Le vulnerabilità dei sistemi IT e la centralità dei servizi digitali per il lavoro delle imprese impongono oggi maggiore attenzione al tema della business continuity, anche in ottica di cyber resilience. La possibilità d’incorrere in fermi operativi a causa dei guasti IT non è inferiore a quella di ritrovarsi a terra per atti deliberati di cybercrime, sia motivati dal vantaggio economico, sia dal semplice vandalismo.
La business continuity, declinata come continuità operativa, non riguarda soltanto l’impresa, ma il contesto sociale ed economico in cui opera. Un motivo di preoccupazione per il legislatore europeo che quest’anno ha emanato il Digital Operation Resiliency Act (DORA) per razionalizzare e completare il quadro normativo a tutela del settore finanziario. Un provvedimento che ha ricadute sulle filiere dei fornitori e che, secondo gli osservatori, ci dà un assaggio di ciò che in futuro potrebbe toccare altri settori importanti per la stabilità economica e sociale.
Sul piano tecnico questo si traduce nella necessità d’investire nell’ambito della gestione della continuità operativa, settore previsto in crescita del 120% nel periodo 2022-2024 secondo Prescient & Strategic Intelligence. L’emergenza di rafforzare e ampliare il raggio d’azione della business continuity trova un alleato importante nel cloud, soprattutto per le realtà d’impresa che non avrebbero le risorse per predisporre e manutenere in proprio le infrastrutture necessarie per garantire resilienza.
Fondare le basi per una business continuity efficace
“Il concetto di continuità operativa sta incorporando la cyber resilience” spiega Marco Sotterra, manager BU, information security di Horizon Security. “Le aziende devono prepararsi a gestire periodici test di resilienza e prepararsi a gestire scenari di crisi, anche prolungati nel tempo. Questo è richiesto per la conformità con i requisiti di DORA nel settore finanziario, regolamento che va a toccare almeno una ventina di tipologie aziendali diverse e il loro indotto”.
Un impegno multisettoriale che prevede controlli e sanzioni da parte dell’autorità e che, a partire dagli istituti bancari e dalle imprese finanziarie, si sposta su chi fornisce loro i servizi, come i cloud provider. “Fornitori che sono fondamentali per il supporto dei moderni approcci di business continuity che sfruttano le risorse on-demand per minimizzare i costi della resilienza” aggiunge Sotterra.
Risorse la cui indisponibilità causerebbe danni a catena. “È quindi fondamentale nella business continuity la business impact analysis sugli asset critici e sulle infrastrutture in utilizzate. Fare in modo che, in caso d’incidenti che richiedono disaster recovery, si abbia sempre la disponibilità dei backup e delle altre risorse necessarie ai requisiti di resilienza” prosegue il manager di Horizon Security.
L’impiego del cloud per la business continuity
Con avvento del cloud, i data center sono oggi gestiti in modo più dinamico e questo riguarda anche il disaster recovery e la business continuity. I grandi provider di cloud offrono servizi ridondati su differenti geografie e SLA di alto livello che, ameno per i servizi top di gamma, corrispondono ai più elevati livelli di disponibilità.
“Resta importante per un uso efficace dei servizi definire i requisiti sulla base dei contesti d’impiego, dei costi, delle strategie aziendali, della security e definire le policy più efficaci”, spiega Sotterra. “Non bastano la ridondanza e le giuste configurazioni per fare business continuity in cloud. Occorre analizzare i fornitori nell’ottica della riduzione del rischio e delle garanzie contrattuali che offrono. Ambiti nei quali i clienti ci chiedono consulenza, sia per integrare la security sia le garanzie standard dei provider”.
Sul fronte tecnico la continuità richiede di lavorare al porting ‘lift & shift’ delle applicazioni su cloud, operazione la cui efficacia dipende dalla maturità delle applicazioni. “Alcune possono essere facilmente replicate in cloud altre no – sottolinea Sotterra – ma possono comunque avvantaggiarsi per la storicizzazione dei dati. La virtualizzazione dell’ambiente IT e altri interventi necessari per la business continuity aggiungono dei vantaggi nella gestione dei workload. Allo stesso modo sono l’occasione per miglioramenti ai sistemi e alla sicurezza”.
Implementare la business continuity in cloud
Cosa serve per fare business continuity con il cloud? Per Francesco Addeo, manager BU Consulting e integration di Horizon Digital serve innanzitutto un approccio agnostico verso i provider. “Facciamo consulenza sulle tecnologie e sui servizi che, per rapporto benefici/costi, si adattano meglio al contesto e alle necessità del cliente in fatto di RTO/RPO (recovery-time e recovery-point objective). In alcuni casi possono contare la competenza del cliente su uno specifico hypervisor oppure i rapporti già instaurati con il provider per scopi diversi, per esempio, per i servizi IoT”.
Nella scelta del provider può essere importante la localizzazione geografica delle server farm, critica per alcuni settori d’impresa e per la PA. “Tra i provider di cloud, AWS ha infrastrutture basate anche in Italia, Azure solo Europa, ma questo è sufficiente per la gran parte dei clienti” spiega Addeo. A volte, però, la soluzione di business continuity più conveniente è in on-premise. “È il caso dei clienti che hanno già migrato le loro applicazioni in cloud e che possono quindi sfruttare i server in casa per il disaster recovery. Il vantaggio è la possibilità di reimpiegare gli asset esistenti non utilizzati” sottolinea.
“Alle scelte segue il disegno della soluzione: l’architettura, i processi, l’integrazione, l’implementazione e i test che devono essere ripetuti una volta all’anno. Business continuity e disaster recovery richiedono periodici aggiornamenti, supporto day-by-day per i clienti che non hanno specialisti al proprio interno” conclude Francesco Addeo.