«Con il Cloud computing l’ICT Governance deve essere rafforzata». Il sistema bancario sta muovendo i primi passi verso l’adozione del nuovo modello di computing. La sua applicabilità in questo ambiente necessita però di alcune considerazioni su specifici punti, che al momento sembrano costituire dei fattori di inibizione rispetto a un’adozione su larga scala e per le applicazioni core
I sistemi informativi (SI) bancari stanno fronteggiando l’indispensabile processo di armonizzazione normativa europea e nazionale che include molte iniziative quali: Basilea 2 e 3, l’attuazione delle direttive Single Euro Payment Area (Sepa) e Psd (Payment Services Directive). A ciò si devono aggiungere le norme sulla “responsabilità oggettiva” e i regolamenti sulla Business Continuity. Dal punto di vista del mercato, la crescita della profittabilità è sempre più importante e numerosi fattori stanno spingendo il sistema finanziario e quindi i SI verso il modello “open finance”, basato sul disaccoppiamento della produzione dalla distribuzione dei prodotti-servizi con maggiori flessibilità.
Cloud computing
Il panorama sta poi evolvendo anche, dal punto di vista tecnologico, verso l’interconnessione e l’esternalizzazione spinta in cui i processi e le tecnologie in uso si rivelano insufficienti per governare il conseguente aumento di complessità, richiedendo pertanto l’adozione di infrastrutture e architetture di servizio flessibili. In questo contesto il Cloud computing (CC) rappresenta il modello di utilizzo e di distribuzione delle risorse ICT e propone soluzioni concrete ai problemi di flessibilità e complessità.
Il ricorso al CC permette di avere sempre in rete e dunque disponibili le informazioni necessarie grazie a sistemi di back-end estremamente performanti, elastici, basati su standard aperti che favoriscono l’interoperabilità. Il settore bancario sta muovendo i primi passi nell’adozione del CC, capitalizzando anni di esperienza su temi quali la virtualizzazione, l’outsourcing e la sicurezza. Le banche vedono il CC come un innalzamento dei modelli di servizio in essere e valutano quali tipologie di carico computazionale far virare, privilegiando applicazioni “non core”, nel rispetto delle policy di sicurezza. L’applicabilità del CC in banca necessita però di alcune considerazioni su specifici punti, che al momento sembrano costituire dei fattori di inibizione rispetto a un’adozione su larga scala e per le applicazioni core: il rischio della possibile perdita di controllo delle informazioni e delle infrastrutture ICT; le difficoltà di gestire risorse geograficamente distribuite e i tempi di latenza della rete; le problematiche di sicurezza connesse alla condivisione di risorse tra differenti soggetti; la compliance con le norme vigenti.
«La recente crisi finanziaria è servita come campanello d’allarme – afferma Claudio Ruffini, presidente di Augeos (www.augeos.it) -. Molte banche hanno imparato la lezione e si stanno velocemente adeguando. L’ICT in particolare è chiamata a compiere passi avanti significativi nell’ottica dell’efficienza complessiva dell’azienda e con un occhio particolare verso i rischi e la sicurezza». La sfida viene vinta però solo innovando i prodotti e i processi produttivi in modo da ottenere una sensibile riduzione dei costi e contemporaneamente guadagnare un vantaggio competitivo sul mercato.
«Le principali innovazioni tecnologiche e di processo che abbiamo ora a disposizione – aggiunge Ruffini – sono il CC e l’Outsourcing che rispondono perfettamente alla tendenza inevitabile della smaterializzazione: oggi tutto tende a essere virtuale, intangibile. I beni fisici vengono trasformati in servizi. Le organizzazioni e gli uffici in processi virtuali». Augeos è in linea con questa evoluzione e offre in modalità centralizzata funzioni e processi di monitoraggio come quello normativo e quello della raccolta delle informazioni anagrafiche degli strumenti finanziari.
