Software Gestionali Open Source per le PMI

Transcript

1 Ordine degli Ingegneri della Provincia di Palermo con il patrocinio di AICQ Sicilia Software Gestionali Open Source per le PMI Palermo, , Hotel Addaura e con il patrocinio di: Ordine dei Consulenti del Lavoro di Palermo Ordine dei Dottori Commercialisti e degli Esperti Contabili di Palermo CONTINUITA OPERATIVA BUSINESS CONTINUITY Eventuale logo

2 Obiettivi della presentazione Continuità operativa Business Continuity Obiettivo della presentazione è quello di fornire un quadro di insieme sul tema della continuità operativa delle problematiche ad essa associate. 2

3 Continuità operativa: Cos è la continuità operativa (Business Continuity) è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un organizzazione o parte di essa, garantendo la continuità delle attività in generale. PERSONE INFRASTRUTTURA ICT PROCESSI TECNOLOGIA 3

4 I punti di attenzione percepiti dal mercato Sicurezza dei dati Privacy e confidenzialità dei dati Localizzazione dei dati vero soprattutto per enti con vincoli legali legati alla conservazione dei dati (P.A., Banche, Sanità, etc.) Recovery dei dati Difficoltà di contrattualizzazione degli SLA con i cloud provider Garanzia di rispetto degli SLA Vendor lock-in 4

5 Aspetti della continuità operativa (Business Continuity) La continuità operativa comprende sia gli aspetti strettamente organizzativi, logistici e comunicativi che permettono la prosecuzione delle funzionalità di un organizzazione, sia la continuità tecnologica, che nel contesto delle pubbliche amministrazioni come nelle PMI riguarda l infrastruttura informatica e telecomunicativa. 5

6 Perché l espressione Business Continuity La sfera di interesse della continuità operativa va quindi oltre il solo ambito informatico, interessando l intera funzionalità di un organizzazione, ed è pertanto assimilabile all espressione business continuity. La continuità operativa può quindi essere intesa come l insieme di attività volte a ripristinare lo stato del sistema informatico o parte di esso, compresi gli aspetti fisici e organizzativi e le persone necessarie per il suo funzionamento, con l'obiettivo di riportarlo alle condizioni antecedenti a un evento che ha causato l interruzione. 6

7 DISASTER RECOVERY (DR) Spesso considerata come sinonimo della continuità operativa, il Disaster Recovery (DR) è una componente della Business Continuity e si occupa della reazione immediata al verificarsi di un evento, al fine di garantire la continuità tecnologica, che nel contesto delle pubbliche amministrazioni riguarda l infrastruttura informatica e telecomunicativa (ICT). Costruita spesso da step successivi configurati in una pianificazione a fasi, la DR comporta il fermare gli effetti che un evento avverso sta causando ( falla nella sicurezza, terremoto, ) 7

8 Misure delle continuità operativa Due gli indicatori chiave della continuità operativa: RTO (Recovery Time Objective): esprime l arco temporale massimo entro cui il ripristino delle risorse minime deve essere garantito, al fine di contenere gli impatti, legati all indisponibilità, a livelli sopportabili; RPO (Recovery Point Objective): rappresenta l intervallo temporale massimo a cui far riferimento per individuare il punto di ripristino dei dati e/o del sistema (dall ultimo salvataggio delle informazioni disponibili). E quindi un indicatore della quantità di dati che possono essere perduti. 8

9 Classificazione servizi Gartner Group propone di classificare i servizi erogati in termini di RTO e RPO: servizi di classe 1: con RTO e RPO prossimi a zero; servizi di classe 2: con RTO dell ordine delle 24 ore, e RPO prossimo a 4 ore; servizi di classe 3: con RTO dell ordine delle 72 ore, e RPO prossimo a 24 ore; servizi di classe 4: con RTO misurabile in giorni, e RPO superiore a 24 ore. I servizi delle prime due classi sono, in generale, quelli definibili critici. Quelli appartenenti alla terza e quarta classe possono essere protetti anche con un sistema di backup. 9

10 RTO,RPO e costi della soluzione L ottimizzazione dei tempi RTO e RPO si traduce in un compromesso tra i costi dovuti alla perdita di dati e i costi d'implementazione di un'architettura ad alta affidabilità 10

