Una Strategia IT per l’Ateneo – Esternalizzazione

di Marco Torchiano (Dipartimento di Automatica e Informatica).

All’interno della strategia che un nuovo Rettore propone per un Ateneo, deve trovare posto una proposta per l’Information Technology (IT).

Uno degli aspetti fondamentali riguarda l’esternalizzazione dell’IT che qui provo a declinare con riferimento ai sistemi informativi di un ateneo ma che si applica ad un qualunque sistema informativo.

Cosa significa esternalizzare l’IT?

L’argomento è relativamente complicato, ma volendo semplificare, l’esternalizzazione dell’IT può essere applicata su due livelli:

• a livello di infrastruttura di calcolo (on-premise vs. cloud)
• a livello di fornitura di servizi (in-house vs. outsourcing)

L’infrastruttura di calcolo può essere:

• on-premise: quando l’hardware (ovvero i server su cui vengono eseguite le applicazioni i in cui sono memorizzati i dati) sono gestiti direttamente dall’organizzazione che li usa e sono localizzati all’interno dei propri edifici;
• cloud: quando l’hardware viene gestito da un ente esterno, (ad esempio Amazon EC2 per l’elaborazione e Amazon S3 per i dati), in questa configurazione è possibile acquistare risorse di calcolo su richiesta in tempo reale pagando solo l’uso effettivo.

Le applicazioni/servizi possono essere:

• in-house: gestite (anche se non necessariamente sviluppate) dall’organizzazione che le usa;
• outsourcing: gestite da un ente esterno che offre un servizio alla nostra organizzazione che lo usa.

Sebbene siano possibili tutte le combinazioni due sono più comuni ed effettivamente in uso presso il Politecnico di Torino:

		Infrastruttura
		On-premise	Cloud
Servizi	In-house	Es. registro elettronico	–
	Outsourcing	–	Es. gestione missioni

La soluzione storicamente più consolidata è quella dei servizi gestiti in-house con risorse on-premise. È come gestire un ristorante in cui il mio personale gestire la mia cucina.

La soluzione di outsourcing in cloud consiste nell’acquistare da un ente esterno (ad es. Cineca) un servizio delegando tutta la gestione sia dell’infrastruttura che dell’applicazione. Equivale ad un servizio di catering: non gestisco ne la cucina, ne il personale ma mi viene fornito il cibo.

La soluzione con infrastruttura su cloud e servizi in-house è relativamente diffusa e permette di far fronte a volumi molto variabili di domanda. E’ come un ristorante in cui affitto postazioni di cucina da un terzo ma la preparazioni sono fatte dal mio personale.

La soluzione di servizi gestiti in outsourcing ma on premise equivale un po’ ad avere un ristorante in cui la cucina è di mia proprietà ma le preparazioni sono affidate ad una società esterna (es. catering a domicilio).

Esternalizzare o no?

Decidere se ed in quale misure effettuare esternalizzare i servizi informatici impatta buona parte della strategia IT.

La decisione dipende anche dal tipo di servizio che si intende esternalizzare: possiamo parlare di:

• servizi generali: ad esempio email. Un servizio “in house” prevede la necessità di mantenere dei server che gestiscano i protocolli di posta, garantire sufficiente spazio di memorizzazione e gestire i software, il loro aggiornamento e la sicurezza. Trattandosi di un servizio di utilità generale è relativamente facile trovare fornitori, ad esempio il servizio GSuite di Google, che è la versione aziendale del servizio GMail che molti di noi conoscono.
• servizi più specifici: ad esempio la gestione delle missioni. Un servizio in-house  prevede di identificare le esigenze, sviluppare il servizio e gestirlo su un’infrastruttura. Nel caso di outsourcing del servizio è necessario trovare un fornitore (nel caso specifica Cineca o pochi altri) che può consentire un livello di  personalizzazione più o meno elevato (ovvero è possibile pagare per ottenere un sistema più consono alle proprie esigenze invece di adattarsi ad un modo di operare dettato dal fornitore).

