Cloud computing: opportunità nella "nuvola" per le PMI

takeITeasy
Business Strategia Norme

Persone Informazioni Processi

Strumenti
ApplicazioniInfrastruttura

Innovazione a 360 : ottieni il massimo dal tuo business
Gli investimenti IT non sono più un azzardo.

presenta
webITeasy
“Seminari in pillole sul web”

http://gruppo-takeiteasy@blogspot.com
takeITeasy è anche su

takeITeasy 1

Cloud Computing:
opportunità nella “nuvola” per le PMI

takeITeasy
Relatori:
• Gabriella Molinelli – Networking & Security Consulting srl
• Stefano Bendandi – Studio Legale Bendandi
• Massimiliano Pian – Nicolini & Commercialisti Associati


Indice
1. Introduzione
1.1 Cenni storici
1.2 Gli ultimi anni
2. Qualche elemento in più
2.1. Definizioni
2.2. I vantaggi della “nuvola”
2.3. Cosa si dice…
2.4. Ambiti di applicazione
3. Punti di attenzione
3.1. Aspetti generali
3.2. Sicurezza dei dati
3.3. Aspetti legali
3.4. Contratto
4. Conclusioni
http://gruppo-takeiteasy@blogspot.com takeITeasy 3

1. Introduzione
1.1. Cenni “storici”

L’evoluzione della tecnologia nel campo della connettività e la
necessità di trovare nuovi servizi per le imprese, hanno portato
negli ultimi anni ad un radicale cambiamento nell’offerta di servizi,
piattaforme, prodotti ed infrastrutture informatiche.


1. Introduzione
1.1. Cenni “storici”

Modalità di
acquisto
tradizionale
Investimento diretto
dell’impresa

&
HW SW

Anni ’90
Application
Service Provider
Canone di noleggio
annuale

1. Introduzione
1.2. Gli ultimi anni

Evoluzione della tecnologia Innovazione dell’offerta

Nuovo modello di business


1. Introduzione
L’esempio del mercato della musica

Evoluzione della tecnologia Innovazione dell’offerta

Nuovo modello di business


1. Introduzione
Il Cloud ha aperto nuove possibilità per le imprese di dotarsi di strumenti ed
infrastrutture IT

Cloud Computing da Prodotto a Servizio


2.1. Definizioni (da Wikipedia)

Cloud computing (in italiano nuvola informatica): indica un insieme
di tecnologie che permettono di memorizzare/archiviare e/o elaborare
dati (tramite CPU o software) grazie all'utilizzo di risorse hardware e
software distribuite e virtualizzate in Rete.

Software as a Service: dove un produttore di software sviluppa, opera
(direttamente o tramite terze parti) e gestisce un'applicazione web che
mette a disposizione dei propri clienti via internet.


2.2. I vantaggi della “nuvola”
L‟utilizzo di servizi in CLOUD consente di cogliere alcuni vantaggi importanti:
 ridurre gli investimenti IT per l‟impresa,
 variabilizzare i costi, rendendoli certi,
 ridurre la necessità di investire in competenze interne per la
gestione dell‟infrastruttura e l‟aggiornamento del software.

Vi sono, inoltre, altre caratteristiche “tecniche” che rendono l‟offerta appetibile:
 disponibilità ovunque
 rapidità di implementazione
 facilità di utilizzo
 aggiornamento costante del software
 scalabilità della soluzione


2.3. Cosa si dice…
Il treno SaaS piace sempre di più alle aziende
(07/07/2011)

Gartner non ha dubbi. Il software-as-a-service è il treno sul quale sempre più aziende
stanno salendo. Il mercato SaaS, afferma la nota società di ricerca e consulenza,
crescerà nel 2011 a livello mondiale del 20,7%, toccando un valore complessivo di
12,1 miliardi di dollari, e continuerà la sua inarrestabile ascesa superando i 21
miliardi di giro d‟affari nel 2015.

