenti è cominciata una forte opera di razionalizzazione sicuramente necessaria ma che non di rado ha visto gettare via l’acqua sporca e il bambino. La foga del risparmio ad ogni costo ha spesso messo da parte le regole basilari di una buona outsourcing strategy. Il driver non è stato quello di togliere gli sprechi rafforzando la sostenibilità del business ma semplicemente recuperare denaro ad ogni costo.
La crisi del 2008 ha fatto spesso il resto ed oggi assistiamo spesso a sistemi informativi con poche persone rispetto alle necessità, in molti casi senza capacità tecniche interne, infrastrutture obsolete.
British Airways, a quanto denunciano osservatori inglesi, ha un sistema informativo sul quale sono stati fatti pochi investimenti, spesso sono stati effettuati interventi che hanno procastinato il funzionamento e l’evoluzione di ciò che era stato realizzato molti anni fa ma l’hanno fatto con interventi al minor costo possibile senza tener conto della necessità di ripensare l’intera architettura ormai desueta. Come chi si ostina ad abitare in una casa medievale dove, se costretto, ritinge le pareti ma si ostina a non porsi il problema di costruire bagni e fognature.
Negli anni scorsi in molti casi si è preferito frettolosamente dare in outsourcing i sistemi informativi senza una adeguata sourcing strategy e senza una adeguata governance interna, con il risultato spesso di essersi messi in una condizione di lock in con i fornitori legandosi mani e piedi ad essi, non avere capacità di governare internamente la tecnologia, perdere spesso le leve del vantaggio competitivo che la tecnologia può abilitare.
La riduzione dei costi selvaggia è molto utilizzata, in particolare nel settore pubblico soprattutto nei paesi che hanno dovuto far fronte alla spending review. Tuttavia ogni intervento “quick and dirty” fa funzionare l’esistente e rimanda la necessaria reingegnerizzazione dell’intero portafoglio applicativo ed infrastrutturale. Questo accumula una sorta di debito nei confronti dei Sistemi Informativi. Howard G. Cunningham, un programmatore USA, ha chiamato questo modo di operare Technical Debt sottolineando che prima o poi gestire le cose “alla giornata” avrebbe determinato costi che sarebbero dovuti essere pagati con gli interessi. British Airways li ha pagati, come li hanno pagati quegli enti pubblici e quelle aziende che sono stati colpiti da Wannacry e ancora di più da NotPetya.
Il caso British Airways non è l’unico nelle compagnie aeree, la Southwest Airlines ha subito una catena di problemi che la ha portata a dovere cancellare 2.300 voli in quattro giorni per un danno di 54 milioni di dollari, la Delta Airlines ha sperimentato problemi e danni simili. La British Airlines nel corso di un anno ha subito ripetuti problemi fino all’ultimo del 27 maggio che viene stimato da 192 milioni di sterline. Nel 2015 le compagnie aeree hanno speso in IT circa il 2.7% delle loro revenue, quasi metà della spesa media nel settore industriale e perfino meno del settore hotels. L’allarme è stato lanciato anche alle banche inglesi.
È solo di alcuni giorni fa il dato di un calo in un anno della spesa IT nella sanità di circa il 7% registrato dagli Osservatori del Politecnico di Milano, mentre il nuovo piano triennale prevede misure di razionalizzazione della spesa non dando indicazioni su come ottenerla. Risparmiare denaro nell’IT è possibile ma è necessario saperlo fare con una buona analisi preventiva, saper comprendere le esigenze di business, saper valutare con cura se e quando si deve ridurre o quando è necessario aumentarla. Non è un mestiere da contabili, non è un mestiere da apprendisti stregoni.
Il Piano triennale per l’informatica nella PA fissa l’obiettivo del taglio di 50% della spesa corrente per spostare i soldi sugli investimenti. Comprendere se e come tagliare la spesa corrente è una attività delicata, si possono togliere sprechi ma si può incamerare Technical Debt da pagare amaramente. È necessario dotarsi di metodologie ed esperienze consolidate che possono comprendere e consigliare il decisore sull’approccio più adatto per garantire il servizio.
Oggi la digital trasformation sta facendo capire che l’IT è sempre di più leva strategica del business, attraverso la digitalizzazione si possono ripensare in modo disruptive processi e settori industriali.
Industria 4.0, Digital Platforms, Cloud, Artificial Intelligence, user experience, mobile possono vivere e creare valore solo se possono operare su una solida infrastruttura tecnologica, una ottima capacità di gestione fatta da personale qualificato, un intervento strategico di CIO e CDO (Chief Digital Officer) in grado supportare il business e di organizzare l’operatività dei sistemi.
Bastano pochi minuti per passare dall’entusiasmo dell’utente che scopre il vostro nuovo servizio digitale mobile e il momento in cui vi conquistate il suo odio e i suoi commenti al vetriolo sui social perché il sistema non risponde alle 3 di notte per qualche minuto.
È tempo dunque di tornare a spendere per l’esercizio dei sistemi, spendere per nuovi sviluppi software, spendere per pagare tecnici qualificati, architetti esperti e manager che hanno esperienza e in grado di governare criticità, cambiamento, persone, tecnologie. Non avere paura di spendere perché solo attraverso investimenti e fatica si può garantire la crescita delle aziende. Non arriveremo ai livelli di spesa dei decenni d’oro dell’informatica e non bisogna buttare denaro ma è necessario riprendere a considerare la spesa in IT un pilastro fondamentale del business. Far funzionare i business digitalizzati richiederà costi di esercizio adeguati, investimenti e tanta esperienza. Se non si è pronti a questo passo è meglio scegliere altre strade.
Il public cloud attenua in molti casi la necessità di avere una infrastruttura interna ma quando si hanno problemi con il vostro servizio sarà sempre personale interno che dovrà intervenire, capire le cause, riprogettare il servizio, mettere in atto le azioni di business continuity. Per quanto sofisticato sia il vostro software di gestione sarà sempre più necessario tornare a portare dentro le aziende know-how.
Il messaggio che gli incidenti appena descritti lanciano ai CEO sono di considerare la spesa IT come la condizione necessaria per operare nell’era del digitale, non aver paura di alzarla se necessario. Questo discorso è ancor più valido in Italia dove tutti gli studi internazionali dicono che spendiamo poco.
Ormai le aziende utilizzano sempre di più software nei loro processi di business, è richiesto che anche ai livelli più alti non solo si comprenda la necessità di spendere budget capaci di sostenere adeguatamente la crescita e la digitalizzazione ma perfino di conoscere come sviluppare internamente o mantenendo internamente un livello crescente di know-how sul software.
Le aziende che non sanno essere capaci di guidare la trasformazione digitale rischiano di scomparire, gli ultimi anni hanno visto startup che hanno saputo prendere il controllo di una filiera o occupare un posto poco presidiato da grandi players e ne hanno determinato la fine.
Tornare a spendere nell’IT e nel digitale, farlo con una buona strategia IT orientata al business sono le leve che possiede il CEO.
La tecnologia deve tornare ad essere una priorità aziendale, spesso la più rilevante leva strategica per affrontare la missione quotidiana di offrire sempre nuovi e migliori servizi per migliorare la vita dei clienti e dei cittadini. Per ottenere il risultato di far crescere le aziende non si deve badare a spese perché ogni moneta investita bene in IT è leva di crescita e perché troppo tempo si è accumulato Technical Debt che ora le aziende devono ripagare.
