Blog

Cloud service selection: cosa valutare per avere costi certi e sicurezza

Scritto da Microdata | 2 agosto 2022

Nella gestione dei processi di business, perché le aziende sono tenute a effettuare una cloud service selection?  

Nel 2022, a meno che un’azienda non gestisca internamente tutti i dati, i documenti, i processi e le applicazioni, parte del suo patrimonio informativo transita in architetture cloud, che per definizione possono essere pubbliche, private o ibride e vengono gestite direttamente dall’azienda o da un service provider di fiducia. A prescindere dal soggetto incaricato della gestione, la cloud service selection serve a identificare il modello cloud migliore per: 

  • soddisfare le proprie policy di compliance; 
  • garantire prestazioni adeguate ai volumi di lavoro da gestire; 
  • soddisfare requisiti di trasparenza; 
  • assicurare resilienza e la massima sicurezza rispetto alle minacce cyber; 
  • ottenere costi adeguati e, soprattutto, prevedibili 

La scelta è particolarmente delicata poiché molte imprese operano in contesti fortemente regolati e necessitano quindi di adeguate garanzie prima di esternalizzare il proprio patrimonio informativo (dati e documenti) verso sistemi sui quali non hanno un controllo pieno, né diretto. 

 

Cloud pubblico: resilienza e performance, ma anche complessità  

Dopo un primo periodo di diffidenza, il cloud pubblico ha conquistato la fiducia delle imprese. Gli hyperscaler (Amazon, Google, Microsoft) mettono a disposizione dei clienti infrastrutture dalla scalabilità virtualmente infinita, dalla resilienza eccellente e dalle prestazioni senza compromessi, con in più un modello di pricing as-a-service che azzera gli investimenti iniziali e allinea i costi alle effettive esigenze del business.  

Tuttavia, nell’ambito specifico della gestione dei processi di business, affidarsi al cloud pubblico porge anche il fianco a qualche limite di cui bisogna tener conto nella cloud service selection.  

  • Effort elevato per la gestione delle applicazioni 
    Il cloud pubblico ha fatto della distribuzione semplificata delle app il proprio cavallo di battaglia. Tuttavia, le tipiche applicazioni SaaS (Microsoft365, Salesforce…) non rispondono alle esigenze del business process management di settori fortemente regolamentati, né consentono interventi incisivi di personalizzazione. L’azienda dovrebbe quindi acquistare l’app specifica (o svilupparla), acquisire le risorse cloud necessarie e poi effettuare il deployment. Tutto ciò richiede competenze specialistiche, tempi non immediati e una valutazione dei costi non delle più semplici. 
  • Difficile quantificazione dei costi
    Il modello as-a-service allinea il costo alle risorse utilizzate, ma il livello di granularità proposto dai cloud provider e l’infinità di parametri che condizionano i costi ricorrenti (spazio occupato, specifiche delle macchine virtuali, chiamate al db, lettura dei documenti…) rendono quest’ultimo difficilmente prevedibile e, talvolta, ben superiore ai budget inizialmente previsti 
  • Conformità e sicurezza
    Gli hyperscaler garantiscono la resilienza delle loro infrastrutture e la conformità (anche a livello di processi gestionali) con normative di svariati settori e ordinamenti nazionali. Tuttavia, proprio l’estensione globale dei network e la forte condivisione delle risorse fanno sì che controllo e sicurezza restino a favore del modello privato.  

 

Cloud privato: un’ottima soluzione, se il provider è affidabile 

Il cloud privato è un modello di cloud computing in cui le risorse sono sfruttate da una sola o da una ristretta cerchia di aziende. Titolare del cloud privato può essere l’azienda stessa – nel quale caso sarà l’unica a beneficiarne –, oppure un provider di servizi, che mette la sua infrastruttura (cloud) a disposizione dei propri clienti e partner. In ogni caso, non è un’infrastruttura pubblica: non tutti possono accedervi.  

Affidarsi a un modello privato è vincente poiché:   

  • il controllo sull’infrastruttura privata è totale, così come la capacità di soddisfare i requisiti di compliance;  
  • la trasparenza è massima: qualsiasi processo, attività ed evento può essere rilevato, registrato e tracciato;  
  • se è fornito da un provider, il modello di costo può essere notevolmente semplificato rispetto a quello del cloud pubblico (tariffa fissa mensile, numero di licenze…) a vantaggio della trasparenza sull’effettivo pricing;
  • sempre nel caso in cui il titolare sia un provider, la responsabilità sulle performance e sulla sicurezza ricade su di lui, che garantisce contrattualmente il rispetto di sfidanti livelli di servizio (SLA). 

