Universo banca ICT governance e cloud computing

Universo banca ICT governance e cloud computingCome governare l’ICT e gestire efficacemente i sistemi informatici del finance sempre più orientati al cloud computing? L’esperienza delle due crisi finanziarie del 2003 e del 2008 ci ha insegnato che le aziende che credono nell’innovazione di processo e di prodotto sono capaci di resistere ed emergere anche in uno scenario competitivo sfavorevole


TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Da alcuni anni, il sistema bancario e della finanza è sotto pressione. I principali fattori di stress sono rappresentati dall’indispensabile processo di armonizzazione normativa europea (Basilea 2 e 3, Single Euro Payment Area Directive e Payment Services Directive) e nazionale (“responsabilità oggettiva” e business continuity). Dal punto di vista del mercato poi, la crescita della profittabilità e la riduzione dei costi sono sempre più importanti e numerosi fattori stanno spingendo l’intero sistema verso il modello “open finance”, basato sul disaccoppiamento della produzione dalla distribuzione dei prodotti-servizi.

Cloud computing

Sul versante tecnologico, le attuali ICT sembrano rivelarsi insufficienti e non più in grado di governare la complessità. Il panorama dei sistemi informativi (SI) sta, quindi, evolvendo verso l’interconnessione e l’esternalizzazione spinta con infrastrutture e architetture flessibili. In questo contesto, il cloud computing (CC) rappresenta il nuovo modello di utilizzo e di distribuzione delle risorse ICT e propone soluzioni concrete ai problemi di flessibilità e complessità. Il settore bancario sta muovendo i primi passi nell’adozione del CC, capitalizzando anni di esperienza su temi quali la virtualizzazione, l’outsourcing e la sicurezza. Le banche vedono il CC come un innalzamento dei modelli di servizio in essere, e valutano quali tipologie di carico computazionale far virare, privilegiando applicazioni non-core, nel rispetto delle policy di sicurezza. L’applicabilità del CC in banca necessita però di alcune considerazioni su specifici punti, che al momento sembrano costituire dei fattori di inibizione rispetto a un’adozione su larga scala e per le applicazioni core. Le banche e le istituzioni finanziarie – essendo soggette alla normativa specifica e obbligatoria di vigilanza della Banca Centrale Europea (BCE) e della Banca d’Italia (www.bancaditalia.it) – devono fare riferimento a queste istituzioni anche per l’adozione del CC e dell’outsourcing (OS). Analizzando il “documento per la consultazione” recante “disposizioni di vigilanza prudenziale per le banche, sistema dei controlli interni, sistema informativo e continuità operativa”, emesso recentemente dalla Banca d’Italia, emerge che, nella sostanza, il CC è identificato come caso particolare di OS. In altre parole, il possibile ricorso al “CC privato e localizzato all’interno del paese e/o della UE” è considerato come forma particolare di esternalizzazione. Uno dei grossi problemi che il CC non sembra risolvere, infatti, è quello del diritto di auditing totale ed esteso da parte della banca. Altra questione è quella del principio di “vendor indipendence”. Sotto il profilo della vigilanza, il CC privato sembra coincidere con l’OS. D’altronde il CC privato, nella forma consentita, esiste già per tutte quelle banche di media e piccola dimensione che si avvalgono di un fornitore esterno o consortile per l’ICT e il SI. In particolare, nel documento si afferma che “le banche che ricorrono all’esternalizzazione devono presidiare i rischi derivanti dalle scelte effettuate, mantenendo la capacità di controllo e la responsabilità sulle attività esternalizzate, nonché le competenze tecniche e gestionali essenziali per re-internalizzare, in caso di necessità, il loro svolgimento”. In un altro punto del documento si legge che “nell’elaborazione del modello architetturale e delle strategie di sourcing, vanno considerate soluzioni tese a contenere il grado di dipendenza da fornitori e partner tecnologici (vendor lock-in), salvaguardando la possibilità di sostituire la fornitura con un’altra funzionalmente equivalente e prevedendo opportune exit strategies”. Nella scelta del fornitore, l’intermediario deve effettuare un’appropriata due diligence, con specifico riguardo alla solidità finanziaria, all’economicità della fornitura nonché alla maturità e diffusione del prodotto in un adeguato orizzonte temporale. E infine nel documento si legge che “l’intermediario deve porre particolare cautela nella valutazione di offerte di servizi in outsourcing erogati secondo il modello del cloud computing, che prevede la fruizione delle risorse informatiche nella forma di servizi accessibili via rete e configurabili in modo flessibile. Nel caso dell’acquisizione di servizi in community o pubblici, i maggiori rischi potenziali possono richiedere una più elevata complessità del sistema di controlli da predisporre. Va valutata nello specifico la capacità del fornitore di garantire il rispetto dei requisiti richiesti e di assicurare la piena ricostruzione degli accessi e delle modifiche effettuate sui dati, anche nel contesto di verifiche ispettive”.

