Disaster Recovery e Business Continuity, quale distanza tra i site?
Marco Mariani, Presales Consultant at ETÆRIA
Sempre più Partner e Clienti ci chiedono quale sia la distanza ideale tra il data center di produzione e quello alternativo di disaster recovery e/o business continuity. 50/60 Km, 100, 200, 300, qual è il numero corretto?
Esiste davvero una distanza ideale tra sito primario e secondario?
L'unica risposta valida che ci sentiamo di dare è che NON esiste una soluzione uguale per tutti, in questo caso "one size fits all" non è una strada che consigliamo, perché come non esistono 2 aziende uguali, non esistono 2 progetti di DR/BC uguali. Vista la premessa, perché mai standardizzare la decisione sulla distanza senza condurre un'analisi delle esigenze e dei rischi. Volendo andare a ben vedere in passato questa situazione si verificava, ma nel 2020, dobbiamo parlare al presente e il presente è fatto di consapevolezza e responsabilità, la tanto cara accountability.
Prendiamo a questo punto in esame i vari Standard internazionali che trattano l'argomento.
La ISO 22301 è lo standard che definisce i concetti di business continuity, al suo interno si parla di Risk Assessment e Business Impact Analysis (BIA), di Minimum Business Continuity Objective (MBCO) e di Plan-Do-Check-Act (PDCA), ma in nessun punto si fa mai riferimento ad una distanza misurabile tra l'installazione di produzione e quella di DR/BC. Al contrario in più punti si fa riferimento alle responsabilità e alla consapevolezza.
A livelli di infrastrutture si fa riferimento alle facilities al punto 8.3.2, asserendo che debbono essere incluse, ma non ci si deve limitare a quello.
Prendiamo allora in considerazione la famiglia ISO/IEC 27000, in base alla quale dobbiamo fornire integrità, riservatezza e disponibilità, i 3 pilastri della sicurezza delle informazioni, richiesti come obiettivo, ma nessuna modalità viene fornita neanche da questo standard. Tra i controlli della 27002 si segnaliamo che al punto 17.1.2 si impone che la sicurezza delle informazioni sia mantenuta sia per produzione che DR, ma aggiungeremmo, con lo scopo di preservare la disponibilità.
Veniamo al framework del NIST (National Institute of Standards and Technology), con particolare riferimento alle Special Publication (SP) 800 series, che contengono informazioni di sicuro interesse per le implementazioni in ambito cyber security, anche qui nessun riferimento a distanze precise.
Passati in rassegna i principali standard internazionali, possiamo analizzare anche quelli strettamente nazionali, come la recente Direttiva NIS (Network and Information Security). Purtroppo, nel suo recepimento non troviamo dettagli tecnici così profondi come la misura della distanza che stiamo prendendo in considerazione. Andando indietro di un paio di anni rispetto al NIS, nel 2017 il "Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica", asserisce che si deve "sviluppare un approccio reattivo integrato (concetto di resilienza), seguendo procedure testate, proiettate a garantire la disponibilità dei servizi erogati (business continuity e disaster recovery)", ma ancora nulla sul parametro in analisi.
Restando in Italia e rivolgendoci ad un motore di ricerca potremmo vedere quello che AgID richiede alla PA. Nel 2013, nelle "Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni" a pag. 69 compare una tabella per indicare la distanza in Km. Questo è l'unico riscontro trovato a sostegno di una tesi che vede la distanza come un parametro per valutare la bontà di una soluzione di DR/BC.
Per amore della verità dobbiamo citare anche la Circolare 285 di Banca d'Italia che da anni comunica le "Disposizioni di vigilanza per le banche" nelle quali si fa esplicita menzione ai siti alternativi. A partire dall'aggiornamento 22 (Parte Prima.IV.5.13) si parla di "congrua distanza dai siti primari", mentre anni fa si indicava un minimo di 300Km.
Nell'aggiornamento 29 (ultimo disponibile alla data di redazione del presente articolo) è sottolineata l'importanza della Continuità Operativa di cui il DR diviene sottoinsieme e a pag. 403 viene scritto: "I siti alternativi per i processi a rilevanza sistemica sono situati a congrua distanza dai siti primari in modo da assicurare un elevato grado di indipendenza tra i due insediamenti." E ancora: "In generale, i siti alternativi sono ubicati all'esterno dell'area metropolitana nella quale sono presenti i siti primari; inoltre, essi utilizzano servizi (telecomunicazioni, energia, acqua, ecc.) distinti da quelli impiegati in produzione. Laddove ciò non avvenga è necessaria una valutazione rigorosa, supportata da pareri di parti terze qualificate (ad es., Protezione Civile, accademici, professionisti) e compiutamente documentata, che il rischio di indisponibilità contemporanea dei siti primari e alternativi è trascurabile."
Banca d'Italia fa anche riferimento alle misure di sicurezza previste dall'EBA (European Banking Authority), ma nè nelle "Guidelines on ICT and Security Risk Management" nè nelle "Guidelines on security measures for operational and security risks under the PSD2" troviamo indicate distanze suggerite o altre indicazioni come veniva fatto in Italia.
Mentre le richieste che riguardano la distanza continuano ad essere fatte, gli standard internazionali sempre più evolvono verso concetti di analisi del rischio, assunzione di responsabilità, testing e miglioramento continuo dei sistemi. A nostro avviso le tecnologie evolvono così velocemente che è meglio rifarsi agli standard e alle best practices internazionali analizzate sopra, piuttosto che fissare "misure minime".
Il nostro approccio oggi è quello di analizzare quali rischi si corrono e quali vantaggi ci sono a scegliere location vicine, così come se le scegliessimo troppo lontane. Analizziamo i rischi in modo consapevole, perché latenze e fattori economici non sono da trascurare, anzi sono parte importante di un processo di consapevolezza. Oggi in ETÆRIA operiamo su 6 diversi Data Center e possiamo offrire soluzioni a 20, 60 o 200 Km di distanza, proprio perché non tutte le esigenze sono uguali e per questo motivo offriamo soluzioni su misura tenendo conto sia delle richieste tecniche che di quelle economiche.