Cloud computing: mercato a quota 68,3 mld nel 2010.
In crescita l'adozione nelle aziende (25/06/2010)
Cloud computing: la “nuvola” non è solo una moda,
ma la soluzione per migliorare la competitività (11/05/11)

Il SaaS non spaventa più (22/09/11)
Le aziende si affidano al SaaS (12/04/10)

Esperienze italiane di SaaS. Il cloud si fa concreto
(16/02/11)


2.4. Ambiti di applicazione

 Infrastrutture di telecomunicazioni
 Servizi di sicurezza dei sistemi
 Ottimizzazione dell‟utilizzo della banda trasmissiva
 Videoconferenze
 Sistemi gestionali
 Piattaforme di sviluppo grafico
 Servizi di archiviazione
 ………


2.4. Ambiti di applicazione: alcuni esempi

 Data Center in cloud
 Antivirus, anti malware, phishing , email reputation, Data Loss Prevention, …
 Web Content Filtering
 WAN Optimization Solution
 Webex, Meeting on line, Skype, …
 Contabilità in server farm, servizi di logistica, controlli produzione, …
 CAD, Katia, 3D, …..
 Dropbox, Google+, ….


3.1. Aspetti generali

Esistono però alcuni aspetti, considerati fattori critici, la cui analisi preventiva è
necessaria al fine di avere piena consapevolezza di cosa significa usufruire di
servizi in CLOUD, per poter coglierne appieno i vantaggi.
In particolare, i punti di attenzione si possono classificare in tre macro-aree:
• definizione degli standard di rete e di infrastruttura relativi alla sicurezza
dei dati;
• vincoli normativi e di legge relativi al trattamento dei dati personali ed
alla proprietà intellettuale;
• definizione degli aspetti contrattuali e negoziali che regolano il rapporto
tra il fornitore del servizio e l‟azienda.

+ +

3.2 Sicurezza dei dati

Inoltre, l‟adozione di servizi CLOUD può portare ad ulteriori benefici, tra i
quali, la possibilità di fruire di:
 soluzioni di sicurezza superiori ai propri standard interni;
 organizzazioni di sicurezza difficilmente realizzabili nelle proprie realtà
interne;
 servizi standard e aperti che superano gli approcci proprietari tipici delle
soluzioni adottate in ambiti più ristretti.

Infatti, i fornitori di servizi cloud possono fare leva sulle economie di scala
per riuscire a realizzare soluzioni molto più evolute e performanti rispetto a
quelle che sono implementabili, a parità di investimenti, da più soggetti su
una molteplicità di realizzazioni di minori dimensioni.



Dal punto di vista degli aspetti legali e normativi, utilizzare un servizio in
Cloud come il SaaS significa condividere, conservare ed utilizzare propri dati
ed applicazioni su server di proprietà o gestiti da terzi, ai quali si può
accedere attraverso Internet. Il fornitore terzo deve, perciò, adottare tutte le
misure di sicurezza tecniche, fisiche ed organizzative idonee a tutelare:

Riservatezza Integrità Disponibilità


Il cloud computing offre la possibilità di gestire in remoto
tutti i dati, siano essi aziendali che privati.

ATTENZIONE
La responsabilità della corretta gestione dei dati dipende:

 sia da parte di chi li affida in custodia
 sia da parte di chi ne acquisisce la custodia

Se la RISERVATEZZA, l‟INTEGRITA’ e la DISPONIBILITA’ dei dati sono
necessità assolute, occorre valutare attentamente che l„operatore che offre
servizi in cloud sia in grado di garantire la bontà del servizio reso, rendendo note
anche le relative caratteristiche tecniche, le competenze IT del personale
preposto, l‟aggiornamento tecnologico e normativo.



Oggi il maggiore dei “rischi emergenti” è il rischio che arriva dal mondo virtuale,
che è un rischio reale, in rapida crescita e percepito anche ai livelli più alti del
management.

Anche i sistemi più raffinati possono andare in crisi se non adeguatamente
supportati dal “fattore H” (human factor): non c‟è ancora abbastanza attenzione
al fattore umano, al rispetto delle procedure, alla regolamentazione dell‟accesso
alle informazioni, così come trascurata appare a volte la formazione delle
persone.

