Nata per soddisfare esigenze di business e per meglio aderire alle normative del settore bancario, l’idea di affidare il disaster recovery a un partner tecnologico esterno si è rivelata una soluzione vincente in termini di operatività e di flessibilità del servizio.
Banca d’Investimento del Gruppo Credem., Abaxbank è nata
nel 2000 con l’obiettivo di soddisfare le molteplici esigenze di aziende,
investitori istituzionali, assicurazioni e banche attraverso una globalità di
servizi, Nel 2004, per migliorare i propri servizi, ma anche per aderire nel
modo migliore alle normative che regolano il settore, Abaxbank ha dato vita alla
prima fase di un’iniziativa che prevedeva l’esternalizzazione di alcune attività
dedicate al disaster recovery.
«Oggi le strategie di disaster recovery sono sempre più spesso frutto di
progetti trasversali tra le varie aree funzionali di business – ha
affermato Mario Danieli, responsabile divisione finance &
administration e responsabile operativo della continuità operativa di
Abaxbank -. Soprattutto nell’ambito finanziario, più affine alle pratiche di
risk management, siamo di fronte a un naturale evolversi del modello di gestione
del rischio operativo dal puro investimento tecnologia/infrastruttura fine a se
stessa alla ricerca della correlazione tra capitale della banca/asset e gli
investimenti in business continuity per la conseguente attenuazione dei rischi
operativi coerentemente con Basilea 2».
In questa ottica economica vengono individuate le reali priorità per
l’azienda. «Definire una soluzione può quindi risultare molto complesso
– ha proseguito Danieli – ed è necessario sviluppare e investire in
soluzioni flessibili e dinamiche capaci di adattarsi ai cambiamenti improvvisi e
talvolta imprevisti dei modelli di business. Nel processo di business continuity
management intrapreso, il progetto per lo sviluppo di un piano di disaster
recovery in Abaxbank è stato il primo vero passo verso un modello di governance
integrata della sicurezza aziendale che ha coinvolto a differenti livelli le
varie business unit. Partendo da un approccio di tipo operativo e bottom-up si
sono identificate soluzioni di disaster recovery coerenti sia con gli obiettivi
organizzativi-operativi sia con i vincoli tecnologici, identificando soluzioni
economicamente e finanziariamente sostenibili».
Capo progetto all’interno di Abaxbank è Matteo
Rasia, che ci ha raccontato come è perché la Banca ha deciso di puntare
sull’outsourcing e anche cosa ha voluto dire affidare in tutta sicurezza a una
società esterna la gestione del disaster recovery.
Da cosa è partita l’idea di dare in outsourcing dei
servizi?
Nell’ottica sia del rispetto normativo sia delle
necessità di business, nel 2003 abbiamo pensato di dare in outsourcing una parte
dei servizi, in particolare la sala server farm per il disaster recovery. Già
quindi due anni fa era stato previsto un intervento in diverse fasi modulari per
raggiungere un livello di disaster recovery completo di cui il primo modulo,
realizzato in collaborazione con COLT, si è concluso con successo nel
2004.
Uno degli obiettivi del progetto era di identificare una soluzione che
ci avrebbe consentito di capitalizzare gli investimenti previsti nel primo
modulo (2004), nel rispetto delle future sinergie e linee guida definite insieme
alla capo gruppo nel 2005 per soddisfare le caratteristiche richieste da Basilea
2 e Banca d’Italia. A tal fine, la flessibilità e la capacità adattativa delle
soluzioni proposte da COLT si sono rilevate di grande valore per raggiungere
l’obiettivo.
Quali sono stati i motivi che vi hanno convinto che era la strada
giusta?
Sono stati tre i motivi che ci hanno spinto a seguire
questa strada. Il primo è di tipo manageriale: dovevamo rafforzare una politica
stringente di cost governance già in atto; il secondo di tipo tecnologico, che
ci doveva portare a consolidare e rendere più scalabile l’infrastruttura (va da
sé che fattori come efficienza e disponibilità erano acquisiti e ormai dati per
scontati); il terzo di tipo normativo: non dimentichiamoci che oltre a Basilea
2, oggi verticale per la banca ma che in futuro coinvolgerà anche le aziende,
era importante rispettare il decreto legislativo 196 del 2003 e anche il 318
che, già in precedenza, stabiliva precise linee guida. Per una banca è infatti
importantissima l’affidabilità e la riservatezza dei propri database, che sono
gli elementi alla base del rapporto di fiducia con i clienti.
Come avete scelto il vostro partner?
Dovevano
cambiare il modo di erogare i servizi e il modo di essere dell’azienda. Si
andava verso una realtà estesa a livello geografico, disponibile sempre e
dovunque. Era perciò necessario trovare un terzo attore che ci potesse
assicurare la business continuity. Dopo un’attenta analisi delle proposte di
mercato, la scelta è caduta su COLT. Il primo fattore che ci ha indotto a tale
scelta è stata la similitudine dei nostri modelli culturali; per noi era
importante affrontare la business continuity e il disaster recovery tramite un
partner che seguisse la nostra stessa metodologia.
