Da qualche anno, ormai, il cloud computing viene indicato ai vertici delle priorità aziendali. In realtà l'adozione del cloud è ancora piuttosto indietro. Certamente c'è stata una corsa alla virtualizzazione, che ha portato immediati vantaggi operativi, senza necessariamente incidere sull'organizzazione dell'IT aziendale o sull'architettura del sistema informativo.
I passi successivi, però, sono altra cosa. La virtualizzazione ha sicuramente contribuito a rendere più efficiente l'infrastruttura di computing, ma i vantaggi che possono arrivare da una massiccia astrazione tra livello fisico e logico e dall'orchestrazione via software delle risorse sono ancora tutti da cogliere nella stragrande maggioranza dei casi.
Il modello cui tendere per le medio-grandi e grandi imprese è quello ibrido: un cloud privato che massimizza l'efficienza interna e l'appoggio a cloud pubblici per aumentare l'agilità e gestire la variabilità nelle richieste di risorse.
Basta un certificato per dare fiducia a un provider?
Per le piccole e medie imprese può supporsi un modello analogo essenzialmente come eccezione, laddove per ragioni strategiche si voglia mantenere il controllo su qualche dato o applicazione. Perlopiù ha senso spostare tutto in cloud e gestire l'IT da remoto via Web. In nessun caso, però, è così semplice. Ci sono vari problemi che, in generale, dipendono dal livello di maturità di ciascuna azienda.
C'è il caso delle società già da tempo impegnate in progetti ITIL, che avendo sposato la filosofia dell'IT as a Service, si trovano pronte a compiere il passo verso un private cloud avanzato. Gli ostacoli, qui, sono pochi e, perlopiù, sono di natura economica, dovendo farsi i conti con investimenti pregressi.
In altre parole, c'è chi deve ancora prepararsi da un punto infrastrutturale, per esempio in termini di networking: in un sondaggio promosso da Allied Telesis emerge, tra l'altro, che in Italia è fortemente sentito un problema di connessione geografica (a tal proposito, si legga "Cloud: quanto sei pronto?").
Il marchio per il livello 2 di certificazione STAR
Ci sono, poi, aziende che stanno valutando se affrontare un processo di riorganizzazione. La logica IT as a Service lo impone certamente nelle grandi imprese, per le quali, alcuni vendor stanno proponendo anche piattaforme per un "self service" delle risorse utilizzabile direttamente dalle funzioni aziendali. Anche se sembra difficile che un marketing manager sappia valutare, per esempio, quale tipologia e quantità di storage possa servigli per una determinata attività su clienti e/o prospect.
Resta più probabile che l'IT aziendale o un partner esterno continuerà a svolgere un ruolo fondamentale nella selezione e scelta dei servizi cui appoggiare i processi di business. Sarà una funzione tecnica, ma che dovrà operare a stretto contatto con il business. Una sorta di "broker", che dovrà però assumere un atteggiamento proattivo, cercando di "vendere" all'interno l'innovazione.
In tutti i casi, con criticità ancora maggiori per chi vorrà o dovrà scegliere l'opzione ibrida, bisognerà fronteggiare la questione degli standard. Non solo in termini di "connettori" tecnici che evitino di rimanere vincolati a un fornitore, ma anche in termini di standard qualitativi.
MSP Alliance prevede un auditing di una terza parte
Oggi le imprese hanno a disposizione scarsi strumenti per valutare un provider. C'è ancora troppa confusione tra le nuvole: come scegliere il giusto provider è molto difficile, non potendosi confrontare offerte basate su parametri diversi e non sempre misurabili. L'unico punto di partenza è il contratto base. Da qui deve potersi trattare condizioni e garanzie e non è detto che basti fissare degli SLA (Service Level Agreement).
In aiuto, fortunatamente, stanno arrivano organizzazioni come Cloud Security Alliance e BSI (British Standards Institution), per esempio, che stanno lavorando e hanno promosso la Certificazione STAR (Security, Trust & Assurance Registry), pensata come integrazione della norma ISO/IEC 27001, che ne è quindi prerequisito essenziale. Una sorta di bollino di qualità.