L‟approccio sinergico e la gestione del rischio integrato permetterebbero di
armonizzare ed ottimizzare meglio i diversi strumenti di governo del rischio



Per attivare i servizi in cloud, occorre tenere conto di:
 disponibilità di banda larga
 tipologia di accesso (connessioni crittografate, protezione accesso
con credenziali di autenticazione, …)
 verifica delle procedure necessarie (per esempio nomina del AdS e
modalità di storage/controllo dei dati in cloud, …)
 modalità di backup, in caso di indisponibilità dei dati

Cloud Computing = trasferimento su Internet delle attività informatiche

Modello “just in time” delle risorse aziendali


3.3. Aspetti legali: quadro di riferimento

D.lgs. 196/03  Codice in materia di protezione dei dati personali
ISO27001  Standard internazionale per la definizione dei requisiti per
impostare e gestire un sistema di gestione della sicurezza delle informazioni
PCI DSS (Payment Card Industry - Data Security Standard) 
Standard internazionale di sicurezza per tutte le aziende che memorizzano,
elaborano o trasmettono numeri di carte di credito.
Direttiva 95/46CE  Costituisce il testo di riferimento, a livello europeo, in
materia di protezione dei dati personali.


3.3 Aspetti legali

Chi intende avvalersi della tecnologia cloud deve esigere il rispetto di garanzie
appropriate, per i seguenti motivi:
1) tutelare le informazioni relative al proprio business per via del loro valore e
rispettare gli obblighi di conformità ( compliance) posti da leggi (es. T.U
privacy) o da standard di settore (es. ISO 27001, PCI-DSS)

2) bilanciare la "vulnerabilità" della perdita di controllo insita nell'affidamento
ad un servizio esternalizzato, soprattutto nel caso di software
In poche parole l'azienda titolare non è mai del tutto esonerata dalla
responsabilità di proteggere adeguatamente i propri dati ed informazioni, per il
semplice fatto di avvalersi di servizi IT esternalizzati ! Piuttosto, alla sua
responsabilità si affianca quella del fornitore dei servizi, quale custode dei dati.


3.3 Aspetti legali

L'impossibilità di liberarsi da una responsabilità e la necessità di gestire
adeguatamente i rischi , "impone" all'azienda di essere diligente:
1) nella scelta del fornitore che deve essere in possesso dei requisiti
quantitativi (es. dimensioni, capitale sociale, solidità finanziaria) e
qualitativi (es. reputazione, possesso di certificazioni specifiche del mondo
IT, adeguatezza delle infrastrutture, ecc...) idonei

2) nella valutazione e/o negoziazione del contratto di servizio e dei suoi
eventuali parametri tecnici (SLA)
Il contratto gioca un ruolo cruciale nel garantire che i servizi in cloud siano
bilanciati ed adeguati alle esigenze di continuità operativa dell'azienda e di
protezione delle proprie risorse !



3.3 Aspetti legali: cosa dice il Garante
 Ponderare prioritariamente rischi e benefici dei servizi offerti
 Effettuare una verifica in ordine all’affidabilità del fornitore
 Privilegiare i servizi che favoriscono la portabilità dei dati
 Assicurarsi la disponibilità dei dati in caso di necessità
 Selezionare i dati da inserire nel cloud
 Non perdere di vista i dati
 Informarsi su dove risiederanno, concretamente, i dati
 Attenzione alle clausole contrattuali
 Verificare le politiche di persistenza dei dati legate alla loro
conservazione
 Esigere e adottare opportune cautele per tutelare la
confidenzialità dei dati
 Formare adeguatamente il personale


3.3 Aspetti legali: dati personali

Nell'ambito degli obblighi di protezione dei dati personali che incombono sul
titolare, si inseriscono alcuni aspetti critici :
1) la necessità di nominare il fornitore come responsabile esterno del
trattamento, relativamente ai dati affidati alla sua custodia

2) la garanzia da parte del fornitore di rispettare le misure di sicurezza
minime ed idonee, con possibilità da parte del titolare di esercitare i controlli

