La sfida del cloud. Le PMI sono pronte?

cloud PMI e sicurezza

Cresce il mercato con trend incoraggianti. Tra opportunità di sviluppo e rischi di nuove minacce, il cloud influenza le scelte strategiche e di investimento delle imprese

Anche per gli estensori dell’Agenda Digitale, il cloud computing può contribuire allo sviluppo del Paese. “Il cloud – si legge – può aiutare in particolar modo le startup e le piccole e medie imprese che devono gestire le limitate risorse di cui dispongono e che, più di altri soggetti, devono valutare con estrema cautela ogni investimento”. Ma in concreto, quali sono questi buoni motivi per buttarsi nella nuvola? E quali sono gli ostacoli da superare? Dalle imprese manifatturiere alla finanza, tutto il business si trasferisce sulla nuvola. «Siamo saliti sul treno del cloud» – proclama Umberto Bertelè, presidente della School of Management del Politecnico di Milano,tentando di esorcizzare una volta per tutte i timori che ne hanno sino a oggi frenato lo sviluppo in Italia. Forse qualcuno ricorda come veniva proposto alle aziende anni fa il cloud, termine non ancora in ostaggio del marketing globale. Allora si chiamava convergenza. Alle resistenze addotte sul fronte infrastrutturale, si assommavano quelle relative alla sicurezza dei dati e in misura minore della privacy. Da allora, i nodi infrastrutturali non si può dire che siano stati risolti, anzi se possibile il nostro gap rispetto agli altri paese europei è addirittura aumentato. E qualche dubbio di fondo dell’epoca è rimasto sul tappeto, solo più circostanziato perché nel frattempo qualcuno l’esperienza del cloud l’ha davvero fatta, potendo toccare con mano tutti i vantaggi del nuovo paradigma, in qualche caso anche constatando a proprie spese che non proprio tutte le promesse del cloud possono essere mantenute. Detto questo – però – è innegabile che in questi anni il cloud abbia fatto molta strada, cambiando il modo di pensare dell’IT.«I timori del passato sono mitigati e la richiesta di avere piattaforme scalabili e in alta affidabilità sono un forte driver, specialmente quando la mole di dati da gestire cresce costantemente e la high availability dei sistemi diventa un must» – conferma Paola Pomi, general manager di Sinfo One. Che il cloud sia il futuro e sempre di più il presente sono in molti oggi a pensarlo. «Quando si parla di accesso al cloud, non si parla più del “quando” ma si parla del “come” adottarlo, avendo a disposizione soluzioni altamente performanti, configurabili e adattabili» – afferma entusiasticamente Bruno Camaggi, vice president di VM Sistemi. «Il cloud è per le PMI una straordinaria opportunità che consente di competere riducendo time-to-market e costi d’investimento» – gli fa eco Rosario Blanco, product manager di Westcon. Tutto vero. Più difficile però stabilire il grado di maturità per quel cambio di mentalità, che sempre l’innovazione presuppone. Nel caso del cloud poi, qualcuno parla di vera e propria rivoluzione, capace di cambiare l’approccio dell’organizzazione verso l’IT, accelerandone il processo d’integrazione con i processi aziendali. Indipendentemente dal settore di attività, dalla grandezza e dall’ubicazione dell’azienda. Un impatto che più di un osservatore ha paragonato a quello di Internet a metà degli anni Ottanta; impegnativo da gestire anche per le realtà più attrezzate. Figuriamoci per le PMI, per le quali un sicuro discrimine rispetto all’adozione del cloud è rappresentato dalle risorse a disposizione. Avvantaggiate però dalla loro struttura e reattività, fattori di flessibilità che possono giocare a loro favore. Per esempio le PMI dei settori dove il tasso di innovazione è più alto sono state le più pronte a cogliere le opportunità offerte dal cloud di ridurre i costi. Inoltre per le PMI, il minor peso esercitato dall’IT nelle decisioni aziendali ha giocato un certo ruolo. Tanto che per alcune realtà gli investimenti nel cloud tendono a essere ricompresi più sul marketing che alla voce tecnologia o sicurezza. Lontane però dall’auspicio di Mauro Gris, VP, IT Governance & Risk management director di KBE Intelligence secondo cui le PMI devono guardare al cloud in un’ottica di ottimizzazione del ritorno sull’investimento in security, allineando l’adozione del cloud al proprio risk appetite. «Innanzitutto, le PMI dovrebbero valutare i rischi impliciti al modello di cloud e raccogliere la sfida delle architetture cloud-based, che richiedono nuove strategie di protezione».

