Vecchie pratiche e nuove resistenze. I paradigmi tecnologici dettano anche i nuovi stili di management, ma l’ossessione del controllo continua a condizionare l’operatività degli IT manager nel vasto mare del cambiamento
È semplicemente incredibile come molti manager, sia dell’IT sia di altre aree aziendali, preferiscano tuttora i cloud privati a quelli pubblici. Questi manager sono perfettamente felici di versare soldi in data center modernissimi (anzi, scusate, in “cloud privati”), anche se Amazon Web Services (AWS) e i suoi simili stanno reinventando tutto il mondo IT. Ma perché lo fanno? A volte perché credono che i cloud privati faranno risparmiare più soldi rispetto all’opzione public cloud. Ma la realtà è diversa: realizzare, mantenere e gestire i cloud privati è estremamente costoso, mentre i servizi cloud pubblici continuano a scendere di prezzo. Altri indicano la sicurezza come il problema principale, anche se i cloud pubblici sono in genere molto più sicuri di quelli privati. Allora si potrebbe dire – forse – che i cloud privati daranno più elasticità? Probabilmente no, in quanto i cloud privati hanno capacità limitate rispetto ai loro omologhi pubblici. Anche se si esaminano tutte le argomentazioni, molti sono tuttora fissati sulla realizzazione dei cloud privati. Ma perché? Il vero motivo di questa ostinazione è uno solo: la lotta per il controllo.
Pensare come i maniaci del controllo
I manager IT in particolare sono sempre stati fanatici del controllo. Gli ambienti IT sono pieni di apparecchiature fragili e traballanti da così tanto tempo che l’unico modo per far funzionare l’IT è quello di controllare tutto, distribuendo a malincuore pezzi di funzioni e informazioni agli utenti business, ma solo quando lo chiedono con gentilezza. Ma questa vecchia realtà mainframe sta scomparendo ormai da anni. Le migrazioni dal client/server verso gli n-tier e verso Internet, e ora verso il cloud, sono tutti esercizi di un IT sempre più distribuito, con particolare attenzione su distribuito. Come nel controllo distribuito, appunto. Ma perché i manager hanno questa voglia di controllo? Per due motivi soprattutto: mitigazione dei rischi e differenziazione. Se quel pezzo di tecnologia è fuori dal vostro controllo, allora – forse – accadrà qualcosa di negativo, come violazioni della sicurezza o alla conformità normativa, oppure vi saranno problemi di performance, per citare l’aspetto più negativo. Ma il guaio è che mantenendo il controllo, non necessariamente questi rischi si riducono. Ma se siete responsabili della gestione dei rischi, allora la reazione naturale è quella di desiderare il controllo.
I manager credono anche che qualunque cosa stiano facendo nel loro specifico silos sia speciale e in qualche modo differente. Quindi non c’è alcun modo in cui possono sfruttare quel pezzo condiviso di middleware o di servizi condivisi basati su SOA, oppure ancora un cloud multi-tenant. Se lo facessero, non sarebbero più speciali. Avere un’offerta differenziata è indispensabile per qualsiasi strategia di mercato valida, dopo tutto. Quindi, chiaramente la mia tecnologia deve essere diversa dalla vostra!
Caos versus controllo
Il fenomeno del cloud computing, come ci si potrebbe aspettare, cambia lo scenario, in quanto il cloud separa la responsabilità dal controllo in modi mai visti prima. Tutti i manager sanno che queste due priorità spesso vanno di pari passo, e in circostanze normali si preferisce che sia così perché l’ultima cosa che si desidera è una responsabilità senza controllo, che poi a ben vedere è il modo migliore per diventare un capro espiatorio. Ma con il cloud si è in grado di mantenere il controllo, delegando la responsabilità al fornitore di servizi cloud (CSP, Cloud Service Provider), che è tenuto a garantire che l’ambiente operativo funzioni correttamente, compresi la gestione automatizzata e il provisioning e le configurazioni guidate dagli utenti che differenziano il cloud computing dall’hosting virtualizzato. Tuttavia, il CSP ha delegato il controllo su ogni ambiente del cliente allo specifico cliente. Girando intorno a questa equazione “controllo vs. responsabilità”, abbiamo messo il CSP nella posizione di capro espiatorio. Finché abbiamo uno SLA (Service Level Agreement) di ferro con il nostro CSP, possiamo fidarci che si assumeranno la responsabilità per i nostri ambienti operativi, e se qualcosa andasse storto, possiamo considerarli responsabili. Ma il controllo su quegli ambienti rimane al cliente. Una volta che i manager si rendono conto di questo nuovo corso, fuggiranno il più lontano possibile dall’idea di realizzare cloud privati. Dopotutto, se si può mantenere il controllo delegando la responsabilità, perché mai si dovrebbe volerla? Senza dimenticare che è la responsabilità che fa licenziare le persone. Spostare la responsabilità sul CSP contribuisce anche a risolvere l’ostacolo della conformità normativa che tanti manager sottolineano come la ragione per scegliere il cloud privato invece del pubblico. Una combinazione di un CSP adeguatamente responsabile unito a uno SLA sufficientemente dettagliato può andare molto lontano nell’assicurare le aziende contro i rischi di violazione delle conformità. Raramente, se non mai, i regolamenti specificano come si devono rispettare: dicono solo che bisogna farlo. Sta a voi e ai vostri avvocati decidere il come. Finché uno è diligente e coscienzioso, e segue le migliori prassi consolidate, si attenua il grosso del rischio di non conformità. I CSP non vedono l’ora di prendere questa responsabilità, per cui la strategia intelligente di mitigazione del rischio si sta spostando verso il cloud pubblico.
