View a markdown version of this page

La transizione dal ROI all'ingegneria del caos come necessità strategica - AWS Linee guida prescrittive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

La transizione dal ROI all'ingegneria del caos come necessità strategica

Sebbene sia allettante monitorare il ROI, le difficoltà legate alla misurazione del valore dell'ingegneria del caos spesso portano le organizzazioni a dare priorità alle efficienze immediate e a breve termine rispetto agli investimenti strategici in materia di resilienza. Questo approccio trascura l'ingegneria del caos come fattore chiave della resilienza e i vantaggi competitivi derivanti dall'evitare le interruzioni. Il vero valore dell'ingegneria del caos sta nella prevenzione di futuri fallimenti. L'ingegneria del caos supporta la continuità aziendale a lungo termine.

Invece di concentrarti sul ROI, considera l'ingegneria del caos come la sicurezza informatica. Come spiegato nell'articolo di Forbes La sicurezza informatica come investimento strategico: come l'ottimizzazione del ROI può portare a un futuro più sicuro, la sicurezza informatica non dovrebbe essere vista come un centro di costo o una spesa obbligatoria per le organizzazioni, perché questa mentalità non riesce a riconoscere il valore strategico che solide misure di sicurezza informatica possono fornire nel tempo. L'autore sostiene invece che cambiando prospettiva per trattare la sicurezza informatica come un investimento a lungo termine che genera vantaggi competitivi, le organizzazioni possono sbloccare nuove strade per l'innovazione, l'efficienza operativa e la differenziazione all'interno dei rispettivi mercati. Adottando questo approccio, l'autore conclude che i Chief Information Security Officer () possono garantire meglio il consenso e i finanziamenti dei dirigenti. CISOs Possono quindi posizionare le proprie aziende in modo da superare i concorrenti in un panorama informatico sempre più rischioso. Questa creazione di valore strategico a lungo termine della sicurezza informatica è parallela ai continui miglioramenti inerenti alle pratiche di ingegneria del caos.

Mentre la sicurezza salvaguarda la capacità di un'organizzazione di gestire e proteggere le risorse, l'ingegneria del caos aiuta a garantire la disponibilità, l'affidabilità e la recuperabilità dei sistemi e dei servizi principali. Per realizzare valore e vantaggio competitivo a lungo termine, trattate l'ingegneria del caos come una capacità fondamentale e un imperativo strategico, non come un'iniziativa che richiede una giustificazione costante.

Il diagramma seguente mostra l'evoluzione dell'ingegneria del caos dalla base agli obiettivi e al ROI, fino a diventare una strategia.

L'evoluzione inizia con gli sforzi di base, verso gli obiettivi, il ROI e la strategia necessaria.

A livello di base, i singoli team in genere sperimentano in modo indipendente, guidati dalle esigenze locali. Questi esperimenti sono promossi da ingegneri appassionati che dimostrano il loro valore riducendo gli incidenti e migliorando l'osservabilità.

Quando questi sforzi si rivelano efficaci, i team possono elevare il loro apprendimento alla leadership. Con questa visibilità, gli sforzi passano a una fase basata sugli obiettivi. L'organizzazione stabilisce obiettivi formali per la resilienza e il recupero, supportati da risorse e supporto per un'implementazione più ampia.

Infine, l'ingegneria del caos matura oltre a richiedere una costante giustificazione del ROI per essere riconosciuta come una necessità strategica, simile alla sicurezza informatica. In questa fase, l'ingegneria del caos diventa completamente integrata nei processi organizzativi. L'implementazione si concentra sulla resilienza a lungo termine piuttosto che sulle metriche a breve termine. L'ingegneria del caos è considerata una capacità fondamentale essenziale per mantenere il vantaggio competitivo e la fiducia dei clienti.

Integrazione dell'ingegneria del caos nella propria organizzazione

Per elevare l'ingegneria del caos allo stesso livello di importanza della sicurezza, prendete in considerazione i seguenti suggerimenti:

  • Far diventare l'ingegneria del caos una pratica non negoziabile ‒ Proprio come la sicurezza informatica è considerata un requisito fondamentale per le organizzazioni, l'ingegneria del caos è considerata una pratica obbligatoria per garantire la resilienza e l'affidabilità del sistema. Integra l'ingegneria del caos nei processi, negli strumenti e nella cultura della tua organizzazione, anziché considerarla un'attività facoltativa o discrezionale. Per ulteriori informazioni, consulta la guida al framework Resilience Lifecycle.