«Nella visione Microsoft, il CC gioca un ruolo chiave nello sviluppo del mercato finance, ma è importante che diventi un tema centrale nell’agenda dei Cio. L’ICT deve diventare parte dei processi produttivi affinché le banche possano realmente puntare all’innovazione – sostiene Giovanni Zoffoli, direttore enterprise marketing di Microsoft Italia (www.microsoft.com/italy) -. I servizi CC rappresentano un’opportunità di semplificazione di processo e sono da intendersi come ampliamento della capacità di scelta e produttiva dei Cio». Microsoft offre la possibilità di optare per un modello ibrido come fattore strategico per i clienti finance, perciò molti partner che forniscono soluzioni enterprise hanno scelto la piattaforma CC di Microsoft (Misys, Temenos, Tagetik ecc.). Il tema della privacy e della security legato al CC costituisce inoltre una priorità a cui Microsoft dedica attenzione, impegnandosi a favorire l’adozione del CC in osservanza alle norme.
«Le tre macro aree in cui Microsoft può condividere notevoli esperienze – conclude Zoffoli – sono: il Sales and Services, il Risk Management and Analytics e l’Operations». La prima include tutti i servizi dedicati alla clientela e al marketing ed è un’area in forte espansione. Microsoft ha realizzato soluzioni CC in ambito digital marketing, customer services di tipo operativo e analitico e di claim services nel mondo assicurativo. La seconda area è critica per i Finacial Services e si ipotizza che nel 2012 rappresenti il 7% dell’IT spending totale. Questa è forse l’area maggiormente esplorata dalle banche e in cui Microsoft ha riscosso i maggiori successi con player specifici che sfruttano le enormi capacità di Windows Azure. La terza area dell’Operations è la più discussa soprattutto per le questioni relative alla privacy e alla sicurezza. Le banche che cercano di ridurre il proprio costo per transazione stanno valutando l’architettura Microsoft (gli annunci di Temenos e Misys ne sono un esempio).
«I nuovi scenari CC vedono il ritorno al data center accentrato con una infrastruttura dinamica, scalabile, ma allo stesso tempo maneggevole – sottolinea Roberta Viglione, presidente di Mauden (www.mauden.com) -. Sicuramente il mainframe, nella sua nuova architettura ibrida, capace di consolidare diverse piattaforme gestite con un solo apparato di Governance, giocherà un ruolo determinante». Mauden è riconosciuta come fornitore qualificato di infrastrutture e soluzioni ICT complesse. Virtualizzazione e consolidamento sono i due principali ambiti sui quali si focalizza la sua attenzione. L’obiettivo è quello di replicare il know how acquisito anche su altri clienti e settori, con una nuova organizzazione che amplia l’offerta nell’ambito dei servizi e software.
Gli fa eco Marco Frigerio, regional manager Italia di DataCore (www.datacore.com), aggiungendo che «si sta delineando un trend in cui le banche stanno ripensando l’ICT a supporto della crescita e della produttività, puntando sul CC e sulla virtualizzazione». Si tratta di integrare CC privato e CC pubblico, di tipo federativo, attraverso i quali offrire nuovi servizi in maniera flessibile.
«In entrambi i casi, il punto di partenza non può che essere la virtualizzazione – insiste Frigerio -, che permette di svincolare l’architettura logica da quella fisica, garantendo così l’adeguata flessibilità e affidabilità dei sistemi». Chi progetta CC deve pensare a soluzioni software agili e indipendenti dall’hardware e, infatti, VMware, Citrix e Microsoft Hyper-V sono diventati la norma in questo settore perché permettono scelte aperte sul mercato hardware. DataCore, che opera nel settore della virtualizzazione dello storage, punta su questo elemento, che è da tutti indicato come nodo fondamentale di ogni architettura, destinato a crescere più rapidamente, ospitando non solo i dati critici, ma anche le applicazioni e le macchine virtuali di supporto ai servizi CC.
«Moltissimi progetti di virtualizzazione non hanno dato i risultati sperati – conclude Frigerio – perché si è fallito nel prevedere l’impatto che questi avrebbero avuto sulle risorse di storage». La virtualizzazione dello storage proposta da DataCore garantisce il ritorno sull’investimento di una pura infrastruttura software e una value proposition convincente. Inoltre, il modello DataCore per la virtualizzazione permette di ottenere un unico punto di gestione di tutte le risorse presenti in azienda grazie al primo hypervisor per lo storage presente sul mercato, SANsymphony-V. Per questo, realtà internazionali quali ABN Ambro e DBV-Winterthur (gruppo Credit Suisse) hanno scelto DataCore.
