Symantec: backup e recovery come servizio gestito

di Andrea Marzilli

28 Gennaio 2010 09:00

Perché nei processi di backup e recovery dei dati è conveniente ed utile pensare ad un servizio gestito in outsourcing. Il punto di vista di Symantec

Riceviamo e con piacere pubblichiamo l'articolo Backup e Recovery: perchè considerare un servizio gestito a cura di Alberto Meneghini, Business Development Manager, Managed Security Services, Mediterranean Region di Symantec.

Sulla base della nostra esperienza, molte aziende non prestano la dovuta attenzione alle tematiche di "backup e recovery". La maggior parte delle organizzazioni che hanno affrontato il tema, hanno spesso dato una risposta ineccepibile dal punto di vista esclusivamente tecnologico; questo le fa vivere nell’illusione che quanto implementato sia una soluzione efficace. Il risultato è che i servizi forniti dal gruppo IT sono spesso fonte di critiche e fraintendimenti (potenzialmente gravi) quando si presenta la necessità di recuperare i dati archiviati in precedenza. Pochissime imprese sono adeguatamente organizzate per quanto riguarda i processi di backup e recovery e non sono in grado di supportare le strategie e le necessità di business aziendali. Processi e procedure sono spesso assenti, o carenti, e in caso di incidente diventa complesso capire in tempi rapidi le cause che lo hanno originato.

Non è quindi sorprendente che molte organizzazioni operino con un falso senso di fiducia illudendosi “che tutto andrà bene”; in verità stanno mettendo a repentaglio le informazioni aziendali.

Troppe aziende sono interessate e investono pesantemente nello storage, ma non sono poi in grado di recuperare i dati di cui hanno disperatamente bisogno: e questo costa loro denaro. Il processo di backup e recovery costituisce una parte fondamentale per fornire al business un vero servizio end-to-end.

I vantaggi di un approccio proattivo

Le operations di backup e recovery sono considerate necessarie dall’organizzazione IT, ma assumono un’importanza strategica quando nel corso di un “IT failure” diventa vitale il recupero di informazioni critiche.

La diffusione di una minaccia composita (blended threat) su internet, una calamità naturale, o una catastrofe regionale come un allagamento, potrebbero lasciare un’azienda senza le risorse per individuare, ripristinare e recuperare i dati. Ogni interruzione di servizio, collegato o meno all’IT, influenzerà i profitti, la soddisfazione del cliente, l’immagine dell’azienda e potrà minacciare le prospettive di business a lungo termine.

Secondo l’esperienza Symantec, le imprese che rispondono positivamente, con una solida strategia per affrontare anche il caso peggiore, possono se non trarre vantaggi in termini di business, quantomeno limitare gli impatti fino a renderli pressoché impercettibili.

La pressione della Compliance

Negli ultimi anni abbiamo assistito ad un proliferare di norme alle quali le organizzazione devono attenersi e recenti episodi a livello internazione di perdita dei dati dimostrano come le aziende e le istituzioni governative debbano fare proprie le procedure e le politiche implementate e garantire il rispetto delle norme giuridiche.

Le imprese sono sotto pressione per una serie di requisiti di carattere legale; ad esempio se ad un’azienda viene chiesto di produrre dati a supporto di una controversia, è essenziale che i dati siano localizzati e recuperati in modo rapido ed efficiente.

Inoltre le organizzazioni tendono a memorizzare i dati su nastri di backup per molti anni nella convinzione che questi possano essere recuperati quando necessario. Con backup basati su nastro ma anche su disco, il tempo può compromettere seriamente la leggibilità delle informazioni. E le ragioni sono almeno due: in primo luogo i supporti possono degradare nel corso degli anni; in secondo luogo, la tecnologia di backup può divenire obsoleta e venire quindi sostituita. Questo può comportare l’impossibilità di ripristinare i dati più vecchi.

Un ulteriore punto di attenzione è rappresentato dalla catalogazione dei nastri: se non avviene basandosi sul timestamp, non sarà possibile individuare rapidamente il nastro che contiene i dati di cui si ha bisogno. Il che significa non rispettare le normative in vigore.

Conviene organizzarsi da sé?

Gestire le operazioni di backup e recovery può essere un compito scoraggiante. Le aziende si trovano spesso di fronte ad un’ardua scelta: continuare a gestire le operazioni in-house, o chiedere la collaborazione di un otsourcer.

