Cloud computing: opportunità nella "nuvola" per le PMI
1. takeITeasy
Business Strategia Norme
Persone Informazioni Processi
Strumenti
ApplicazioniInfrastruttura
Innovazione a 360 : ottieni il massimo dal tuo business
Gli investimenti IT non sono più un azzardo.
presenta
webITeasy
“Seminari in pillole sul web”
http://gruppo-takeiteasy@blogspot.com
takeITeasy è anche su
takeITeasy 1
2. Cloud Computing:
opportunità nella “nuvola” per le PMI
takeITeasy
Relatori:
• Gabriella Molinelli – Networking & Security Consulting srl
• Stefano Bendandi – Studio Legale Bendandi
• Massimiliano Pian – Nicolini & Commercialisti Associati
http://gruppo-takeiteasy@blogspot.com
3. Indice
1. Introduzione
1.1 Cenni storici
1.2 Gli ultimi anni
2. Qualche elemento in più
2.1. Definizioni
2.2. I vantaggi della “nuvola”
2.3. Cosa si dice…
2.4. Ambiti di applicazione
3. Punti di attenzione
3.1. Aspetti generali
3.2. Sicurezza dei dati
3.3. Aspetti legali
3.4. Contratto
4. Conclusioni
http://gruppo-takeiteasy@blogspot.com takeITeasy 3
4. 1. Introduzione
1.1. Cenni “storici”
L’evoluzione della tecnologia nel campo della connettività e la
necessità di trovare nuovi servizi per le imprese, hanno portato
negli ultimi anni ad un radicale cambiamento nell’offerta di servizi,
piattaforme, prodotti ed infrastrutture informatiche.
http://gruppo-takeiteasy@blogspot.com takeITeasy 4
5. 1. Introduzione
1.1. Cenni “storici”
Modalità di
acquisto
tradizionale
Investimento diretto
dell’impresa
&
HW SW
Anni ’90
Application
Service Provider
Canone di noleggio
annuale
http://gruppo-takeiteasy@blogspot.com takeITeasy 5
6. 1. Introduzione
1.2. Gli ultimi anni
Evoluzione della tecnologia Innovazione dell’offerta
Nuovo modello di business
http://gruppo-takeiteasy@blogspot.com takeITeasy 6
7. 1. Introduzione
1.2. Gli ultimi anni
L’esempio del mercato della musica
Evoluzione della tecnologia Innovazione dell’offerta
Nuovo modello di business
http://gruppo-takeiteasy@blogspot.com takeITeasy 7
8. 1. Introduzione
1.2. Gli ultimi anni
Il Cloud ha aperto nuove possibilità per le imprese di dotarsi di strumenti ed
infrastrutture IT
Cloud Computing da Prodotto a Servizio
http://gruppo-takeiteasy@blogspot.com takeITeasy 8
9. 2. Qualche elemento in più
2.1. Definizioni (da Wikipedia)
Cloud computing (in italiano nuvola informatica): indica un insieme
di tecnologie che permettono di memorizzare/archiviare e/o elaborare
dati (tramite CPU o software) grazie all'utilizzo di risorse hardware e
software distribuite e virtualizzate in Rete.
Software as a Service: dove un produttore di software sviluppa, opera
(direttamente o tramite terze parti) e gestisce un'applicazione web che
mette a disposizione dei propri clienti via internet.
http://gruppo-takeiteasy@blogspot.com takeITeasy 9
10. 2. Qualche elemento in più
2.2. I vantaggi della “nuvola”
L‟utilizzo di servizi in CLOUD consente di cogliere alcuni vantaggi importanti:
ridurre gli investimenti IT per l‟impresa,
variabilizzare i costi, rendendoli certi,
ridurre la necessità di investire in competenze interne per la
gestione dell‟infrastruttura e l‟aggiornamento del software.
