LA SICUREZZA IN OUTSOURCING ALLA SFIDA DEL CLOUD. VANTAGGI E RISCHI

LA SICUREZZA IN OUTSOURCING ALLA SFIDA DEL CLOUD. VANTAGGI E RISCHI

L’avvento del Cloud computing, incoraggiando una sorta di approccio fai-da-te ai servizi aziendali, eliminerebbe – o comunque ridurrebbe di molto – la necessità per l’azienda di un’esternalizzazione a valore aggiunto. Secondo i più ottimisti in realtà il Cloud ridefinisce il ruolo delle società di outsourcing quali fornitori di servizi specializzati, sicurezza compresa, accrescendone per certi versi la loro importanza. Per altri si prospetta invece una convergenza tutt’altro che pacifica su di un terreno di scontro già piuttosto affollato 

 

Oggi l’acquisizione in outsourcing di tecnologia e servizi di sicurezza può avvenire in modo semplice, economico e, entro certi termini, rapido. L’evoluzione del mercato dell’outsourcing infatti ha fatto sì che anche in Italia si consolidasse un’offerta piuttosto articolata sia in termini di fornitori sia di tecnologie e servizi a disposizione. I vantaggi dell’outsourcing della sicurezza – costi certi, ottimizzazione delle risorse, accesso flessibile ai servizi e alle tecnologie disponibili sul mercato, prevenzione dei rischi – non lo scopriamo certo oggi, sono evidenti. Analogamente, ma con un impatto ancora più dirompente, l’ascesa del Cloud computing (CC) – l’accesso in modalità utility alle capacità elaborative e al software – sta rivoluzionando il mercato dell’IT. Il mantra è noto: molto presto della “nuvola” non potremo più farne a meno. Quello che sino a pochi anni fa era solo un paradigma astruso noto solo agli addetti ai lavori è oggi un concetto sulla bocca di tutti. L’affermazione del Cloud è partita dal mercato consumer che ne ha decretato il successo di massa. Centinaia di milioni di persone che, con smartphone, tablet e computer, utilizzano quotidianamente i servizi erogati dalla rete pagando solo quanto viene effettivamente utilizzato. Oggi gli effetti di questa prorompente consumerizzazione stanno investendo anche il segmento business. Il Cloud è il nuovo paradigma. Esso ridefinisce il modello operativo di aziende e istituzioni e, a cascata, il loro rapporto con clienti, fornitori e partner. Secondo alcuni osservatori tuttavia le tecnologie Cloud, incoraggiando una sorta di approccio fai-da-te ai servizi aziendali, eliminerebbero – o comunque ridurrebbero di molto – la necessità per l’azienda di un’esternalizzazione a valore aggiunto. In altre parole il terreno su cui converge il Cloud sembrerebbe quello a suo tempo occupato dai vendor di servizi di sicurezza gestita. E allora ci si chiede: e se l’outsourcing dei servizi di sicurezza diventasse all’improvviso un’attività obsoleta come quella degli spazzacamini? Hanno un futuro i servizi di sicurezza gestiti? In che modo l’impatto del Cloud impatterà sui fornitori di questi servizi? La gestione di più provider porterà a una maggiore complessità per le aziende oppure a una loro semplificazione?