L’appello per una soluzione in-house

La predisposizione di un team per la gestione in-house delle operazioni di backup e recovery è interessante agli occhi dell’azienda per una serie di ragioni:

  • Percezione che sarà più conveniente. Senza procedere ad un esame approfondito dei costi, ci saranno preoccupazioni comprensibili che un aiuto esterno risulterà più costoso di un team completamente in-house.
  • Preoccupazioni per la sicurezza e la riservatezza. Le organizzazioni sono spesso riluttanti a dare l’accesso ai loro dati a terzi. La sicurezza è una delle considerazioni che possono indurre un’azienda a mantenere i dati, di qualsiasi natura, in casa e gestiti da personale interno.
  • Riluttanza di base nei confronti dell’outsourcing. La resistenza culturale verso l’outsourcing è un luogo comune.
  • Desiderio di rimanere indipendenti. Vi è un elemento di rischio connesso con la formazione di un qualsiasi rapporto d’affari. Alcune imprese sono restie ad accettare questo potenziale pericolo.
  • Ansia da flessibilità. Alcune aziende inoltre temono una perdita di flessibilità quando si trasferisce ad un outsourcer un certo grado di controllo operativo. Ci può essere la preoccupazione per cui rinunciando seppur ad una piccola parte di controllo, venga inibita la capacità dell’organizzazione di poter reagire alle mutevoli condizioni di business.

La risposta dell’outsourcing

Un forte outsourcer, affidabile, porterà una serie di vantaggi che possono indirizzare e risolvere i problemi sopra elencati.

  • Una maggiore visibilità del TCO e la garanzia di un prezzo fisso. In genere, il Manager che ha in carico le operazioni non è a conoscenza del cosiddetto total cost of ownership di una soluzione in-house; la naturale conseguenza è che non sarà in grado di prevedere i costi interni ricorrenti. Tuttavia, un outsourcer può impostare uno schema di pricing basato su costi fissi mensili; questo semplice quanto banale approccio può facilmente dimostrare un costo inferiore rispetto alle soluzioni in essere.
  • Garanzie sui livelli di servizio. I livelli offerti dai servizi in-house sono spesso difficili da stabilire, misurare e quindi rispettare. SLA stringenti forniti da un outsourcer permettono al management di misurare puntualmente le performance delle operazioni di backup e recovery, ottenendo preziosi indicatori (KPI)s.
  • Maggiore focalizzazione sul core business. Un outsourcer permette ad un’organizzazione di concentrarsi sulle proprie competenze di base, potendo riassegnare le risorse ad attività direttamente a supporto del business.
  • Competenze più forti nel sostenere il processo di backup e recovery. Molte organizzazioni non hanno piena conoscenza dei processi, né hanno una profonda conoscenza dell’architettura e della tecnologia a supporto dei processi di Backup. Un outsourcer sarà in grado di migliorare i livelli di servizio in modo efficiente applicando soluzioni best-of-breed supportate da comprovati processi di Service Management.
  • Un approccio strutturato alla gestione dei dati business-critical. Le ripercussioni finanziarie derivanti dalla perdita di dati o dai tempi di inattività possono essere devastanti. Un outsourcer esperto può minimizzare il rischio aiutando le imprese ad effettuare il backup in modo efficace dei dati business-critical. Nel corso di una survey, Symantec Research ha rilevato come le aziende cosiddette best-in-class facciano il monitoraggio e la misurazione dei controlli e delle procedure per proteggere i dati sensibili su base settimanale. Al contrario, la media delle imprese prende in esame solo i controlli e le procedure ogni 176 giorni.
  • Particolare attenzione all’RTO e RPO. Il board otterrà garanzie da un outsourcer con comprovata esperienza sui parametri di RTO e RPO. La piena consapevolezza dell’RTO e RPO consentirà all’azienda di scegliere la modalità di Recovery più idonea.
  • Comprensione dell’importanza della compliance. Le esigenze di compliance sono destinate ad inasprirsi nei prossimi anni. È importante avere esperti in grado di fronteggiare tali crescenti imposizioni. Le aziende solitamente sono a conoscenza della normativa, ma non necessariamente sono in grado di configurare o gestire l’archiviazione per soddisfarne i diversi requisiti.
  • Assistenza ai processi di audit. Quando viene condotta un’audit, è fondamentale che tutto sia “in ordine e aggiornato”. Un outsourcer è in grado di offrire le competenze e l’esperienza necessaria per contribuire a far sì che l’audit sia affrontata senza preoccupazioni.
  • Maggiore responsabilità e contributo al processo decisionale. Le funzionalità di reporting dei servizi in-house sono generalmente scarne. Un outsourcer, tuttavia, dovrebbe essere in grado di produrre Report efficaci sui propri servizi. Questi dovrebbero essere scalabili in termini di interlocutori, dalle operations ai Business Owner, e dovrebbero trasmettere le informazioni pertinenti a seconda dei ruoli. Tuttavia, i clienti di un outsourcer dovrebbero garantire di avere un metodo di verifica indipendente delle informazioni contenute nei Report.