Il prezzo della differenziazione
La seconda minaccia per il controllo centralizzato dell’IT è la spinta verso la differenziazione. Qualunque cosa stia facendo il nostro reparto è speciale e diversa e quindi la nostra infrastruttura e il nostro ambiente applicativo devono essere unici. Questo principio è sempre vero fino a un certo punto, ed è per questo che i manager amano aggrapparsi a esso come a un tronco galleggiante in un vasto mare di cambiamento. Ma proprio il luogo in cui cade quel punto continua a spostarsi, e lo fa molto più di quanto si pensi.
Nessuna azienda si sognerebbe di chiamare una società di chip per computer per chiedere di fabbricare un processore personalizzato per esigenze generiche di business. O un server? Improbabile, ma non si sa mai. E riguardo alle applicazioni di core business, come il finance, le risorse umane o il CRM? Un po’ più probabile. E se parliamo di applicazioni che forniscono funzionalità che si differenziano sul mercato? Forse adesso ci siamo. In altre parole, praticamente nessuna impresa ha alcuna motivazione razionale per specificare infrastrutture su misura. L’Infrastructure-as-a-Service (IaaS) di oggi è perfetto, soprattutto se si considera quante scelte di configurazione sono disponibili attualmente: velocità del processore, sistema operativo, memoria, storage e rete sono tutti configurabili dall’utente. Inoltre, non c’è ragione per personalizzare gli ambienti di sviluppo di test o di implementazione, per cui si potrebbe anche usare un’offerta Platform-as-a-Service (PaaS) .
Ma per quanto riguarda le applicazioni? Per quelle non strategiche come il CRM, si potrebbe anche utilizzare un Software-as-a-Service (SaaS) come Salesforce. Nessun manager sano di mente direbbe che le proprie esigenze di customer relationship sono così uniche che dovrebbero codificare il proprio sistema di CRM. Quindi, che dire di quelle applicazioni strategiche che offrono le nostre capacità o informazioni differenziate ai nostri clienti? Se un’app SaaS esistente non lo farà, non è un problema, in quanto è a questo che servono PaaS e IaaS: rispettivamente allo sviluppo e all’hosting delle nostre applicazioni personalizzate per noi.
In conclusione
Dare in outsourcing le funzionalità di tipo commodity a un fornitore a basso costo, concentrando invece il valore aggiunto strategico sulle offerte su misura è un modello spesso ripetuto nel mondo del business, ma non ha mai davvero preso piede nel mondo dell’IT fino all’avvento del cloud computing. La ragione per cui c’è voluto così tanto tempo per le persone dell’IT è perché nel passato non sono mai state in grado di separare il controllo e la responsabilità così bene come si può fare oggi. Prima del cloud, se avessimo voluto esternalizzare l’uno, l’altro andava per conto suo. Qualunque azienda che ha dato in outsourcing tutte le loro operazioni IT ha sperimentato questo stato di cose. Certo, la vostra tecnologia diventa responsabilità di qualcun altro, ma si finisce per rinunciare pure al controllo.
Forse, la sfida maggiore del mantenere tale controllo con il cloud è che si alza la posta sulla governance. I self-service automatizzati del cloud rappresentano potenti strumenti nelle mani di persone in tutta la nostra organizzazione: senza un approccio automatizzato e proattivo alla governance, si rischia di correre fuori dai binari. Tali questioni sono endemiche negli ambienti tecnologici di oggi: dalle sfide del BYOD alla governance della SOA e ai cloud un po’ birbanti, bisogna imparare a mantenere il controllo, pur mantenendo il vantaggio dell’agilità che tali tecnologie ci fanno vedere bene. Ma fino a quando non si impara a delegare la responsabilità per la tecnologia sottostante ai fornitori di cloud pubblici, non saremo mai in grado di mantenere il controllo in maniera efficiente a livello di costi, pur mantenendo la nostra competitività.
———————————–
Jason Bloomberg
Jason Bloomberg è presidente di ZapThink, che fa capo a Dovel Technologies Company. Leader indiscusso nelle aree enterprise architecture, service-oriented architecture e cloud computing, aiuta le aziende di tutto il mondo a sfruttare al meglio le proprie risorse IT per soddisfare le sempre mutevoli necessità del business. Oltre a tenere spesso conferenze, è anche uno scrittore prolifico. Nel 2013, è uscita la sua opera più recente, “The Agile Architecture Revolution: How Cloud Computing, REST-based SOA, and Mobile Computing are Changing Enterprise IT” (John Wiley & Sons).
Jason Bloomberg presenterà a Roma per Technology Transfer il seminario “Enterprise Cloud Computing” dal 4 al 5 novembre 2013