IL CLOUD È LA NUOVA VENA D’ORO DELL’IT

«Nei prossimi 12-24 mesi si compirà il passaggio dal Cloud privato, interno a un’azienda, a quello pubblico – osserva Peter Sondergaard, senior vice president della società di consulenza e analisi Gartner (www.gartner.com) -. Gli investimenti nel Cloud pubblico cresceranno cinque volte più velocemente di quelli nel tradizionale business IT». Anche per IDC (www.idc.com) l’ascesa del CC è inarrestabile. In un recente rapporto si legge che “gli investimenti su scala mondiale raggiungeranno nel 2015 quota 72,9 miliardi di dollari e il 46% dell’incremento di spesa IT si dovrà proprio ai servizi Cloud pubblici”. «I servizi Cloud sono favoriti da tecnologie come gli smartphone, le reti wireless, il social networking e i sistemi di analisi dati – sostiene Frank Gens, analista capo di IDC -. Insieme, queste soluzioni stanno confluendo nella terza più grande piattaforma industriale alimentandone la crescita sul lungo periodo. Come nelle ere mainframe e Pc, questa nuova piattaforma promette di espandere il numero di utenti e l’utilizzo dell’IT, portando a una nuova e articolata offerta di soluzioni». Naturalmente le dimensioni del business fanno gola a molti. E infatti un gran numero di vendor vi sta puntando: le stime indicano che un dollaro su sette spesi per software, server e storage nel 2015 riguarderà l’ambiente Cloud pubblico, vale a dire la disponibilità di servizi i cui processi e dati sono elaborati dallo stesso provider e non all’interno dell’azienda stessa. Oggi grazie agli effetti di questa prorompente consumerizzazione, oltre che da quelli provocati dalla crisi economica che ha investito il pianeta, anche nel segmento business la partita sta entrando nel vivo. A giocarla ci sono tutti i big dell’IT. Solo per rimanere al nostro Paese, Telecom (www.telecomitalia.it) sta spingendo il Cloud con forti investimenti. Sul piatto ci sono 110 milioni di euro da ripartire per l’ampliamento della rete e dell’infrastruttura informatica, cui si aggiungono i 55 milioni già spesi quest’anno. L’offensiva scatenata dai nuovi vendor Cloud sta investendo tutti i fornitori di servizi in outsourcing, anche quelli storici che annoverano tra i propri clienti aziende sempre più tentate dalla migrazione verso il Cloud; a loro volta i vendor di servizi di outsourcing si stanno muovendo verso la nuvola, proponendosi come nuovi fornitori, trovandosi però a dover affrontare alcune problematiche che i vendor Cloud puri non hanno. In primo luogo una reale conoscenza del business. E, in alcuni casi, sistemi proprietari su cui hanno investito parecchio e la cui migrazione sul Cloud richiederebbe altri cospicui investimenti che invece una concorrenza sempre più agguerrita e numerosa non deve sostenere. Ora, si chiede Mike Pearl, partner and Cloud computing leader di PricewaterhouseCoopers (www.pwc.com), «dove sono i vantaggi dell’outsourcing IT con il Cloud? Quello che emerge è che alcuni outsourcing provider si reggono su un business model che non può essere abbandonato così di punto in bianco, considerando quanto è costato svilupparlo». Sempre secondo una ricerca condotta da PWC su un campione di 489 aziende, risulterebbe che in futuro la maggioranza di esse privilegerà i provider Cloud. Alla domanda chi saranno i fornitori migliori di questo genere di servizio, il 55% ritiene che lo saranno i vendor specializzati in CC contro il 39% di coloro che ritengono che lo saranno i vendor che forniscono servizi tradizionali di outsourcing IT. Al sondaggio hanno partecipato anche 152 aziende coinvolte in progetti di IT outsourcing che confermano questa tendenza, con oltre la metà di esse convinta che i provider specializzati in Cloud saranno preferiti sugli altri.

