Cloud e governance, i nuovi compiti del CIO tra monitoraggio dei contratti e aumento dei costi

La governance dell’IT ha subito un’evoluzione significativa negli ultimi anni e il cloud computing è uno dei principali motori del cambiamento. Il cloud, infatti, non elimina la necessità di governare la tecnologia, anzi, rende questo compito più articolato e complesso, esige nuovi framework e una stretta collaborazione con il business. Il CIO si libera di alcune mansioni tecniche, ma ne assume altre, a partire dall’attenta selezione e gestione dei contratti con i cloud service provider, stabilendo con chiarezza i rispettivi ruoli e le responsabilità in tema di sicurezza e conformità.

La governance del cloud, infatti, oggi include lo Shared Responsibility Model tra l’azienda e il fornitore: in Italia, lo ha fatto anche il Polo Strategico Nazionale (PSN), che, con il suo modello di accountability condivisa per la sicurezza, delinea le responsabilità tra il provider di servizi cloud (lo stesso PSN) e l’utente finale (le Pubbliche Amministrazioni). In questo modello si chiarisce che il PSN è responsabile della sicurezza “del” cloud, ovvero delle infrastrutture fisiche come server, rete e data center, mentre le PA-clienti si occupano della sicurezza “nel” cloud, ovvero della protezione dei dati e delle applicazioni e del controllo degli accessi.

La presenza di servizi cloud aumenta, inoltre, il focus sulla gestione del rischio (risk management), sulla data governance e, elemento chiave, sul controllo della spesa. Al tempo stesso, una governance più severa non deve trasformarsi in ostacolo all’innovazione: essendo l’IT strategico, il governo della tecnologia deve continuare a garantire l’agilità e l’allineamento con gli obiettivi aziendali.

“Il CIO ormai deve essere informato su tutto: occorre conoscere a fondo non solo l’attività aziendale, ma anche le normative, gli standard e le certificazioni, i bandi pubblici e la possibilità di accesso a sovvenzioni o incentivi, i rischi cyber e di altra natura”, afferma Massimo Anselmo, CIO di Karol Strutture Sanitarie. “Anzi, il Risk management forma una parte importante della governance del cloud”.

Molti CIO stanno anche considerando o attuando metodi e soluzioni cloud FinOps, che permette di gestire i costi dei servizi sulla “nuvola” con un approccio proattivo. FinOps, infatti, integra finance, engineering e operation per monitorare e ottimizzare le spese in tempo reale, evitando sprechi e sorprese in fattura. 

Cloud, attenzione ai livelli di servizio

“Con il cloud il CIO si deveconcentrare più sui contratti e i Service Level Agreements e meno sulla gestione, la manutenzione o le competenze interne. Ma bisogna avere le idee molto chiare sul livello di servizio di cui si ha bisogno”, sottolinea Diego Cilea, CIO di Surfaces Group(azienda del settore chimico che produce utensili per la lucidatura delle piastrelle).

Inoltre, mette in guardia Cilea, bisogna fare attenzione a non cadere nel tranello di firmare un contratto di servizio uguale per il produttore e il fornitore (ovvero il system integrator), perché queste due figure hanno responsabilità, compiti e SLA diversi.

Il CIO deve anche aumentare la sua conoscenza dei requisiti normativi (per esempio, della NIS2 e del GDPR).

“Nella supply chain IT, il CIO deve essere parte attiva, saper contrattare e conoscere le norme”, secondo Cilea. “Le tematiche sono complesse e bisogna sapersi interfacciare con l’ufficio acquisti per i contratti e col finance per il budget: a livello di governance del cloud, sono queste le funzioni con cui il CIO collabora di più. Nel nostro caso, c’è anche una forte collaborazione con le operation sui processi, perché siamo un’azienda manifatturiera”.

Il cloud stravolge la governance IT

Anche per Francesco Derossi, CIO di Liquigas(società del gruppo SHV Energy che fornisce GPL e GNL a case, aziende e istituzioni), la governance IT cambia significativamente quando si adotta il cloud. Liquigas sul cloud ha una strategia serverless, quindi molto orientata a spostare le operazioni e i dati sulla “nuvola”, ma con un approccio guidato da ciò che è conveniente per le singole applicazioni.

