Continuità operativa e sicurezza: come garantirle negli ambienti IT ibridi

Lo sviluppo degli ambienti IT ibridi

Le imprese d’ogni settore fanno oggi sempre più affidamento ai servizi IT in cloud o gestiti da provider esterni per le loro applicazioni digitali, per offrire l’accesso online ai clienti e per l’archiviazione. Lo dimostrano i dati di una recente indagine realizzata da Tinext in collaborazione con VMware e Innovation Group sulle aziende svizzere (“Percorsi di trasformazione digitale presso le aziende svizzere”) che rivela come il 52% delle imprese abbia oggi a che fare con gli ambienti IT ibridi, ossia con sistemi informativi dove le infrastrutture interne, in on-premise, convivono con i più moderni servizi erogati in cloud e multi-cloud. Un dato già molto significativo che, si prevede, crescerà al 78% già entro i prossimi 3 anni.

I rischi di continuità e sicurezza negli ambienti IT ibridi

Il ricorso ai servizi digitali di provider esterni all’azienda è oggi necessario per motivi di flessibilità, scalabilità della potenza elaborativa, economia nella gestione IT oltre che per fruire delle applicazioni più innovative (pensiamo, per esempio, a quelle più recenti che impiegano l’AI generativa). L’utilizzo di servizi in cloud permette di disporre più rapidamente delle risorse digitali per sostenere le nuove iniziative di business, limitando gli investimenti sul fronte infrastrutturale e i costi conseguenti, per esempio, ai ripensamenti sui progetti in produzione.

I servizi in cloud risultano in genere competitivi rispetto a realizzazioni equivalenti in on-premise, ma comportano aumenti di complessità dell’IT e la conseguente necessità di rivedere le strategie per la gestione della continuità operativa e della sicurezza. Parliamo delle capacità di rimediare all’indisponibilità dell’hardware, alle perdite di dati, agli errori umani e di rafforzare la sicurezza nei confronti degli attacchi informatici a cui l’IT ibrida, che si basa su sistemi distribuiti, risulta inevitabilmente più esposta. La cybersecurity merita una speciale menzione, stante il raddoppio delle segnalazioni d’attacco che NCSC (www.ncsc.ch) ha registrato dalle aziende svizzere negli ultimi 12 mesi.

L’attenzione da prestare nella gestione dei dati critici

Continuità operativa e security non sono le uniche aree di riflessione nel passaggio agli ambienti ibridi. Al di là delle specifiche responsabilità nella gestione dei dati critici individuate dall’ISC2 Chapter svizzero, l’utilizzo maturo di sistemi ibridi, servizi di cloud e multi-cloud richiede una perfetta conoscenza delle tipologie di dati in uso e della loro collocazione fisica sulle differenti piattaforme di servizio. Un aspetto quest’ultimo che emerge nel momento in cui dati e applicazioni migrano dai server interni aziendali verso infrastrutture esterne connesse in rete.

Mentre, da una parte, i cloud provider offrono risorse mediamente più affidabili e meglio gestite di quelle interne aziendali, dall’altra l’utilizzo di servizi esterni costringe a introdurre protezioni più efficaci nell’accesso degli utenti e nello scambio dei dati a misura di reti che non sono più locali, ma geografiche. Va inoltre considerato che alcuni dati critici, per esempio, in ambito finanziario o sanitario, possono essere tutelati sotto il profilo giuridico solo se risiedono fisicamente su server che sono ospitati nel territorio della Confederazione Elvetica.

Le false certezze sulle responsabilità dei provider

L’esperienza di Tinext Managed Cloud Services con i clienti che hanno mosso autonomamente i primi passi nell’impiego dei servizi cloud e multi-cloud mostra come molti rischi di continuità operativa e di sicurezza derivino dalla falsa convinzione di aver delegato al provider compiti che invece sono, o è opportuno che restino, sotto la responsabilità dell’azienda. Tra questi ci sono le responsabilità nel controllo degli accessi ai dati da parte degli utenti, per esempio, nell’utilizzo di applicazioni di CRM, ERP e altre che oggi sono erogate in cloud SaaS (software-as-a-service).

In altri casi, i rischi derivano dal fatto che lo spostamento di dati e carichi di lavoro sull’infrastruttura di un provider esterno, per esempio con l’utilizzo di servizi in cloud IaaS (infrastructure-as-a-service), non è accompagnato dall’impegno del team IT negli aggiornamenti dei sistemi operativi e del software. Con il cloud IaaS il provider si fa carico della sola gestione dell’infrastruttura hardware e non, per esempio, degli aggiornamenti software che possono evitare exploit di vulnerabilità da parte del cybercrime.

Il vantaggio di un approccio personalizzato nella scelta dei servizi

A ogni tipologia di piattaforma utilizzata – on-premise, cloud privato, cloud pubblico e ancora a seconda che si tratti di cloud IaaS, PaaS o SaaS - corrispondono differenti capacità di garantire la continuità operativa e la suddivisione delle responsabilità di gestione tra azienda e provider. Una conoscenza che molti provider non si premurano di trasferire al cliente, basando i loro servizi su SLA molto rigidi, pieni di termini tecnici difficili da tradurre nelle garanzie operative di cui ha bisogno l’azienda.

Per questo, ai clienti che intendono sviluppare IT ibrida in logica multi-cloud, Tinext Managed Cloud Services offre un percorso d’adozione ben collaudato e a basso rischio, che inizia dall’assessment dei workload elaborativi e degli archivi dati per poi individuare i supporti di servizio più adatti a soddisfare gli obiettivi di continuità e sicurezza. Obiettivi che variano all’interno della stessa azienda (non tutti i workload hanno uguali criticità e necessità temporali di ripristino) permettendo di scegliere le tecniche di sincronizzazione, backup e i supporti di cloud che risultano più convenienti anche in termini di budget.

Nell’ambito dei servizi per la continuità dei moderni ambienti IT ibridi, Tinext Managed Cloud Services si qualifica come provider certificato in grado di offrire servizi di salvaguardia dei dati personalizzati, sia su infrastrutture proprie sia dei principali provider cloud internazionali. Servizi erogati con collocazione dei dati in territorio svizzero e SLA flessibili per garantire migrazioni verso l’IT ibrida e multi-cloud senza inutili rischi.