DIFFERENZE TRA CC E OUTSOURCING

Le aziende dunque stanno dimostrando di credere nel Cloud. Per esempio in un recente studio condotto dalla società di consulenza IT Avanade (www.avanade.com) su un campione di aziende Usa, emerge che il 74% delle società interpellate utilizza una qualche forma di servizio Cloud (pubblico, privato e ibrido), con un incremento del 25% rispetto a uno studio condotto dalla stessa società nell’ottobre 2009. Se dunque il Cloud espande costantemente la propria offerta di servizi conquistando sempre nuovi clienti, quale spazio rimane allora per i fornitori in outsourcing della sicurezza? Un buon punto di partenza è quello di cercare di chiarire quali sono le differenze tra CC e outsourcing. Senza dubbio oggi disponiamo di un ventaglio di servizi e tecnologie Cloud ricco e articolato. «Le offerte in ambito Cloud sono diverse, ma alcune, penso al private Cloud, hanno poco in comune con l’outsourcing», rileva Luca Zerminiani, systems engineer director di VMware Italia (www.vmware.com/IT/). Diverso il discorso per il public Cloud, vale a dire l’accesso da parte dell’azienda all’erogazione condivisa dei servizi Cloud dalla rete, che invece ne condivide il principio di approvvigionamento di risorse dall’esterno anche se con un paio di importanti differenze sottolineate dallo stesso Zerminiani: il concetto di self-service e la possibilità di fare scale-up o scale-down a richiesta, «elementi che identificano questo approccio come decisamente più flessibile rispetto al tradizionale outsourcing». Secondo Gabriele Provinciali, senior solution architect di CA Technologies (www.ca.com/IT), la differenza sostanziale tra CC e outsourcing tradizionale risiede invece nella collocazione fisica di dati, applicazioni e servizi: «Nell’outsourcing si ha una visione più chiara circa la collocazione delle risorse IT, anche sensibili: pensiamo a dati aziendali pregiati o protetti da segreto industriale; nella nuvola invece l’accoppiamento tra dati, applicazioni e luogo di erogazione del servizio è trasparente all’utente finale». Ora quest’ultimo è sicuramente uno degli aspetti più spinosi del Cloud. Se per quanto riguarda il luogo di erogazione del servizio il problema potrebbe anche non essere particolarmente sentito dal cliente finale, più interessato a valutare di volta in volta la disponibilità e l’efficienza dello stesso, per quel che riguarda la collocazione del dato le problematiche sottostanti sono molto più ampie e complesse. Per quanto riguarda il Cloud pubblico non possiamo sottovalutare le riserve che esso solleva in particolare per quanto riguarda gli aspetti legati alla gestione e alla sicurezza dei dati. Come noto infatti lo storage dei file avviene on the Cloud vale a dire in un ambiente esterno all’azienda dentro al quale la gestione e le strategie di protezione dati sono a carico esclusivo del provider dei servizi. Le implicazioni di quest’ultimo aspetto, è facile intuirlo, sono tutte molto importanti. Anche sul piano organizzativo – o meglio sulle considerazioni che devono essere fatte a monte prima di scegliere uno o l’altro servizio – si possono cogliere altre differenze importanti tra CC e outsourcing. «Si tratta di due modalità di fruizione differenti – ci conferma Maurizio Martinozzi, sales manager engineering di Trend Micro (www.trendmicro.it) -: a differenza del Cloud, che mette a disposizione delle risorse esterne, l’outsourcing consiste nell’affidare in toto un’attività a terze parti. E i quesiti che i due approcci sollevano sono molto diversi». L’idea di CC porta con sé numerosi vantaggi per aziende e utilizzatori rispetto ai tradizionali modi di distribuzione del software. Però il CC prima di riuscire a imporsi deve ancora superare alcuni ostacoli. Non ci si riferisce qui alle barriere di natura tecnologica che ne rallentano l’adozione; quanto piuttosto alle resistenze di tipo psicologico, vale a dire nel modo in cui viene percepito dai potenziali clienti. La sensazione ancora prevalente è che il CC infatti sia un’idea molto interessante, ma non del tutto affidabile. Chi ha scelto di esternalizzare la propria sicurezza ha già dovuto superare questo tipo di resistenza, aiutato anche da una legislazione attuale più sensibile a questo genere di preoccupazioni. «Nel caso del Cloud le aziende devono sapere come gestire le informazioni collocate all’esterno del loro perimetro sia sotto l’aspetto legale, sia per quello della sicurezza. L’outsourcing implica riflessioni inerenti l’organizzazione dei processi e il controllo sul livello di servizio», avverte Martinozzi.

«I servizi di outsourcing esistono da anni e con la crescente popolarità di questi in modalità online è diventato molto di moda il termine Cloud computing. Quindi sostanzialmente non esistono grosse differenze – sostiene invece Alexander Moiseev, managing director di Kaspersky Lab Italia (www.kaspersky.com/IT/) -. La nascita di grossi player di mercato, quali per esempio Amazon, ha contribuito ad aumentare la qualità e anche la sicurezza di questi servizi. In definitiva, la differenza è che oggi il mercato è più competitivo, globale e professionale».