“A ogni servizio che ha lasciato il data center abbiamo abbinato una collocazione specifica che crea valore per il business”, spiega Derossi. “Per esempio, per le attività in SaaS non abbiamo fatto un semplice trasferimento da on-premise al cloud, ma abbiamo adottato nuove soluzioni, modificando i processi e aggiungendo funzionalità per i clienti, cercando una vera evoluzione di paradigma. Se non si studia la trasformazione di applicazioni e servizi in ottica cloud, infatti, si perde l’opportunità di ottenere i benefici e rimangono da affrontare solo i costi. In altri casi, ci siamo orientati sulla semplice migrazione nel cloud delle applicazioni che finivano il loro ciclo di vita, abbinandovi un upgrade di release”.

Questo modo di procedere rappresenta un significativo cambiamento per il lavoro dell’IT. Infatti, le aziende che scelgono l’on-premise hanno bisogno di forti competenze per gestire le infrastrutture, mentre, spostando sul cloud carichi di lavoro e dati, servono meno competenze tecniche e infrastrutturali ma occorre potenziare la gestione dei costi e la relazione con le terze parti.

“L’attenzione alla compliance e la definizione degli aspetti contrattuali diventano ancora più importanti”, evidenzia Derossi. “Il team IT, però, ha l’opportunità di evolvere, perché impara a organizzare meglio le proprie attività e a seguire i principi del FinOps, come facciamo anche noi”.

Il FinOps permette di gestire i costi delle operazioni. Nel caso del cloud, aiuta le imprese a tenere traccia dei costi dei servizi attivati e a prevedere come tali costi potranno cambiare, unendo monitoraggio e forecasting. 

“Usiamo una dashboard che abbiamo creato insieme al nostro gruppo SHV Energy e ai nostri partner e che ci dà la possibilità di monitorare la spesa e le capacità richieste per assicurare un utilizzo efficiente delle risorse”, illustra Derossi. “Possiamo rendere dinamici i servizi prima acquistati a capacità fissa e possiamo ottimizzare la gestione finanziaria del cloud. Ciò richiede nuove competenze gestionali”. 

Perché il cloud FinOps è importante per i CIO

FinOps, abbreviazione di “Financial Operations”, è una disciplina interfunzionale che mira ad aiutare le organizzazioni a ottimizzare la loro spesa cloud. Questa pratica prevede la collaborazione con i team finanziari, IT e operativi per creare un approccio trasparente ed efficiente alla gestione dei costi del cloud. Secondo i consulenti di CIO Advisor [in inglese], FinOps si concentra su tre principi: visibilità (ovvero fornire informazioni in tempo reale sulla spesa cloud), ottimizzazione (identificare le opportunità per ridurre i costi del cloud eliminando gli sprechi, negoziando migliori accordi con i fornitori e sfruttando gli sconti), responsabilità (definire ownership per la spesa cloud, assicurando che i team siano ritenuti responsabili del loro utilizzo e possano giustificare i loro costi).

Per implementare efficacemente il FinOps, i CIO possono adottare una serie di strategie: mettere insieme un team FinOps che riunisce rappresentanti delle funzioni Finanza, IT e Operazioni; implementare strumenti di visibilità dei costi; promuovere una cultura della consapevolezza dei costi; e adottare la mentalità del miglioramento continuo.

Il FinOps è efficace al massimo quando le organizzazioni lo implementano fin dall’inizio della loro migrazione al cloud. Ma anche se si ricorre al FinOps in corso d’opera i benefici sono notevoli, secondo un sondaggio di McKinsey [in inglese] del 2023: la riduzione dei costi può arrivare al 20-30%.

Al tempo stesso, il FinOps richiede specifiche competenze: comprensione del mercato cloud, ovviamente, ma anche analytics predittivi, analisi finanziaria e capacità di tradurre le richieste del business in decisioni tecnologiche. “FinOps è una cultura, non solo una tecnica”, scrive McKinsey. 

Un altro aspetto del cloud FinOps è il collegamento con i team DevSecOps, come sottolinea uno studio EY [in inglese]: integrare la sicurezza fin dalle prime fasi del ciclo di sviluppo è l’unico modo per bilanciare time-to-market e protezione. DevSecOps permette di ridurre i rischi di falle di sicurezza nelle implementazioni cloud e di garantire la compliance in ambienti complessi.

Il risk management entra nel cloud journey

In generale, il risk management deve essere parte integrante della governance IT fin dalle prime implementazioni cloud.

