La strategia di abilitazione al Cloud

AGID e il Dipartimento per la trasformazione digitale hanno definito il modello strategico evolutivo per la migrazione del patrimonio IT esistente verso il Cloud della PA mediante due componenti principali:

1. il programma di abilitazione al Cloud nazionale, ovvero l’insieme dei progetti specifici che consentiranno alle PA di migrare le applicazioni in ambiente cloud;
2. l’ambiente (cd. framework) di lavoro dell'abilitazione al cloud costituito dall’insieme di risorse, strategie operative, metodologie e strumenti necessari per attuare il programma di abilitazione della PA.

La figura 4.2 riassume i processi e l’uso delle risorse del framework utilizzate nell’ambito del programma di abilitazione al cloud. Il framework di lavoro dell'abilitazione al cloud della PA è costituito da due elementi principali: un’unità di controllo e diverse unità di esecuzione.

L’unità di controllo ha il compito di aggiornare, gestire e monitorare il framework di lavoro e il programma di abilitazione al cloud. Detta unità è costituita da un team specializzato in attività di abilitazione al cloud (supporto specialistico nella migrazione di applicazioni, data center, ecc.) che, insieme ad AGID, al Dipartimento pr la trasformazione digitale e ai centri di competenze, rappresenta la governance dell’intero progetto.

Le principali attività dell’unità di controllo sono:

1. Definizione delle metodologie: l’unità di controllo definisce e aggiorna le metodologie adottate nell’ambito del framework di lavoro, in particolare per quanto riguarda il monitoraggio, l’assessment, le modalità di consegna e il controllo della qualità.
2. Sviluppo e mantenimento degli strumenti: l’unità di controllo è responsabile per la gestione degli strumenti di lavoro nell’ambito del _framework _di lavoro, si preoccupa di sviluppare, selezionare, mantenere ed aggiornare gli strumenti di lavoro; presta inoltre supporto alle unità di esecuzione affinché gli strumenti vengano utilizzati correttamente.
3. Program Management: l’unità di controllo è responsabile della gestione del programma di abilitazione al cloud, del coordinamento dei progetti e del coordinamento delle unità di esecuzione sul territorio. L’unità di controllo aggiorna il programma di abilitazione al cloud tenendo in considerazione il feedback proveniente dalle unità di esecuzione.
4. Controllo della qualità: l’unità di controllo è anche responsabile di verificare la qualità delle consegne (la realizzazione di un progetto di abilitazione al cloud); al termine di ogni progetto di migrazione dovrà verificare mediante opportuni strumenti (questionari, design docs, test, ecc.) se quanto realizzato risponde ai parametri di qualità previsti dalla metodologia adottata.
5. Monitoraggio: l’unità di controllo si preoccupa infine di monitorare l’intero programma in termini di risultati attesi (deliverable) e parametri (KPI); a tale scopo, svilupperà un’infrastruttura di monitoraggio ovvero un’applicazione che da un lato, abilita le PA e le unità di esecuzione ad attivare e monitorare il singolo progetto di migrazione, dall’altro, fornisce una visione complessiva dello stato di avanzamento di tutti i progetti di migrazione in atto.

In questo modello, le unità di esecuzione sono i soggetti responsabili della progettazione e dell’esecuzione di uno specifico progetto di migrazione cloud. Tali unità sono responsabili per la consegna (delivery), svolgono consulenza sul campo, progettando e implementando, insieme alle PA e/o ai centri di competenze, il percorso di migrazione dei servizi IT.

Le principali attività dell’ unità di esecuzione sono:

1. Assessment iniziale: assessment infrastrutturale e delle applicazioni utilizzate dalla PA, prestando particolare attenzione ad individuare la criticità di ogni applicazione ed eventuali interdipendenze. Al termine di questa fase iniziale, si ottiene un catalogo delle infrastrutture da dismettere e delle applicazioni da migrare, congiuntamente ad una analisi complessiva dove si evidenziano possibili criticità nella fase di migrazione.
2. Progettazione del processo di migrazione: progettazione congiunta alle PA del piano di migrazione individuando le architetture, le strategie di migrazione per le diverse applicazioni, le soluzioni cloud ed, infine, i tempi di esecuzione. Questa fase produce un piano di lavoro dettagliato che sarà messo in atto nella fase successiva. La conoscenza (know how) prodotta durante la progettazione deve essere consolidato dalle unità di esecuzione.
3. Esecuzione della migrazione: l’esecuzione della migrazione è la parte operativa di tutto il processo. Mediante le metodologie definite dalle unità di esecuzione, con il supporto dell’unità di controllo, viene eseguito quanto descritto nel piano di migrazione frutto della precedente fase. Viene stabilito un centro di operativo di comando e controllo della migrazione in cui devono essere presenti anche componenti della PA coinvolta. Al termine di questa fase. la PA dovrebbe poter disporre dei nuovi servizi IT in ambiente cloud. Questa fase è iterativa e dovrebbe svolgersi per ogni applicazione, in modo che si possa verificare il corretto funzionamento dell’applicazione una volta migrata.
4. Revisione della sicurezza: le unità di esecuzione effettuano la revisione della sicurezza applicativa e dell’infrastruttura, indicando le criticità per ogni ambito avvalendosi di soggetti terzi per una migliore e più indipendente analisi del rischio. La revisione prevede l’applicazione delle misure minime di sicurezza ICT per le pubbliche amministrazioni, emanate da AGID. Nell’ambito della web application security, è necessario applicare i controlli legati alle vulnerabilità più comuni, menzionate in dettaglio nella classifica Top 10 del progetto OWASP. La revisione di sicurezza deve essere eseguita sempre prima di considerare conclusa la fase di esecuzione, e viene effettuata in maniera iterativa ogni qual volta il ciclo di esecuzione introduce un nuovo cambiamento.
5. Retrospettiva post-migrazione e supporto: al termine della fase di esecuzione, le unità di controllo effettuano un’analisi retrospettiva del processo di migrazione cercando di evidenziare le problematiche emerse nelle attività di progettazione specifiche. Gli insegnamenti tratti (lesson learned), emersi in questa fase, vengono presentati all’unità di controllo che le consolida in una base di conoscenza (knowledge base) comune.
6. Formazione: formazione ai referenti dell’amministrazione sui servizi cloud (IaaS, PaaS, SaaS) e sul loro utilizzo attraverso sessioni di formazione specialistica sulle tematiche del cloud.
7. Project Management: le unità di esecuzione sviluppano e coordinano l’esecuzione del progetto di abilitazione al cloud per le pubbliche amministrazioni, utilizzando gli strumenti forniti dall’unità di controllo e le risorse cloud acquisite dalle stesse amministrazioni. Le unità di esecuzione insieme alle amministrazioni sono responsabili della gestione e dell’esecuzione del progetto.

I centri di competenze

Il terzo elemento del programma di abilitazione al cloud è costituito dall’individuazione di specifici centri di competenze sul territorio.

Tali centri, supportati da AGID, hanno lo scopo di consolidare il know how e l’esperienza relativa alla gestione dei servizi cloud nella PA.

Inoltre, possono svolgere la funzione di soggetti aggregatori, amministrando i servizi cloud per conto di altre PA, svolgendo pertanto un ruolo chiave nel modello di sviluppo della trasformazione digitale della PA.

Al termine del processo di trasformazione/migrazione cloud, le attività di aggiornamento, formazione, gestione del cambiamento e ottimizzazione delle risorse cloud, saranno affidate ai centri di competenze.