CHI GARANTISCE LA MIGLIOR SICUREZZA?

A questo punto viene naturale chiedersi se un servizio di sicurezza gestita può essere fornito meglio dalle società specializzate in Cloud rispetto a quelle che erogano servizi in outsourcing. Le offerte di sicurezza Cloud non vanno confuse con i Managed Security Services (Mss). Come nota Andrea Carmignani, security services sales manager di IBM Italia (www.ibm.com/it), «le prime nascono per offrire servizi di sicurezza di alto livello, erogati con tecnologie sofisticate e con alle spalle un team di consulenti specializzato che difficilmente un’azienda potrebbe avere al suo interno». I Mss invece forniscono la gestione on-demand di specifici apparati del cliente, come firewall, Ips o piattaforme IT. «Questa gestione “remota” – aggiunge Carmignani – è più vicina a un modello di outsourcing rispetto ai servizi Cloud della sicurezza». La qualità di un servizio di sicurezza è dato da numerose variabili. Cloud e outsourcing in questo senso, sia per le loro specificità sia per l’ampio ventaglio di servizi e tecnologie che offrono, per poter essere valutate globalmente necessiterebbero di un’analisi di tutte le variabili che le compongono; pensiamo alla tipologia del servizio da proteggere, alla mobilità dei clienti, alla gestione dei dati sensibili e all’integrazione tra i servizi di sicurezza e la gamma di applicazioni aziendali già esistenti e quant’altro. «I servizi erogati in Cloud hanno esigenze di sicurezza specifiche legate sia a implicazioni tecnologiche (condivisione di infrastrutture e repositori dati), sia di carattere normativo e di compliance (privacy, ISO, CSA)», nota Giovanni Napoli, pre-sales manager Emea South Region di RSA, divisione di Sicurezza EMC (www.rsa.com). La stessa difficile comparabilità tra i due servizi dunque rende questa valutazione tutt’altro che agevole. Oltretutto, come rileva Zerminiani di VMware Italia, «garantire il massimo livello di sicurezza possibile è un obiettivo primario per qualsiasi service provider, sia esso specializzato in outsourcing che in Cloud. Piuttosto il vero elemento di novità è la possibilità di integrare la sicurezza negli ambienti virtuali e Cloud: non più apparati fisici a garantire sicurezza perimetrale, separazione di ambienti applicativi o attività di Ids/Ips, bensì appliance virtuali che riescono a seguire i carichi di lavoro anche quando questi vengono esternalizzati in Cloud pubblici». Ciò permette di controllare l’IT aziendale attraverso adeguate politiche di sicurezza indipendentemente dalla geografia dell’infrastruttura. «Questa situazione aumenta la flessibilità e restituisce al Cio la sensazione di avere tutto sotto controllo visto che, di fatto – argomenta Zerminiani -, non vi è alcuna differenza nei livelli di sicurezza garantiti tra data center locale e remoto». Anche questo spiega la ragione del successo dei servizi di sicurezza “Cloud enabled”: «Un rapporto qualità/prezzo interessante – ci dice Carmignani (IBM) – e la capacità di inserirsi nei tessuti IT aziendali in modo semplice e con basso impatto sulle infrastrutture IT e i processi esistenti». «Spesso mi chiedono quanto è sicuro il Cloud rispetto ad altri servizi tradizionali – interviene Moiseev (Kaspersky Lab) – e la mia risposta è sempre la stessa: dipende dai casi. Ogni servizio è diverso dall’altro e va quindi valutato attentamente». Per Gabriele Provinciali (CA Technologies), l’asso nella manica sia per le aziende specializzate nel Cloud sia per quelle che erogano servizi in outsourcing è la possibilità di variare la sicurezza dinamicamente, secondo il comportamento dell’utente, e di innalzare le soglie di sicurezza applicativa, dei dati e dei servizi in maniera progressiva. «Grazie alle tecnologie di mobilità – precisa Provinciali -, il profilo di un utente può variare anche nella stessa giornata lavorativa, per esempio, passando dal Pc allo smartphone. I criteri di sicurezza possono dunque variare a seconda delle modalità di utilizzo dell’utente. Le tecniche di autenticazione forte e progressiva saranno vincenti sia nel Cloud sia nell’outsourcing tradizionale».