11 RTO scala di grandezza Una scala di grandezze dei tempi RTO è la seguente (fonte Presentazione per Poste Italiane - Università di Roma): Back-up su Tape off-site ha un RTO di giorni; ElectronicTape Vaulting, ha un RTO di parecchie ore; Back-up Disk to Disk, ha un RTO di alcune ore; Remote DB Logging, ha un RTO di alcune ore; Remote Disk Copy Asincrono, ha un RTO di poche ore; Remote Disk Copy Sincrono, ha un RTO di minuti; Remote Disk Copy con Server in Cluster Geografico ha un RTO di secondi. 11

12 Tipologia siti di recovery A fronte di un disastro o interruzione del sito primario/di produzione, per fornire la continuità operativa, si attivano i siti di recovery, che possono essere così classificati: Hot Site: è un sito già completamente configurato a livello hardware e software, pronto per essere utilizzato in qualsiasi momento; ha un tempo di RTO di ore ma un costo di gestione in genere più elevato rispetto al sito primario; Warm Site: è un sito non dissimile dall hot site, l hardware è già predisposto per il recovery, ma per avviarlo è necessario espletare il restore delle back-up dei file; Cold site: è un sito privo di ogni attrezzatura tecnica, a cui l azienda può decidere di appoggiarsi per installare le macchine e le applicazioni di base; Mirror site: si tratta di un sito alternativo al primario, completamente equipaggiato di funzionalità e di hardware nonché di linee di comunicazione, in grado di processare ogni transazione concorrentemente al sito primario. Fra sito primario e secondario esiste una rete ad alta velocità, per supportare le operazioni di mirroring. La ridondanza si dimostra particolarmente vantaggiosa per aziende con funzioni di business ad alto rischio. Questa soluzione risulta essere particolarmente dispendiosa. 12

13 Continuità Operativa nella Pubblica Amministrazione DLgs.235/10 Art.50-bis Nell ambito della pubblica amministrazione È un impegno e obbligo istituzionale La continuità operativa rappresenta un aspetto di estrema importanza per l e-governement, poiché consente di garantire realmente una disponibilità dei servizi on-line superiore a quella degli accessi tradizionali tramite sportello. In tal modo, è possibile fornire al cittadino il pieno esercizio del suo diritto ad accedere ai servizi pubblici per via telematica, come previsto dall Articolo 3 del Codice dell Amministrazione Digitale. L importanza di questo tema ha trovato conferma in occasione della revisione del CAD operata dal decreto legislativo 30 dicembre 2010 n. 235, che ha inserito un nuovo articolo, il 50- bis, Continuità operativa. 13

14 Tecnologia: Analisi per un corretto piano di Continuità Operativa Analisi dei servizi critici (risk assessment) Affidabilità HW dei singoli sistemi (non solo server) Ridondanza HW e SW dei sistemi Replica dei dati Persone: Individuazione delle Persone chiave. Creazione di know-how interno Infrastruttura: Analisi della collocazione delle macchine Analisi e adeguamento della rete esistente Processi: Analisi e revisione dei processi di ripristino 14

15 Le fasi per la gestione della Business Continity 15

16 RISK ANALISYS (RA) Risk Analysis : vanno identificanti rischi, la vulnerabilità del sistema, o dei sistemi, in esame, allo scopo di informare il management della vulnerabilità dei sistemi o degli asset che ne fanno parte, indicando cosa proteggere, da quali minacce difenderli, come difenderli e perchè risultano vulnerabili. I passi da seguire sono: Identificazione degli asset disponibili (sistemi ict esposti a minacce analizzati in termine di locazione fisica, configurazione hw/sw, architetture ed interfacce di rete, dati, persone di supporto, mission (processi eseguiti), il valore del sistema o la sua importanza). identificazione delle minacce possibili (threat statement) per gli asset a rischio e le perdite che potrebbero causare, la probabilità che esse accadano (eventi ambientali, attacchi malevoli, accessi non autorizzati, malfunzionamento dei servizi, sistemi non configurati correttamente, bachi nel software, minacce interne, ecc.); determinazione delle contromisure esistenti (necessarie e discrezionali) ovvero, le azioni che riducono il livello di vulnerabilità degli asset nei confronti di minacce esterne o interne; documentazione delle vulnerabilità, ovvero si documentano gli scenari in cui il sistema è soggetto a una o più minacce che non è in grado di contrastare; stima delle perdite, ovvero la stima dei costi da affrontare (nel peggiore dei casi) per riportare l'asset in considerazione allo stato in cui si trovava prima del verificarsi dell'evento malevolo; Il "Report delle Raccomandazioni" è il documento finale (informativo che riporta il risultato dell analisi) che elenca i controlli che si devono effettuare al fine di ridurre i rischi identificati e alleggerire l'impatto che potrebbero avere sui sistemi più critici. 16

