La maggior parte delle aziende, incluse quelle che gravitano in ambito medicale come quelle farmaceutiche, acquistano Sistemi informativi che installano direttamente sui propri dispositivi informatici e che sono gestiti in conformità a strategie IT aziendali spesso regolate da specifiche Procedure Operative Standard (SOP).

In questo tipo di soluzioni, a parte lo sviluppo dell’applicazione software,  tutto è di proprietà, gestito e manutenuto dall’azienda acquirente e ciò può tradursi in significativi costi generali per l’azienda stessa.

Il modello di business cloud invece cambia l’approccio in modo significativo. Infatti i sistemi basati sul cloud computing sono in grado di offrire una grande opportunità alle aziende in quanto grazie alla condivisione dell’infrastruttura e del software con altri utenti, gli utilizzatori possono usufruire di costi più ridotti, e di attività gestionali limitate : questo perché  i fornitori di software cloud si assumono l’incombenza di far funzionare quei sistemi attraverso risorse e procedure condivise .All’azienda, acquirente i costi vengono trasferiti come spese per la licenza di utilizzo.

1  LA DEFINIZIONE DI CLOUD COMPUTING

Per Cloud Computing si intende l’erogazione di servizi, offerti su richiesta,  da un fornitore ad un cliente finale attraverso la rete internet   (come ad es. l’archiviazione, l’elaborazione  o la trasmissione di dati), a partire da un insieme di risorse  preesistenti, configurabili e disponibili da remoto.

Le risorse non vengono configurate e messe in opera dal fornitore appositamente per l’utente, ma gli sono assegnate, rapidamente e convenientemente, grazie a procedure automatizzate, a partire da un insieme  condiviso con altri utenti: quando l’utente rilascia la risorsa, essa viene  riconfigurata nello stato iniziale e rimessa a disposizione nell’insieme condiviso.

Le tipologie cloud possono essere single-tenant che serve un solo utente che gestisce un proprio Data Base  oppure  multi-tenant che significa che una singola istanza del software e della sua infrastruttura di supporto serve più clienti.

La Architettura  di un servizio Cloud è suddivisa in tre livelli:

  • Partendo dal “basso” il primo livello da considerare è lo IaaS – Infrastructure as a Service che è rappresentato dall ‘hardware in un data center : il server, i dispositivi di archiviazione dei dati, i dispositivi di rete locale e di rete geografica, fino al firmware e così via.
  • Il secondo livello intermedio é il PaaS – Platform as a Service  che comprende sistemi operativi, sistemi di database e altri software “middleware” A questo livello ad esempio possiamo annoverare anche il Daas – Data as a Service grazie al quale vengono messi a disposizione via web i dati ai quali gli utenti possono accedere tramite qualsiasi applicazione come se fossero residenti su un disco locale.
  • Il terzo livello , é composto dai veri componenti che facilitano il valore aziendale, il SaaS – Software as a Service. Questo è, in genere, un software applicativo che gestisce  i dati (ad es. Elaborazione, manipolazione, ecc.) che sono allocati nel repository remoto

2 VANTAGGI DI UNA APPLICAZIONE CLOUD

La differenza fondamentale tra il software cloud e quello installato sui Sistemi computerizzati dell’utilizzatore è quello che per il primo è ospitato sul server del fornitore, e vi si accede tramite un browser web, mentre il secondo l’accesso è effettuato direttamente tramite i terminali aziendali. Vediamo i principali vantaggi della prima soluzione:

  1. Facilità di accesso :  Si può accedere all’ applicazione sempre e ovunque tramite un browser web da qualsiasi dispositivo.
  2. Spesa contenuta : Il cloud non richiede costi iniziali ma solo un spesa per un abbonamento periodico dove i servizi di manutenzione e supporto sono inclusi. Quindi è un costo costante e prevedibile
  3. Libertà dalla gestione : il software cloud permette all’utente di non avere incombenze per la manutenzione e l’aggiornamento del software o dell’hardware su cui risiede l’applicazione: la compatibilità e gli aggiornamenti sono a cura del fornitore di servizi cloud
  4. Livelli di sicurezza : nella maggior parte delle piattaforme cloud il livello di sicurezza delle informazioni è superiore a quella garantita al’interno delle singole aziende
  5. Velocità di attivazione : grazie ad internet l’operatività di una applicazione cloud è praticamente immediata e sicuramente più veloce di quella prevista per installazioni sui dispositivi aziendali.
  6. Scalabilità : Le tecnologie cloud offrono una maggiore flessibilità in quanto si paga in funzione di ciò che si utilizza. L’elasticità di questo tipo di soluzione prevede la capacità di aumentare (o diminuire) prontamente le necessità di risorse in funzione del numero di utenti, della dimensione dei dati che devono essere gestiti oppure del numero di transazioni da elaborare.