LA CONCORRENZA C’È E SI VEDE. OPPURE NO?

A questo punto ci si chiede se i fornitori di servizi di outsourcing non corrono il rischio di avere come concorrenti i fornitori di servizi chiavi in mano IaaS, oggi sempre più concorrenziali. «Intanto cominciamo col dire che la differenza fra servizi IaaS e di outsourcing è che i primi nascono per offrire un ambiente IT configurabile, così da accelerare il time-to-market grazie a un catalogo di immagini software preconfigurate e un provisioning rapido, affiancato a modalità di pagamento generalmente basate sul consumo del servizio – ci dice Carmignani di IBM Italia -. I servizi di outsourcing, compresi quelli di sicurezza gestita, invece si focalizzano sulla gestione della sicurezza del sistema informativo. I fornitori di tali servizi prendono in carico la gestione in toto o in parte dell’infrastruttura di sicurezza dei sistemi informativi, definendo adeguati standard di servizio (Sla). I servizi IaaS a oggi difficilmente offrono la gestione delle infrastrutture “affittate” dal cliente, lasciando a quest’ultimo tutte le attività come patch management, sicurezza o tuning. Nella visione IBM, i servizi di sicurezza in modalità Cloud computing si integrano perfettamente nel modello di outsourcing, offrendo una sinergia in grado di innalzare la sicurezza e la qualità del servizio finale erogato al cliente in modalità outsourced» afferma Carmignani. Questo naturalmente non significa che la competizione non esista e i nostri interlocutori non se lo nascondono. «La competizione tra outsourcing e IaaS, in realtà, è già iniziata da qualche tempo – rileva Provinciali di CA Technologies -. Le armi a favore del Cloud sembrano correlate al costo totale del servizio erogato e alla capacità di fornire servizi “a consumo”. D’altro canto, anche i fornitori di servizi in outsourcing possono rispondere a tono sfruttando le zone d’ombra del Cloud: restrizioni normative riguardo la collocazione geografica dei dati sensibili, mancanza di una legislazione univoca per il trattamento degli stessi, minori possibilità di controllo su applicazioni personalizzate e già esistenti. «Le piccole e medie imprese possono trarre notevoli vantaggi dal Cloud per i propri managed services per esempio – suggerisce Moiseev (Kaspersky Lab) -, mentre le grandi aziende preferiscono archiviare fisicamente i dati all’interno di un data center. Il business per i fornitori di managed services per le piccole e medie imprese si sta muovendo verso il Cloud ed è importante che i provider tradizionali riescano a offrire servizi a valore aggiunto ai propri clienti». Per Zerminiani (VMware) sebbene il CC si distingua per una maggiore flessibilità ed elasticità, i provider di servizi Cloud cominciano a rendersi conto che i clienti si aspettano da parte loro un’assunzione di responsabilità in tema di sicurezza e integrità dei dati: «Se si intraprende la strada dell’evoluzione verso il Cloud bisogna anche avere la consapevolezza dell’importanza della salvaguardia dei dati». Secondo Carlo Musazzi, head of service offer di Fujitsu Technology Solutions (www.fujitsu.com/it), è sul fronte della qualità del servizio e del prezzo che la concorrenza si fa più sentire: «Oggi i tradizionali servizi di outsourcing sono customizzati in base alle esigenze specifiche dei clienti, a scapito di efficienza e a costi elevati. Il Cloud per definizione invece è standard e flessibile. Quando i clienti avranno superato alcune barriere psicologiche, specialmente quelle legate alla sicurezza – prosegue Musazzi – il CC diventerà veramente competitivo e verranno via via eliminate le aree di sovrapposizione tra Cloud provider e società di servizi di outsourcing». Secondo altri osservatori la competizione è un elemento che, nel medio periodo, può dare vantaggio agli utilizzatori e alle aziende interessate a fruire di servizi remoti, punto di vista questo sostenuto per esempio da Andrea Carmignani (IBM) che, in ambito sicurezza, fra CC e outsourcing più che una contrapposizione vi scorge «un’integrazione sempre più naturale, a tutto vantaggio del cliente finale». Il tema della collaborazione tra potenziali concorrenti è sottolineato anche da Giovanni Napoli (RSA), secondo cui «i fornitori di servizi in outsourcing dovrebbero cominciare a percepire i fornitori di servizi come clienti, piuttosto che come concorrenti, facendo leva sulle forti competenze acquisite nel tempo e integrandole con tematiche e tecnologie specifiche per le piattaforme Cloud. I vendor come RSA da tempo hanno percepito questa tendenza e stanno mettendo a disposizione dei partner tutte le tecnologie abilitanti (federazione, protezione dei dati e delle identità, strumenti di controllo e di GRC ecc.)». Diverso il parere di Martinozzi (Trend Micro) che invece non vede una vera e propria concorrenza tra vendor: «In questo momento non è corretto vedere questa relazione in termini di concorrenza. C’è spazio per tutti, outsourcer e fornitori di servizi IaaS. Tanto più in Italia dove il CC continua a sollevare implicazioni sia in termini legali, sia di audit. Molti dei nostri più importanti clienti – continua Martinozzi – offrono risorse di CC pur continuando ad avvalersi dei servizi di outsourcer per determinati temi tra cui la sicurezza. Alcuni per esempio, hanno scelto di avvalersi dell’apporto dei system integrator per poter offrire risorse Cloud secondo diversi livelli di servizio. In pratica si stanno già affermando dei modelli di collaborazione e alcuni fornitori di sicurezza, consapevoli delle nuove opportunità, si sono già organizzati per poter interpretare il ruolo di system integrator nel contesto del CC». Pur partendo da considerazioni diverse, anche Alexander Moiseev (Kaspersky Lab) approda a conclusioni simili, affermando che sostanzialmente non esistono grosse differenze tra vendor CC e outsourcing: «La nascita di grossi player di mercato ha contribuito ad aumentare la qualità e anche la sicurezza di questi servizi. In definitiva, la differenza è che oggi il mercato è più competitivo, globale e professionale».