Il cloud privato è la soluzione ideale per l’esternalizzazione dei processi di business, a patto che il provider che lo fornisce sia in grado di garantire prestazioni e sicurezza adeguate alle esigenze dei propri clienti 

 

Microdata Group, un private cloud sicuro e dalle prestazioni senza compromessi 

Il private cloud è da sempre il modello adottato da Microdata Group per l’erogazione dei propri servizi e per la messa a disposizione delle proprie piattaforme as a service, nonché per ospitare dati e documenti dei Clienti. L’azienda è infatti titolare di un’infrastruttura cloud residente su suolo italiano e gestito da un team interno, in grado di garantire altissimi livelli di performance, scalabilità e resilienza.  

L’utilizzo di un cloud proprietario per l’erogazione dei servizi solleva i Clienti da qualsiasi effort gestionale e trasferisce a Microdata Group la responsabilità su sfidanti livelli di servizio. Il controllo totale dell’infrastruttura cloud e la massima trasparenza rendono i servizi di Microdata Group conformi con la normativa di settori fortemente regolamentati. Tutt’altro che secondario, inoltre, è il modello di costo semplice, prevedibile e trasparente, che dipende anche dalla quantità di documenti gestiti 

La sicurezza, poi, merita una trattazione separata. Sotto questo profilo, infatti, Microdata Group fornisce tutte le garanzie necessarie – a livello di asset, processi e competenze – per operare in contesti come quelli finanziari. Innanzitutto, Microdata Group è certificata ISO 27001, che garantisce l’adozione delle best practice in materia di Sicurezza delle Informazioni. Inoltre, ha strutturato una Cyber Security & Data Protection Strategy, nella quale sono racchiuse tutte le strategie e le sicurezze implementate per la protezione dei dati, tra cui l’adozione di tecnologie e tool volti a rafforzare l’infrastruttura rispetto a svariate fonti di rischio. Tra questi: 

  • infrastruttura di ultima generazione in iperconvergenza sincrona, che garantiscono un allineamento in real time dei data center, fondamentale per garantire un RTO e un RPO near zero in fase di Disaster Recovery; 
  • processi formali di capacity & obsolescence management; 
  • processi formali a supporto in linea con le best practice ISO 20000/ITIL; 
  • accordi con diversi Internet Provider, così da assicurare una pluralità di connessioni a Internet, tutte in Fibra Ottica; 
  • Vulnerability Assessment e Penetration Testing (VAPT) regolari; 
  • utilizzo di Virtual Desktop (VDI) per aumentare il controllo sui processi, la segregazione degli ambienti e limitare l’accesso alle informazioni; 
  • Content filter e Web Application Firewall (WAF) per la gestione di tutte la navigazione su servizi, sia in entrata che in uscita; 
  • gestione sicura delle mail con l’implementazione di SPF/DKIM/DMARC e l’utilizzo di Antispam, Antimalware e SandBox per l’analisi di mail e allegati; 
  • Multi-factor Authentication pervasiva; 
  • crittografia di dati e immagini in transito e at rest; 
  • cifratura dei dispositivi mobili (es. laptop) e delle componenti rilevanti lato server (es. storage encryption, full disk encryption, DB encryption); 
  • adozione di sistemi MDM – Mobile Device Management; 
  • tecnologie di Data Loss Prevention su server e postazioni di lavoro (DLP); 
  • aggiornamento continuo del codice delle applicazioni proprietarie e ambienti di produzione e test segregati fisicamente, con eventuali ambienti dedicati al singolo Cliente con logiche di sviluppo sicuro (SSDLC); 
  • raccolta dei log degli eventi e integrazione in sistemi SIEM (Security Information and Event Management);  
  • adozione di strutture NOC (Network Operations Center) e SOC (Security Operations Center); 
  • figure di CISO, CTO e DPO esterne (as-a-service), così da assicurare professionalità e competenze sempre aggiornate e in linea con i trend e gli hot-topics di mercato; 
  • team ICT altamente qualificato, grazie alle competenze trasversali dei componenti;  
  • servizio di reperibilità tecnologica 24/7/365. 

Sempre in tema di sicurezza e resilienza, Microdata Group è impegnata nel sostegno e nel miglioramento della security awareness dei propri dipendenti attraverso formazione regolare e continua. Spesso, infatti, l’anello debole della catena della sicurezza è proprio quello umano: Microdata si impegna anche su questo fronte nel non farsi cogliere di sorpresa. 

È evidente quindi come fornitore di private cloud come Microdata possa fornire idonee garanzie nel rendere i propri processi e servizi sempre più sicuri attraverso adeguati criteri, modalità di gestione e utilizzo conformi alle norme di legge e ai contratti sottoscritti. Non da ultimo, la possibilità per il Cliente di aver accesso in prima persona alla struttura di Microdata per effettuare controlli e audit, risulta senza dubbio più semplice e garantisce maggiore presidio sulle tematiche di accountability.