17 BUSINESS IMPACT ANALISYS (BIA) Business Impact Analysis si valutano le conseguenze sul business derivanti dal verificarsi di un evento calamitoso (identificato nellla Risk Analysis). L'attività ha inizio con la definizione dei: Processi Aziendali (ad esempio: Relazioni Pubbliche, Personale, Amministrazione, Finanza e Controllo, Sistemi Informativi, ecc.); Servizi forniti (interni o esterni che i processi gestiscono/forniscono); Risorse impiegate a supporto dei processi (le risorse ICT, il personale, gli ambienti, ecc.). Classificazione dei processi e risorse impiegate: i Processi in termini di: rilevanza, complessità, sensibilità (utenza servita, perdita di reputazione, ecc.), frequenza e grado d'automazione; le Risorse in termini di: funzione, grado d'importanza, se bloccante o meno per il processo, le interrelazione che esse presentano. Impatti sul Business dal punto di vista: economico-finanziario (perdite), reputazionale (immagine), normativo-legale, e competitività commerciale. 17

18 PIANO DI CONTINUITA OPERATIVA (PCO)(1) Il piano di continuità operativa è un documento che guida un amministrazione nella gestione dei rischi definendo ed elencando le azioni da intraprendere prima, durante e dopo un emergenza per assicurare la continuità del servizio. Il principale obiettivo di questo documento è massimizzare l efficacia della risposta all emergenza, pianificando e specificando tutti gli interventi necessari, assegnando le responsabilità e identificando i percorsi da seguire. PERSONE Riportare le Persone chiave Riportare le procedure per evitare errori TECNOLOGIE Riportare quali elementi sono vulnerabili PROCESSI Riportare i processi per gestire le attività quotidiane e quelle eccezionali 18

19 PIANO DI CONTINUITA OPERATIVA (PCO) (2) Il Piano di Continuità Operativa o di Business Continuation è quindi un documento che guida un amministrazione nella gestione dei rischi, definendo: i servizi da recuperare e le priorità di recupero, il tempi entro i quali i servizi devono essere recuperati (RTO), i livelli di recupero necessario per ogni servizio (RPO); I ruoli e le responsabilità delle persone e dei team che sono coinvolti, in termini di processo decisionale e di livello di autorità durante e dopo un emergenza Le modalità d'attivazione del PCO: le modalità per mobilitare le persone e i team interessati; la localizzazione dei punti di ritrovo; le circostanze in cui l'organizzazione ritiene che l attivazione del PCO non sia necessaria; le modalità di gestione, manutenzione e verifica e test del PCO; nei casi più semplici il piano di Disaster Recovery le modalità di rientro dall emergenza. 19

20 PIANO DI DISASTER RECOVERY (PDR) (1) Il Piano di Disaster Recovery, definisce: la soluzione concordata per assicurare la continuità di funzionamento dei sistemi e ambienti del SI primario a fronte di eventi disastrosi; Le procedure di gestione e manutenzione della soluzione per assicurare il ripristino dell infrastruttura ICT entro un prefissato tempo RTO e con un prefissato RPO per i dati; Le informazioni relativi agli aggiornamenti/revisioni del piano, le norme, le direttive, i riferimenti di standard, le direttive di riferimento; Descrizione del sistema informativo primario e i servizi critici cha la soluzione deve garantire; Fattori critici e di rischio, descrizione dei casi di disastro/indisponibilità prolungata che si intendono affrontare con la soluzione; Organizzazione, ruoli e responsabilità, strutture e personale coinvolto nelle attività. Modalità di attivazione del personale; Le policy e le misure adottate per garantire la sicurezza e la salvaguardia dei dati del sito di DR; 20

21 PIANO DI DISASTER RECOVERY (PDR) (2) Il Piano di Disaster Recovery, definisce inoltre : La procedura da adottare per: valutare la situazione di disastro/di crisi/indisponibilità del sito primario; dichiarare l'evento disastroso; attivare il Piano di DR e delle procedure ad esso connesse; notificare ed attivare le strutture e il personale coinvolto nelle attività connesse alla dichiarazione di Disastro; attivare il sito di DR e ripristino del sistema informativo primario colpiti dal disastro/dalla situazione di indisponibilità; gestire il sistemi informativo primario presso il sito di DR in condizioni di emergenza, durante il periodo di disastro/indisponibilità; ripristinare il Sistema Primario con la formale Dichiarazione di fine emergenza ; Attività da svolgere per garantire l aggiornamento/revisione del Piano di DR, nonché la verifica periodica dell adeguatezza della soluzione di DR; Le modalità di svolgimento e documentazione delle procedure di test periodiche. 21