Vi sono, inoltre, altre caratteristiche “tecniche” che rendono l‟offerta appetibile:
disponibilità ovunque
rapidità di implementazione
facilità di utilizzo
aggiornamento costante del software
scalabilità della soluzione
http://gruppo-takeiteasy@blogspot.com takeITeasy 10
11. 2. Qualche elemento in più
2.3. Cosa si dice…
Il treno SaaS piace sempre di più alle aziende
(07/07/2011)
Gartner non ha dubbi. Il software-as-a-service è il treno sul quale sempre più aziende
stanno salendo. Il mercato SaaS, afferma la nota società di ricerca e consulenza,
crescerà nel 2011 a livello mondiale del 20,7%, toccando un valore complessivo di
12,1 miliardi di dollari, e continuerà la sua inarrestabile ascesa superando i 21
miliardi di giro d‟affari nel 2015.
Cloud computing: mercato a quota 68,3 mld nel 2010.
In crescita l'adozione nelle aziende (25/06/2010)
Cloud computing: la “nuvola” non è solo una moda,
ma la soluzione per migliorare la competitività (11/05/11)
Il SaaS non spaventa più (22/09/11)
Le aziende si affidano al SaaS (12/04/10)
Esperienze italiane di SaaS. Il cloud si fa concreto
(16/02/11)
http://gruppo-takeiteasy@blogspot.com takeITeasy 11
12. 2. Qualche elemento in più
2.4. Ambiti di applicazione
Infrastrutture di telecomunicazioni
Servizi di sicurezza dei sistemi
Ottimizzazione dell‟utilizzo della banda trasmissiva
Videoconferenze
Sistemi gestionali
Piattaforme di sviluppo grafico
Servizi di archiviazione
………
http://gruppo-takeiteasy@blogspot.com takeITeasy 12
13. 2. Qualche elemento in più
2.4. Ambiti di applicazione: alcuni esempi
Data Center in cloud
Antivirus, anti malware, phishing , email reputation, Data Loss Prevention, …
Web Content Filtering
WAN Optimization Solution
Webex, Meeting on line, Skype, …
Contabilità in server farm, servizi di logistica, controlli produzione, …
CAD, Katia, 3D, …..
Dropbox, Google+, ….
http://gruppo-takeiteasy@blogspot.com takeITeasy 13
14. 3. Punti di attenzione
3.1. Aspetti generali
Esistono però alcuni aspetti, considerati fattori critici, la cui analisi preventiva è
necessaria al fine di avere piena consapevolezza di cosa significa usufruire di
servizi in CLOUD, per poter coglierne appieno i vantaggi.
In particolare, i punti di attenzione si possono classificare in tre macro-aree:
• definizione degli standard di rete e di infrastruttura relativi alla sicurezza
dei dati;
• vincoli normativi e di legge relativi al trattamento dei dati personali ed
alla proprietà intellettuale;
• definizione degli aspetti contrattuali e negoziali che regolano il rapporto
tra il fornitore del servizio e l‟azienda.
+ +
http://gruppo-takeiteasy@blogspot.com takeITeasy 14
15. 3. Punti di attenzione
3.2 Sicurezza dei dati
Inoltre, l‟adozione di servizi CLOUD può portare ad ulteriori benefici, tra i
quali, la possibilità di fruire di:
soluzioni di sicurezza superiori ai propri standard interni;
organizzazioni di sicurezza difficilmente realizzabili nelle proprie realtà
interne;
servizi standard e aperti che superano gli approcci proprietari tipici delle
soluzioni adottate in ambiti più ristretti.
Infatti, i fornitori di servizi cloud possono fare leva sulle economie di scala
per riuscire a realizzare soluzioni molto più evolute e performanti rispetto a
quelle che sono implementabili, a parità di investimenti, da più soggetti su
una molteplicità di realizzazioni di minori dimensioni.
http://gruppo-takeiteasy@blogspot.com takeITeasy 15
16. 3. Punti di attenzione
3.2 Sicurezza dei dati
Dal punto di vista degli aspetti legali e normativi, utilizzare un servizio in
Cloud come il SaaS significa condividere, conservare ed utilizzare propri dati
ed applicazioni su server di proprietà o gestiti da terzi, ai quali si può
accedere attraverso Internet. Il fornitore terzo deve, perciò, adottare tutte le
misure di sicurezza tecniche, fisiche ed organizzative idonee a tutelare:
Riservatezza Integrità Disponibilità
http://gruppo-takeiteasy@blogspot.com takeITeasy 16
17. 3. Punti di attenzione
3.2 Sicurezza dei dati
Il cloud computing offre la possibilità di gestire in remoto
tutti i dati, siano essi aziendali che privati.