La soluzione di esternalizzare, per entrambe le tipologie di servizio ha degli indubbi vantaggi:

• Semplicità: sicuramente è più semplice in termini di gestione infatti tutta la parte tecnica è in mano al fornitore;
• Competenze: richiede meno competenze infatti non è necessario personale con elevate competenze IT e l’amministrazione può essere fatta con un minimo addestramento;
• Personale: permette di ridurre i costi di personale perché la gestione tecnica è tutta a carico del fornitore di servizio.

Tuttavia ci sono molti aspetti critici:

1. Privacy:  non esiste una garanzia assoluta di privacy per gli account di posta ospitati da Google: sebbene i messaggi restano privati è possibile che essi vengano analizzati e le informazioni raccolte siano utilizzate in modi non noti. Per servizi più specifici è possibile avere più garanzie ma resta un aspetto a cui prestare molta attenzione.
2. Legislazione: per alcuni fornitori (ad es. Google) non esiste alcuna garanzia sulla posizione geografica in cui sono effettivamente memorizzati i messaggi con la conseguenza che non è chiaro a quale legislazione debbano sottostare e le recenti derive del governo US non possono lasciare tranquilli.
3. Banda: l’accesso a dati memorizzati in luoghi geograficamente lontani utilizza pesantemente la capacità di trasmissione del collegamento dell’ateneo a Internet, questo richiede perciò una connessione veloce e con una capacità elevata altrimenti si osserva una degradazione significativa del servizio, inoltre la trasmissione è influenzata dal traffico generale sulle tratte di internet utilizzate.
4. Reattività: in generale, anche in condizioni ottimali di banda, il tempo di risposta dei servizi in outsourcing è significativamente superiore a quelli in-house: l’accesso al servizio missioni ha un ritardo per ogni risposta (latenza) di circa 600ms contro un ritardo di circa 50ms per i servizi analoghi interni all’ateneo.
5. Guasti: l’accesso ai dati avviene tramite sezioni di internet che sono al di fuori del nostro controllo, perciò il Politecnico potrebbe essere tagliato fuori dall’accesso alle proprie email a causa di problemi di rete. Un semplice malfunzionamento della rete esterna potrebbe impedire anche banali attività di sportello. La possibilità di malfunzionamenti esiste anche con la soluzione in-house ma è molto più limitato e soprattutto resta sotto il controllo dell’ateneo;
6. Costo: infine, i costi dei servizi possono risultare non sono trascurabili: il costo annuo per account di posta è di 48.80€ / anno per ciascun utente, considerando che il Politecnico deve garantire email agli studenti, al personale amministrativo ed a quello docente e ricercatore (circa 40mila per il Politecnico di Torino) il costo annuo è intorno ai 2 M € (una cifra che permetterebbe di pagare gli stipendi di più di metà di tutto il personale IT del Politecnico di Torino). Non ho informazioni su servizi più specifici ma più si vuole un servizio adatto alle proprie esigenze più si paga.
7. Lock-in: l’adozione di servizi esterni comporta un legame stretto con il fornitore che significa l’impossibilità (l’elevato costo) se si vuole cambiare. Questa situazione pone il fornitore in una posizione di forza in termini contrattuali.
8. Competenze: il trasferimento delle responsabilità di gestione porta ad una perdita di competenze interne all’ateneo. Questo, oltre ad ridurre la possibilità di sviluppare soluzioni in-house, comporta una minore capacità di valutare accuratamente gli aspetti tecnici delle offerte che provengono dai fornitori esterni.

Questi motivi permettono di capire come l’esternalizzazione non sempre risulti globalmente vantaggiosa e sia necessaria un’attenta valutazione ogni volta che si intende perseguirla.

Ovviamente la rinuncia all’esternalizzazione comporta la necessità di investire in personale e infrastruttura per sviluppare e mantenere dei servizi di elevata qualità oltre alle infrastrutture necessarie per farli funzionare: non possiamo fare l’IT con i fichi secchi.

Contributo disponibile anche sul sito dell'autore: link