3 SVANTAGGI, PROBLEMI E RISCHI  DI UNA APPLICAZIONE CLOUD

Accanto ai vantaggi elencati in precedenza, la scelta di utilizzare un’applicazione cloud porta con sé anche dei problemi. Vediamo i principali:

  1. Connessione : Le soluzioni cloud richiedono un accesso a Internet affidabile per mantenere la produttività
  2. Costi a lungo termine : Sebbene richiedano un investimento iniziale inferiore, le applicazioni cloud possono essere più costose nel corso del ciclo di vita del sistema. E necessario quindi valutare in quanto tempo il costo del servizio cloud arrivi al break even rispetto al totale del costo di una applicazione on premise, inclusi costo iniziale, contratto di assistenza e le altre spese di gestione
  3. Personalizzazioni : A differenza della maggior parte delle applicazioni COTS classiche, all’interno di prodotti cloud non é possibile introdurre codice personalizzato in quanto, soprattutto in regime multi-tenant, devono poter essere utilizzabili da più clienti . Questo può implicare che non tutte le necessità aziendali siano coperte dal sistema cloud ed il grado di adattamento organizzativo da considerare è sicuramente più elevato
  4. Sicurezza Informatica : anche per le piattaforme più solide la memorizzazione di dati personali o riservati può esporre l’utilizzatore a rischi quali la perdita, modifica o violazione delle informazioni depositate in cloud. Inoltre se si utilizza un sistema di connessione wireless si può essere esposti ad atti quali l’appropriazione indebita o illegale di dati personali o aziendali. Per questo motivo è molto importante in sede di Validazione assicurarsi della capacità del fornitore di gestire in modo affidabile, i dati a lui affidati.
  5. Business Continuity : delegando a un servizio esterno la gestione dei dati e la loro elaborazione l’utente si trova fortemente limitato nel caso in cui i suddetti servizi non siano operativi (out of service). Quindi in fase di validazione della applicazione cloud, è importante essere a conoscenza, anche a livello contrattuale, del comportamento del fornitore nelle situazioni critiche

4 VALIDAZIONE DI UNA APPLICAZIONE CLOUD

A) La prima considerazione riguarda il fatto che che dal punto di vista dell’utilizzatore una applicazione Cloud è da considerarsi una applicazione software di tipo COTS (Commercial of  The Shelf) e cioè si riferisce a prodotti disponibili sul mercato per l’acquisto da parte di aziende interessate a utilizzarli nei loro progetti.

Per cui la validazione di tali tipi di applicazione è formata dalle qualifiche IQ, OQ e PQ che generalmente vengono eseguite nel caso di prodotti a scaffale.

Questa tipologia di applicazioni, che vengono offerte da remoto, determina però il fatto che, nell’individuare gli argomenti di verifica, si deve tener conto che è necessario, per alcuni aspetti della convalida, far affidamento sul fornitore del Sistema Cloud per valutare l’affidabilità del prodotto/servizio fornito: e questo aspetto si evidenzia soprattutto, per quanto riguarda la gestione dei dati che vengono trattati.

Infatti, mentre i prodotti installati presso la sede dell’utilizzatore trattano informazioni che giacciono sui server aziendali, nelle applicazioni cloud gli stessi dati sono depositati su dispositivi che non sono sotto diretto controllo dell’utente/acquirente. È quindi necessario che l’affidabilità del fornitore sia garantita dal fatto che esso disponga di un adeguato Sistema di Gestione delle informazioni trattate, che tale sistema sia sistematicamente applicato e che sia possibilmente conforme alla norma ISO 27001

B) La seconda considerazione riguarda il momento in cui effettuare la Validazione di un Prodotto Cloud.