Il futuro

Secondo Gartner entro il 2015 le aziende investiranno in servizi CC il 19% del loro fatturato a fronte di un 3% investito nel 2010. Per quanto riguarda il nostro Paese quest’anno il giro d’affari dovrebbe attestarsi a quota 175 milioni di euro secondo le stime di NetConsulting; tra due anni il fatturato raddoppierà e triplicherà rispetto all’attuale nei prossimi tre anni. La forza d’urto del CC ha investito i fornitori di servizi e per quel che ci riguarda le società di outsourcing specializzate in sicurezza, ridefinendone in parte il ruolo e soprattutto minacciandone l’esistenza. In che modo i vendor di entrambi i segmenti emergeranno da questa fase è difficile prevederlo. Le aziende specializzate in sistemi di sicurezza in outsourcing si trovano oggi a un bivio: il Cloud rischia di erodere irreversibilmente le loro aree di business; probabilmente solo chi tra loro riuscirà a diventare parte attiva nel processo di rendere maggiormente sicuro l’ambiente Cloud potrà ritagliarsi un ruolo nel mercato. Dall’altra parte, la sfida per i Cloud provider è quella di trovare soluzioni che siano al tempo stesso semplici ed efficaci, così da attrarre tutte quelle realtà che vogliono adottare questo paradigma innovativo. Solo nei prossimi anni sapremo se le dinamiche di mercato decreteranno il prevalere del Cloud sourcing ai danni dell’outsourcing tradizionale, sfociando in una convergenza di servizi e prodotti oggi classificati nella categoria as-a-Service oppure assisteremo alla nascita di una nuova generazione di servizi in outsourcing.

Categorie: Cloud Computing