Vi sono una serie di attività associate alla creazione, all’elaborazione, alla protezione, alla gestione, all’archiviazione, al backup e al ripristino dei dati. Vi è anche la possibilità di racchiuderle in un unico servizio gestito, supportato da risorse basate sul cloud. Questa opzione esiste sul mercato con il nome di data protection as a service (DPaaS) e sta attirando sempre di più l’attenzione dei responsabili del data storage e dei CIO. Di coloro che possono e vogliono trarne i maggiori vantaggi.
Il DPaaS permette di migliorare tutti gli aspetti della protezione dei dati attraverso un ventaglio di servizi di gestione e protezione a cui si accede con un unico click. I fornitori di servizi cloud (CSP) e i fornitori di servizi gestiti (MSP) offrono questo tipo di soluzione, non c’è quindi il rischio di non trovarla tra le proposte. Ma c’è quello di non saper individuare i servizi che realmente può essere utile avere, per l’oggi e per il domani.
Vantaggi e rischi del DPaaS
Indipendentemente dalle dimensioni o dalla tipologia, ogni organizzazione produce quotidianamente una enorme quantità di dati, li raccoglie e li sfrutta in tutti gli aspetti della propria attività. Soprattutto nelle aziende più piccole, può accadere che questo processo non sia affiancato da un’adeguata strategia di protezione e gestione dei dati che può invece essere presente in organizzazioni molto più grandi. È però importante che anche le prime la abbiano, perché non sono esenti dall’obbligo di garantire che i loro dati siano sicuri e disponibili quando necessario. Il business lo pretende, grande o piccolo che sia.
Il DPaaS offre la possibilità di raggruppare tutte le attività di protezione dei dati sotto un unico cappello. I CSP e gli MSP specializzati in backup, gestione dei dati e disaster recovery, hanno in genere risorse disponibili per affrontare la maggior parte o tutte le attività di protezione dei dati. Altri vantaggi dell’utilizzo di servizi di protezione dei dati basati su cloud o MSP consistono nella possibilità di fare a meno di alcune apparecchiature fisiche, risparmiando dello spazio, nella riduzione delle spese di capitale per i sistemi di protezione dei dati e nella possibilità di distribuire i servizi più rapidamente rispetto ad altri tipi di soluzioni.
Il DPaaS conviene anche a quelle aziende che gestiscono la compliance e sono sottoposte a verifiche, a patto che il CSP o l’MSP che fornisce le risorse DPaaS possa dimostrare di essere compliance rispetto ai requisiti di protezione dei dati stabiliti.
Tra le principali normative a riguardo vi sono il GDPR dell’UE, il Consumer Credit Protection Act e il Right to Financial Privacy Act degli Stati Uniti, il Data Protection Act del Regno Unito e le normative di data protection definite a livello nazionale. La possibilità di accedere a risorse open source in materia di protezione dei dati può aiutare le aziende a mostrare il proprio impegno per migliorare il proprio livello di data protection
Il bilanciamento delle risorse di data storage e data protection on premises con i rispettivi servizi basati sul cloud potenzia la sicurezza generale di una organizzazione e la disponibilità dei dati sensibili e mission-critical. Un ambiente di cloud ibrido permette anche di testare le offerte MSP prima di effettuare un investimento consistente e definitivo.
Un aspetto che è però necessario valutare è il rischio legato al lavorare con un unico fornitore di DPaaS. Questa scelta potrebbe rendere difficile il passaggio a un altro fornitore, oppure far spuntare delle spese non pianificate. Inoltre, gli MSP o i CSP che archiviano tutti i dati di un’organizzazione potrebbero anche mettere in evidenza problemi di sicurezza anche se dovrebbero essere in grado di criptare i dati in transito e a riposo di default, come parte della propria offerta di servizi DPaaS.
Gli accordi sul livello di servizio (SLA) sono particolarmente importanti quando si lavora con un’azienda esterna che archivia dati e gestisce sistemi mission-critical. I fornitori che si rifiutano di sottoscrivere uno SLA non dovrebbero essere presi in considerazione. Se offrono un proprio SLA, è necessario farlo verificare dall’ufficio legale interno.
Pianificazione e distribuzione del data protection as a service
Ogni organizzazione deve conoscere le proprie necessità e i requisiti che è tenuta a rispettare prima di decidere quali tra i componenti di un’offerta DPaaS sono i più adatti a supportarla. La flessibilità e la scalabilità dei servizi cloud possono semplificare le modifiche ai servizi utilizzati man mano che variano le esigenze aziendali. Quando si pianificano le risorse DPaaS, ecco alcuni passaggi che sarebbe meglio prendere in considerazione
- Comprendere a fondo i requisiti di archiviazione e protezione dei dati aziendali per spiegare meglio l’investimento in DPaaS.
- Determinare cosa si intende per “protezione dei dati” nell’organizzazione, per esempio backup dei dati, disaster recovery, privacy dei dati, archiviazione o replica.
- Esaminare le attività di protezione dei dati nel contesto dei requisiti aziendali attuali e futuri e identificare in che modo un regime di protezione dei dati ampliato possa internamente portare benefici.
- Determinare i requisiti di archiviazione a breve, medio e lungo termine e identificare le attività aziendali che potrebbero influire sull’archiviazione dei dati, come una fusione o un’acquisizione aziendale.
- Valutare le attuali capacità interne di backup e ripristino dei dati per determinare se il DPaaS può migliorare la capacità dell’organizzazione di riprendersi da un evento dirompente e tornare all’attività ordinaria.
- Eseguire una valutazione dei rischi per identificare potenziali rischi, minacce e vulnerabilità del DPaaS.
- Determinare le esigenze di governance e compliance per la DPaaS per migliorarle, riducendo il rischio di perdita o corruzione dei dati e garantendo il rispetto di standard e normative.
- Rivedere e aggiornare i piani di business continuity e di disaster recovery tecnologico per incorporare il DPaaS.
- Considerare un’implementazione graduale, iniziando con DPaaS come risorsa secondaria di backup e protezione dei dati, per poi espandere le sue applicazioni in altri modi, come la deduplicazione, per migliorare la protezione complessiva dei dati.
- Se DPaaS è dotato di un componente di intelligenza artificiale, utilizzare l’offerta con diffidenza e non troppo spesso, fino a quando non sarà possibile misurarne realmente le capacità e il valore.
- Effettuare test periodici delle risorse DPaaS per garantire la sicurezza e la disponibilità dei dati protetti.
- Rivedere e aggiornare le politiche e le procedure di protezione dei dati in base all’aumento dell’uso delle offerte DPaaS fornite da CSP e MSP.
- Se è in vigore uno SLA, verificate periodicamente le prestazioni del DPaaS rispetto alle specifiche dello SLA.
- Prepararsi a considerare e rivalutare le strategie di protezione dei dati, comprese le infrastrutture on-site, single-cloud, multi-cloud e cloud ibride.
La perdita di dati critici a causa di attacchi informatici può danneggiare seriamente la reputazione di un’organizzazione e la sua capacità di funzionare. I DPaaS offrono ai responsabili IT e ai manager diverse opzioni per garantire la protezione e la disponibilità dei dati. Tuttavia, i servizi offerti da CSP e MSP devono essere attentamente valutati e testati prima dell’implementazione.