IL MERCATO DEL CLOUD IN ITALIA

Secondo il Rapporto Assinform, il valore di mercato del cloud nostrano vale circa 750 milioni nel 2013, con una forte crescita (+32,2%) rispetto all’anno precedente; incremento che se confermato dovrebbe portare per il 2014 a un giro d’affari attorno agli 1,18 miliardi di euro (+31%). Su stime analoghe di crescita si basa anche il Rapporto dell’Osservatorio cloud & ICT as a Service della School of Management del Politecnico di Milano. Con una precisazione importante in relazione al dato stimato (1,18 miliardi), aggregato su due componenti distinte. La prima, il mercato “diretto”, quella parte cioè di servizi di public cloud stimabile in circa 320 milioni di euro, che cresce su base annua attorno al 40%. L’altra componente invece, la cosiddetta cloud enabling infrastructure, è la quota di investimenti necessaria all’organizzazione per adottare il modello cloud, vale a dire trasformare il sistema informativo esistente in un “ibrido”, capace di integrare l’uso di servizi cloud con i sistemi “on premise”, che nelle stime dell’Osservatorio quest’anno spingerà le imprese italiane a investire 860 milioni di euro, con un incremento del 28% rispetto al 2013. Gli analisti del Politecnico, pur riconoscendo che il mercato del cloud in Italia rappresenta ancora una componente minoritaria del mercato ICT complessivo, ritengono che questi numeri dimostrano ormai che il mercato ha raggiunto dimensioni rappresentative, con trend di sviluppo incoraggianti, superiori a quelli di grandissima parte degli altri comparti del settore. “Se per anni abbiamo guardato al cloud computing come a un cambiamento possibile e auspicabile per le imprese italiane – si legge nel Rapporto – oggi i dati di mercato dimostrano che finalmente questo auspicio è diventato realtà”. Scorrendo lo studio, emerge per esempio che per la maggior parte dei CIO e dei responsabili IT intervistati, il passaggio al cloud ha portato a un aumento del valore ai processi aziendali beneficiari di tecnologie più avanzate (nel 63% dei casi), e di nuove funzionalità e servizi (31%); solo un minoritario 6% parla di limitazione del supporto ai processi. Soprattutto, emerge che un numero in continua crescita di applicazioni, alcune delle quali contigue al “core business” aziendale, si sta spostando dal tradizionale approccio on-premise al cloud. Anche la perdita di controllo da parte dell’IT, un tempo agitata come fattore destabilizzante, sembra oggi essersi dimensionata. «Il cloud solleva i CIO da talune tipologie di responsabilità, lasciando nelle loro mani una forma di controllo forse superiore, dovuta alle risorse elastiche, alle API e alla flessibilità delle proposte di pricing» – rileva Gianni Anguilletti, country manager di Red Hat Italia. Senza contare che la stessa tecnologia cloud può ancora migliorare, rendendo ancora più vantaggiosa per le aziende la sua adozione. Per esempio, lo sviluppo di infrastrutture cloud distribuite sulla Rete, in grado di coniugare alti livelli di performance e sicurezza, con efficienza energetica potrebbero fornire opportunità di sviluppo industriale importanti. È quanto prospetta Luigi Telesca, chief operating officer di CREATE-NET secondo cui la possibilità di sfruttare la programmabilità di data center distribuiti secondo logiche di efficientamento energetico, potrebbe permettere un notevole risparmio sia per chi eroga il servizio che per chi ne usufruisce. «Il cloud – prosegue Telesca – offrirebbe meccanismi automatici che consentirebbero, a una serie di servizi che girano su un data center scarico, di essere spostati su altre istanze del servizio in altri data center più carichi, eliminando costi inutili di funzionamento di infrastrutture poco utilizzate. Grazie alla nostra ricerca, siamo in grado di mettere in campo tecnologie e framework importanti come SDN e Openstack, offrendo soluzioni innovative in questo senso». L’avvicinamento al cloud tuttavia non è un processo omogeneo. Molte le variabili di natura dimensionale, verticale (il settore di appartenenza dell’impresa) e anche geografiche che di volta in volta incidono sulla sua diffusione. Secondo una rilevazione IDC datata 2012, le imprese con la maggiore propensione all’adozione dei servizi cloud sono aziende fra i 50 e i 249 addetti, prevalentemente concentrate a Nord-Ovest della Penisola, appartenenti soprattutto ai settori dell’industria e dei servizi. Più le start-up, quelle mature, «maggiormente predisposte all’adozione di servizi cloud in quanto capaci di coniugare la necessaria focalizzazione sulle attività core con l’utilizzo di risorse e servizi IT agili» – come suggerisce Andrea Bertoldo, responsabile Offerta Servizi di Data Center Europe BT Global Services.Tutte poi scontano inefficienze di natura infrastrutturale tuttora percepite come barriere alla diffusione delle tecnologia e dell’innovazione. «Rispetto a una crescente domanda di servizi in cloud, rileviamo una serie di ostacoli all’accesso performante, affidabile e costante» – dice Stefano Sali, principal consultant, presales di CA Technologies. «Le imprese sono dislocate sul territorio in modo frammentato e non di rado si trovano in piccoli centri urbani con linee dati non sufficienti. La condizione ideale impone invece di avere banda larga, capillare e affidabile». D’altra parte, disponibilità e affidabilità permanente sono gli atout del cloud. Proprio per questo ai vendor è richiesto di riporre una particolare attenzione alla progettazione del servizio, offrendo non solo una connettività adeguata, ma anche un servizio cloud che risponda alle aspettative del cliente.

