Dall’Agile alle certificazioni ISO: le metodologie imprescindibili per i CIO italiani

Uno dei compiti fondamentali del CIO è creare valore per l’azienda con un approccio che integra tecnologia e cultura organizzativa. Per farlo, molti si affidano a metodologie codificate, come l’Agile, che aiuta ad allineare l’IT con le strategie di business tramite il DevOps – o alle certificazioni – come la ISO 207001 sulla gestione della sicurezza delle informazioni. Non si tratta, come ha sottolineato Capgemini [in inglese], di prodotti che si comprano e si applicano o di nuove regole da rispettare, ma di una combinazione di strumenti, processi e mentalità innovativa, e nessuno di questi elementi può mancare.

“L’adozione e la certificazione ISO/IEC 27001 hanno rappresentato per Axpo Italia una sfida di governance e di crescita culturale”, conferma Massimiliano Licitra, Chief Information & Operations Officer di Axpo Italia (soluzioni energetiche innovative). “L’abbiamo potuta affrontare con successo grazie a una direzione chiara e a un modello di collaborazione trasversale tra funzioni tecniche, compliance e top management”.

La certificazione ISO/IEC 27001:2022, un caso concreto

La certificazione internazionale ISO/IEC 27001:2022 è una delle più perseguite dai CIO e CISO oggi, perché prepara il terreno a un’efficace implementazione della NIS2.

Dal punto di vista della governance, l’approccio di Axpo Italia si è fondato sulla valutazione dei rischi relativi ai processi critici, sulla definizione di controlli coerenti con lo standard ISO/IEC 27001:2022 e sul monitoraggio continuo tramite KPI e metriche di maturità. Axpo Italia ha anche istituito comitati di sicurezza e rafforzato processi chiave come gestione degli accessi, classificazione delle informazioni, incident management e business continuity, in un lavoro congiunto tra IT, Operation, Servizi Generali, HR, DPO e Local Compliance Manager.

La leva culturale del progetto è stata la formazione, strutturata in moduli differenziati rivolti all’intera popolazione aziendale e ai ruoli tecnici e manageriali più coinvolti, con un focus sulla consapevolezza, le best practice operative e lo sviluppo delle competenze specialistiche.

La funzione ICT & Security di Axpo Italia, guidata da Andrea Fontanini, ha anche cercato il supporto di un consulente esterno (ICT Cyber Consulting), che ha affiancato Axpo Italia in ogni fase, dalla mappatura dei processi alla preparazione per l’audit, assicurando l’integrazione dei controlli di sicurezza lungo l’intero ciclo di vita dei processi operativi e IT.

Waterfall o Agile? Una guida passo dopo passo

Un altro caso emblematico è quello di Ernesto Centrella, Competence Leader metodologie waterfall, test e processi di sviluppo software di Credem Banca e membro comitato scientifico ISTQB (International Software Testing Qualification Board): Centrella è stato posto dalla sua azienda esattamente a capo delle metodologie operative dell’IT e coordina le evoluzioni degli approcci Agile con approcci più tradizionali, a seconda delle esigenze. 

“Oggi il mondo tecnologico è molto complesso e bisogna rispondere con velocità alle esigenze normative e di business: per questo le metodologie IT sono centrali”, indica Centrella. “Noi usiamo fondamentalmente due metodologie nel nostro IT, sia per quelli che definiamo progetti sia per l’evoluzione degli applicativi. La prima è una metodologia più di tipo waterfall, l’altra è Agile. Ma non applichiamo mai la metodologia esattamente come prescrivono i manuali – sarebbe impossibile. Le personalizziamo per le nostre esigenze come banca”. 

Nella pratica, quando in Credem parte il progetto di un’attività, il team di Centrella effettua per prima cosa un confronto tra le persone che dovranno lavorare a quell’attività per capire qual è la metodologia più opportuna da seguire, utilizzando il framework Cynefin. In questa fase vengono anche definiti tempi e costi e lo staffing del core team.

“In generale, le attività che hanno un impatto sul mainframe vengono svolte in waterfall, mentre quelle che vanno sui canali diretti verso il cliente preferisco farle in Agile”, spiega Centrella. “In questi casi, infatti, il feedback è molto rilevante e, quindi, è importante riuscire a portare il prodotto sul mercato il prima possibile”.

Nella metodologia waterfall il team IT inizia con la qualification, con cui studia il percorso e coinvolge gli stakeholder necessari. Per esempio, se l’applicazione ha dei requisiti di performance, si cerca di capire subito quali test di prestazione andranno condotti e chi li dovrà fare, e così per gli impatti su cybersicurezza, compliance, eccetera.