ICT Governance
È innegabile quindi che, in pochi anni, si è concretizzata una forte spinta verso la Governance efficace. È fondamentale poter contare su un sistema di “sensori” che percepiscano ogni possibile variazione nell’ambiente di mercato e riversino queste informazioni verso un motore aziendale adeguato e adattabile alle condizioni esterne. In altre parole un’organizzazione automatizzata che osservi e comprenda il mercato, le nuove condizioni di lavoro e le soglie normative e attivi le sue componenti in maniera critica rispondendo adeguatamente in termini d’efficienza ed efficacia.
Si rafforza, quindi, la pressione sui Cio e sulla gestione dell’ICT e del SI verso la ricerca d’integrazione tra applicazioni legacy e di nuova generazione, di flessibilità e di sicurezza. In una tale situazione la prima cosa da fare è mettere mano alla Governance dei SI (o ICT Governance) con nuove logiche di gestione. Diviene fondamentale creare un assetto strutturale e un contesto di governo del SI che lo renda costantemente coerente con le esigenze aziendali anche in assenza di scenari evolutivi precisamente definiti.
Un sistema di Governance si compone di modelli e metodologie utili per fare in modo che il SI si adegui alle esigenze aziendali e del business. Da questo punto di vista è quindi immediato pensare all’attuazione di standard quali ISO/IEC 38500:2008, “Corporate Governance of Information Technology” e di metodologie come Cobit (Control Objectives for Information and Related Technology): il framework per la ICT Governance che è stato modificato per focalizzarne maggiormente proprio le linee guida sul lato business.
L’IT Governance Institute (www.itgi.org) ha rilasciato recentemente la versione Cobit 4.1 che include le linee guida per i consigli di amministrazione, i Cio e tutti i livelli di management ed è composto da quattro sezioni: executive overview, framework, core content (obiettivi di controllo, linee guida di gestione e maturity model) e appendici. Cobit può offrire lo strumento per aiutare a legare l’ICT agli obiettivi di business. I professionisti informatici della banca avevano proprio bisogno di strumenti e terminologie che li aiutassero a discutere con gli specialisti circa il ruolo potenziale dell’ICT a supporto degli obiettivi aziendali.
Altro aspetto rilevante di Cobit è che, analogamente a quanto è stato fatto nello sviluppo software da anni, sono stati identificati 5 maturity levels (o 6 se si considera il livello 0) della ICT Governance che consentono a ogni banca di posizionarsi applicando strumenti di valutazione razionali. Una volta determinato il livello di maturità specifico si possono applicare metodologie che consentono razionalmente di passare ai livelli di maturità superiori.
A Cobit si affianca l’IT Infrastructure Library 3 (Itil 3) come metodologia composta da linee guida e best practices in materia di service support e service delivery. In definitiva, la conoscenza e l’utilizzo sinergico e corretto di ISO/IEC 38500, Cobit, Itil unitamente a ISO/IEC 20000 sono il miglior metodo per realizzare l’ICT Governance efficace.
Anche i nuovi strumenti ICT di supporto assumono sempre maggiore importanza in quanto permettendo di attuare le nuove logiche organizzative e forme di collaborazione e condivisione del know how, consentono anche di ridisegnare i processi e le relazioni interne ed esterne della banca. Le direzioni di servizio e di business possono trovare un valido alleato proprio nella direzione ICT per innovare i propri modelli di servizio, abilitare e guidare il cambiamento secondo un framework strategico che unisca coerentemente la dimensione organizzativa e tecnologica dell’innovazione.