Leggi anche:  Minacce informatiche: sempre più intenti politici ed economici per i cybercriminali

CHI HA PAURA DEL CLOUD?

I TIMORI DELLE PMI ITALIANE

Il timore di perdere il controllo dei propri dati rimane probabilmente il maggior freno all’adozione del cloud presso le aziende italiane.«Quando ci confrontiamo con i responsabili di piccole e medie imprese, i temi ricorrenti sono spesso due: le infrastrutture necessarie e la sicurezza e disponibilità dei propri dati» – conferma Stefano Sali di CA Technologies. Dietro a questi dubbi si cela il timore di perdere il controllo sull’intera infrastruttura IT e di affidare le sorti del proprio business a qualcuno che nemmeno si conosce. Ma anche quello di non sapere dove si trovino esattamente i propri dati e applicativi. «Il timore di perdere il controllo dei propri dati rimane, indotto da una parte dall’abitudine ad avere un accesso diretto ai propri server e sistemi storage in-house, dall’altra dall’impossibilità di sapere dove siano effettivamente memorizzati e come siano protetti» – afferma Roberto Patano, senior manager Systems Engineering di NetApp.Un timore trasversale ad aziende e organizzazioni, difficile da rimuovere nonostante gli sforzi dei vendor di convincerci che i pericoli sono sotto controllo. «Permane il timore che i dati collocati al di fuori del perimetro aziendale possano essere letti o trafugati, nonostante le certificazioni e la protezione garantita dai fornitori dei data center e dei servizi cloud» – rileva Massimo Cotta, direttore marketing e prevendita di Redco Telematica.

Grattando sotto alla superficie di questi timori generici però, si scopre un ventaglio piuttosto ampio di resistenze. Secondo quanto emerge da una recente ricerca di CA Technologies su scala europea, il 90% delle aziende italiane contrarie all’adozione di servizi cloud, ritiene di non possedere né le competenze né le risorse necessarie per operare in sicurezza (80%). Ma gli ostacoli di natura IT non esauriscono i termini del problema. Non possedere le competenze richieste non significa solo sentirsi carenti dal punto di vista tecnico-progettuale. Il senso d’inadeguatezza può estendersi alle capacità manageriali nella gestione del cambiamento delle politiche e dei processi aziendali. Senza dimenticare che i budget IT per molte realtà si sono assottigliati sensibilmente.

Leggi anche:  Security: un nuovo attacco ransomware prende di mira i dati di backup