ATTENZIONE
La responsabilità della corretta gestione dei dati dipende:
sia da parte di chi li affida in custodia
sia da parte di chi ne acquisisce la custodia
Se la RISERVATEZZA, l‟INTEGRITA’ e la DISPONIBILITA’ dei dati sono
necessità assolute, occorre valutare attentamente che l„operatore che offre
servizi in cloud sia in grado di garantire la bontà del servizio reso, rendendo note
anche le relative caratteristiche tecniche, le competenze IT del personale
preposto, l‟aggiornamento tecnologico e normativo.
http://gruppo-takeiteasy@blogspot.com takeITeasy 17
18. 3. Punti di attenzione
3.2 Sicurezza dei dati
Oggi il maggiore dei “rischi emergenti” è il rischio che arriva dal mondo virtuale,
che è un rischio reale, in rapida crescita e percepito anche ai livelli più alti del
management.
Anche i sistemi più raffinati possono andare in crisi se non adeguatamente
supportati dal “fattore H” (human factor): non c‟è ancora abbastanza attenzione
al fattore umano, al rispetto delle procedure, alla regolamentazione dell‟accesso
alle informazioni, così come trascurata appare a volte la formazione delle
persone.
L‟approccio sinergico e la gestione del rischio integrato permetterebbero di
armonizzare ed ottimizzare meglio i diversi strumenti di governo del rischio
http://gruppo-takeiteasy@blogspot.com takeITeasy 18
19. 3. Punti di attenzione
3.2 Sicurezza dei dati
Per attivare i servizi in cloud, occorre tenere conto di:
disponibilità di banda larga
tipologia di accesso (connessioni crittografate, protezione accesso
con credenziali di autenticazione, …)
verifica delle procedure necessarie (per esempio nomina del AdS e
modalità di storage/controllo dei dati in cloud, …)
modalità di backup, in caso di indisponibilità dei dati
Cloud Computing = trasferimento su Internet delle attività informatiche
Modello “just in time” delle risorse aziendali
http://gruppo-takeiteasy@blogspot.com takeITeasy 19
20. 3. Punti di attenzione
3.3. Aspetti legali: quadro di riferimento
D.lgs. 196/03 Codice in materia di protezione dei dati personali
ISO27001 Standard internazionale per la definizione dei requisiti per
impostare e gestire un sistema di gestione della sicurezza delle informazioni
PCI DSS (Payment Card Industry - Data Security Standard)
Standard internazionale di sicurezza per tutte le aziende che memorizzano,
elaborano o trasmettono numeri di carte di credito.
Direttiva 95/46CE Costituisce il testo di riferimento, a livello europeo, in
materia di protezione dei dati personali.
http://gruppo-takeiteasy@blogspot.com takeITeasy 20
21. 3. Punti di attenzione
3.3 Aspetti legali
Chi intende avvalersi della tecnologia cloud deve esigere il rispetto di garanzie
appropriate, per i seguenti motivi:
1) tutelare le informazioni relative al proprio business per via del loro valore e
rispettare gli obblighi di conformità ( compliance) posti da leggi (es. T.U
privacy) o da standard di settore (es. ISO 27001, PCI-DSS)
2) bilanciare la "vulnerabilità" della perdita di controllo insita nell'affidamento
ad un servizio esternalizzato, soprattutto nel caso di software
In poche parole l'azienda titolare non è mai del tutto esonerata dalla
responsabilità di proteggere adeguatamente i propri dati ed informazioni, per il
semplice fatto di avvalersi di servizi IT esternalizzati ! Piuttosto, alla sua
responsabilità si affianca quella del fornitore dei servizi, quale custode dei dati.