«Le imprese della finanza hanno già disponibili, nella maggior parte dei casi, strumenti per il governo dell’ICT – afferma Gabriele Provinciali, senior solution architect di CA Technologies (www.ca.com) – . La spinta propulsiva del CC richiede, però, un loro veloce adeguamento al fine di cavalcare il fenomeno CC e guadagnare in innovazione e business». CC e ICT Governance rappresentano due fenomeni distinti il cui trait d’union è la possibilità di rendere conformi alcuni temi, propri del CC, di non immediata applicabilità, come la gestione remotizzata di dati e informazioni sensibili e l’incremento della sicurezza per servizi distribuiti e dispositivi mobili.
CA Technologies è impegnata con investimenti e tecnologia, su tre aree critiche: 1) innovazione e adeguamento degli strumenti di Governance (con il supporto di framework strutturati quali Itil e Cobit, ma anche con tecnologie agili di ultima generazione, adatte per il CC); 2) gestione di ambienti operativi dinamici e complessi (automazione e gestione dei servizi in CC con la rilevazione della qualità percepita dai clienti); 3) evoluzione della sicurezza da statica (user Id, password, e/o generatori di password a scadenza) a dinamica tramite autenticazione forte, progressiva e multifattore, regolata in base al comportamento dell’utente e a diversi fattori di rischio (provenienza del cliente, dispositivo utilizzato, tipologia di operazione richiesta). Una delle innovazioni proposte con successo da CA Technologies è proprio il concetto di Security-as-a-Service, cioè la gestione completa del ciclo di vita delle identità digitali e degli accessi ai servizi basata sugli stessi principi del CC.
Mauro Tuvo, responsabile marketing di System Evolution (www.systemevolution.it) richiama, infine, l’attenzione sul fatto che «in molti casi banche e assicurazioni hanno già definito standard di gestione dei servizi ICT e di ICT Governance basati su framework di mercato». Si tratta di un percorso in evoluzione, quasi obbligato nel settore finance, soprattutto per gli istituti che hanno optato per politiche di esternalizzazione di componenti più o meno ampie dei propri SI e che richiedono una gestione “matura” dei servizi acquisiti.
Secondo System Evolution lo scenario ideale vede l’adozione integrata di un framework orientato alla gestione del servizio (Itil) e di uno standard di Governance ICT (Cobit) sensibili alle caratteristiche peculiari delle modalità di erogazione e fruizione di servizi basati sul CC. Particolare rilevanza assumono la presenza di un catalogo dei servizi disponibili, la definizione di modelli di accountability anche interna dei servizi utilizzati. In molti casi le opzioni scelte dalle banche per le sperimentazioni di accesso a risorse “as-a-Service” fanno riferimento a modelli interni o comunque ibridi.
«Siamo da tempo impegnati nella definizione di modelli di ICT Governance e di controllo delle prestazioni ICT – conclude Tuvo -, presidiando con tecniche e metodi originali prospettive tradizionalmente poco coperte, ma determinanti, in particolare nell’area della tutela del patrimonio informativo. Abbiamo inoltre completato l’analisi di alcuni processi prescrittivi presso un primario gruppo bancario». Da questa esperienza è nato Procsy, uno strumento software per il monitoraggio di processi codificati nell’area ICT e più in generale dei servizi. System Evolution ha recentemente avviato anche un programma di adeguamento del software Qiss, un metadata repository per la gestione dei processi di qualità dei dati, per l’erogazione di alcuni servizi di data quality in logica SaaS.
Alla ricerca del vantaggio competitivo
Nello scenario competitivo che caratterizza il sistema bancario, il vantaggio fondamentale è quindi costituito dalla capacità di mettere in atto una efficace ICT Governance e adottare le adeguate tecnologie e metodologie per sviluppare un più elevato valore aggiunto. Tali scelte non si giustificano di per sé, ma si motivano solo in funzione dello stretto legame con il business e con le strategie e la cultura dell’impresa. Ricerca della flessibilità operativa, ICT Governance, Cloud computing, modello di business reattivo, sono condizioni necessarie per trasformare il veloce susseguirsi di cambiamenti in vantaggio competitivo. La grande opportunità risiede sempre, in definitiva, nella possibilità di combinare efficacemente la specifica competenza finanziaria con i nuovi strumenti e metodologie offerti dall’ICT.
