Com’è noto, la continuità operativa e la sicurezza dei Data Center e ciò che permette a molte aziende di portare avanti il proprio business. Il Data Center deve essere infatti in grado di assicurare il massimo livello di uptime a prescindere dalle circostanze esterne che provano a comprometterne la stabilità e l’operatività: un’interruzione della fornitura energetica, un cyber attacco, addirittura un terremoto non devono avere effetti sulla continuità operativa, o quanto meno devono essere più trasparenti possibili. Non dimentichiamo, infatti, che i Data Center ospitano e sono responsabili dell’esecuzione dei processi mission-critical per l’attività di aziende ed enti: l’ipotesi che un circuito di pagamenti, una compagnia aerea o il sistema sanitario resti offline anche solo per una manciata di secondi non è accettabile.
Per questo motivo, le aziende e i provider di servizi IT che dispongono di data center di proprietà intraprendono programmi di certificazione delle proprie strutture. Lo fanno per essere più competitivi sul mercato, per soddisfare le policy e la normativa in essere, ma soprattutto per evitare di incorrere in downtime che si traducono in danni per l’azienda cliente e anche, di riflesso, per il titolare del Data Center, a seconda delle condizioni contrattuali fissate dalle parti.
Data center security: cosa significa
La data center security è ciò a cui dovrebbero ambire tutte le aziende e, a maggior ragione, gli outsourcer. Ma cosa significa? Spesso, più che di data center security si introduce il concetto di resilienza, ovvero la capacità del data center di garantire prestazioni costanti a prescindere da un’infinità di fattori – interni ed esterni – in grado di condizionarne l’operatività. La resilienza è la massima espressione di una corretta gestione del rischio.
Quando parliamo di data center security, quindi, non ci riferiamo unicamente ai mezzi tecnici e ai processi finalizzati a garantirne la sicurezza dagli attacchi cyber – che pur rappresentano un pilastro della Resiliency – ma a tutte le misure in atto per garantire la continuità del business a prescindere da un guasto a una macchina, da un’interruzione nella fornitura di elettricità (caso in cui si può ricorrere a UPS debitamente dimensionati e a generatori esterni), da fenomeni naturali e da tentativi di accesso non autorizzato o di sabotaggio, anche dall’interno. I migliori data center, oltre ad un’avanzata sicurezza logica, adottano anche misure avanzate di protezione fisica dei propri locali: sono spesso costruiti in aree a basso rischio sismico e offrono svariate misure di protezione dagli accessi non autorizzati.
Quando le aziende adottano una strategia di outsourcing del proprio IT, devono assicurarsi che i provider siano in grado di garantire livelli di servizio molto elevati, che dipendono in buona parte – ma non esclusivamente – proprio dalla resilienza dei propri asset, data center security in primis. L’approccio corretto è olistico: data center resilienti, competenze specialistiche (di cui il mercato è avaro), processi e certificazioni viaggiano parallelamente fornendo alle imprese tutte le certezze di cui hanno bisogno.
Sicurezza dei data center: Uptime Institute Vs TIA-942
Due nomi ricorrono con una certa costanza quando si parla di resilienza e sicurezza dei Data Center: Uptime Institute e TIA-942. Senza entrare nel dettaglio delle singole certifiche, entrambi gli enti propongono un articolato processo di certificazione su quattro livelli (che per Uptime sono Tier mentre per TIA-942 sono Rated), di modo tale che le aziende possano predisporre la propria struttura per l’ottenimento di una certifica allineata con le esigenze del proprio business. Inoltre, entrambi gli enti offrono certifiche diverse e progressive: per esempio, Uptime propone di partire con Design Documents, che valuta la rispondenza del progetto (quindi, prima della costruzione del DC) alle norme del Tier di riferimento, per poi passare a Constructed Facility, che valuta invece la struttura una volta ultimata, e a Operational Sustainability, che certifica l’operatività del Data Center e la rispondenza delle pratiche di gestione alle best practice esistenti.
Metodi di controllo della sicurezza dei data center, due mondi differenti
Qual è, dunque, l’enorme differenza tra i due? Principalmente il metodo di controllo/audit e la procedura di certifica. Il concetto di base è che Uptime e TIA approcciano la sicurezza del data center in maniera differente: Uptime associa i propri Tier a un certo risultato operativo e un’architettura con cui ottenerlo, ma è del tutto neutrale sia nei confronti della tecnologia che dei vendor, ovvero dei prodotti usati in concreto per realizzare il DC. Da questo punto di vista, Uptime è estremamente chiara quando afferma che ogni design che soddisfi i requisiti di continuità, ridondanza e fault tolerance è accettabile e può essere valutato ai fini del rilascio di una certifica. Uptime esegue essa stessa, tramite i suoi ingegneri, il processo di audit, la cui procedura però non è pubblica e, chiaramente, si basa sul tipo e il livello di certifica cui il Data Center ambisce. Grosso vantaggio di affidarsi ad un Data Center certificato Uptime è l’approccio integrato in ambito di certifica: l’azienda fissa gli obiettivi, l’architettura del Data Center e li associa a un Tier, dopo di che segue anch’essa il processo di certifica che, nel caso di Constructed Facility e Operational Sustainability non si limita a una valutazione delle specifiche (la classica checklist), ma valuta proprio il comportamento del Data Center in condizioni reali.
Sicurezza dei Data Center, cosa dice TIA-942
Il mondo di TIA-942 è piuttosto lontano da quello di Uptime. TIA-942 è l’associazione, accreditata ANSI, che si occupa di definire gli standard all’interno del mondo ICT. La revisione più recente, TIA-942-B è un documento estremamente dettagliato che non si limita a identificare i tipi di certifica e i relativi livelli (sempre quattro, ma Rating anziché Tier), ma entra molto nello specifico dell’implementazione. Il ruolo di TIA-942, però, non va oltre a questo: l’associazione non certifica direttamente i data center, né le aziende che si possono fare carico di gestire gli audit e l’emissione dei certificati. Per questo motivo, la certifica TIA-942 viene emessa da svariate aziende in tutto il mondo e con metodi diversi, non esistendo – di fatto – una sola guida centralizzata che si faccia carico di tutto il processo.
La situazione, però, sta cambiando: lo scorso 7 agosto 2019, TIA ha dato il via a un programma ufficiale di auditing e certificazione sulla base dello standard TIA-942. Pur continuando a non rilasciare certifiche in forma diretta né ad occuparsi del controllo di conformità, TIA-942 ha posto in essere un percorso di accreditamento per organismi di certificazione ufficiali (CABs), assicurandone così la competenza e l’assoluta imparzialità.