Cloud computing significa libertà di scegliere il proprio mix di servizi. Ma come essere sicuri che dopo aver esternalizzato il servizio rimarrà conforme a norme e specifiche? Per esempio mantenendo gli stessi processi utilizzati per gestire l’infrastruttura interna. Questa la ricetta di Fabio Violante, Cto di Bmc Software.

Il cloud computing offre la libertà di poter scegliere il giusto mix di servizi – interni ed esterni – che rispondono al meglio alle proprie necessità di business. Nel determinare se trasferire un servizio nel cloud pubblico, uno dei fattori fondamentali da considerare è la necessità per il servizio di rispettare una certa conformità a livello normativo. Di primo acchito, si potrebbe pensare di dover semplicemente dire “no” all’outsourcing di qualsiasi servizio che debba essere conforme a norme specifiche. Tuttavia, questo approccio limita la flessibilità nel creare la combinazione ottimale di servizi interni ed esterni. E bisogna tenere a mente che i fornitori di public cloud stanno continuamente migliorando i loro livelli di sicurezza e conformità, rendendo così possibile spostare più servizi su cloud pubblico. Mantenendo aperte tutte le possibilità, si potrà beneficiare delle ulteriori opportunità offerte dal cloud pubblico, man mano che emergeranno.
Come è allora possibile spostare servizi nel cloud garantendo al contempo che tali servizi siano conformi alla normativa? La risposta è utilizzare una strategia basata su un approccio esteso e su una piattaforma unificata per i processi IT. Si possono sfruttare soluzioni e processi utilizzati per gestire l’infrastruttura interna, semplicemente estendendoli verso l’ambiente public cloud.
Di seguito alcuni consigli che possono essere utili sul tema:

 

1. Categorizzare i servizi

È possibile scegliere tra una gran varietà di servizi di public cloud. Tra questi, Software as a Service (SaaS), Platform as a Service (PaaS), e Infrastructure as a Service (IaaS), oltre a servizi business individuali che si possono integrare con i propri sistemi in-house a supporto di processi di business complessi. Per esempio, è possibile integrare un servizio esterno di elaborazione carte di credito con un sistema interno di immissione ordini, o integrare un motore di ricerca esterno con un sito web gestito internamente.
E’ possibile iniziare analizzando i servizi che possono tendenzialmente andare nel cloud, suddividendoli in tre categorie principali, in base alle rispettive richieste di monitoraggio e gestione. La prima categoria comprende quei servizi che non hanno standard di quality of service servizio o di conformità normativa da rispettare. Si possono spostare questi servizi nel public cloud con un rischio minimo o nullo per l’organizzazione. Per esempio, sarà possibile beneficiare di offerte PaaS per ottenere piattaforme IT dedicate agli vostri sviluppatori di applicazioni. E sarà possibile utilizzare questi servizi rapidamente ed in modalità “pay-as-you-go”, evitando spese iniziali.
La seconda categoria include i servizi che hanno livelli di servizio da rispettare, regolati da service level agreement (SLA). Questi servizi richiedono monitoraggio e gestione per garantire che tali impegni vengano rispettati. Per esempio, se si spostano i processi di service desk, si deve comunque garantire che questi rispondano ai requisiti di disponibilità e performance specificati negli SLA.
Generalmente, le risorse che si trovano nel cloud pubblico non possono essere monitorate e gestite allo stesso livello delle risorse che invece si trovano su cloud privati. Scalare queste risorse in maniera crescente o decrescente dipende tipicamente dal fornitore del servizio, e non da chi lo utilizza. Tuttavia, è possibile utilizzare soluzioni di business service management per monitorare proattivamente e per gestire la disponibilità e le performance di servizi di public cloud.
La terza categoria consiste in servizi caratterizzati da conformità normativa. Il primo pensiero potrebbe essere di dire semplicemente “no” all’outsourcing di questi servizi, per timore di introdurre il rischio di non-conformità. Tuttavia, come menzionato già accennato, questo approccio potrebbe limitare la flessibilità nel poter creare la combinazione ottimale di servizi interni ed esterni.