3) l'esistenza di procedure che agevolino l'esercizio dei diritti da parte degli
interessati (soprattutto per quanto riguarda le garanzie di cancellazione)
4) l'impossibilità di trattare i dati per finalità diverse da quelle acconsentite
dagli interessati
5) l'esistenza di chiare indicazioni sull'ubicazione fisica dei dati, da cui può
dipendere la legge applicabile o l'autorità competente a dirimere controversie


3.3 Aspetti legali: dove sono i dati?

La possibilità di accesso via Internet fornita dalle architetture Cloud non vincola
alla definizione specifica di un luogo fisico dove sono residenti i dati.
Tale aspetto, che non ha rilevanza dal punto di vista tecnologico, impone,
invece, alcune considerazioni dal punto di vista giuridico.


3.3 Aspetti legali: dove sono i dati?

Direttiva 95/46/CE: consente la libera circolazione dei dati
Ambito UE
personali fra gli Stati membri dell‟Unione Europea

Situazione più complessa e meno definita: è consentito se
la Commissione Europea constata che un Paese extra UE
garantisce un livello di protezione dei dati adeguato.
Nei confronti degli USA è stato siglato l‟accordo “Safe
Harbour”, che autorizza imprese statunitensi a trattare dati
Extra UE di soggetti UE, a fronte della sottoscrizione di alcuni
principi fondamentali circa la sicurezza, l‟integrità e la
disponibilità dei dati.
In Italia il d.lgs. 196/03 disciplina il trattamento di dati
personali, anche detenuti all‟estero, effettuato da chiunque
è stabilito nel territorio dello Stato


3.3 Aspetti legali: titolarità
delle informazioni

Le informazioni di business gestite attraverso i sistemi in cloud possono
essere di natura riservata, strategica o anche critica ai fini della operatività
aziendale.
E' opportuno che vi siano clausole contrattuali a garanzia e riconoscimento
della titolarità delle informazioni (es. clausole di riservatezza, di salvaguardia o
rivendicazione dei diritti di proprietà intellettuale, propri o di terzi affiliati);
questo implica la possibilità di negoziare parti del relativo contratto.
Altro aspetto da considerare è quello relativo all'utilizzo dei cd. metadati (dati
di funzionamento e fruizione del servizio) per finalità secondarie, come le
ricerche di mercato e l'invio di messaggi di marketing promozionali.


3.3 Aspetti legali: cessazione

Gli eventi che causano la cessazione del rapporto (es. recesso unilaterale,
risoluzione del contratto, fallimento del fornitore) possono creare incertezza ai fini
della regolare continuità del business e condizioni di vulnerabilità per i dati.
Devono essere appositamente regolamentati nel contratto insieme ad altri
aspetti, quali:
• la restituzione di una copia dei dati
(possibilmente in un formato utilizzabile per l'importazione in altri sistemi)

• la garanzia di ottenere una completa cancellazione dei dati dai sistemi in
cloud (prestando attenzione agli eventuali vincoli imposti dalla normativa
locale, cui il fornitore è soggetto)


3.4 Contratto

Dal punto di vista della gestione, utilizzare un SaaS significa delegare ad un
terzo la gestione dell‟infrastruttura, delle applicazione e dei dati della propria
azienda: l‟azienda diventa “semplicemente” utente dei dati (che rimangono
ovviamente di sua proprietà) e fruitrice di un servizio che consente alle proprie
risorse di operare per la normale esecuzione delle attività quotidiane (es:
acquisizione ordini, fatturazione, movimentazioni di magazzino, pagamenti,
incassi, …)

Interessi del Interessi del
fornitore cliente


3.4 Contratto
 Riduzione costi per essere più competitivo
 Massimizzazione dell’efficienza operativa
Interessi del
fornitore  Scarico responsabilità sul cliente
 Definizione procedure di comunicazione e livelli di
servizio standardizzati
 Ostacolare il cambio di fornitore da parte del cliente

 Garantirsi un livello di servizio eccellente, anche per la
gestione dei “picchi” o delle criticità
 Garantirsi flessibilità operativa nel modificare i propri
Interessi del processi, facendo adeguare il fornitore in tempi rapidi
cliente
 Garantirsi la qualità delle risorse del fornitore
 Assicurarsi la possibilità di potere cambiare fornitore a
impatto zero

3.4 Contratto

Il cuore del contenuto operativo di un contratto di servizi in CLOUD è
rappresentato dagli SLA:
Service Level Agreement
Direttamente mutuati da altri contratti del tipo “outsourcing”, gli SLA
rappresentano in modo esplicito obblighi e diritti dei due contraenti nelle
modalità di erogazione del servizio.
E‟ fondamentale che gli SLA siano:
• oggettivi,
• misurabili.


