Executive Cocktail

Come migliorare la gestione e la sicurezza in ambienti cloud e ibridi

Gestione dei dati e sicurezza sono aspetti irrinunciabili dell’IT aziendale, oggi divisa tra servizi interni ed esterni erogati in cloud, sistemi virtualizzati e software defined. Se ne è discusso in un recente Executive Cocktail organizzato da ZeroUno in collaborazione con IBM e ITD Solutions

Pubblicato il 21 Dic 2017

executive-cocktail-logo

“L’IT ibrido è il nuovo paradigma per il data center e il contesto dove si declinano gestione del dato e security”. Così Alessandra Zamarra, giornalista di ZeroUno, introduce l’Executive Cocktail, organizzato di recente da ZeroUno in collaborazione con IBM e ITD Solutions, dedicato al tema cruciale della gestione dell’IT nei nuovi contesti informativi in cui convivono servizi on premise e in cloud. Tematica sviluppata con l’aiuto di Stefano Mainetti, Responsabile Scientifico Osservatorio Cloud&ICT as a service del Politecnico di Milano, gli esperti di IBM e ITD Solutions e un panel di CIO e IT manager di medie e grandi aziende.

L’IT ibrido è una diretta conseguenza dell’affermazione dei servizi cloud: “Che aumentano anche in Italia dove il mercato vale circa 2 miliardi di euro [comprensivo dei sistemi per l’automazione del data center e convergenti, ndr] – precisa Mainetti -, e crescite in doppia cifra. Il solo cloud pubblico vale oggi un miliardo di euro sui 17 miliardi totali spesi dalle imprese per software, infrastrutture e consulenza IT”. Il percorso d’ibridazione con il cloud inizia di solito con la sperimentazione delle infrastructure-as-a-service (Iaas), seguito dall’implementazione di workload più importanti. “Questo oggi riguarda 4 aziende su 10 – spiega Mainetti -, mentre 6 su 10 hanno parti del software applicativo su cloud pubblico come software-as-a-service (Saas)”. Una volta sperimentata la rapidità e l’elasticità del cloud pubblico, nasce la voglia di far evolvere il SI aziendale con risorse virtualizzate, sistemi convergenti o iperconvergenti, quindi adottando modalità ‘software defined’ nella gestione di CPU, storage e networking fino a creare un data center automatizzato.

Un momento dell’Executive Cocktail

Ad arricchire l’analisi di questi trend interviene anche Maurizio Rizzi, Storage/sw Defined Solution leader di IBM Italia, per il quale la soluzione ai problemi della digital transformation è rappresentata proprio dall’ibridazione dei servizi on premise con quelli cloud: “Il cloud consente di accedere ad applicazioni sofisticate, come il nostro quantum computer [IBM Q, ndr], impossibile da avere on premise – spiega Rizzi –. Pensiamo che l’architettura ibrida sia la più adatta per sfruttare localmente o come servizio esterno le migliori tecnologie disponibili”. In un ambiente di servizi misti, erogati on premise e in cloud, è fondamentale svincolarsi dalla gestione fisica delle infrastrutture. Rizzi cita come esempio lo storage ‘software-defined’: “Supporta l’ambiente ibrido per disaster recovery, replica e compliance di legge che riguardano conservazione o disponibilità dei dati. Le tecnologie storage software defined offrono la garanzia di sapere dove si trova il dato in ambienti misti on premise e cloud”.