 

2. Sviluppare, documentare, e applicare policy di conformità interna
È importante dare un’occhiata a tutte le normative che hanno un impatto sui servizi IT nel mercato di riferimento, per poi sviluppare e documentare le policy di conformità legate alla gestione di tutti i servizi generati internamente, sia cloud che non-cloud. Alcune di queste saranno normative legali, altre standard di mercato.
Tali normative specificano vari criteri a cui le organizzazioni IT devono essere conformi. Possono inoltre includere disposizioni a tutela, ma anche specifiche a livello amministrativo, fisico, tecnico o di implementazione.
E’ necessario stabilire policy che traducano le normative rilevanti e gli standard in processi e procedure a cui l’organizzazione IT deve attenersi, e rendere quindi pubbliche tali policy e procedure all’organizzazione IT interna.
Nella maggior parte delle aziende, l’infrastruttura IT è eterogenea, e vede un passaggio graduale dall’ambiente attuale verso un ambiente cloud. Potrebbero essere presenti sistemi fisici dedicati, sistemi virtuali, e sistemi cloud privati. La tecnologia che viene man mano implementata dovrebbe consentire di gestire l’intera infrastruttura in maniera unificata rispetto alla compliance.

 

3. Estendere le policy di conformità interne ai fornitori di Public Cloud
La maggior parte dei provider di servizi di public cloud rende note le proprie opzioni di conformità, in modo che i clienti possano visionarle. Tuttavia, sta al cliente conciliare l’offerta del fornitore cloud con le proprie policy. Mentre non è possibile monitorare, gestire e controllare direttamente tutti gli aspetti delle disposizioni a tutela di tipo amministrativo, fisico e tecnico del fornitore, è possibile tradurre le proprie policy di conformità interne in un modulo che sia adeguato per i fornitori esterni, per poi rendere note queste policy aggiornate.
Questo tipo di trasformazione può rappresentare uno sforzo importante e potrebbe coinvolgere alcuni processi manuali. Alcune aziende hanno instaurato un percorso di collaborazione con i loro service provider, invitandoli a completare una checklist completa di conformità.
Inoltre, è possibile richiedere che i provider esterni attestino la loro conformità con le policy pubbliche dei clienti. Questo approccio consente di estendere il rigore delle proprie disposizioni di conformità interne ed i relativi processi di autenticazione ai service provider esterni.

 

4. Offrire una gestione efficiente dei fornitori
Oltre a monitorare e gestire i servizi che vengono spostati nel cloud pubblico, è importante assicurarsi di monitorare e gestire anche i fornitori di servizi public cloud con la stessa attenzione che viene applicata nei confronti di altri vendor.
Per prima cosa, è importante valutare e selezionate i vendor di maggior valore attraverso una revisione delle rispettive best practice e dei processi di approvazione. Una volta selezionato il vendor, vanno controllate le sue effettive performance rispetto agli impegni predefiniti. Infine, è necessario ottimizzare e consolidare continuamente il gruppo dei vendor dai quali ci si serve, attraverso un programma sistematico e basato sui fatti, per una gestione strategica dei vendor basata su analisi e reporting a livello di gruppo.
Le soluzioni di supplier management consentono di gestire l’intero ciclo di vita dei fornitori – dalla valutazione iniziale fino alla cessazione della collaborazione. Si tratta di soluzioni che centralizzano le informazioni dei vendor e aiutano ad adottare i processi critici, a tenere traccia dell’andamento finanziario e delle performance per misurare i risultati rispetto agli impegni stabiliti.

Non dire “No”
Il public cloud offre un’ampia varietà di servizi che possono essere combinati con servizi forniti internamente per rispondere alle richieste di business. Invece di dire semplicemente “no” ai servizi di public cloud che sono sotto controllo normativo, può essere utile seguire i consigli proposti. In questo modo, sarà possibile ottenere maggiore flessibilità per creare il mix perfetto di servizi forniti internamente ed esternamente per offrire il massimo valore di business massimo per la propria organizzazione.

 

Fabio Violante, autore di questo articolo, è CTO EMEA presso BMC Software