Infatti mentre l’attività di convalida di un’applicazione COTS installata in sede può generalmente essere effettuata solo dopo l’acquisto del prodotto, nel caso di applicazioni Cloud tale intervento  può essere effettuato, nella maggior parte dei casi, in parallelo con la fase di Software Selection.

Questo grazie al fatto che  molte applicazioni cloud generalmente permettono un periodo di prova all’interno del quale è possibile applicare le necessarie verifiche di validazione: pertanto i risultati riportati nel Report di Validazione possono essere decisivi nella scelta di un’applicazione accanto a tutte le altre considerazioni che sono tipiche di un percorso decisionale.

C) L’ultima considerazione è relativa ai contenuti di convalida che, sulla base delle considerazioni fatte in precedenza, riguardano anche il coinvolgimento del Fornitore della Applicazione Cloud.

In particolare i punti principali di valutazione, che devono essere presi in considerazione e che sono peculiari per applicazioni Cloud, riguardano :

  1. Gestione delle Informazioni :  poiché i dati prodotti dall’Applicazione Cloud giacciono su Data Center gestiti dal Fornitore, è necessario assicurarsi che il fornitore adotti le misure necessarie per garantire una corretta Gestione della Sicurezza delle informazioni in termini di  Autenticità, Integrità, Riservatezza e Disponibilità. In particolare deve essere garantita una modalità che permetta in sicurezza, in ogni momento e su richiesta dell’utilizzatore dell’applicazione, l’export dei dati
  2. Aspetti regolatori : che riguardano soprattutto il trattamento dei dati personali. Infatti se l’applicazione viene utilizzata per la gestione di tale tipologia di dati è necessario che l’organizzazione del fornitore garantisca la propria conformità al GDPR. Ad esempio nel caso i Data Center ospitanti siano allocati in paesi extra-UE è necessario verificare che siano in vigore accordi bilaterali ( ad es. Privacy Shield EU-USA ) volti alla salvaguardia dei dati elaborati, conservati ed a vario titolo gestiti
  3. Aspetti Informativi: in cui vengono valutati i tempi e le modalità con cui il fornitore della applicazione Cloud comunica agli utenti i cambiamenti, le migliorie introdotte e le eventuali interruzioni della fruizione dell’applicazione cloud per manutenzione. Soprattutto è fondamentale conoscere in che modo viene garantita, inquesti frangenti, la continuità operativa (business continuity)
  4. Aspetti Comunicativi : dove è necessario individuare quali siano i canali messi a disposizione dal fornitore affinché l’utente possa segnalare eventuali anomalie operative e più in generale di situazioni non conformi. È importante identificare il livello di SLA che l’azienda fornitrice è in grado di assicurare per il Sistema Cloud

Infine il fatto che un’applicazione sia attiva su internet implica anche specifiche valutazioni di PQ (Performance Qualification) che sono quelle che generalmente vengono effettuate per giudicare le prestazioni di pagine web come ad esempio gli indicatori collegati al Website speed test.

Per poter valutare tali parametri di efficienza è necessario selezionare opportuni tools che gratuitamente o a pagamento, permettono di analizzare il comportamento delle applicazioni cloud.

GRAZIE PER L’ATTENZIONE

 

 

 

De Martino Antonio

De Martino Antonio

Laurea in matematica presso l’Università degli Studi di Milano. Sono cresciuto professionalmente nell’ ambito della Informatica Industriale all’interno di progetti per le Telecomunicazioni e di Automazione e dal 1990 mi occupo di consulenza aziendale sia su temi di compliance normativa, di processo e di prodotto, sia su temi di gestione aziendale. Negli ultimi tempi mi sto occupando soprattutto di Sistemi Integrati, di Marcature CE e di Dispositivi Medici su tematiche che riguardano la Validazione del Software per ISO13485, Regolamenti FDA, MDR , ANNEX 11 e GAMP Ho all’attivo interventi che riguardano più di 100 aziende sia manifatturiere sia di servizi di diverse dimensioni

Leave a Reply