Nella ricerca dell’equilibrio “perfetto” per gestire i carichi di lavoro IT, fra la migrazione in cloud da una parte e il mantenimento delle infrastrutture on premise dall’altra, non è così raro che i Chief Information Officer possano trovarsi ad affrontare sorprese impreviste. Molte imprese tendono infatti a orientarsi verso le piattaforme cloud più strutturate e diffuse come AWS (Amazon Web Services), Microsoft Azure e Google Cloud Platform, perseguendo una scelta assolutamente comprensibile per ragioni di affidabilità e prestazioni (e per certi aspetti anche di costo) e per garantire agilità, resilienza e innovazione al proprio business. Ma c’è un rovescio della medaglia, che cela per l’appunto insidie spesso sottovalutate e che impongono ai manager It un’attenta riflessione sulla governance del rischio.
Come si verificano i livelli di sicurezza
Il problema più importante, secondo vari esperti, è di tipo strutturale: l’adozione di piattaforme standardizzate riduce infatti lo spazio per una “due diligence IT” realmente efficace. Salvo rare eccezioni che riguardano le grandi organizzazioni, la verifica dei livelli di sicurezza, conformità e continuità operativa degli ambienti cloud si ferma a una reportistica basilare (come il rispetto del regolamento Gdpr per la privacy dei dati) che ha validità momentanea. Il quadro si complica ulteriormente con l’adozione di architetture multi-cloud o ibride, dove la combinazione di servizi di tipo software, infrastrutturale e applicativo (SaaS, IaaS e PaaS) moltiplica i punti di contatto e di vulnerabilità con i fornitori esterni. Dove sta quindi il rischio? Nel fatto che i team IT aziendali investono notevoli risorse per configurare e personalizzare ambienti cloud calibrati su specifici requisiti operativi e normativi, ma tale sforzo può essere vanificato da modifiche applicate a livello globale da provider che vanno a sovrascrivere (per proprie esigenze di ottimizzazione) le impostazioni create dall’azienda utente.
Come si tutela la sovranità dei dati?
Un secondo importante tema, quanto mai di attualità rispetto alle turbolenze geopolitiche di queste ultime settimane, è la sovranità dei dati. Fa riflettere, in tal senso, una recente proposta lanciata dal Dipartimento del Commercio degli Stati Uniti che mira a vietare in ambienti cloud nazionali l’addestramento di modelli di intelligenza artificiale da parte di aziende cinesi. Le interconnessioni globali tra aziende e fornitori rendono però difficile tracciare i confini di responsabilità e diventa di conseguenza necessario considerare anche il “rischio del quarto livello”: non solo i fornitori diretti, ma anche i partner dei partner potrebbero violare norme internazionali.
I fattori trasparenza e accountability
Non in ultimo, Cio e responsabili IT devono fare i conti con le componenti di trasparenza e accountability del cloud (molte piattaforme offrono l’accesso ai log delle attività svolte nella nuvola solo a pagamento) e con quella dell’effettiva scalabilità. La certezza che, al bisogno, il cloud diventi dimora sicura dei propri dati e offra capacità aggiuntiva di elaborazione all’infinito è già venuta meno in occasione di eventi catastrofici come gli attacchi alle Torri Gemelle del 2001 o la pandemia di Covid-19. La realtà, come confermano diversi analisti, è che le risorse non bastano per tutti. Serve in altre parole un approccio selettivo alla scalabilità e solo in presenza di un accurato piano di emergenza per assicurare priorità di funzionamento ai servizi essenziali senza i quali l’azienda non può operare, il cloud può costituire una risposta realmente sostenibile nelle situazioni straordinarie. E non è così consigliabile, per garantirsi maggiore resilienza e la possibilità di migrare repentinamente in cloud, una strategia (seppur accurata) di diversificazione dei fornitori, perché proprio l’eccessiva frammentazione introduce complessità e la complessità, come evidenziano gli analisti di Gartner, non è amica della sicurezza informatica. Anziché moltiplicare gli ambienti in cui distribuire le proprie informazioni e le proprie applicazioni, è molto più efficace poter sfruttare le disponibilità offerte da un singolo provider.
C’è, in ultima analisi, anche un ostacolo di natura culturale, e riflette la resistenza all’automazione dei processi di gestione della sicurezza da parte di alcuni Cio: in McKinsey la considerano una delle cause che rallentano la messa a terra dei benefici economici e operativi promessi dal computing nella nuvola. Resta il fatto, ed è un punto su cui tutti convergono, che il cloud non è più un’opzione: che si tratti di infrastrutture, piattaforme o applicazioni, questa “tecnologia” è ormai parte integrante di ogni processo aziendale e la vera questione non è se adottarla, bensì trovare il modo di farlo con visione e consapevolezza.
