Analisi

Vendor lock-in dei servizi Cloud: come evitarlo

Alcune accortezze da prendere in considerazione già in fase di stipula del contratto. Per evitare di avere “brutte sorprese” nell’eventualità in cui decidiate di “staccare la spina” a un fornitore di servizi nella nuvola

Pubblicato il 25 Giu 2013

cloud-150311153509

La maggior parte di noi già sa per esperienza personale che il passaggio da un fornitore di servizi a un altro può essere impegnativo. Pensate, per esempio, al livello di frustrazione che avete sperimentato nel momento in cui avete deciso di cambiare la vostra compagnia telefonica, il provider Internet o quello di telefonia mobile.

La chiusura di una relazione con un fornitore di servizi è solitamente più dura rispetto alle altre interazioni che avete sperimentato con lo stesso, cosa questa che è una naturale conseguenza delle dinamiche di business.

Ammettiamolo, un fornitore di servizi di solito non è incline a fornire una procedura lineare di chiusura dei rapporti e, specie nelle relazioni con i concorrenti, dà spesso il peggio di sé.

Ma ciò di cui i clienti non si rendono conto è che i fornitori di servizi meno scrupolosi possono e, anzi, spesso lo fanno, creare dei veri e propri “intralci”, con l’intento specifico di bloccare i clienti. Lo scopo ultimo è di rendere il processo di transizione più difficile, progettando tutta una serie di “trucchetti” utili per favorire la fidelizzazione dei clienti creando delle “viscosità” nel loro passaggio ad altri provider. Questo accade per i servizi cloud, proprio come avviene in tutti gli altri rapporti con un service provider.

I fornitori di servizi cloud – ancora una volta, quelli meno scrupolosi – a volte rendono la transizione dalla loro piattaforma più difficile di quanto potrebbe essere. Un modo di farlo è attraverso i “controlli di sicurezza”. Lo scopo dei controlli di sicurezza è di limitare l’accesso ai dati, cosa che di fatto rende più facile per un fornitore di servizi invocare questi “requisiti di sicurezza” come scusa per rifiutarsi di fornire pezzi critici di dati che potrebbero agevolare una transizione graduale.

È importante fare, già in fase di stipula del contratto, alcune domande su come i controlli di sicurezza sono stati progettati, in modo da riuscire a evitare il vendor lock-in per i servizi cloud sottoscritti. Ecco alcune delle domande da porre e alcune strategie da mettere in atto per mantenere il più possibile liberi da vincoli i servizi che si acquistano.

Domanda 1: chi possiede i vostri dati?

Un argomento importante è la proprietà dei dati inviati ai fornitori di servizi. A meno che non venga contrattualmente stabilito che la proprietà dei dati è specificamente la vostra, la risposta alla domanda “chi possiede i dati” potrebbe essere meno chiara di quanto si pensi. I fornitori di servizi affidabili riconoscono che i dati sono vostri senza bisogno di essere invitati a farlo, tuttavia non tutti i provider sono altrettanto rispettabili. Ricordatevi sempre di stabilire contrattualmente che la proprietà dei dati rimane della vostra organizzazione per tutta la durata dell’incarico.

Domanda 2: in che modo il vostro fornitore di servizi dovrà ridarvi indietro i vostri dati?

Supponendo di mantenere la proprietà dei dati, la questione diventa allora come e in quale formato il vostro fornitore di servizi ve li riconsegnerà nell’eventualità dell’interruzione del vostro rapporto. Scoprire a conclusione di un contratto che il provider vi fornirà i dati in un unico formato (a volte non facilmente utilizzabile, come nel caso del backup su nastro attuato con strumenti e tool che voi non avete in casa) potrebbe rivelarsi controproducente.

Negoziare contrattualmente che si desidera ricevere i dati in un formato specificato, idealmente ogni volta che si decide di farne richiesta, è un ottimo modo per cautelarsi contro questi rischi. Buona norma è anche compiere dei test peridici, per assicurarsi che il provider sia in grado di soddisfare realmente le vostre esigenze in anticipo, evidando eventuali contrattempi proprio nel mezzo di una transizione.

Domanda 3: è possibile accedere ai propri dati?

Cercate di venire a conoscenza di eventuali controlli di sicurezza applicati ai dati, come la crittografia, che potrebbero impedire l’accesso logico ai record anche se logicamente in vostro possesso.

Ad esempio, se i dati sono cifrati, avete accesso alle chiavi di decrittografia? Anche in questo caso, verificate per tempo il processo da mettere in atto per assicurarvi di essere in grado di ottenere effettivamente tutti gli elementi afferenti ai dati. Prestate particolare attenzione alle strutture dei database, che possono prevedere la cifratura a livello di colonna applicata a elementi particolari in quanto questi:
a) potrebbero non essere immediatamente evidenti nel corso di un’esportazione raw
b) potrebbero richiedere uno sforzo ulteriore da parte del fornitore di servizi per la fornitura di chiavi particolari se la crittografia è compiuta a livello dell’applicazione. Può anche essere utile depositare le chiavi di cifratura dei dati presso la vostra sede, come una forma di garanzia e tutela nel caso in cui un fornitore cessi le proprie operazioni: in questo modo non dovrete essere costretti a rintracciare e fare affidamento sul suo personale, disoccupato e ormai demotivato dopo il fatto.

Domanda 4: come avviene l’accesso alle risorse?

Nelle formule del tipo Infrastructure-as-a-Service (IAAS), quando i dati includono le immagini virtuali, assicuratevi di avere la capacità di ottenere l’accesso amministrativo a entrambi i livelli delle applicazioni e del sistema operativo sottostante. Non è sempre banale ottenere questo tipo di accesso quando non si conosce la password di amministrazione, anche qualora si disponga di un accesso fisico ai dati e alle risorse. Quindi, se il vostro provider vi sta restituendo immagini delle macchine virtuali in uso, assicuratevi di ottenere l’accesso al livello delle applicazioni e dei sistemi operativi che girano su queste VM.

Domanda 5: ho accesso ai dati degli utenti?

Tenete a mente sempre che potreste avere necessità di altre informazioni accessorie al di là dei dati grezzi, per assicurarvi che i vostri servizi procedano senza interruzioni. Per esempio, se il provider di servizi utilizza un archivio dati che contiene informazioni sugli utenti (quali la loro identità, i ruoli, i diritti e le informazioni di autenticazione), è necessario che voi vi assicuriate di avere accesso a tutti questi dati. Garantitevi la possibilità di recuperare questi dati, nonché le informazioni di supporto dell’utente, in quanto tali record possono essere conservati separatamente dai dati relativi alle applicazioni.

Conclusioni

Va da sé che i prestatori di servizi possono essere inclini a rendere facile la transizione dalla loro piattaforma a quella di un concorrente. Tuttavia, essere consapevoli dei modi in cui i provider potrebbero tentare di bloccarvi e testare i processi che sostengono una transizione pulita è una solida strategia per evitare il vendor lock-in.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2