  • Consenso e supporto sicuri a livello dirigenziale ‒ Come per le iniziative di sicurezza, le iniziative di ingegneria del caos devono avere il consenso e il supporto attivo dei dirigenti. Ciò include l'allocazione di risorse, budget e personale dedicati per implementare e sostenere le pratiche di ingegneria del caos in tutta l'organizzazione.

  • Implementa la governance e la supervisione ‒ Analogamente a un CISO e a un framework di governance della sicurezza, istituisci un team dedicato alla progettazione del caos o un Chief Resilience Officer. Questo team o ruolo è responsabile della supervisione e del coordinamento delle attività di ingegneria del caos tra diversi team e unità aziendali.

  • Integrate l'ingegneria del caos nei cicli di sviluppo e operativi ‒ Proprio come le pratiche di sicurezza sono integrate nei processi di sviluppo e distribuzione del software, fate dell'ingegneria del caos una parte integrante del ciclo di vita dello sviluppo e della distribuzione del software.

  • Conduci regolarmente esercitazioni e simulazioni di ingegneria del caos ‒ Analogamente alle simulazioni di violazioni della sicurezza e alle esercitazioni di risposta agli incidenti, conduci regolarmente esperimenti di ingegneria del caos per convalidare le capacità di risposta agli incidenti e identificare potenziali punti ciechi in modo proattivo.

  • Usa l'ingegneria del caos per gestire i runbook ‒ Analogamente alle revisioni di sicurezza, utilizza esperimenti di ingegneria del caos per convalidare l'efficacia e l'accuratezza dei runbook per la risposta e il ripristino degli incidenti. Inoltre, gli esperimenti di ingegneria del caos possono fungere da simulazioni realistiche per consentire agli ingegneri in servizio di esercitarsi nell'esecuzione delle procedure di runbook. Le simulazioni aiutano gli ingegneri a mantenere la memoria muscolare operativa e la preparazione per gestire gli incidenti del mondo reale.

  • Promuovi una cultura della resilienza ‒ Come per la formazione sulla sensibilizzazione alla sicurezza, investi nella formazione sull'ingegneria del caos e in iniziative di condivisione delle conoscenze per promuovere una cultura della resilienza. Includi programmi di formazione, collaborazione interfunzionale e incentivi per i team che adottano pratiche di ingegneria del caos.

  • Misura e riporta le metriche di resilienza ‒ Monitora regolarmente le metriche di resilienza e segnalale alle parti interessate. Utilizza le metriche quantitative e qualitative discusse in questo documento come punto di partenza.

  • Considera la resilienza come un vantaggio competitivo ‒ Le misure di sicurezza informatica possono fornire un vantaggio competitivo. Allo stesso modo, considera le tue capacità di ingegneria del caos e resilienza come un elemento di differenziazione che ti aiuta a offrire servizi più affidabili e affidabili ai tuoi clienti.

Ottenere il consenso dei dirigenti

L'ingegneria del caos spesso non ha una chiara responsabilità nell'ambito delle responsabilità tradizionali dei vertici aziendali. Il CEO si preoccupa della crescita, della redditività e della leadership di mercato. Il CFO si concentra sulla performance finanziaria, sul controllo dei costi e sulla gestione del rischio. Il CTO dà priorità alla strategia tecnologica, alle roadmap dei prodotti e all'eccellenza ingegneristica. Il CISO supervisiona la sicurezza e la conformità.

Poiché nessun dirigente è realmente responsabile della resilienza, spesso è difficile ottenere consenso e supporto. Tuttavia, i guasti del sistema influiscono sui ricavi, sulla soddisfazione dei clienti e sulla reputazione del marchio, che sono preoccupazioni per CEO e CFO. Il CTO e il CISO hanno il compito di implementare misure di resilienza, ma potrebbero non avere un mandato organizzativo. Questa ambiguità può ostacolare gli investimenti strategici e l'allineamento dell'organizzazione verso una strategia di resilienza comune.

Questa ambiguità rende inoltre difficile ottenere il consenso dei dirigenti per iniziative di resilienza come l'ingegneria del caos. Dopotutto, i dirigenti di livello C si destreggiano tra una moltitudine di priorità strategiche: crescita, innovazione, esperienza del cliente, conformità e altro ancora.