Anche dal punto di vista della contrattualistica, la situazione presenta più di una criticità. Prendiamo l’accesso ai servizi cloud – a detta di molti – la fase più critica dell’intero processo, quella in cui si rischia di compromettere la sicurezza dell’intero castello costruito attorno alla nuvola. Sembra un paradosso ma questo aspetto dal punto di vista progettuale non sempre riceve l’attenzione che merita. «L’insicurezza dei dati è dovuta principalmente alla necessaria accessibilità agli stessi da parte del legittimo utilizzatore, spesso l’anello debole della catena» – osserva Alessandro Della Negra, technical manager di Westcon. Qui le responsabilità vanno equamente ripartite. Da una parte i fornitori del servizio che si celano dietro a formule di facile presa, falsamente rassicuranti (l’accesso è protetto da un canale cifrato) e che nei casi peggiori redigono contratti di servizio farciti di postille che in pratica scaricano sul cliente l’onere di utilizzare adeguate procedure e tecnologie di autenticazione e accesso. «Ottenere un accesso semplice e sicuro ai servizi con garanzie legali che tutelino l’utente in caso di problemi rappresenta un asse portante del problema dell’affidabilità del cloud» – ammette Sali di CA Technologies. Dall’altra, utilizzatori troppo fiduciosi nell’efficacia dei propri sistemi o non abbastanza impegnati a verificare il livello di protezione delle metodologie di accesso utilizzate. Inutile dire che quest’atteggiamento spalanca le porte ai malintenzionati, esponendoli al pericolo di furti e manomissioni. Problematiche analoghe interessano anche il supporto sistemistico, recupero dei dati compreso. In genere, le tipologie di servizio offerte dai vendor prevedono il monitoraggio – con più livelli di servizio – delegabili anche a partner del vendor o terze parti e l’assistenza diretta. Senza dubbio, un buon biglietto da visita è quello di offrire un servizio il più vicino possibile al cliente. «Le PMI chiedono un supporto locale, infrastrutture di prossimità, preferibilmente nel paese in cui opera l’azienda, accesso sicuro (anche attraverso reti private) e supporto nella gestione del servizio» – conferma Andrea Bertoldo di BT Global Services. «Se si considera che spesso i servizi erogati in modalità cloud sono parte di soluzioni più ampie che integrano servizi di cloud pubblico con ambienti e soluzioni dedicate, erogate attraverso l’outsourcing o residenti presso il data center del cliente, il valore di questo approccio è evidente» – spiega Bertoldo. Altri vendor scelgono invece di articolare la propria offerta in cloud sotto forma di un pacchetto di servizi configurabili in relazione alle esigenze del cliente. E Threatcloud Managed Security Service «consente sia il semplice monitoraggio delle infrastrutture che la completa gestione 24×7 delle stesse» – dichiara David Gubiani, technical manager di Check Point Software Technologies Italia. Nel caso di CA, il supporto sistemistico prevede una prima fase di attivazione che può richiedere attività progettuali ad hoc nel caso di ambienti complessi, e una fase operativa, post-attivazione. «In questo caso è disponibile un supporto 24×7, follow-the-sun, con apertura dei problemi via Internet o telefonica – dice Sali diCA Technologies – e secondo la criticità della issue, sono previsti tempi di risposta diversificati. Così come contratti a pagamento per garantire SLA privilegiati». In altri casi, la fase di monitoraggio può essere delegata ai partner, che per Michele Caldara, sales manager Channel Business di F-Secure Italia «sono il nostro primo riferimento per i clienti finali per il supporto e l’assistenza sistemistica anche per le soluzioni cloud». Chi può, offre anche servizi di prevenzione ai propri clienti. Trend Micro per esempio sfrutta il cloud per garantire protezione dalle minacce informatiche. «Dal 2008 – dice Maurizio Martinozzi, manager Sales Engineering di Trend Micro – lo facciamo attraverso la nostra Smart Protection Network, una rete globale in the cloud capace di fermare gli attacchi prima che raggiungano i sistemi delle aziende.Per le PMI, offriamo Worry Free, una soluzione di sicurezza disponibile anche in hosting per ridurre ulteriormente i costi di gestione, che abbina alla protezione dei pc anche quella dei dispositivi mobili».