ICT governance

L’attenzione si riversa, allora, sulla ricerca di un differenziale competitivo interno. Si rafforza, quindi, la pressione sui chief information officer (CIO), sulla gestione dell’ICT, del SI e sulla ricerca di integrazione tra applicazioni “legacy” e di nuova generazione, di flessibilità e di sicurezza. In previsione dell’avvento graduale del CC, la prima cosa da fare è mettere mano alla ICT governance con nuove logiche di gestione. Diviene fondamentale creare un assetto strutturale e un contesto di governo del SI che lo rendano costantemente coerente con le esigenze aziendali anche in assenza di scenari evolutivi precisamente definiti. Le metodologie al momento più efficaci sembrano essere COBIT (control objectives for information and related technology) e ITIL (IT infrastructure library), i framework per la ICT governance che con le nuove versioni sono focalizzate proprio sul lato business e governance. Da questo punto di vista è anche immediato pensare all’attuazione di standard recenti quali ISO/IEC 38500:2008, “Corporate Governance of information technology”. L’IT Governance Institute (www.itgi.org) ha rilasciato recentemente la versione COBIT 5 che segna appunto un’evoluzione importante. COBIT 5 include, infatti, linee guida per i consigli di amministrazione, i CIO e tutti i livelli di management. Altro aspetto rilevante è che, analogamente a quanto è stato fatto nello sviluppo software da molti anni, sono stati identificati 5 maturity levels (o 6 se si considera il livello 0) della ICT governance, che consentono a ogni banca di posizionarsi, applicando strumenti di valutazione razionali. Una volta determinato il livello di maturità specifico, si possono applicare metodologie che consentono razionalmente di passare ai livelli di maturità superiori. In questo quadro, i nuovi strumenti ICT assumono una importanza crescente in quanto – permettendo di supportare nuove logiche organizzative, forme di collaborazione e condivisione del know-how – consentono anche di ridisegnare i processi e le relazioni interne ed esterne. Le direzioni di servizio e di business possono trovare un valido alleato proprio nella direzione ICT per innovare i propri modelli, abilitare e guidare il cambiamento secondo un framework strategico in grado di unire coerentemente la dimensione organizzativa e tecnologica dell’innovazione.  

Leggi anche:  Il Cloud è ancora lontano dall'Italia?