Come affrontare il problema della sicurezza

E questa garanzia è una premessa fondamentale alla corretta impostazione di una strategia di security. Partendo dall’ultima rilevazione Clusit sulla sicurezza informatica delle imprese italiane che rileva 571 attacchi gravi nel corso del primo semestre 2017 (in crescita dell’8,3% rispetto allo scorso anno), Mainetti si focalizza quindi sul tema della sicurezza per poi evidenziare come il cloud possa rappresentare una risposta efficace. Per Mainetti le tecniche di difesa ci sono, ma non sono molto usate: “Si fanno pochi backup e le policy di sicurezza non sono adeguate. Il cybercrime è ormai diventato un mestiere”. Le infrastrutture IT aziendali potrebbero rivelarsi presto inadeguate sul fronte sicurezza: “Il cloud potrebbe dare una mano grazie all’aggiornamento delle certificazioni che accompagnano i livelli di servizio”, dice Mainetti e il GDPR impone l’adozione di una serie di misure minime di sicurezza, “ma anche di entrare nel merito dei dati, per rimuoverli o consegnarli al possessore – continua Mainetti -. Cosa che richiede l’appoggio a un provider di servizi, la rivisitazione delle modalità organizzative e dei contratti di fornitura”. Sul fronte dell’organizzazione, Mainetti nota come solo la metà delle grandi imprese abbia oggi un responsabile della sicurezza delle informazioni; anche gli investimenti, circa 1 miliardo di euro all’anno, sono poca cosa rispetto ai 66 totali del mercato digitale italiano, di cui 17 in IT e servizi. “La sicurezza vale oggi solo un sessantesimo della spesa digitale. Se ci fosse lo stesso rapporto nella costruzione di un’auto chi si fiderebbe a guidarla?”, conclude Mainetti.

Un momento di confronto

L’importanza della tecnologia e dei servizi

Sergio Antonio Ajani, Solutions Development Manager di ITD Solutions spiega l’importanza di un giusto approccio alla sicurezza dei dati: “Deve essere olistico. Non bastano firewall e antivirus, serve preoccuparsi anche degli aspetti organizzativi e culturali, che sono l’anello debole”. Secondo Ajani il cloud può essere reso più sicuro “con soluzioni tecnologiche e architetturali che consentono di suddividere i dati su più cloud in modo che nessuno abbia una visione completa”.

Anche nel data center aziendale i dati corrono comunque dei rischi: “Serve un approccio a strati successivi, indirizzando ogni problema con la giusta tecnologia e occupandosi di processi e formazione del personale. Per la compliance GDPR, per esempio, ocorrono tecnologie e processi differenti da quelli per proteggere l’azienda dal furto d’informazioni”. Per Ajani la security richiede difese allo stato dell’arte ed esperti che abbiano visione completa dell’azienda. ITD Solution sta accompagnando i clienti nel percorso di adozione del software defined data center: “Questo richiede cambiamenti nel tradizionale approccio sistemistico verso DevOps, utilizzando uno stack di risorse virtualizzato. Nella nostra esperienza, la trasformazione inizia dallo storage, si propaga alla rete e poi ad appliance software defined e sistemi iperconvergenti a supporto di desktop virtuali o altri workload. Con alcuni carichi di lavoro è già oggi possibile trasferire applicazioni dal data center on premise al cloud senza interruzioni”.

Strategie e opinioni dei CIO sulla trasformazione IT

Le modalità di migrazione verso l’IT ibrida e i problemi affrontati, sono gli elementi d’esperienza più interessanti emersi nella tavola rotonda dell’evento.

Per Daniel Levasseur, Cyber & IS Manager di Laboratoires Boiron, il cloud non è una novità essendo impiegato in azienda da una decina d’anni con il sostegno del board: “L’abbiamo affrontato come progetto sia tecnico sia di business coinvolgendo le LOB nella ricerca delle tecnologie on premise e dei servizi adatti; rompendo i silos tra reparti e dando visibilità ai processi, prima di decidere”. Secondo Levasseur, questo lavoro ha consentito di collegare meglio i processi alle risorse necessarie (umane, tecnologiche, applicative, di servizio) e quindi agli aspetti di sicurezza e budget. “Costi, analisi del rischio, collocazione dei dati, livelli di servizio, disaster recovery, sono aspetti che l’azienda affronta preliminarmente nella scelta dei servizi cloud. L’ufficio legale ci ha dato supporto nell’analisi dei contratti con i provider, anche per evitare rischi di lock-in”.