3.4 Contratto

Data la rilevanza che gli SLA hanno per la verifica degli adempimenti
contrattuali di ciascuna delle due parti, questi non possono essere
approssimativi o, peggio ancora, non aderenti al contesto in cui il contratto è
reso operativo
Pertanto, è opportuno che sia prevista:

• una fase iniziale per definire in modo puntuale e preciso il valore da
assegnare a ciascuno degli indicatori di SLA;

• una revisione periodica per riallineare gli indicatori a mutate
condizioni operative ed organizzative del fornitore e/o dell‟azienda.


Riassumendo …
 Sicurezza dei dati
 Normativa in materia di protezione dei dati personali
 Legge applicabile e foro competente
 “Lock-in”
 Perdita di governance su dati e servizi
 Conformità a standard (es.: ISO 27001 o PCI-DSS) e certificazioni
 Risk management
 Riservatezza (“multi-tenant model”)
 Contrattualistica non sempre adeguata e/o impossibilità di
negoziare i termini contrattuali
 Mantenimento livelli di servizio adeguati nel tempo
 Riflessi di azioni giudiziarie verso altri clienti
 Indisponibilità di un servizio o di un provider


4. Conclusioni
Servizi in CLOUD: considerazioni finali
L‟utilizzo di servizi in CLOUD offre anche alle PMI la possibilità di accedere a
strumenti evoluti in grado di migliorare l‟efficienza e l‟efficacia del proprio
business, con l‟obiettivo di :

• minimizzare gli investimenti in HW e licenze SW

• minimizzare la necessità di competenze tecnologico-applicative
(da costruire e mantenere in azienda o da acquistare all‟esterno)

• variabilizzare i costi IT in funzione dell‟effettivo utilizzo

• rendere determinabile e programmabile il livello dei costi

• ridurre le necessità di aggiornamenti e “upgrade” tecnologici ed
applicativi


4. Conclusioni
Servizi in CLOUD: considerazioni finali
L‟utilizzo dei sistemi informativi in modalità “servizio” richiede un‟evoluzione
nelle competenze e nelle capacità negoziali che pongono l‟azienda di fronte al
fornitore, rispetto alla normale esperienza di un ufficio acquisti e alle
conoscenze tecniche e tecnologiche della funzione IT, abituata ad una gestione
“in-house” di hw e sw.
Oggi sono necessarie nuove competenze chiave:

• una figura gestionale in grado di valutare correttamente le
esigenze operative e di processo dell‟impresa per accedere a
servizi e contenuti coerenti con tali esigenze

• una figura IT con elevate competenze in materia di sicurezza,
business continuity, accessi ….

• una figura legale specialistica, in grado di assicurare un impianto
contrattuale che riduca al minimo i rischi per l‟imprenditore e
l‟impresa.


4. Conclusioni
Competenze specialistiche, ma integrate
gestionale I.T. legale

takeITeasy


Applicazioni Infrastruttura Strumenti



takeITeasy Grazie per l’attenzione


Applicazioni Infrastruttura Strumenti


Per qualsiasi richiesta di ulteriori informazioni potete
contattarci alla e-mail

gruppo.takeiteasy@gmail.com
takeITeasy è anche su

Cloud computing: opportunità nella "nuvola" per le PMI

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (20)

Similar a Cloud computing: opportunità nella "nuvola" per le PMI

Similar a Cloud computing: opportunità nella "nuvola" per le PMI (20)

Cloud computing: opportunità nella "nuvola" per le PMI