Fin dall’inizio, COLT e
noi ci siamo avvalsi del medesimo modello standard BS 7799, che poi è stato
acquisito in Iso, e ciò ha reso più semplice l’interazione a livello tecnologico
e organizzativo. Infatti, oggi la banca è sempre più legata agli aspetti
inerenti l’organizzazione, sia in termini di gestione dell’It, sia della
sicurezza fisica e logica.
Una modalità operativa simile tra voi e il vostro outsourcer è un
argomento importante ma non ci sembra di rilevanza tale da essere quello
determinante.
Per noi è stato comunque fondamentale. Tuttavia,
oltre ai costi e alla possibilità di avere a disposizione prodotti con
performance sempre più elevate, la leva competitiva che ha guidato la nostra
scelta è stata la sicurezza integrata nel modello operativo. Rispetto ai
concorrenti, alcuni dei quali risultavano più competitivi sotto l’aspetto
pricing, COLT ci ha convinto anche grazie al rapporto qualità/performance del
servizio vero e proprio. È stata capace di realizzare un progetto in grado di
prevedere e garantire infrastrutture scalabili e quindi già predisposte per
quelle evoluzioni che ci sono state nel 2005 (e che ci saranno), senza dover
rivedere il nostro contratto. Il tutto si è tradotto in un minor costo di
gestione. Questo per noi ha voluto dire anche poter migrare verso COLT gli
aspetti di produzione vera e propria. Oggi il clustering geografico ci permette
di garantire un servizio di disaster recovery a caldo. Avere un nodo di cluster
presso la sede principale di Abax e uno presso la server farm di COLT ci
consente di assicurare, qualora se ne presentasse la necessità, un ripristino
del servizio nel giro di pochi minuti al massimo, senza dover riconfigurare
l’intera struttura e quindi intervenire manualmente sulle macchine.
Sotto l’aspetto tecnologico, qual è stato l’elemento che avete
apprezzato in modo particolare nell’offerta del provider?
Direi
la convergenza dei servizi voce/dati. La rete metropolitana COLT è “trasparente”
e questo ci ha consentito di virtualizzare la nostra infrastruttura verso il
data center di COLT senza dover rivedere, e quindi riconfigurare, l’intero
sistema IT di Abaxbank In questo modo è stato possibile rispettare i tempi
previsti per l’implementazione (per altro molto contenuti) e il numero delle
risorse tecniche e umane preventivate per la soluzione di housing presso il data
center di COLT.
Era inoltre fondamentale che un’estensione della banca a
livello fisico e logico potesse garantire la sicurezza e l’integrità dei
dati.
Entriamo più nel dettaglio del progetto. Come è stato attuato
praticamente?
Il progetto è partito da una Business Impact
Analysis che ci ha portato a individuare i punti di criticità e di attenzione
relativamente alla business continuity e al disaster recovery. Abbiamo quindi
valutato la possibilità di attuare il progetto al nostro interno ma il tempo di
delivery che ci eravamo riproposti ci ha indotto a puntare su una soluzione
esterna. In poco tempo siamo riusciti a portare su rete geografica una serie di
servizi che erano presenti unicamente nella nostra sede di Milano. La soluzione
implementata ci ha permesso di essere già pronti per lo sviluppo del modulo di
business recovery, che garantirà la fruibilità dei servizi attraverso una sede
distaccata completa di circ.
Per quanto concerne il biennio 2005-2006, grazie
alla scalabilità offerta da COLT, e in virtù di una più approfondita conoscenza
e condivisione di tutte le necessità del nostro gruppo, stiamo sviluppando
diverse attività di convergenza interne al gruppo stesso.
Quanto tempo è durato l’intero progetto, dall’analisi preventiva alla
completa messa in opera?
La parte di analisi ha richiesto circa
tre mesi; all’incirca lo stesso tempo è stato necessario per l’implementazione.
La terza fase, che oltre alla delivery di COLT ha compreso anche la migrazione
della nostra sala farm, ha richiesto quattro mesi, mentre per la fase terminale
di collaudo e manutenzione ci sono voluti 2 mesi e mezzo. Preciso che la nostra
struttura comprende circa 200 persone e il progetto ha riguardato 20 servizi per
circa sei attività su sito geografico.
Qual è stato, se c’è stato, l’impatto dell’outsourcing sulla vostra
quotidiana attività lavorativa?
Non essendo stato un outsourcing
rivolto al facility management non ha avuto un grosso impatto a livello
organizzativo e le risorse sono rimaste al nostro interno. In realtà avevamo già
operato in precedenza un outsourcing del facility management e dell’application
management con un’azienda diversa da COLT. Con il personale di quest’ultima si è
però instaurata una certa interazione riguardo alcune funzioni e questo ci ha
permesso di “remotizzare” il backup giornaliero in una seconda sede, garantendo
però sempre precisi livelli di sicurezza e qualità. In generale, comunque,
questa nuova modalità operativa non ha portato sostanziali cambiamenti nel
nostro modo di lavorare.