Per comunicare efficacemente il valore dell'ingegneria del caos ai dirigenti di livello C, prendete in considerazione i seguenti approcci:

  • Determinate le preoccupazioni principali e i fattori decisionali dei vostri dirigenti di alto livello.

    Ad esempio, i dirigenti della C-suite sono preoccupati per il tasso di abbandono dei clienti, la conformità alle normative, la riduzione dei costi o le pressioni della concorrenza? Posiziona l'ingegneria del caos come un moltiplicatore di forza in linea con le sfide e gli obiettivi unici dell'azienda.

  • Identifica obiettivi e risultati strategici condivisi.

    In che modo la vostra strategia di ingegneria del caos supporta la strategia di crescita complessiva dell'organizzazione, l'esperienza del cliente, le opportunità di mercato e l'efficienza operativa? Assegna priorità alle iniziative in base agli obiettivi, all'impatto aziendale, al ROI e al rischio di non intraprendere tali iniziative.

  • Comunica l'efficacia della tua strategia di ingegneria del caos in termini quantificabili utilizzando indicatori chiave di resilienza.

    Inizia con questi quattro indicatori chiave di resilienza: disponibilità, tempo di rilevamento, tempo di risposta e tempo di ripristino. Collegali direttamente a risultati aziendali come entrate, risparmi sui costi e reputazione del marchio.

  • Non perderti nei dettagli tecnici.

    Concentrati sul sentiment generale e sull'impatto aziendale misurabile. I dirigenti si preoccupano dei risultati che favoriscono la crescita, aumentano la fiducia dei clienti e promuovono l'innovazione.

Il paradosso della prevenzione

Quando i guasti vengono mitigati con successo prima che si manifestino, diventa difficile convincere le parti interessate del valore e della necessità delle misure preventive adottate. Questo fenomeno è noto come paradosso della prevenzione. Il paradosso della prevenzione è il principale ostacolo all'integrazione dell'ingegneria del caos come necessità strategica e deriva dai pregiudizi intrinseci della cognizione umana.

Il bug Y2K è un ottimo esempio di questo paradosso. Anni di preparazione e miliardi di dollari sono stati investiti nell'aggiornamento dei sistemi informatici in tutto il mondo. Tuttavia, l'agevole transizione verso il 2000 è stata interpretata da molti come una dimostrazione della natura esagerata delle preoccupazioni relative all'Y2K. Il successo degli sforzi di prevenzione intrapresi è stato raramente riconosciuto.

Questo paradosso della prevenzione continua a rappresentare una sfida per le organizzazioni che oggi investono nell'ingegneria del caos. Quando potenziali interruzioni vengono evitate con successo attraverso misure proattive, la stessa assenza di catastrofi può paradossalmente rendere difficile giustificare le risorse spese per la prevenzione.

La causa principale di questo fenomeno risiede nel modo in cui le nostre menti sono programmate per elaborare le informazioni. I processi cognitivi umani sono orientati a rispondere e ricordare eventi reali e risultati visibili. Quando si previene un disastro, non c'è una narrazione drammatica a cui aggrapparsi o condividere. Un altro aspetto del paradosso della prevenzione è il pregiudizio col senno di poi. Dopo un mancato evento, le persone tendono a concludere che non è successo nulla, quindi non è stato un vero problema. La possibilità che le precauzioni appropriate abbiano impedito un problema reale non è riconosciuta. Questo punto cieco psicologico crea una sfida perpetua per le organizzazioni. Più riuscite a prevenire e a mantenere la resilienza, più a posteriori i vostri sforzi sembrano superflui.

Per risolvere il paradosso della prevenzione, l'organizzazione può adottare misure specifiche per rendere visibile, misurabile e valorizzata l'opera invisibile di prevenzione. I potenziali passaggi includono quanto segue:

  • Documenta e simula cosa sarebbe potuto succedere senza misure preventive.

  • Racconta storie di eventi in cui le misure preventive hanno evitato potenziali disastri.

  • Indicate le organizzazioni simili che non si sono preparate e che ne hanno subito le conseguenze.

  • Presentate i costi di prevenzione nel contesto dei potenziali impatti che stanno prevenendo.

  • Suddividi gli sforzi di prevenzione in traguardi e risultati visibili.

  • Costruisci una memoria istituzionale sul motivo per cui esistono le misure preventive e sulla loro importanza storica.

  • Istruisci regolarmente le parti interessate sul valore della resilienza e delle pratiche di ingegneria del caos.