http://gruppo-takeiteasy@blogspot.com takeITeasy 21
22. 3. Punti di attenzione
3.3 Aspetti legali
L'impossibilità di liberarsi da una responsabilità e la necessità di gestire
adeguatamente i rischi , "impone" all'azienda di essere diligente:
1) nella scelta del fornitore che deve essere in possesso dei requisiti
quantitativi (es. dimensioni, capitale sociale, solidità finanziaria) e
qualitativi (es. reputazione, possesso di certificazioni specifiche del mondo
IT, adeguatezza delle infrastrutture, ecc...) idonei
2) nella valutazione e/o negoziazione del contratto di servizio e dei suoi
eventuali parametri tecnici (SLA)
Il contratto gioca un ruolo cruciale nel garantire che i servizi in cloud siano
bilanciati ed adeguati alle esigenze di continuità operativa dell'azienda e di
protezione delle proprie risorse !
http://gruppo-takeiteasy@blogspot.com takeITeasy 22
23. 3. Punti di attenzione
3.3 Aspetti legali: cosa dice il Garante
Ponderare prioritariamente rischi e benefici dei servizi offerti
Effettuare una verifica in ordine all’affidabilità del fornitore
Privilegiare i servizi che favoriscono la portabilità dei dati
Assicurarsi la disponibilità dei dati in caso di necessità
Selezionare i dati da inserire nel cloud
Non perdere di vista i dati
Informarsi su dove risiederanno, concretamente, i dati
Attenzione alle clausole contrattuali
Verificare le politiche di persistenza dei dati legate alla loro
conservazione
Esigere e adottare opportune cautele per tutelare la
confidenzialità dei dati
Formare adeguatamente il personale
http://gruppo-takeiteasy@blogspot.com takeITeasy 23
24. 3. Punti di attenzione
3.3 Aspetti legali: dati personali
Nell'ambito degli obblighi di protezione dei dati personali che incombono sul
titolare, si inseriscono alcuni aspetti critici :
1) la necessità di nominare il fornitore come responsabile esterno del
trattamento, relativamente ai dati affidati alla sua custodia
2) la garanzia da parte del fornitore di rispettare le misure di sicurezza
minime ed idonee, con possibilità da parte del titolare di esercitare i controlli
3) l'esistenza di procedure che agevolino l'esercizio dei diritti da parte degli
interessati (soprattutto per quanto riguarda le garanzie di cancellazione)
4) l'impossibilità di trattare i dati per finalità diverse da quelle acconsentite
dagli interessati
5) l'esistenza di chiare indicazioni sull'ubicazione fisica dei dati, da cui può
dipendere la legge applicabile o l'autorità competente a dirimere controversie
http://gruppo-takeiteasy@blogspot.com takeITeasy 24
25. 3. Punti di attenzione
3.3 Aspetti legali: dove sono i dati?
La possibilità di accesso via Internet fornita dalle architetture Cloud non vincola
alla definizione specifica di un luogo fisico dove sono residenti i dati.
Tale aspetto, che non ha rilevanza dal punto di vista tecnologico, impone,
invece, alcune considerazioni dal punto di vista giuridico.
http://gruppo-takeiteasy@blogspot.com takeITeasy 25
26. 3. Punti di attenzione
3.3 Aspetti legali: dove sono i dati?
Direttiva 95/46/CE: consente la libera circolazione dei dati
Ambito UE
personali fra gli Stati membri dell‟Unione Europea
Situazione più complessa e meno definita: è consentito se
la Commissione Europea constata che un Paese extra UE
garantisce un livello di protezione dei dati adeguato.
Nei confronti degli USA è stato siglato l‟accordo “Safe
Harbour”, che autorizza imprese statunitensi a trattare dati
Extra UE di soggetti UE, a fronte della sottoscrizione di alcuni
principi fondamentali circa la sicurezza, l‟integrità e la
disponibilità dei dati.
