Il tema della sicurezza sta sempre più attirando l’attenzione del business e dell’It. Una notevole accelerazione ha subìto, in particolare, tutto quanto riguarda la sicurezza in termini di continuità del servizio e di Disaster recovery (DR). L’attentato alle torri gemelle del WTC ha infatti avuto, fra le tante altre, anche una conseguenza certamente imprevista: ha confermato una previsione fatta da Gartner, secondo la quale il 40% delle aziende che subiscono una grave interruzione dei loro servizi informatici, non riescono più a riprendersi, e nel giro di qualche anno finiscono per uscire dal mercato.
Non sempre, per fortuna, le aziende si trovano a dover affrontare eventi come quelli ricordati. Tuttavia anche i rischi legati a fatti meno catastrofici ma di difficile prevedibilità, come un blackout di energia, spingono ugualmente a cercare di garantire la continuità del business salvaguardando i dati e facendo in modo che qualsiasi interruzione, pianificata o no, della disponibilità dei sistemi informatici non abbia impatti negativi sulla loro operatività. Va infatti considerato che un sistema di Disaster recovery può rivelarsi inefficace non solo per motivi tecnici, ma anche per la mancanza di un preciso piano d’intervento a fronte di certi eventi o perché quando questi si verificano non si trovano le persone giuste. Accade così che al momento del bisogno una’infrastruttura tecnologica anche molto sofisticata non riesca a operare come richiesto per carenze organizzative; perchè le regole da seguire non sono state ben definite; perché le cose da fare non sono state né sufficientemente chiarite né adeguatamente testate.
In effetti, nonostante l’aumentata attenzione, il cammino verso la diffusione di sistemi di disaster recovery (DR) realmente efficaci sembra essere ancora lungo. Questo è quanto emerge da un’estesa indagine sul tema realizzata da Dynamic Markets per conto di Veritas Software (tel. 02.241151; www.veritas.com/it) su un campione costituito da 850 aziende di dimensioni medio-grandi (da 500 dipendenti in su) distribuite un po’ in tutto il mondo: Austria, Francia, Germania, Italia, Paesi Bassi, Polonia, Regno Unito, Spagna, Svezia, Svizzera, Sud Africa, Usa e Medio Oriente. Tre in particolare sono state le aree indagate: il coinvolgimento dei vertici aziendali nella definizione delle strategie di DR, le modalità di revisione dei piani di DR, la protezione dei dati memorizzati su apparecchiature esterne ai data center.
Marco Riboli
Amministratore Delegato di Veritas Software Italia
Le perdite dirette e indirette di una caduta di sistema
Fonte: Veritas Software
Il top management non s’interessa
La ricerca ha rivelato, a livello globale, che solo nell’11% delle società intervistate i vertici aziendali vengono coinvolti nella definizione delle strategie di DR, con un interessamento diretto dei Ceo che si verifica appena nel 7% dei casi. Nel campione italiano sembra addirittura che non vi sia alcun Ceo cointeressato alle problematiche di DR della propria azienda, e la decisione se sviluppare o no un progetto di DR è lasciata, nell’82% dei casi, all’It manager. “Di fatto – osserva Marco Riboli, amministratore delegato di Veritas Software Italia – il ‘senior management’ italiano non sembra molto disposto a spendere soldi per affrontare il problema, per cui gli It manager hanno difficoltà a reperire la copertura finanziaria richiesta dai progetti di DR”.
Eppure, il 46% delle aziende italiane intervistate ha avuto almeno un’interruzione non pianificata dei loro servizi informatici nel corso dell’anno e il 38% più di una. Interruzioni che sicuramente hanno causato perdite di produttività, e quindi di fatturato, di ‘customer satisfaction’, di immagine e, in ultima analisi, di vantaggio competitivo.
Oltre alla difficoltà di trovare il budget necessario, la scarsa attenzione per il problema viene giustificata nel 25% dei casi sostenendo che il rischio non vale gli investimenti richiesti, mentre il 13% degli intervistati ritiene che un buon sistema di back-up sia già ampiamente sufficiente. C’è poi un 38% di aziende che dichiara di star effettivamente sviluppando un progetto di DR ma di non averlo ancora reso operativo. “Una delle ragioni di queste difficoltà realizzative – fa notare Riboli – dipende dal fatto che il 64% dei progetti di DR viene modificato già in fase di sviluppo, e questo di solito significa che lo studio e le valutazioni preliminari sono state insufficienti, che le risorse dedicate sono state inferiori a quelle necessarie, o addirittura che è il progetto stesso ad essere privo di senso logico. Alcune aziende, ad esempio, incominciano a sviluppare un progetto di DR perchè sono state costrette a farlo per adeguarsi alle normative, ma solo in seguito si rendono conto che queste devono essere adattate alle loro specificità, per cui incominciano a introdurre modifiche di tutti i tipi, con la conseguenza che spesso il progetto non riesce mai ad essere ultimato.”
In effetti delle diverse ragioni che possono spingere le aziende a mettere mano a un progetto di DR, una delle più importanti è costituita dalla necessità di adeguarsi a regolamentazioni di settore o a norme governative. In Italia, in particolare, il 70% delle aziende (contro la media del 32% del campione totale), ha dichiarato di essersi dotata di un sistema di DR per conformarsi alle leggi vigenti.