ICT GOV versus cloud

«Il cloud computing è in sé un’occasione per gestire più efficacemente i SI, innalzando il livello di ICT governance» – sostiene Giovanni Schisano, direttore commerciale di Mauden (www.mauden.com). Naturalmente, il riferimento è al cloud privato: quello che offre maggiori garanzie in termini di sicurezza e di privacy. «L’adozione di best practices – spiega Schisano – può senz’altro contribuire allo sviluppo del CC. Occorrono, però, talune premesse come l’ottimizzazione dei sistemi, la centralizzazione, la virtualizzazione, ambiti nei quali Mauden vanta una grande esperienza». L’ultimo aggiornamento alle disposizioni di vigilanza di Banca d’Italia fornisce un’ulteriore spinta verso una maggiore conoscenza. «Una forte attenzione è stata data alla gestione e alla governance per la sicurezza dei dati, il controllo degli accessi e le politiche di esternalizzazione di sistemi e servizi ICT critici» – evidenzia Dario Ambroggi, sales engineer di Software AG (www.softwareag.it). I framework COBIT e ITIL, anche se ancora parzialmente adottati dalle banche italiane, sono sicuramente dei facilitatori all’introduzione di una metodologia strutturata che permetta di allineare le richieste del business con lo sviluppo di soluzioni e servizi ICT nell’ottica di un maggiore controllo e mitigazione del rischio. «Software AG – dice Ambroggi – propone di creare un modello di gestione e implementazione dei servizi e dei processi ICT, applicando le linee guida ITIL e COBIT, con l’obiettivo di rendere più trasparente l’ambiente ICT bancario, tipicamente entropico, e consentire l’adozione delle quattro leve tecnologiche (big data, cloud, social e mobile) per la trasformazione da banca tradizionale a banca digitale». Secondo Giovanni Belluzzo, responsabile area sistemi di InfoCert (www.infocert.it), «l’adozione di COBIT e ITIL è motivata anche da esigenze di compliance». Le due metodologie, nella loro complementarietà, servono anche ad agevolare l’applicazione dei controlli ai principali processi ICT, e in particolare, come fattore abilitante per costruire – insieme ai fornitori di soluzioni cloud – un’architettura più estesa e adattativa. «L’adozione del modello cloud, superando i limiti fisici dell’azienda, richiede, infatti – sottolinea Belluzzo – una ICT governance matura e in grado di affrontare lo sviluppo di nuove strategie di gestione delle informazioni». Le potenzialità espresse dal CC sono certamente allettanti. La riduzione dei tempi di deployment, unita alle esigenze del business – però – espone a rischi di governance se l’utilizzo di tali servizi non è orchestrato in modo armonico con i meccanismi interni. «Per poter governare l’ecosistema ibrido, che si configura nel futuro delle infrastrutture ICT, è indispensabile – dice Belluzzo – approcciare il tema in modalità organica, a partire dall’organizzazione del demand, per proseguire nella armonizzazione all’interno dei processi di delivery e monitoring di servizi cloud based». Per questo è importante selezionare un partner tecnologico che sia un effettivo “co-designer” dei servizi erogati. InfoCert è spesso coinvolta anche nell’integrazione dei processi di governance con i sistemi di monitoraggio e misurazione degli SLA. 

Cloud e time to market

«I servizi cloud, in grado di garantire time to market molto rapidi ed elevata scalabilità, se associati a infrastrutture sicure best of breed disponibili su scala nazionale e internazionale, possono essere la risposta giusta alle attuali esigenze della banca» – spiega Andrea Bertoldo, responsabile servizi cloud di BT Italia (www.bt.com/it). Un caso interessante, nel portafoglio BT, è quello di un importante gruppo bancario nazionale che voleva gestire in autonomia i servizi “core” del gruppo risolvendo le esigenze di sicurezza, disponibilità e razionalizzazione delle risorse di un servizio di home-banking in ottica multicanale. Si tratta di servizi critici con migliaia di clienti e con forte impatto sulla relazione. La soluzione implementata prevede un’architettura di private cloud in alta affidabilità, affiancata da una soluzione di disaster recovery con RTO prossimi allo zero. Secondo Bertoldo, «l’adozione del CC richiede di mettere mano all’ICT governance, ma non esiste una ricetta comune, perché sono molti i fattori in gioco e i requisiti possono differire a seconda delle dimensioni e dell’organizzazione». COBIT e ITIL sono framework di riferimento per la misura dell’efficacia dell’ICT governance e costituiscono un’utile guida per separare chiaramente i ruoli e le responsabilità tra chi eroga il servizio e chi ne beneficia.