22 Cloud Computing e Continuità Operativa Grazie alle tecnologie cloud ed alla virtualizzazione, le cose possono essere semplificate alle PMI : Si è slegati dalla necessità di dotarsi di apposito hardware in quanto si può utilizzare l infrastruttura Cloud messa a disposizione dal Provider. Non si è costretti a gestire la manutenzione e l aggiornamento dell infrastruttura Non è necessario individuare un sito apposito di Disaster Recovery, essendo ormai ogni datacenter predisposto con infrastrutture Cloud. Esistono strumenti software che permettono di semplificare enormemente il processo di gestione di replica e ripristino. 22

23 PMI, Cloud Computing e Continuità Operativa : servizi on cloud Storage as a service : nel quale si crea una relazione tra il NAS del cliente ed uno storage presente in un Datacenter. E possibile utilizzare le tecnologie ed i tool di backup già utilizzati dal Cliente, utilizzando le policy preferite dal Cliente stesso, con il vantaggio di salvare i dati sensibili in ambienti remoti ed strutturati per garantire la massima disponibilità e continuità di servizio. Tipicamente si utilizza FTP per instaurare la connessione tra Cliente e Datacenter, che possono essere collegati tra di loro con diverse tipologie di connessione, principalmente VPN over Internet oppure MPLS. Sync & Share : ovvero tutti i dati oggetto di BU potranno essere condivisi con gli utenti che potranno usufruirne da qualsiasi device (PC, smartphone, tablet ).E il caso di Dropbox, Google Drive Esistono ed altri di tipo Personal Cloud, che hanno un orientamento principalmente consumer, ma anche enterprice. File server as a service: può essere visto come un evoluzione dei due servizi sopra descritti. Anziché installare e mantenere un File server, dovendolo backuppare e con la necessità di doverlo rendere disponibile ad utenti in mobilità, è possibile utilizzare un apposito servizio, garantendone l accesso da remoto ed integrandolo con i sistemi aziendali. Disaster Recovery on Cloud: si intende infatti la possibilità di replicare l infrastruttura tecnologica presente presso il Datacenter del Cliente (VM, dati, applicazioni, sistemi operativi e quant altro) verso il DC del Cloud Provider. In caso di disastro è possibile, definendo specifiche procedure, la riaccensione ed erogazione dei servizi dal Datacenter. 23

24 Riferimenti normativi e link utili sul tema ISO 22301:2012 Societal security -- Business continuity management systems --- Requirements ISO/IEC 27031:2011 Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity ISO/IEC 24762: Guidelines for ICT disaster recovery services DigitPA : Continuità operativa DigitPA : Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni. DigitPA: Sistema pubblico di connettività (SPC) DigitPA: Linee guida per il disaster recovery delle PA DigitPA : Raccomandazioni profili minimi servizi disaster recovery DigitPA : Indicazioni di supporto alla predisposizione della richiesta di parere ex comma 4, articolo 50-bis del CAD GU : CIRCOLARE 1 dicembre 2011, n. 58 DigitPA: Studio di fattibilità - modello generale DigitPA: Agenda incontro con PAC su art. 50bis del CAD - 14/03/2012 DigitPA: Presentazione prof. Orlandi incontro PAC 14/03/2012 DigitPA: Presentazione dott. Rellini L. incontro PAC 14/03/

25 BUSINESS CONTINUITY: IL PROGETTO ITALTEL Il progetto prevede: Interventi articolati nelle due sedi di Milano e Palermo che riguardano: L ammodernamento della rete di Palermo Il rifacimento nella due sedi dei sistemi di backup La messa in esercizio di una nuova soluzione di near real-time business continuity costituita da dall insieme dei sistemi di deduplica e replica dei dati in mutua reciprocità nei due siti Il completamento della soluzione di business continuity passando da near real-time a real-time Mirroring tra i siti di Milano e Palermo 25

