Il data center è da sempre il cuore pulsante del business aziendale. La sua mission è proprio quella di garantire, grazie alle apparecchiature che ospita, la continuità di tutti i sistemi informativi su cui si basano i processi aziendali e, di conseguenza, la business continuity.
Il CED (Centro Elaborazione Dati) è dunque una struttura fisica, dotata di un’infrastruttura di rete, storage e risorse di elaborazione configurata in modo tale da garantire l’accesso sicuro ai dati e alle applicazioni a supporto dei processi aziendali. Oggi, in piena era cloud e di modelli ibridi, si tende a ragionare in termini di virtualizzazione del data center, poiché a differenza di un tempo l’infrastruttura tecnologica che abilita il business è diventata una miscela virtuosa di ambienti in-house, di cloud privati e pubblici: ciò non toglie che, in senso stretto, il data center sia comunque un ambiente fisico progettato, configurato e gestito per permettere la distribuzione di applicazioni e dati condivisi, garantendo la continuità del business. Lo stesso cloud pubblico, infatti, è un insieme di data center.
La resilienza del Data Center come elemento cardine della Business Continuity
Se tutti i data center (o CED) hanno una finalità analoga, è peraltro vero che in tema di sicurezza e, soprattutto, di business continuity, le esigenze delle aziende sono molto diverse tra di loro, da cui un “uso” diverso del data center. Inoltre, qualsiasi impresa e struttura, a prescindere dalle dimensioni e dalla industry in cui opera, si basa su processi core la cui interruzione ha un impatto sui ricavi e, a seconda dell’attività gestita, può averlo anche sulla conformità normativa, sulla collettività e sulla vita di ognuno di noi. Per questo motivo, uno dei criteri centrali per la valutazione del data center è la sua resilienza, cioè la capacità di garantire la continuità del business e dei suoi processi di fronte ad accadimenti imprevisti in grado di minacciarla: un improvviso blackout, un’alluvione, per non parlare dei guasti hardware, di tentativi di accesso fisico ai locali CED da parte di malintenzionati oppure a tutte le minacce cyber del caso. Quando si parla di processi e applicazioni critiche, per di più in industry fortemente regolate, è fondamentale che il proprio abilitatore tecnologico sia in grado di garantire continuità e prestazioni di fronte a uno sterminato elenco di potenziali minacce.
La classificazione: Uptime Institute e TIA
Su questa base si origina il sistema dei livelli di certificazione. Quando si parla, a titolo d’esempio, di un Data Center Tier IV, ci si riferisce a un CED di altissimo livello in grado di assicurare una disponibilità media annua parti al 99,995% grazie alla disponibilità di un ramo ridondante di tutte le componenti critiche dell’infrastruttura (energia/alimentazione, raffreddamento, UPS…) e all’implementazione del concetto di fault tolerance rispetto a tutti i sistemi e i componenti che supportano le operazioni IT.
La classificazione dei Data Center è chiaramente più complessa rispetto all’esempio precedente. Innanzitutto, non c’è un solo ente al mondo deputato alla certificazione: qui, il nome di spicco è Uptime Institute, azienda americana che da sempre si occupa di consulenza in ambito di performance, efficienza e affidabilità delle infrastrutture critiche. L’azienda ha ideato il più famoso sistema di classificazione dei data center basato su 4 livelli, o Tier con relativa certificazione. Il modello è dunque centralizzato: Uptime detta le specifiche e si occupa direttamente del processo di certificazione dei data center in tutto il mondo, a garanzia di trasparenza e uniformità. Oggi, un Data Center Tier IV certificato Uptime Institute è una scelta solida e certificata per applicazioni critiche di ogni genere, con un uptime garantito prossimo al 100%.
Sulla stessa lunghezza d’onda – ma con differenze pratiche di un certo peso – si pone la Telecommunications Industry Association americana, ente che si occupa di sviluppare standard in materia di telecomunicazioni e che con ANSI/TIA-942 si occupa specificamente di data center. Anche TIA utilizza un sistema a quattro livelli di resilienza (crescenti), noti come Rated anziché i Tier di Uptime Institute. La differenza principale tra i due approcci non è tanto tecnica quanto procedurale: TIA, in quanto ente standardizzatore, non certifica direttamente i data center ma prevede una verifica normativa con audit di enti terzi e un’ispezione nel Data Center. La certificazione di Uptime Institute al contrario è un test che, a tutti gli effetti, consente di verificare concretamente la resilienza dichiarata.
Il costo del Data Center e la scelta dell’outsourcing
Se lo scopo del CED è rimasto invariato nei decenni, è peraltro vero che il modello in-house, cioè quello del data center di proprietà dell’azienda e completamente gestito dal personale IT, nel corso degli anni ha ceduto terreno rispetto a modelli gestiti da operatori terzi in grado di garantire competenze specialistiche e aggiornamenti costanti, da cui livelli di servizio garantiti anche rispetto alla continuità delle applicazioni critiche. Oltre al costo del data center, tutt’altro che trascurabile, l’azienda che opta per la soluzione in-house deve mettere in conto costi di gestione molto elevati, esigenze di aggiornamento costante e uno sviluppo continuo delle competenze interne, fattore quest’ultimo fondamentale per restare al passo non solo con le esigenze aziendali, ma anche con le potenziali minacce che vanno affrontate.
L’outsourcing è diventato quindi un modello molto diffuso e di successo, poiché con l’aumento della complessità infrastrutturale, con minacce cyber crescenti e modelli cloud che richiedono competenze avanzate (di cui il mercato è avaro), delegare le performance dell’infrastruttura e la continuità del business a un partner dotato di asset, competenze e processi certificati, è in molti casi la scelta migliore in termini di rapporto costi / benefici. Da notare, inoltre, che non necessariamente l’azienda deve affidare a un provider tutta l’infrastruttura, ma può decidere quali componenti gestire in-house e cosa, in termini di componenti e processi, esternalizzare, tenendo conto che i primi candidati all’outsourcing verso partner d’eccellenza sono ovviamente i processi core.