Per Ruggero Platolino, IS Manager di Luxottica, la facilità di deploy delle nuove applicazioni in cloud ha sollecitato un rafforzamento dell’organizzazione IT per rispondere nei tempi richiesti ed evitare scavalcamenti da parte delle linee di business: “Serve evitare lo sviluppo di applicazioni parallele di shadow-IT con gravi rischi nel controllo di gestione e sicurezza. Il reparto IT non deve essere visto come freno alla trasformazione, ma attivarsi per l’utilizzo in piena sicurezza delle applicazioni cloud”.

Alberto D’Ettorre, Responsabile IT di CA Vita del gruppo Credit Agricole ha evidenziato i problemi organizzativi: “Non esiste una strada precisa per l’adozione del cloud e le varie organizzazioni si affidano a persone con differenti ruoli. Questo comporta commistioni di responsabilità tra IT e LOB; sul fronte sicurezza con chi fa internal auditing, compliance e risk. All’IT – spiega il manager – spetta poi il compito di tenere allineate persone ed esigenze differenti”. Far evolvere le organizzazioni in funzione della trasformazione digitale è un tema centrale per Mainetti, che cita l’esempio di Enel, il cui AD ha dichiarato nello scorso anno la necessità di fondere la direzione IT con il business e che sta passando tutto il proprio business in cloud.

Per Alberto Alliata, Responsabile SI di Caleffi, il cloud è oggi la scelta d’elezione per applicazioni di CRM (Salesforce) ed e-mail (Google): “Nella parte industriale non utilizziamo il cloud. C’è l’esigenza della vicinanza computazionale – spiega – risolvibile solo con l’infrastruttura locale: in alcune zone d’Italia poi, è ancora forte il problema della connettività ed è difficile immaginare di portare in cloud le attuali infrastrutture IT. Abbiamo deciso, per il momento, di virtualizzare ciò che gira in casa e riservare il cloud per i nuovi progetti che si interfacciano con l’utente finale”.

Per Daniele Lanfranchi, IT manager di B&B Italia, l’esigenza del cloud è oggi limitata: “Operiamo con produzioni di tipo classico e alcuni store all’estero che sollecitano evoluzioni nel networking. Mi piace l’idea del software defined, ma devo capire quanto è applicabile in termini di sicurezza. Utilizziamo in cloud Salesforce e la condivisione di file per garantire accessibilità continua di dati come contenuti digitali e disegni. Abbiamo approcciato la sicurezza con il rinnovo tecnologico dei sistemi, ma anche con percorsi culturali per le persone; ci stiamo impegnando per avere una regia unica nel monitoraggio di cosa viene scambiato in rete”

Fabrizio Locchetta, CIO di Siram (gruppo Veolia), sta invece lavorando a un progetto di migrazione totale verso il cloud che coinvolge sedi in 5 continenti: “Abbiamo in piano di chiudere i data center e dismettere entro due anni le suite Microsoft, compreso Active Directory, per passare al single-sign-on di Google – spiega il manager -. Tutto questo è stato annunciato dal CEO alla Borsa di Parigi lo scorso luglio e comporterà la migrazione degli utenti di Veolia sulla suite di Google”. L’azienda sta portando i dipendenti su Teamdrive, dismettendo il filesharing e l’impegno del CIO e del suo team è di rendere le persone responsabili dei dati che condividono, “e sui quali l’IT non ha più controllo”. Personale IT che ha fatto desktop management per anni è stato convertito come trainer su Google: “Stanno insegnando agli utenti a non salvare dati nelle cartelle e non mandare allegati e-mail; non è facile cambiare il modo di lavorare delle persone – commenta il manager -. Gente che usa le app sul proprio smartphone si trasforma in dinosauro in ufficio”. Intanto in Siram hanno cominciato a distribuire i Google Chromebook al posto dei PC: “È un oggetto che estremizza il concetto di sicurezza dell’endpoint, ma penso sia la strada giusta”, conclude Locchetta.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4