Cloud, nove regole d'oro per minimizzare i rischi

GARTNER

A firma di Gartner il primo vademecum sui contratti a servizio degli IT manager. Bona: "Per far decollare la nuvola è necessario garantire chi utilizza le soluzioni"

di Patrizia Licata
Nove elementi chiave da negoziare nei contratti cloud per ridurre al minimo i rischi per gli utenti: a evidenziarli è la società di ricerche Gartner rivolgendosi a tutti i manager del sourcing e dell’approvvigionamento It in cerca di opzioni che riducano i costi ma tengano i rischi sotto controllo.

"Le soluzioni cloud spesso appaiono molto convenienti per i bassi costi iniziali rispetto alle soluzioni tradizionali, ma includono costi e rischi nascosti e richiedono termini adeguati nei contratti per proteggere chi se ne serve”, nota Alexa Bona, research vice president di Gartner. "Molti provider del cloud si mostrano restii a negoziare i contratti e il punto di partenza del contratto di solito favorisce il vendor piuttosto che le esigenze dell’utente”.

Nel valutare il procurement e il sourcing tramite cloud, gli executive aziendali devono dunque avere chiari gli elementi contrattuali e di rischio che possono negoziare e i servizi che possono esigere dal provider.

"I mercati cloud sono generalmente molto competitivi ed è importante per gli executive che si occupano di sourcing e procurement fare leva sulla forte concorrenza tra provider per ottenere il massimo in fase di negoziazione del contratto. Devono essere pronti anche ad abbandonare il tavolo delle trattative, se alcuni elementi di rischio non sono adeguatamente affrontati”, afferma Frank Ridder, research vice president di Gartner. "Nel tempo, la pressione da parte del compratore unita al desiderio del provider di abbreviare i tempi delle trattative produrrà contratti meno incentrati sul fornitore e più attenti al cliente”.

Quali dunque i nove elementi chiave da capire nei contratti per la fornitura di servizi cloud che aiutano a limitare i rischi? Innanzitutto, le garanzie sull’uptime: gli analisti Gartner dicono di aver visionato molti contratti privi di garanzie sul "tempo di attività". Tali standard sulle prestazioni devono essere sanciti da contratto e, idealmente, dovrebbero essere previste penali se non rispettati. Lo stesso discorso vale per gli accordi sul livello di servizio (Sla) o downtime (l'interruzione dell'attività), che dovrebbero prevedere penali se non soddisfatti.

A questo proposito, Gartner invita anche a prestare attenzione alle clausole dei contratti disegnati dai provider che prevedono sì il pagamento di penali in caso di mancato rispetto dei livelli del servizio, ma con importanti esclusioni. I clienti dovrebbero limitare al massimo queste esclusioni e accertarsi che la penale scatti nell’esatto momento in cui inizia il downtime.

Altro tema cui prestare grande attenzione è la sicurezza. Gli executive del procurement e della sicurezza delle aziende clienti dovrebbero accertarsi che il provider del cloud segua norme di sicurezza in linea con quelle della propria azienda, se non più severe. Gartner consiglia di negoziare dei service level agreement anche per la security, in particolare per le violazioni dei sistemi, esigendo che il provider avvisi immediatamente il cliente nel caso si verificassero intrusioni o attacchi. Il cliente deve anche informarsi di quale sia il livello di compliance del provider del cloud con la normativa sulla privacy e la protezione dei dati personali. I contratti dovrebbero stabilire inequivocabilmente che il provider del cloud non condividerà con altri i dati personali.

Attenzione ancora a un altro elemento: i contratti del cloud raramente impegnano il provider in merito alla Business continuity e alla Disaster recovery. Alcuni provider di tipo infrastructure as a service (IaaS) non si assumono nemmeno la responsabilità per il back-up dei dati dei clienti.

Ancora, alcuni contratti per i servizi cloud stabiliscono che dopo un ritardo di 30 giorni nel pagamento il servizio può essere sospeso dal provider. Il cliente potrebbe invece negoziare, in caso di ritardi o controversie sul pagamento, che il servizio non sia comunque sospeso. Alcuni contratti permettono poi al fornitore di terminare l’accordo entro 30 giorni con un avviso scritto: gli utenti dovrebbero negoziare invece un preavviso di sei mesi, a meno che non abbiano violato i termini del contratto.

Infine, il risarcimento in caso di danni: le aziende che si rivolgono ai cloud provider dovrebbero cercare di ottenere una maggiore protezione di quella garantita oggi dalla maggior parte dei contratti cloud, che riduce le responsabilità dei fornitori al massimo del valore della tariffa pagata negli ultimi 12 mesi.

19 Maggio 2011