Con l’aumento dell’adozione del cloud, le aziende si trovano a dover definire chiaramente le aspettative riguardanti disponibilità, sicurezza e prestazioni. Gli accordi sui livelli di servizio (SLA) rivestono un ruolo fondamentale in questo contesto, ma spesso non riescono a tenere il passo con l’innovazione. Tale divario rappresenta un rischio strategico per i Chief Technology Officers (CTO) e i Chief Information Security Officers (CISO), i quali devono comprendere come innovare in modo sicuro all’interno di un panorama tecnologico in continua evoluzione.
Riconoscere le lacune negli SLA come opportunità
I leader tecnologici dovrebbero interpretare le lacune negli SLA non come ostacoli, ma come indicatori di necessità di evoluzione nelle governance, nell’architettura e nei metodi di misurazione.
Allineando gli SLA con gli obiettivi aziendali e integrandoli con Experience Level Agreements (XLA), Key Risk Indicators (KRI) e Objectives and Key Results (OKR), le organizzazioni possono gestire meglio la situazione e innovare in modo più efficiente.
Adattare gli SLA alle nuove tecnologie
Le architetture cloud moderne si basano sempre più su metodologie come il container orchestration e il serverless computing. Tecnologie emergenti, come la robotic process automation, l’intelligenza artificiale generativa e l’edge computing, stanno trasformando radicalmente il modo in cui i servizi vengono erogati. I principali fornitori di cloud, tra cui AWS, Azure e Google Cloud, offrono SLA che garantiscono una disponibilità che oscilla tra il 99.9% e il 99.99%. Tuttavia, le prestazioni effettive possono variare in base alla configurazione e alle dipendenze associate.
Misurare la qualità del servizio attraverso le XLA
Per colmare il divario esistente, le organizzazioni possono adottare le XLA, strumenti che consentono di misurare la qualità del servizio e l’esperienza dell’utente. Gli OKR dovrebbero essere in sincronia con le XLA per monitorare il raggiungimento degli obiettivi aziendali, mentre SLA e KRI supportano la gestione della consegna e dei rischi. Questo modello collega l’output tecnico all’impatto aziendale, fornendo ai leader le informazioni necessarie per valutare se le innovazioni stanno generando risultati misurabili.
Gestire i rischi associati all’uso del cloud
Con una spesa pubblica nel cloud prevista per raggiungere i 723 miliardi di dollari, è fondamentale affrontare le limitazioni degli SLA. Tali restrizioni possono condurre a usi non autorizzati, specialmente in settori in rapida evoluzione come l’intelligenza artificiale generativa.
Recenti incidenti con strumenti come ChatGPT e Microsoft Copilot hanno messo in luce come dati sensibili possano essere indicizzati dai motori di ricerca, anche dopo che i repository sono stati resi privati.
Rafforzare la governance e il controllo tecnico
La gestione del rischio associato alle piattaforme cloud richiede un approccio rigoroso. È fondamentale implementare politiche adeguate e programmi di formazione per aumentare la consapevolezza. Le organizzazioni devono stabilire una governance chiara e controlli tecnici solidi per prevenire il fenomeno del shadow IT, situazione nella quale i dipendenti possono aggirare i canali ufficiali, esponendo in tal modo dati sensibili.
Modelli di responsabilità condivisa
Le aziende che operano nel cloud devono comprendere i modelli di responsabilità condivisa. In questo contesto, la sicurezza dell’infrastruttura è gestita dal fornitore, mentre la protezione dei dati, la configurazione e i controlli di accesso rimangono sotto la responsabilità del cliente. Tale approccio richiede una sicurezza stratificata che abbraccia ogni livello dell’architettura tecnologica, dalla hypervisor all’applicazione, fino al monitoraggio delle operazioni.
Strategie per l’adozione sicura del cloud
Le strategie ibride e multi-cloud offrono flessibilità, consentendo alle aziende di adattare gli SLA attraverso scelte progettuali come la microsegmentazione e l’accesso limitato. L’implementazione di strumenti open-source, come Apache Spark, può ridurre la dipendenza dai fornitori commerciali. Tuttavia, ciò richiede competenze interne e una governance adeguata per la loro gestione. Inoltre, le piattaforme di intelligenza artificiale generativa potrebbero necessitare di configurazioni ibride per soddisfare i requisiti di sovereignty dei dati.
In alcuni casi, le limitazioni dei SLA, in particolare per quanto riguarda la compliance e la sovereignty, possono richiedere una transizione verso soluzioni di cloud privato o auto-ospitate. Offerte come AWS Outposts trasferiscono parte della responsabilità operativa all’organizzazione. Questo consente un maggiore controllo, ma richiede anche una governance e competenze tecniche superiori.
Le lacune negli SLA non devono essere considerate come ostacoli all’innovazione, ma come indicazioni su dove la leadership deve intervenire. I CTO e i CISO devono concentrarsi non solo sul soddisfacimento delle garanzie tecniche, ma anche sull’assicurare che l’adozione del cloud supporti risultati aziendali misurabili. Allineando gli OKR e gli XLA, e consolidando il tutto con SLA e KRI, si può costruire una governance resiliente e reattiva.
