Scenario

L’innovazione e il processo accelerato di digitalizzazione e automazione in atto diventano priorità fondamentali. Secondo un report pubblicato recentemente da NTT Ltd. – uno dei principali fornitori globali di servizi tecnologici, in termini di trend di soluzioni tecnologiche per il 2021 – le organizzazioni utilizzeranno sempre più il cloud ibrido – i.e. l’utilizzo congiunto di piattaforme di private cloud e public cloud – a proprio vantaggio al fine di acquisire la necessaria agilità, una maggiore sicurezza e resilienza, e garantire migliori prestazioni, più rapide e più informate sulla base dei dati. Attraverso il Cloud Ibrido si garantisce, altresì, il controllo granulare necessario per conformarsi a leggi complesse, che possono variare notevolmente tra le giurisdizioni nazionali e regionali. Tuttavia, la tecnologia da sola non basta: è essenziale un approccio ponderato, strategico e dettagliato all’implementazione del Cloud Ibrido supportata da discipline quali il Risk Management, la Business Continuity al fine di garantire la resilienza dell’organizzazione.

Il Cloud Ibrido: luci ed ombre

L’adozione di Cloud Ibrido consente di spostare applicazioni e carichi di lavoro in diversi ambienti operativi aumentando le prestazioni, riducendo i costi e fornendo miglioramenti in termini di efficienza. Esistono, però, dei problemi connessi. Se da un lato l’efficienza in termini di prestazioni e la riduzione dei costi sono i fattori che spingono all’adozione del Cloud Ibrido, dall’altro lato le prestazioni e la disponibilità della rete sono considerate ostacoli significativi. Di fatto, problemi scaturiti da reti che non vengono progettate correttamente per supportare un ambiente Cloud risultano sottoperformanti e in grado di annullare i vantaggi offerti dal cloud e influenzare la disponibilità di dati e applicazioni e, quindi, le esperienze utente.

È doveroso ricordare che la proliferazione di dispositivi e sensori Iot e IIoT connessi stressano ulteriormente la rete. Pertanto, una strategia Cloud Ibrida, per essere pienamente efficace, implica che la rete sia ben progettata per soddisfare le esigenze dell’infrastruttura moderna, soprattutto se stata implementata pre-adozione cloud.

Le precauzioni

Le organizzazioni, nell’implementazione del Cloud Ibrido, dovranno valutare alcuni rischi, quali:

•     Governance dei dati – Il cloud provider deve garantire l’esistenza di firewall perimetrali e controllo accessi, servizi di crittografia e strumenti di monitoraggio al fine di proteggere i dati nei sistemi dal momento che è primario soddisfare le esigenze delle organizzazioni in termini di misure di sicurezza e implementarle. Inoltre, è necessario valutare le implicazioni di conformità al GDPR in termini di luogo dove risiedono i dati all’Interno della Unione Europea e, se necessario, accertarsi che questo aspetto sia ben esplicitato e che il titolare abbia dato il proprio assenso.

Per quanto riguarda il ciclo di conservazione dei dati, considerando che essi si trovano solitamente su diverse unità di archiviazione, per motivi di ridondanza, sarà necessario verificare che siano stati eliminati in modo corretto, dal momento che la responsabilità è in ultima analisi del titolare.

•       Formazione di gestione adeguata – La migrazione da un ambiente on-premise a un cloud ibrido comporta per la funzione IT una maggiore complessità operativa; inoltre, lo staff IT potrebbe non avere una adeguata esperienza nella gestione e nell’assistenza di servizi cloud ibridi, oltre a non possedere una formazione specifica e adeguata a gestire la sicurezza di queste implementazioni. È dunque necessario prevedere una efficace policy operativa.

•       Connettività e disponibilità dei dati – La qualità della connettività di rete è fondamentale in quanto la qualità del servizio virtuale potrebbe essere compromessa da elevati picchi di traffico, oppure risultare indisponibile a causa, per esempio, di guasti e impedire l’accessibilità temporanea ai dati in esso conservati.

•       Cura della configurazione – Inesattezze di configurazione di carattere tecnico possono causare errori od omissioni. Pertanto, è necessario pianificare la sicurezza prima del deployment e richiedere al provider l’assistenza in fase di progettazione e deployment. Inoltre, periodicamente devono essere svolti audit e test per verificare l’esistenza di possibili gap di sicurezza e il buon funzionamento del cloud.

È necessario, prima di sottoscrivere un contratto con un provider di Cloud Ibrido, accertarsi che attraverso tale servizio venga garantita la resilienza dell’organizzazione, indipendentemente dal verificarsi di qualsiasi evento dirompente. Si tratta, quindi, di verificare implementazione dei principi di Risk Management e Business Continuity anche da parte del Cloud Provider che dovrà: dimostrare l’esistenza dei piani di continuità sia propri sia dei sub-fornitori; garantire i servizi di connettività e l’alimentazione nei data center in caso di disastro/disruption; gestire efficientemente i guasti hardware (a tal proposito è auspicabile inserire contrattualmente la loro modalità di risoluzione); fornire sia le specifiche del data center utilizzato sia i casi di tempi di inattività verificatisi negli ultimi 18 mesi; garantire un rapporto in termini di programmazione di test di ripristino e di emergenza.

Conclusioni

Quanto sopra descritto evidenzia come, prima di adottare un sistema Cloud Ibrido, sia necessario valutare attentamente la ratio rischi/benefici e cercare di minimizzare i primi attraverso un’attenta verifica dell’affidabilità del fornitore di servizi al quale ci si intende affidare. Inoltre, è fondamentale coinvolgere tutta l’organizzazione nel cambiamento in atto. In quest’ottica dovranno essere garantiti percorsi di reskilling e upskilling, ovvero una riqualificazione e un’elevazione delle competenze del personale. Solo in questo modo si potrà attuare un’innovazione armonica in grado di costruire contesti/infrastrutture più sicure senza dimenticare l’importanza di coinvolgere figure professionali di Risk Management & Business Continuity in modo tale da evitare soluzioni “artigiane” e approssimative e preparare le organizzazioni nella predisposizione dei relativi piani in modo tale garantire la resilienza organizzativa ed operativa.