Leggi anche:  Qualys lancia una piattaforma cloud italiana

«Sempre più clienti chiedono il supporto a EMC per massimizzare non solo la conoscenza nelle tecnologie abilitanti, come quelle sviluppate da VMware, consociata di EMC, ma anche per l’esperienza maturata in molti progetti, per il cosiddetto ‘”jorney to cloud’” – afferma Giancarlo Marengo, responsabile enterprise North di EMC (italy.emc.com). «Un esempio di come i servizi cloud possano consentire di raggiungere vantaggi competitivi è quello di un’azienda leader nei sistemi di pagamento» – prosegue Marengo. «L’istituto – intendendo proporre un servizio di digital wallet, con una convergenza dei sistemi di digital e mobile payment – necessitava di una infrastruttura ICT abilitante all’approccio cloud, in grado di velocizzare al massimo i tempi di go-to-market e di fornire elevatissimi livelli di performance e scalabilità». Dopo la valutazione delle diverse proposte, la scelta è stata la soluzione Vblock di EMC e dei partner tecnologici Cisco e VMware, che ha consentito di completare il progetto in tempi record e garantire la capacità di sostenere un volume di transazioni elevatissimo. «In tutti i casi affrontati – dice Marengo – con il CC, l’ICT governance è stata fortemente rafforzata e questo richiede uno sforzo interno aggiuntivo da parte della banca da considerare a priori». Per Alberto Carrai, direttore commerciale di Able Tech, proprietaria del software ARXivar (www.arxivar.it) «la scarsa diffusione del CC tra i gruppi bancari italiani, 20% rispetto al 50% delle banche straniere, secondo dati della Convenzione Interbancaria per i Problemi dell’Automazione (CIPA), è effetto, almeno in parte, dell’inadeguatezza degli strumenti di governance». Quindi l’utilizzo più diffuso di COBIT e ITIL è più che mai necessario proprio per permettere alle banche di approdare in tutta sicurezza al CC. «COBIT e ITIL, e in generale l’ICT governance – spiega Carrai – hanno bisogno di tecnologie che permettano la corretta gestione dei documenti e dei processi a loro collegati». Able Tech, infatti, propone in quest’area ARXivar Cloud, uno strumento completo di esternalizzazione del document e process management, che sfrutta le risorse del cloud, assicurando automazione dei processi e sicurezza dei documenti e dei dati. Secondo Paolo Pittarello, founder e amministratore delegato di IKS (www.iks.it/), «è fondamentale porsi un obiettivo chiaro, stabilendo cosa si vuole ottenere dal cloud e definire il modello organizzativo. Poi è opportuno adottare best practices, ITIL e COBIT che possono offrire molti vantaggi per procedere per passi». I due strumenti sono molto utili e forniscono un quadro di riferimento per aiutare a definire i processi; occorre però adattarli e cucirli sulla organizzazione specifica. I modelli di CC sono, infatti, fortemente ispirati ai framework ITIL e COBIT, quindi la loro adozione agevola notevolmente anche il passaggio al cloud. Un grande gruppo bancario italiano ha coinvolto IKS nella progettazione e implementazione di strumenti e processi per trasformare il data center. L’obiettivo a lungo termine è la realizzazione di un private cloud, mentre l’obiettivo intermedio già raggiunto è stato un forte livello di automazione nel provisioning di servizi ICT. IKS ha poi collaborato anche con un centro servizi bancario per creare un public cloud che offre servizi IaaS e PaaS, attualmente erogati in modo tradizionale. IKS ha, infine, condotto un’interessante attività di analisi e definizione di un catalogo servizi ad hoc e supportato la realizzazione dell’infrastruttura.