In Italia il d.lgs. 196/03 disciplina il trattamento di dati
personali, anche detenuti all‟estero, effettuato da chiunque
è stabilito nel territorio dello Stato
http://gruppo-takeiteasy@blogspot.com takeITeasy 26
27. 3. Punti di attenzione
3.3 Aspetti legali: titolarità
delle informazioni
Le informazioni di business gestite attraverso i sistemi in cloud possono
essere di natura riservata, strategica o anche critica ai fini della operatività
aziendale.
E' opportuno che vi siano clausole contrattuali a garanzia e riconoscimento
della titolarità delle informazioni (es. clausole di riservatezza, di salvaguardia o
rivendicazione dei diritti di proprietà intellettuale, propri o di terzi affiliati);
questo implica la possibilità di negoziare parti del relativo contratto.
Altro aspetto da considerare è quello relativo all'utilizzo dei cd. metadati (dati
di funzionamento e fruizione del servizio) per finalità secondarie, come le
ricerche di mercato e l'invio di messaggi di marketing promozionali.
http://gruppo-takeiteasy@blogspot.com takeITeasy 27
28. 3. Punti di attenzione
3.3 Aspetti legali: cessazione
Gli eventi che causano la cessazione del rapporto (es. recesso unilaterale,
risoluzione del contratto, fallimento del fornitore) possono creare incertezza ai fini
della regolare continuità del business e condizioni di vulnerabilità per i dati.
Devono essere appositamente regolamentati nel contratto insieme ad altri
aspetti, quali:
• la restituzione di una copia dei dati
(possibilmente in un formato utilizzabile per l'importazione in altri sistemi)
• la garanzia di ottenere una completa cancellazione dei dati dai sistemi in
cloud (prestando attenzione agli eventuali vincoli imposti dalla normativa
locale, cui il fornitore è soggetto)
http://gruppo-takeiteasy@blogspot.com takeITeasy 28
29. 3. Punti di attenzione
3.4 Contratto
Dal punto di vista della gestione, utilizzare un SaaS significa delegare ad un
terzo la gestione dell‟infrastruttura, delle applicazione e dei dati della propria
azienda: l‟azienda diventa “semplicemente” utente dei dati (che rimangono
ovviamente di sua proprietà) e fruitrice di un servizio che consente alle proprie
risorse di operare per la normale esecuzione delle attività quotidiane (es:
acquisizione ordini, fatturazione, movimentazioni di magazzino, pagamenti,
incassi, …)
Interessi del Interessi del
fornitore cliente
http://gruppo-takeiteasy@blogspot.com takeITeasy 29
30. 3. Punti di attenzione
3.4 Contratto
Riduzione costi per essere più competitivo
Massimizzazione dell’efficienza operativa
Interessi del
fornitore Scarico responsabilità sul cliente
Definizione procedure di comunicazione e livelli di
servizio standardizzati
Ostacolare il cambio di fornitore da parte del cliente
Garantirsi un livello di servizio eccellente, anche per la
gestione dei “picchi” o delle criticità
Garantirsi flessibilità operativa nel modificare i propri
Interessi del processi, facendo adeguare il fornitore in tempi rapidi
cliente
Garantirsi la qualità delle risorse del fornitore
Assicurarsi la possibilità di potere cambiare fornitore a
impatto zero
http://gruppo-takeiteasy@blogspot.com takeITeasy 30
31. 3. Punti di attenzione
3.4 Contratto
Il cuore del contenuto operativo di un contratto di servizi in CLOUD è
rappresentato dagli SLA:
Service Level Agreement
Direttamente mutuati da altri contratti del tipo “outsourcing”, gli SLA
rappresentano in modo esplicito obblighi e diritti dei due contraenti nelle
modalità di erogazione del servizio.