Ci sono altre certificazioni che stanno prendendo piede e che vengono riconosciute a livello internazionale, come le norme della TIA (Telecommunications Industry Association), anche se queste certificazioni, a differenza di quelle prima segnalate, sono confezionate sui regolamenti statunitensi e penalizzano un po' le aziende europee.
Ciononostante, per esempio, Brennercom, cloud provider nazionale ben radicato nel territorio di Bolzano, ha ottenuto la certificazione in linea con le norme TIA 942 dall'istituto austriaco CIS (Certification & Information Security Services).
Il data center di Brennercom
Più precisamente, si legge in un comunicato che a Brennercom sono stati attribuiti i due più alti livelli di valutazione: il "Tier 4" e il "Tier 3", rispettivamente il 100% Tier 4 per gli aspetti riguardanti la rete di telecomunicazioni, il 55-45% per la sicurezza fisica e architetturale, l'86 e 14% per la sicurezza e continuità elettrica, l'82 e 18% per gli aspetti fisico-meccanici comprensivi di climatizzazione.
Anche Aruba ha dichiarato una conformità del proprio data center di Arezzo di livello Tier 4, senza specificare a quali parametri si riferisca.
Per comprendere meglio, osserviamo che la certificazione STAR può essere di più tipi: il primo livello è una sorta di autocertificazione, mentre il quarto prevede l'intervento di enti esterni.
Nel caso dei requisiti Tier 3 e Tier 4, ottenuti da Brennercom, questi comportano un downtime massimo rispettivamente di 1,6 ore (pari a una disponibilità al 98,982%) e di 26 minuti (99,995% di disponibilità).
Sono valori da riferire a un singolo data center, senza calcolare, dunque, il disaster recovery. Per esempio, Brennercom dispone di un secondo data center a Trento che replica quello di Bolzano con tempi di latenza fino a 1 millisecondo per le operazioni più critiche, secondo quanto affermato da Roberto Sartin, Head of Technical Division di Brennercom.
Esistono anche altre associazioni minori che hanno impostato regole per le certificazioni, ma sono in realtà dichiarazioni di intenti o pseudo assicurazioni, perché il provider è chiamato solo a compilare una lista di requisiti, senza alcun impegno.
Già più seria è la certificazione prevista dalla MSP Alliance. La Unified Certification Standard (UCS) per Cloud e Managed Service Provider, infatti, contempla un sistema di controllo. Più precisamente, il processo di certificazione deve essere validato da una terza parte, che effettua un audit periodica.
I requisiti che devono essere soddisfatti sono stati determinati dai provider, quindi basati su parametri specifici del settore, e sottoposti per una revisione a diverse agenzie governative ed enti normativi di vari paesi.
Purtroppo sono ancora una minoranza i provider che sentono il bisogno di certificare i propri servizi. Non è una banalità, basta ricordare il caso di Megaupload, un provider chiuso per vicende legali non ancora del tutto chiarite o, meglio ancora, quello di MediaMax.
Nel 2008 lo storage provider MediaMax fallì e il suo data center fu "spento". Ventimila clienti (abbonati paganti) persero i dati e i soldi. Nirvanix, il provider che rilevò le attività di MediaMax, rinnegò qualsiasi responsabilità. Peraltro, la stessa Nirvanix ha cessato le attività lo scorso ottobre, fortunatamente preavvisando i clienti ma dando loro solo due settimane di tempo per trovare un altro provider cui affidare i propri dati.
Chiaramente sarà il mercato a decidere le sorti dei vari fornitori di servizi in cloud, ma è lecito augurarsi che si arrivi a standard precisi, per evitare problemi nel caso si debba migrare rapidamente in previsione di uno shutdown e per riuscire a confrontare offerte, caratteristiche e contratti dei diversi provider, in modo da effettuare scelte consapevoli.