Approccio Ibrido

«Dopo una prima fase di maggiore focalizzazione del mondo bancario su soluzioni di tipo private cloud, rileviamo una recente apertura nei confronti di modelli di servizio ibridi, in cui le risorse e le applicazioni on-premise e in cloud sono governate centralmente dall’ICT nel rispetto di SLA condivisi con il business» – afferma Giovanni Boniardi, cloud infrastructure consultant di IBM Italia (www.ibm.com/it). E’ questo il momento di ripensare l’ICT per servizi, rivedendo i processi di service management secondo efficienza e una chiara definizione dei compiti, automatizzando le attività ricorrenti e individuando i punti di controllo per un costante monitoraggio della qualità del servizio. A livello di ICT governante, è importante che la gestione della domanda avvenga da parte dell’ICT coinvolgendo sempre il business nella definizione dei livelli attesi di qualità, prestazioni e affidabilità. IBM offre piattaforme di cloud management capaci di indirizzare l’interoperabilità tra piattaforme miste, scongiurando il proliferare senza ritorno di soluzioni di gestione e integrazione ad hoc. «Le best practice riconducibili a ITIL – prosegue Boniardi – garantiscono un approccio globalmente efficiente all’intero ciclo di vita dei servizi e si rivelano quindi utili nella fase di ridefinizione dei processi. COBIT invece, come framework per il governo end-to-end dell’ICT, dà una mano importante nell’individuazione dei punti di controllo fondamentali per una governance efficace dell’ICT». Stefano Osler, amministratore delegato di Wildix (www.wildix.com) mette l’accento sul fatto che «alla base del miglioramento dei servizi, con la diffusione dei sistemi cloud, è necessario un sistema di comunicazione efficiente e versatile, in grado di collegare gli utenti in mobilità e gli ambienti multisede e di generare benefici sulla produttività e sull’ottimizzazione delle risorse». COBIT e ITIL sono framework utili anche a supportare la crescita della produttività e il potenziamento del marketing. «Per essere davvero efficaci – dice Osler – i SI devono garantire l’usabilità. Spesso, infatti, accade che istituti bancari adottino soluzioni costose e funzionali, ma non riescano a sfruttarle a pieno a causa della difficoltà di utilizzo». Una soluzione tecnologica, quindi, deve essere innovativa, performante e versatile, ma prima di tutto semplice e intuitiva per gli utenti. «Le banche sono sempre più attratte dall’idea di ricorrere all’application management per ridurre i costi dell’infrastruttura ICT e dedicarsi maggiormente alle attività core» – sottolinea Giovanni Mocchi, vicepresidente di Zucchetti Group (www.zucchetti.it). Sono clienti Zucchetti banche prestigiose, per le quali l’azienda ha realizzato progetti importanti soprattutto per la gestione del personale, sia lato amministrativo per la gestione delle paghe e delle presenze, sia dal punto di vista organizzativo per la valorizzazione del capitale umano, l’analisi delle performance, i piani di retribuzione e di carriera. All’inizio di quest’anno, ad esempio, Banca Popolare di Milano ha scelto la suite HR Infinity di Zucchetti per ottimizzare in logica end-to-end l’intero sistema di governance delle risorse umane del gruppo, oltre 10mila dipendenti, mediante un progetto di “HR transformation”. «Nella nostra esperienza – conclude Mocchi – possiamo dire che COBIT e ITIL sono più utilizzati come linee guida che come modelli assoluti di organizzazione dei processi». Maurizio Martinozzi, manager sales engineering di Trend Micro (www.trendmicro.it) richiama l’attenzione sul fatto che «orientandosi verso il cloud, la governance ICT deve affrontare il problema gravoso della gestione e sicurezza delle informazioni negli ambienti condivisi». In questo senso, COBIT e ITIL sono sicuramente utili e devono essere adottati per il controllo dei processi ICT e per garantire la conformità. Nel cloud, questi si rivelano cruciali per il governo e la sicurezza delle informazioni, contribuendo a definire con precisione la logica di “chi fa cosa” con relativi diritti di accesso e policy. «Prima di applicare sistemi di auditing e linee guida – spiega Martinozzi – bisogna investire sulla formazione del personale con l’obiettivo di accrescere la consapevolezza rispetto all’attenzione che è necessario prestare alle informazioni sensibili e ai rischi associati ai nuovi attacchi». Le esperienze sul campo vedono crescere la consapevolezza dei rischi che le nuove minacce comportano, sfruttando le vulnerabilità che tendenze come CC, accesso in mobilità o social network presentano. In particolare, l’avvento delle APT (advanced persistent threat), attacchi mirati e prolungati che hanno sempre più come obiettivo i servizi finanziari. «Ogni giorno un numero maggiore di banche – dice Martinozzi – sceglie di avvalersi di strumenti evoluti e intelligenti, aggiornati in tempo reale e in grado di effettuare un presidio costante di accessi, operazioni e rete. Tra questi c’è Deep Discovery, che offre un livello di visibilità e intelligence superiore per combattere gli APT».

Leggi anche:  Higeco sceglie OVHcloud

Conclusioni

Nello scenario competitivo che caratterizza il sistema bancario, il vantaggio fondamentale è quindi costituito dalla capacità di mettere in atto un’efficace ICT governance prima ancora di adottare tecnologie innovative e metodologie CC, per sviluppare un più elevato valore aggiunto. Tali scelte non si giustificano di per sé, ma si motivano solo in funzione dello stretto legame con il business e con le strategie e la cultura dell’impresa. Ricerca della flessibilità operativa, ICT governance, cloud computing, modello di business reattivo, sono condizioni necessarie per trasformare il veloce susseguirsi di cambiamenti in vantaggio competitivo. La grande opportunità risiede sempre, in definitiva, nella possibilità di combinare efficacemente la specifica competenza finanziaria con i nuovi strumenti e metodologie offerti dall’ICT.