“Questa attività ha una durata maggiore nel tempo, ma è precisa nel determinare il budget – inteso come effort interno ed esterno – e la pianificazione”, illustra Centrella. “I tempi del processo decisionale sono più lenti, ma più dettagliati, visto che viene svolto, come dice il nome, a cascata”.

Al contrario, nella metodologia Agile non si entra in ogni dettaglio, ma si cerca di capire i macro-impatti su norme, sicurezza, performance e costi, demandando ai singoli sprint la rivisitazione di dettaglio. Il processo decisionale è più veloce e molti aspetti si decidono in fase di delivery. 

“Nell’agile non abbiamo tutti i dettagli fin dall’inizio e procediamo per sprint di circa 3 settimane in cui raccogliamo i requirement, ovvero che cosa dobbiamo fare in quelle 3 settimane per gli obiettivi del progetto”, spiega ancora Centrella. “In questo modo le fasi di analisi, test e sviluppo avvengono insieme e le persone si confrontano subito usando una dashboard condivisa in cui riportano e dettagliano le loro attività, che noi chiamiamo user stories. Ognuno ne è responsabile e alla fine dello sprint risolviamo le user stories e sappiamo come andare avanti: per esempio, con un test di prestazione o di sicurezza”.

Centrella sottolinea che, anche nel modello waterfall, viene applicata una personalizzazione in modo da rendere l’IT in qualche misura agile pur nel metodo di lavoro più tradizionale.

“Nel waterfall si prendono tutte le analisi e i requisiti e si passano agli analisti tecnico-funzionali, poi agli sviluppatori, ai test e alla produzione, in modo sequenziale. Tuttavia, noi tendiamo a trasformare il waterfall in iterativo, perché oggigiorno sarebbe assurdo dare il primo output di progetto dopo anni. Anche nei modi di procedere più tradizionali bisogna acquisire una forma di velocità”, chiarisce Centrella. 

Quindi, anche nella metodologia waterfall, l’attività viene suddivisa, il più possibile, in parti più piccole in sé complete. Così è possibile verificare in ogni fase se portare il progetto in produzione. Inoltre, sviluppo e produzione restano allineati, come esige il DevOps. 

Il DevOps, l’automazione e l’AI

Le metodologie DevOps sono basate sull’impianto Agile e su una tecnica di sviluppo veloce, dove i test si fanno sempre più in automatico e si arriva al più presto all’utente validatore. 

“Finito lo sprint c’è un pacchetto software che si può o no portare in produzione”, illustra Centrella. “Sviluppo e operazioni procedono in parallelo: appena finito lo sviluppo si effettua il test, sempre più con una componente di automazione, così se qualcosa non va procediamo prontamente alla fix; quindi, in funzione della tipologia di sprint e del macro piano iniziale, si decide se andare in produzione, ovvero verso le Operations. Se è il caso, da quel momento le parti Dev e Ops interagiscono e passano alla fase di babysitting”.

Il babysitting è l’ultimo pezzo della catena del metodo di lavoro dell’IT: nell’Agile è all’interno del progetto, mentre nel waterfall è staccato, perché ogni fase è distinta, anche se a livello operativo cambia poco ed in entrambe le metodologie durante il babysitting Dev ed Ops collaborano tra di loro.

In ogni caso, le tecniche di automazione sono fondamentali. L’IT di Credem ha automatizzato tutto il processo di deployment: le attività degli sviluppatori precedenti alla produzione usano catene automatizzate, che sono più efficaci e garantiscono controllo, e non si va in produzione se non vengono superate le fasi di test e di collaudo.

“Abbiamo automatizzato anche le catene dei test di performance – anzi, stiamo lavorando per automatizzare tutto il mondo del test, iniziando a sfruttare l’AI, ad esempio, per definire i testbook, partendo dai casi funzionali o user story”, rivela Centrella. “Oggi l’automatizzazione dei test è molto rivolta al tecnico, quindi a figure come gli sviluppatori, ma, sfruttando le potenzialità dell’AI, vorremmo spostare queste competenze verso gli analisti. Ciò consentirebbe sia di liberare risorse strategiche sia di permettere agli analisti, che conoscono meglio di tutti l’applicazione, di testarla in maniera approfondita ed automatizzata scrivendo e modificando gli script. Al momento siamo in fase di sperimentazione e dobbiamo capire che cosa ci riserva il futuro, anche perché del mondo AI siamo tutti all’inizio e la capacità di cambiamento è veramente altissima”.

La metodologia allinea IT e business

Anche Licitra riferisce che Axpo Italia, sul fronte dello sviluppo applicativo, ha investito in metodologie Agile e pratiche DevOps, con un importante sforzo di coordinamento tra team IT e business. Ed è proprio questa la ragione che rende il CIO sempre più coinvolto in certificazioni e metodologie di gestione.