Fatto il sistema, bisogna provarlo
La ricerca ha messo in luce anche un’altra carenza: a livello globale, solo il 57% delle aziende che dispongono di un sistema per il DR effettua la revisione dei propri piani almeno una volta l’anno. Tra queste solo il 25% lo fa con frequenza trimestrale, mentre quasi un quarto degli intervistati ha ammesso di non averle mai effettuate. Tre sono le principali giustificazioni: mancanza di tempo (48%), budget che non prevedono questo tipo di attività (30%) e il fatto che i collaudi possono avere impatti negativi sulle normali attività dei sistemi informatici (25%). Sotto questo aspetto i dati italiani non si discostano molto dalla media del campione: da noi i piani di DR vengono testati ogni 12 mesi nel 62% dei casi, ogni sei mesi nel 18%, mentre solo il 5% attua una revisione trimestrale, che sarebbe quella più appropriata per poter avere riscontri significativi. Vi è poi chi fa revisioni in modo estemporaneo, non programmato e un significativo 14% che dichiara di non averle fatte mai. Altrettanto inquietante è il fatto che nel 70% dei casi (e in Italia si arriva all’ 80%) le infrastrutture per il DR sono ospitate nello stesso edificio, quando non negli stessi locali, di quelle da proteggere. Nel 20% dei casi (il 18% in Italia) si trovano in un’altra locazione della stessa azienda, mentre solo nel 15% dei casi (e in percentuale praticamente trascurabile in Italia) vengono installate in una locazione remota e sicura, affidata spesso a terze parti.
“Il DR come è stato finora realizzato, soprattutto in Italia – osserva Riboli – non è un vero DR. Anche se ospitandolo in un diverso piano dello stesso edificio si può garantire la continuità del servizio in un certo numero di situazioni, la massima protezione può essere assicurata solo installando i sistemi di recovery in un’altra locazione, possibilmente remota. Il fatto che in Italia questa possibilità sia molto raramente presa in considerazione è dipeso in parte dai costi delle linee telefoniche, che fino a non molto tempo fa erano ancora altissimi, e quindi contribuivano a scoraggiarla. E in parte anche da carenza nelle normative, dove spesso si parla solo della necessità di replicare i dati da un sistema all’altro, senza dare altre indicazioni sul come e sul dove. Le cose stanno tuttavia cambiando. Oggi gli stessi provider dei collegamenti telefonici si propongono non solo come fornitori di connettività ma anche come partner delle aziende che intendono mettere a punto un sistema di DR, e questo consente non solo di abbattere i costi ma anche di condividere i rischi.”
E ai dati locali, chi ci pensa?
La ricerca evidenzia inoltre il fatto che le aziende sono molto esposte al rischio legato alla scarsa protezione dei dati memorizzati nei desktop o nei laptop dei dipendenti. L’86% del campione, infatti, ha dichiarato di non aver nemmeno pensato all’opportunità che anche questi dati debbano essere protetti.
“Il 90% delle aziende italiane che hanno sviluppato dei sistemi di DR, – dice Riboli – si sono preoccupate di proteggere le applicazioni che girano nei loro sistemi. Ma solo il 4% ha ritenuto fosse necessario salvaguardare anche i dati che risiedono nei desktop e nei laptop collegati a questi sistemi. Tra l’altro, secondo una ricerca condotta da Idc, i dati locali, residenti nei laptop in particolare, tenderanno a triplicare nei prossimi anni, e già oggi il 60% dei dati vitali per le aziende è memorizzato in desktop e in laptop aziendali non protetti. Perdere questi dati, per un’azienda, potrebbe quindi avere effetti ancora più dannosi che non perdere quelli memorizzati nel suoi sistemi centrali.”
Cnt UMD: per una San senza limiti
Fondata a Minneapolis nel 1983 e presente in Italia con una sede a Roma (tel. 06514931) e un ufficio a Milano (tel. 02.64672816), Cnt (www.cnt.com) è tra i maggiori fornitori mondiali d’infrastrutture per reti storage, indirizzate in particolare alle SAN di livello enterprise.
A settembre la società ha presentato quella che viene definita “una nuova generazione nelle infrastrutture di storage networking”, e cioè la famiglia Ultranet Multiservice Director (UMD). Ciò che caratterizza questa gamma (4 modelli) di straordinari switch-router (o ‘director’ come conviene chiamarli visto il ruolo di gestori delle relazioni tra server e storage device di cui parleremo) non è solo la superiore scalabilità in termini di porte e protocolli (FC, Ficon, iScsi, FcIp, Sonet, GbEth) sino a poter fornire l’incredibile throughput di 5 Tb/sec attraverso 512 porte, ma la capacità di integrare in modo trasparente all’utente e alle applicazioni che vi fanno ricorso una quantità di servizi sinora forniti da software o firmware installato sui device o su server dedicati.
Si parla quindi di: servizi di amministrazione della San, dall’identificazione dei protocolli alla sicurezza degli accessi, alla duplicazione remota; di quality of service, con il partizionamento dell’hardware in più dominii indipendenti (ad esempio, uno per il transazionale, uno per la B.I. e uno per il testing) in modo da soddisfare al meglio le diverse necessità; di virtualizzazione e interoperabilità tra diversi device, per gestire lo storage in un’ottica d’Information lifecycle management. (G.C.B.)