Elementi da considerare se si decide di intraprendere la direzione dell’outsourcing

Se state pensando di avvalervi di un outsourcer per gestire le operazioni di backup e recovery, quali fattori dovreste prendere in considerazione?

Trovare una terza parte di fiducia

Un forte rapporto professionale tra l’azienda e l’outsourcer è fondamentale. Il cliente deve essere in grado di riporre la propria fiducia nell’outsourcer, che a sua volta deve essere in grado di svolgere il lavoro in modo più efficiente e affidabile di quanto fatto in precedenza.

I clienti esigono una relazione di fiducia e vogliono potersi fidare delle persone con cui lavorano. Vogliono essere certi che l’outsourcer manterrà le promesse fatte e si adopererà al massimo delle sue capacità in caso di emergenza.

Ottenere la giusta gamma di servizi

Poiché tutte le imprese hanno motivazioni diverse e richieste specifiche per dare in outsourcing le operazioni di backup e recovery, è importante che sia disponibile un servizio flessibile.

Per coloro che cercano metriche sofisticate e informazioni puntuali sullo stato – così come le analisi dei trend e la mappatura dello storico – gli strumenti di reporting possono rappresentare l’unica risposta.

Alcuni outsourcer offrono una serie di attività on-site e off-site. Questi servizi prevedono la presenza di specialisti che lavorano in loco integrando e supportando il team del cliente per un periodo di tempo prolungato. Il loro operato è regolamentato da un contratto con il quale l’outsurcer si assume la responsabilità delle attività nel rispetto di un rigoroso SLA.

In alternativa, i servizi gestiti di Backup possono essere erogati completamente da remoto attraverso infrastrutture operative 24×7 in grado di offrire servizi di monitoraggio e gestione remota, analisi e reporting secondo un ben preciso SLA.

Questi servizi possono anche essere integrati in una “soluzione gestita”, in grado di combinare il supporto locale con le funzionalità di monitoraggio remoto.

Attraverso l’uso di specialisti esperti residenti in loco o da remoto, le risorse interne esistenti possono essere liberate per concentrarsi su progetti strategici e attività core.

Conclusioni

La scelta di un outsourcer, con una solida reputazione, deve garantire un servizio migliore ad un costo inferiore.

I clienti raramente conoscono il total cost of ownership del servizio in-house di backup e recovery. Ed è un errore comune pensare che il costo di gestione del backup e recovery sia limitato agli stipendi delle persone dedicate alle operazioni. In realtà, è anche necessario considerare i costi di aggiornamento, il costo della formazione, e il costo di gestione degli incidenti.

In molti casi le aziende che gestiscono il loro processo di backup e recovery soffrono di un enorme spreco di risorse, semplicemente perché i processi sono inesistenti o inadeguati e non vengono applicate correttamente le best practice. Tali inefficienze hanno sempre un impatto negativo sui costi.

Prima di ingaggiare un outsourcer, è importante conoscere quanto si sta attualmente spendendo per il backup e recovery. Nell’esperienza Symantec, le organizzazioni spendono molto più di quanto pensano e in molti casi, molto più del necessario.

Quando un outsourcer stipula un contratto per gestire i servizi di backup e recovery di un cliente in genere basa la proposizione su cinque predefiniti livelli di servizio (SLA):

  1.  Backup Success rates
  2.  Restore Success rates
  3.  Tempo di risposta ad un incidente
  4.  Riesecuzione di un backup fallito
  5.  Reporting

Attraverso la definizione di uno SLA di questo tipo, le organizzazioni sono in grado di mantenere sotto controllo la qualità dei servizi forniti. Specifiche metriche devono essere messe a disposizione per verificare tutti e cinque gli SLA. Ciò significa che le aziende possono aspettarsi un servizio di gestione del backup dell’intero processo di recovery di prima classe.

Le organizzazioni hanno bisogno di monitorare i rate di successo esistenti e devono essere consapevoli del miglioramento portato dall’outsourcer. Hanno anche bisogno di capire perché si verificano errori nei job di backup. È importante osservare tutto questo, non solo dal punto di vista tecnologico, ma anche dal punto di vista del processo e delle competenze. Senza un’appropriata analisi delle cause, il successo dei backup può diventare una roulette ogni notte. Infine è raro trovare in un’azienda le competenze necessarie per effettuare le dovute analisi e isolare le cause del fallimento dei job di backup.