Pwc sottolinea [in inglese] (sulla base dei risultati del suo 2023 Cloud Business Surve [in inglese]) che le organizzazioni che adottano il cloud dovrebbero, fin dall’inizio del cloud journey, considerare la gestione del rischio e l’implementazione di specifici controlli. Una scarsa attenzione a queste aree critiche può portare a gravi conseguenze, tra cui violazioni della cybersicurezza, interruzioni dell’attività, violazioni normative e sanzioni, nonché costosi sforamenti di budget. In più, potrebbe diventare più difficile estrarre valore dall’investimento nel cloud.

Il sondaggio di Pwc ha portato alla luce una correlazione diretta tra il livello di maturità cloud complessivo di un’organizzazione e la maturità delle sue attività di governance. Le aziende più avanzate hanno sviluppato controlli formali distinti per le operazioni cloud e documentano le proprie responsabilità condivise con i fornitori di servizi (quello Shared Responsibility Model di cui si parlava all’inizio).

Inoltre, in queste organizzazioni mature il risk management e la cloud governance sono di competenza di una singola funzione con risorse dedicate e i CIO coltivano una stretta collaborazione con i responsabili della sicurezza informatica (CISO) e dei rischi aziendali (i CRO, Chief Risk Officer).

L’attualità: aumento dei prezzi, dipendenza tecnologica

Un’altra problematica molto attuale che i CIO si trovano ad affrontare nel cloud è il forte rialzo dei prezzi, che complica la gestione sia del cloud pubblico e privato sia delle infrastrutture on-premises, perché la tecnologia d’Oltreoceano è pervasiva. 

“Tutti usiamo tecnologie americane, non c’è alternativa”, evidenzia Anselmo. “E dobbiamo sottostare agli aumenti dei prezzi senza avere voce in capitolo: se una multinazionale decide una tariffa o cambia le condizioni nel contratto non possiamo opporci”.

Per questo alcuni CIO guardano alle soluzioni open source per evitare gli alti costi delle licenze. Ma anche qui occorre svolgere un attento lavoro di analisi costi-benefici, perché usare prodotti open source implica avere delle competenze interne specifiche, e queste, ovviamente, hanno un costo. 

Ad aumentare le preoccupazioni dei CIO si aggiunge la situazione politica americana, oggi più ostile verso l’Unione Europea e con la scure dei dazi che crea incertezze.

Secondo Anselmo, “In Europa: ci sono troppe regole, ma non siamo riusciti a liberarci dalla dipendenza dai fornitori esteri”, afferma il CIO. “Nell’IT stiamo ripetendo l’errore fatto nell’automotive, con l’imposizione dell’auto elettrica al di là di quella che è la domanda del mercato e senza considerare che l’Europa non ha la tecnologia delle batterie, ma dipende dalla Cina. È così sul cloud: stiamo spingendo su una tecnologia dominata dagli Stati Uniti. E sarà così anche sull’AI: non esiste un ChatGPT europeo”.

Il problema non è la mancanza di know-how nell’UE, ma il non saperlo sfruttare unendo le forze: lo abbiamo già ribadito su CIO Italia illustrando i progetti di cloud sovrano, tra cui Gaia-X.

“Dovremmo superare le divisioni e far leva sulle nostre competenze per creare una tecnologia che è patrimonio europeo e ci libera dalla dipendenza dalle multinazionali”, conclude Anselmo. “Mario Draghi ha ragione nel dire che l’Europa è marginale. Anche nell’IT è così”.

Il dominio di USA e Cina nella tecnologia e, in particolare, nel cloud, ha un forte impatto sulla governance, per ammissione degli stessi CIO. Per arginare la spesa – la prima preoccupazione di ogni azienda – il consiglio degli esperti è sempre lo stesso: ottimizzazione dei carichi di lavoro, utilizzo di strumenti di gestione dei costi del cloud, negoziazione di sconti, audit delle implementazioni e, come indicato, approcci FinOps.

Accanto a questi ultimi, sono indispensabili anche le pratiche DevOps. In particolare, occorre istruire gli sviluppatori sul costo dei servizi cloud, inclusi quelli che i grandi provider rendono accessibili in modo estremamente semplice, ma niente affatto economico. La chiave è collegare gli sviluppatori con le conoscenze sul budget IT e i costi di accesso a una GPU o CPU basata su cloud: si eviteranno brutte sorprese in bolletta.