26 Business Continuity in Italtel Il sito di Palermo contiene : L immagine virtuale della infrastruttura di Milano, realizzando quindi una infrastruttura di DR per Milano, allineata in modo sincrono con il sito di Milano Il sito di Milano contiene : L immagine virtuale della infrastruttura di Palermo, realizzando quindi una infrastruttura di DR per Palermo, allineata in modo sincrono con il sito di Palermo La infrastruttura di rete fisica viene gestita in modo virtualizzato (es.: router) L allineamento dei dati tra i due siti viene garantito dal SW residente sugli storage dei due siti. In caso di disastro di uno dei due siti, l immagine virtuale del sito di DR viene resa operativa, riconfigurando la rete di accesso. 26

27 Il progetto fase 1: interventi sito di Milano Ampliamento banda di connessione rete MPLS a 50 Mbit/sec Installazione nuovo storage VNX 5500 Installazione nuova infrastruttura basata su software Networker Installazione nuova soluzione di deduplica dei data Installazione nuova tape-library per backup long-retention Installazione nuova soluzione per copia real-time dei data (Recoverpoint) 27

28 Il progetto fase 1: interventi sito di Palermo Ampliamento banda di connessione rete MPLS a 40 Mbit/sec Installazione nuovo Nexus 7000 Installazione nuovo Nexus 5000 Instalalzione nuovi firewall ASA Ampliamento storage VNX 5300 Instlalazione nuova infrastuttura di backup basata su software Networker Installazione nuova tape-library per backup long-retention Installazione nuova soluzione di deduplica dei dati Predisposizione infrastruttura a DR con possibilità di replica lowoptimzed (dato deduplicato ulteriormente compresso) per bande sotto i 6Mps 28

29 Il progetto fase 1: la replica dei dati tra i siti (1/2) Fase 1: allineamento sito di Milano con Palermo MILANO PALERMO 7 Storag e 24Tb Dati da salvare Vault in DSS Infrastruttura di DR Server s A B C Server s Libreria a nastri Storag e 6 Dati C NW Server (P) SN (VM) Proxy (VM) 5 Libreria a nastri Vault in DSS 8/12Tb Dati salvati e deduplicati Full Backup 1 A B C A B C SAN cifs, nfs, FC, DDBoost 4 copia Full e Inc Trasferiment o delta dati Trasferimento Dati ABC a Palermo 2 cifs, nfs, FC, DDBoost A B C 3 SAN Installazione configurazion e DD a Palermo 5 NW Server (P) SN (VM) Proxy (VM) Infrastruttura di DR 29

30 Il progetto fase 1: la replica dei dati tra i siti (2/2) Fase 1: allineamento sito di Palermo con Milano MILANO PALERMO Storag e 24Tb Dati da salvare Vault in DSS Infrastruttura di DR Server s A B C Server s Libreria a nastri Storag e Dati C NW Server (P) SN (VM) Proxy (VM) SAN 5 Libreria a nastri Vault in DSS 8/12Tb Dati salvati e deduplicati Full Backup A B C cifs, nfs, FC, DDBoost 3 Copia Full Palermo su DD di Milano 4 Trasferiment o delta dati Trasferimento Dati a Milano 2 cifs, nfs, FC, DDBoost A B C 1 Copia Full Palermo su Dispositivo esterno SAN NW Server (P) SN (VM) Proxy (VM) Infrastruttura di DR 30

31 Italtel : Virtualization, Cloud Computing, NFV Y2013 HP/Cisco Platform Embrace WebRTC Application Server Y2012 HP/Cisco Platform NetMatch-S Session Border Controller NetMatch-D Diameter Routing Agent Y2011 HP/Cisco Platform i-nem Neutral Element Manager Y2013 All Products on HP/Cisco Platform Virtual Machine SW group middleware CG Linux VMware Hypervisor ESXi 5.1 Computing modules i-devman Access Device Manager Virtual Machine SW group middleware CG Linux Virtual Machine SW group middleware CG Linux Memory modules Network interfaces Storage modules Y2011 Cisco UCS Platform i-rps Routing and Policy Server Y2010 HP/Cisco Platform i-vls Virtual Lite Softswitch Y2011 HP/Cisco Platform i-mcs Telephony AS (MMTEL) VoLTE AS (LTE) The IMS/NGN Suite Core and Border Y2011 HP/Cisco Platform i-tds The Data Suite: HSS, UPSF, ENUM, SDM 31

32 Follow us italtel.it twitter.com/italtel twitter.com/italteltech youtube.com/user/italtelchannel linkedin.com/company/italtel 32