Per quanto riguarda ilrecupero dei dati,un fattore che conta ancora parecchio nella percezione delle PMI in particolare è quello della loro localizzazione.«Molte aziende credono che la localizzazione italiana sia un vantaggio competitivo» – spiega Alessandro Peruzzo, amministratore unico di Panda Security Italia. «In realtà, se pensiamo alle grandi multinazionali, possiamo evidenziare come il valore sia insito nel business stesso e nel suo corretto mantenimento e sicurezza, indipendentemente dal luogo in cui sia situato il data center o dove siano archiviate le informazioni nel cloud». È anche vero però chesoprattutto riguardo a un incidente informatico per il quale si presenti la necessità di recuperare i propri dati, la certezza contrattuale di poter contare sulla vicinanza oltre che fisica anche giurisdizionale gioca innegabilmente un ruolo importante. Detto questo, come nota Donato Antonangeli, regional director di CTERA «di regola lo storage presente nel cloud è ridondato affinché un eventuale guasto di sistema non provochi la perdita di dati». Naturalmente, il recupero dei dati sul cloud in caso di incidente informatico rimane un nodo importante da sciogliere sia dal punto di vista operativo sia contrattuale. I punti in un contratto cloud che per il loro impatto meriterebbero un’analisi approfondita sono numerosi. Anche perché il loro livello di maturità è ancora basso. Si può e si deve fare ancora molto, a partire dalla diversificazione dei contratti di outsourcing attuali e dall’approfondimento di alcune clausole ad alto impatto per un servizio cloud. «I contratti cloud oggi disponibili sono sicuramente migliorabili in termini di completezza e chiarezza delle clausole»– dice Alberto Manfredi, presidente di Cloud Security Alliance Italia, riferendosi alla definizione e al monitoraggio dei service level agreement (SLA), alla sicurezza e alla privacy, aspetti questi in molti casi regolamentati da clausole in generale lacunose. «Per questo – aggiunge Manfredi – CSA ha contribuito alla stesura delle recenti linee guida UE sugli SLA cloud e gestisce un gruppo di lavoro internazionale per definire best practice per implementare i privacy level agreement nei contratti cloud». L’auspicio è di continuare a muoversi verso modelli contrattuali chiari e accettati da tutti. In questo senso, c’è ancora molto da lavorare per colmare criticità e lacune che vanno a discapito di tutti e che sulle PMI impattano più pesantemente, finendo per amplificarne i timori, rimarcati dalla consapevolezza dello scarso potere contrattuale che possono esercitare. Detto questo, occorre ribadire la mancanza di una formazione all’altezza della sfida, in grado cioè di diffondere e rendere più chiari i benefici del cloud. «I concetti relativi al cloud sono ancora molto confusi, le soluzioni sono variegate, e tutte leggermente diverse. Le potenzialità offerte, i vantaggi a volte non sono sempre chiari» – conferma Caldara di F-Secure Italia: «La sensazione è che a volte gli IT manager diano più peso ai potenziali ostacoli che ai benefici globali del cloud». La formazione è un puntello determinante per «riconquistare la fiducia nei confronti dei servizi in-the-cloud adibiti allo storage di dati e informazioni, crollata ai minimi storici a causa delle eclatanti rivelazioni rese da Edward Snowden e dalle notizie, apparse di recente, riguardo alla raccolta di dati effettuata da servizi di intelligence di vari paesi» – come ricorda Morten Lehn, managing director di Kaspersky Lab Italy. Esemplificativo in tal senso il dato che emerge da una recente ricerca internazionale commissionata da Barracuda Networks dalla quale emerge che, sebbene la maggioranza utilizzi il cloud per il backup di parte dei dati, rimanga forte la riluttanza all’impiego completo della “nuvola”. «Un quinto degli utilizzatori di storage su cloud registra problemi di sicurezza e perdita di dati. In Italia, solo l’8% delle aziende, prevalentemente PMI, salva tutti i dati sul cloud e di queste, quasi la metà teme non siano al sicuro» – spiega Stefano Pinato, country manager per l’Italia di Barracuda Networks. In tal senso, è persino scontato affermare che solo i provider con le migliori credenziali sul fronte della sicurezza possono ambire a ottenere la fiducia delle aziende. «Fiducia che va conquistata con la cultura e con l’educazione delle figure che, all’interno delle aziende clienti, operano scelte strategiche. Oltre che con le dovute garanzie in termini di sicurezza, affidabilità e disponibilità delle soluzioni cloud, aspetti questi non sempre trattati con trasparenza dagli operatori del settore» – ammette Gubiani di Check Point Software Technologies Italia.

Leggi anche:  Intel: nuova vulnerabilità scoperta da Bitdefender

CONCLUSIONI

Dopo anni di diffidenza nei confronti del cloud, anche in Italia sembra dunque farsi largo la convinzione che la “nuvola” possa trasformare profondamente il sistema informativo aziendale, incidendo sulle modalità di utilizzo delle tecnologie e influenzando le scelte strategiche e di investimento delle imprese. Ma non solo. L’impatto del cambiamento travalica i confini dell’IT: mobile, social, big data e cloud possono avere un impatto molto positivo a una rivoluzione in campo organizzativo, cambiando il modo di diffondere le informazioni, prendere decisioni e collaborare dentro e fuori dall’organizzazione. Detto questo, bisogna evitare l’ottimismo ingiustificato, perché comunque molte cose possono essere migliorate sia dal punto di vista strutturale (banda larga, normativa) sia da quello proprio del cloud. Tutto questo può ridare slancio e produttività alle imprese italiane. Perciò occorre agevolare in ogni modo l’adozione del cloud soprattutto presso le PMI. Forse il cloud da solo non riuscirà a risollevare le sorti dell’Italia come poco realisticamente ha dichiarato qualcuno nel recente passato. Di certo, il cloud computing può contribuire allo sviluppo e all’ammodernamento del Paese. A patto però che si tenga conto davvero delle loro esigenze, facendo tutto quello che è possibile per creare le migliori condizioni per operare in questo mercato strategico.