09 Apr 4a_GDPR non ti temo – Fornitori: criteri ed analisi delle SLA (PRO)
COME ANALIZZARE LE SLA E REDIGERE I DOCUMENTI (PRO)
In ambito tecnologico e di sicurezza particolare importanza assumono nella erogazione di servizi sulla rete i cosiddetti SLA prestazionali (disponibilità, tempi di risposta, ecc.) che, rispetto agli SLA generici, offrono un consistente vantaggio competitivo soprattutto se a questi viene associata una sorta di personalizzazione del livello parametrizzata in base alle esigenze del singolo cliente.
Il monitoraggio degli SLA prestazionali consente di verificare sia l’andamento dei livelli di servizio in termini di rispetto dei valori target contrattuali, sia la presenza di anomalie tecniche e applicative che potrebbero causare disservizi nei confronti dell’utente finale.
Si parla di monitoraggio in tempo reale degli SLA in quei casi la cui gestione implica il ricorso a sistemi di allerta in grado di segnalare on-line il verificarsi di problemi durante l’erogazione del servizio.
A titolo esemplificativo, si riportano di seguito alcuni dei principali indicatori utilizzati come SLA prestazionali:
- performance di rete;
- disponibilità delle componenti di sistema (mainframe, rete, banda, ecc.);
- disponibilità del servizio end to end;
- funzionalità e tempi di risposta delle transazioni su Web.
Maggiori prestazioni vuol dire maggiore robustezza del Sistsema e pertanto se si applicasse il concetto di “tempo e denaro infiniti” dovremmo dimensionare al massimo le risorse. Ma in un ambiente reale, con budget finito per intenderci, e tempi da rispettare, come si determinano le condizioni adeguate per concordare uno SLA idoneo alle nostre necessità?
ATTRAVERSO SLM
Il Service Level Management (SLM) è il processo attraverso il quale viene strutturata, negoziata, misurata, gestita, e migliorata la qualità dei servizi IT.
Rappresenta il giusto bilanciamento tra l’offerta e la richiesta di servizi IT in un contesto caratterizzato da continui e rapidi cambiamenti.
SLM è strutturato su di una serie di documenti ben distinti:
- Service Catalog
Contiene i dettagli su tutto lo spettro di servizi che il dipartimento IT può offrire - Service Level Requirements (SLR)
documenti che forniscono una dettagliata visione delle necessità/richieste del cliente - Service Level Agreement (SLA)
negoziato per raggiungere un accordo attraverso un compromesso fra SLRs del cliente e la capacità del fornitore. definisce i termini di contratto - Operational Level Agreement (OLA);
- Underpinning Contracts (UC);
sono documenti interni (OLA) ed esterni (UC) che descrivono le modalità di erogazione dei servizi - Services Quality Plan
documento per il management nel quale vengono registrati i parametri del processo di Service Management della gestione operativa, definendo i valori di misurabilità, tempi di risoluzione e livelli di impatto per i rischi; in pratica il documento di valutazione di idoneità del servizio e la base per gli audit di controllo/miglioramento - Service Improvement Programs (SIP)
documenta le azioni, le fasi ed i dati di release che servono per migliorare un servizio IT
I documenti si integrano tra loro in funzione del medesimo obiettivo: identificare, strutturare, erogare livelli di servizio garantendone, nel tempo, continuità, qualità e miglioramento degli stessi.
Ma si nota subito come tutto si concerti su un documento fulcro dell’operazione: lo SLA
È il documento che conferma la presa di decisione di ottenere un servizio secondo quanto specificatamente richiesto. Scaturisce da analisi di richieste, compromessi, discussione, misurazione e valutazione di idoneità.
Ma è l’elemento in cui vengono determinati, scritti nero su bianco i parametri di rispetto della qualità del servizio, ottenendo due risultati:
- assunzione di responsabilità da parte del decisore (Titolare) relativamente all’idoneità (accountability)
- accettazione delle Responsabilità da parte di terzi nel caso in cui i servizi non rispettino il livello garantito (agreement)
Rappresenta il punto per l’identificazione e pianificazione dei servizi richiesti dall’organizzazione e dipende da una serie di variabili, quali:
- gli aspetti fisici dell’organizzazione (dimensioni, complessità, distribuzione geografica, organizzazione interna,..);
- gli aspetti culturali dell’organizzazione (il linguaggio utilizzato, le relazioni tra l’organizzazione IT e il Cliente, le policy di addebito, le attività di business,…);
- la natura delle attività di business (termini generali e condizioni, orari e metodologie di svolgimento delle attività di business,…).