“Quello del CIO non è più un ruolo prettamente tecnico, ma strategico; il CIO è un leader che contribuisce attivamente alla definizione ed esecuzione della visione aziendale”, afferma Francesco Derossi, CIO di Liquigas (società del gruppo SHV Energy che fornisce GPL e GNL a case, aziende e istituzioni). Non a caso, Liquigas ha inserito il CIO nel Leadership Team: “un riconoscimento per l’intero team”, evidenzia Derossi; “l’IT è un partner affidabile che crea valore tramite la tecnologia”.

Proprio in quanto CIO strategico anche Derossi ha introdotto un’organizzazione Agile che segue un’ottica DevOps. Seguendo questo modello operativo, il team IT di Liquigas è suddiviso in 3 gruppi: “Innovate”, che allinea le iniziative di business con l’IT, “Build”, che gestisce il ciclo di vita delle soluzioni e lo sviluppo, anche tramite i partner, e “Run”, che si occupa di supporto agli utenti con service desk e servizi infrastrutturali. In totale sono circa 20 le persone che riportano alCIO.

“Il mio lavoro consiste nella definizione della strategia digitale partendo dalle ambizioni di business e decidendo di concerto con i responsabili delle altre funzioni”, spiega Derossi. “Ho anche il compito di aiutare a mettere in roadmap le iniziative che aiutano a raggiungere gli obiettivi. Infine, all’interno del board, contribuisco a indirizzare le priorità durante il percorso di esecuzione della strategia”. 

La metodologia Agile è fondamentale perché, in corso d’opera, “potrebbe essere necessario introdurre qualche modifica o cambiare l’ordine delle priorità degli obiettivi”, prosegue Derossi, “e un compito essenziale del CIO è anche quello di garantire un’adeguata flessibilità e velocità nell’adattamento a necessità che sono mutate”. 

Le metodologie e gli standard più scelti dai CIO

Proprio questo mutamento continuo del mondo IT e delle esigenze del business spinge i CIO a introdurre delle personalizzazioni nelle best practice legate a standard e metodologie. Softec, per esempio, è un’azienda certificata ISO 9001: i flussi di lavoro sono dettati da questi standard ma Softec, e il CTO Alessandro Ghizzardi, li hanno amplificati e migliorati, con ulteriori step e controlli.

“La ISO in generale definisce quello che facciamo. Ma io ho anche personalizzato i flussi per l’onboarding del cliente, che è la nostra area chiave. Questo aiuta a far interagire al meglio marketing, tecnologia, infrastruttura e account clienti”, indica Ghizzardi.

Nella sua esperienza da CIO, Marco Poponesi (oggi in pensione), ha anche utilizzato le varie Standard Operating Procedures che interessavano l’ambito IT e che dovevano necessariamente essere seguite anche per questioni di conformità alla Quality Assurance. In aggiunta, ha suggerito “modelli comportamentali derivati dal buon senso e dalle esperienze passate”, racconta Poponesi.

Altri CIO applicano l’MBO, o Management by Objectives, un approccio gestionale che definisce obiettivi specifici e misurabili per i dipendenti, legando il loro raggiungimento a premi o riconoscimenti o, più in generale, all’aumento delle prestazioni aziendali. Per un CIO questo si traduce nell’allineare gli obiettivi del dipartimento IT con gli obiettivi aziendali più ampi, attraverso un processo di definizione collaborativa degli obiettivi, monitoraggio dei progressi e feedback regolare. 

Per altri CIO la bussola è il processo ITIL(IT Infrastructure Library),che fornisce best practices per la gestione IT [in inglese]. ITIL 4 è la versione più recente: anche in questo caso, l’aggiornamento risponde all’evoluzione del contesto IT — cloud, automazione, DevOps — includendo maggiore agilità, flessibilità e innovazione, pur continuando a supportare sistemi e reti legacy. ITIL copre l’intero ciclo di vita dei servizi IT, dalla strategia e progettazione alla transizione e all’operatività. Le aziende riconoscono a questo metodo il beneficio di fornire linee guida utili ad allineare i servizi IT con gli obiettivi di business, il nuovo mantra di ogni CIO.

Anche il Dipartimento IT di Axpo Italia ha allineato progressivamente diversi processi a ITIL. “Abbiamo applicato questo processo soprattutto nelle aree di incident, change e service management, con l’obiettivo di aumentare prevedibilità, standardizzazione e qualità delle attività operative”, racconta Licitra.

La sfida? Armonizzare pratiche eterogenee tra team e sedi. Per affrontarla occorrono “workflow condivisi, metriche comuni e incontri periodici di revisione”, indica il manager.

Ma è un lavoro che paga: la combinazione di standard, metodologie e processi rende le aziende più resilienti, veloci e orientate a una gestione moderna del rischio e dell’innovazione.