E‟ fondamentale che gli SLA siano:
• oggettivi,
• misurabili.
http://gruppo-takeiteasy@blogspot.com takeITeasy 31
32. 3. Punti di attenzione
3.4 Contratto
Data la rilevanza che gli SLA hanno per la verifica degli adempimenti
contrattuali di ciascuna delle due parti, questi non possono essere
approssimativi o, peggio ancora, non aderenti al contesto in cui il contratto è
reso operativo
Pertanto, è opportuno che sia prevista:
• una fase iniziale per definire in modo puntuale e preciso il valore da
assegnare a ciascuno degli indicatori di SLA;
• una revisione periodica per riallineare gli indicatori a mutate
condizioni operative ed organizzative del fornitore e/o dell‟azienda.
http://gruppo-takeiteasy@blogspot.com takeITeasy 32
33. 3. Punti di attenzione
Riassumendo …
Sicurezza dei dati
Normativa in materia di protezione dei dati personali
Legge applicabile e foro competente
“Lock-in”
Perdita di governance su dati e servizi
Conformità a standard (es.: ISO 27001 o PCI-DSS) e certificazioni
Risk management
Riservatezza (“multi-tenant model”)
Contrattualistica non sempre adeguata e/o impossibilità di
negoziare i termini contrattuali
Mantenimento livelli di servizio adeguati nel tempo
Riflessi di azioni giudiziarie verso altri clienti
Indisponibilità di un servizio o di un provider
http://gruppo-takeiteasy@blogspot.com takeITeasy 33
34. 4. Conclusioni
Servizi in CLOUD: considerazioni finali
L‟utilizzo di servizi in CLOUD offre anche alle PMI la possibilità di accedere a
strumenti evoluti in grado di migliorare l‟efficienza e l‟efficacia del proprio
business, con l‟obiettivo di :
• minimizzare gli investimenti in HW e licenze SW
• minimizzare la necessità di competenze tecnologico-applicative
(da costruire e mantenere in azienda o da acquistare all‟esterno)
• variabilizzare i costi IT in funzione dell‟effettivo utilizzo
• rendere determinabile e programmabile il livello dei costi
• ridurre le necessità di aggiornamenti e “upgrade” tecnologici ed
applicativi
http://gruppo-takeiteasy@blogspot.com takeITeasy 34
35. 4. Conclusioni
Servizi in CLOUD: considerazioni finali
L‟utilizzo dei sistemi informativi in modalità “servizio” richiede un‟evoluzione
nelle competenze e nelle capacità negoziali che pongono l‟azienda di fronte al
fornitore, rispetto alla normale esperienza di un ufficio acquisti e alle
conoscenze tecniche e tecnologiche della funzione IT, abituata ad una gestione
“in-house” di hw e sw.
Oggi sono necessarie nuove competenze chiave:
• una figura gestionale in grado di valutare correttamente le
esigenze operative e di processo dell‟impresa per accedere a
servizi e contenuti coerenti con tali esigenze
• una figura IT con elevate competenze in materia di sicurezza,
business continuity, accessi ….
• una figura legale specialistica, in grado di assicurare un impianto
contrattuale che riduca al minimo i rischi per l‟imprenditore e
l‟impresa.
http://gruppo-takeiteasy@blogspot.com takeITeasy 35
36. 4. Conclusioni
Competenze specialistiche, ma integrate
gestionale I.T. legale
takeITeasy
Business Strategia Norme
Persone Informazioni Processi
Applicazioni Infrastruttura Strumenti
Innovazione a 360 : ottieni il massimo dal tuo business
Gli investimenti IT non sono più un azzardo.
http://gruppo-takeiteasy@blogspot.com takeITeasy 36
37. takeITeasy Grazie per l’attenzione
Business Strategia Norme
Persone Informazioni Processi
Applicazioni Infrastruttura Strumenti
Innovazione a 360 : ottieni il massimo dal tuo business
Gli investimenti IT non sono più un azzardo.
Per qualsiasi richiesta di ulteriori informazioni potete
contattarci alla e-mail
gruppo.takeiteasy@gmail.com
http://gruppo-takeiteasy@blogspot.com
takeITeasy è anche su