La definizione di uno SLA presuppone una prima analisi delle infrastrutture IT esistenti, delle persone coinvolte, delle esigenze e delle risorse interne disponibili e deve essere sviluppato in modo che:
- l’offerta dei servizi IT venga focalizzata sul cliente e sugli accordi
- i servizi IT siano descritti in un linguaggio chiaro e comprensibile per facilitare la comprensione
- la qualità, la disponibilità, l’affidabilità e il costo vengano sottoposti ad un miglioramento continuo
- il contratto migliori la comunicazione tra l’organizzazione ed il gestore dei servizi IT
Redigere il SLA
Deve essere un documento flessibile, personalizzabile in funzione delle esigenze:
- Negoziazione: fornitore e cliente definiscono un accordo su tipologia e qualità dei servizi determinando il costo. Vengono identificati i bisogni e le metodologie di fruizione dei servizi. Si conclude con la firma dell’accordo.
- Sviluppo: le parti coinvolte vengono informate sulle rispettive competenze ed obblighi e vengono esplicitate:
a. Le regole comportamentali;
b. Gli impegni assunti;
c. Le metodologie impiegate;
d. I dispositivi utilizzati;
e. I costi previsti. - Misurazione: la raccolta delle misurazioni per la verifica del rispetto degli accordi. Si tiene traccia della configurazione, delle risorse, dei tempi, delle informazioni e si verificano i parametri misurati con le soglie concordate.
- Correzione: nel momento in cui vengono rilevate delle violazioni che pregiudicano il perseguimento degli obiettivi vengono notificate al management che applicherà le azioni correttive, queste devono essere registrate in un apposito documento identificando:
a. le violazioni rilevate;
b. le cause che hanno determinato le violazioni;
c. gli effetti delle violazioni;
d. le azioni correttive impiegate;
e. eventuali proposte di modifiche in termini di servizi e costi riconducibili alle violazioni riscontrate.**Come si vede il punto 3 è anche quello adottato dal Registro dei Trattamenti e dal Registro DataBreach, infatti questi documenti sono l’applicazione dello SLA al criterio di protezione dei dati richiesto al Titolare. - Riformulazione condizioni: dall’analisi del registro e dei reports si può procedere ad un eventuale adeguamento del SLA. Le modifiche comprendono l’integrazione di nuovi servizi o l’eliminazione di altri.
- Termine: il mancato rispetto delle clausole da parte di uno dei firmatari o la conclusione del rapporto comporta la cessazione del SLA.
Come stilare uno SLA?
Essendo un documento molto personalizzato e realizzato sulle necessità della singola realtà, realizzare un SLA è un’operazione sempre artigianale, non esistono copia/incolla che riescano a realizzare uno strumento idoneo universalmente.
Tuttavia è possibile seguire alcune indicazioni:
- identificare i bisogni e le esigenze e i relativi servizi IT ad essi riconducibili;
- identificare le metodologie di misurazione della qualità e dell’efficienza dei servizi;
- stabilire riunioni periodiche per effettuare controlli di idoneità, verso le esigenze, ma anche verso i cambiamenti esterni;
- verifica del rispetto dei livelli minimi ed il raggiungimento dei target, per determinare la risoluzione del contratto la ridefinizione del SLA;
- evitare accordi successivi alla firma o dopo un periodo di prova;
- appoggiarsi a professionisti con esperienza specifica nel settore per redigere un documento equo;
- ricordare che è un processo continuo, prevedendo delle revisioni periodiche per adattarsi alle condizioni in cambiamento.
- non è uno strumento punitivo nè di ricatto: alla sua redazione lavorano i clienti e i fornitori. L’obbiettivo è un miglioramento dell’intera organizzazione.