Supervisionare e controllare operazioni e infrastrutture, per garantire elevati standard di sicurezza: è il fulcro delle attività di data center management. Una complessa attività che, alla luce delle normative come la Nis2 e dei crescenti rischi legati a cybersecurity e data protection, deve essere attentamente implementata tanto dalle organizzazioni del settore privato che dalla PA.
È importante quindi aumentare la consapevolezza, soprattutto in ambito pubblico, sulla corretta gestione dei data center come strategia per tutelare al massimo i grandi volumi di dati, spesso sensibili e critici, per prevenire incidenti, garantire la continuità operativa in caso di disastri o attacchi, garantire la compliance e migliorare l’efficienza.
Data center management, i benefici per la PA
Mettendo in pratica, infatti, le giuste accortezze in fatto di sicurezza dei data center si ottengono maggior resilienza, capacità di prevenire eventi dannosi, tutela della continuità operativa. Aspetti che, riguardo alla PA, specialmente in ambiti critici come la Sanità sono cruciali non solo per il corretto funzionamento dei servizi ma anche per evitare possibili conseguenze negative sui cittadini. In Italia al momento “stiamo vivendo un vero e proprio rinascimento sul fronte dei data center – racconta Floriano Monteduro, direttore della business unit data center di N&C e coordinatore del settore energia di Ida – Italian data center association -. Aumentano gli investimenti dall’estero, con nomi importanti, come Aws e Microsoft. La PA è coinvolta in prima persona: molti degli investimenti sono legati al Psn, il Polo strategico nazionale”. Fondamentale il legame con la sicurezza, intesa come cybersecurity ma anche sicurezza fisica delle strutture: “l’Agenzia di cybersicurezza nazionale e le normative di settore come la direttiva Nis2 indicano chiaramente qual è la via da seguire, cioè l’innalzamento degli standard di sicurezza e l’implementazione di best practice di respiro internazionale”, aggiunge Monteduro.
Importante comprendere che un data center sicuro e compliant permette alla PA di risparmiare, arginare i rischi e garantire la continuità nell’erogazione di prestazioni e servizi anche di livello critico: “Un sano e competente approccio al data center management comporta, tra gli altri interventi, maggiore attenzione agli Sla, agli aggiornamenti, all’implementazione di un adeguato piano di disaster recovery – sottolinea Miriam Mazzucco, responsabile project service management e post vendita di N&C -. C’è una grande trasformazione in corso, legata alla migrazione dei dati della PA verso il cloud, un contesto in cui diventa ancor più cruciale garantire la sicurezza delle informazioni con grande cura dei dettagli”.
I punti principali di una strategia di data center management
Valorizzare la qualità del dato è il primo passo da contemplare in una strategia di data center management adeguata: “Potenziare la qualità del dato è il primo step, così come è fondamentale mappare le fonti da cui tali dati provengono. Il processo di elaborazione del dato è importante perché dobbiamo sempre sapere dove reperire le informazioni in caso di emergenza”, precisa Mazzucco. Per esempio, nel settore sanitario “l’esperienza della pandemia di Covid quattro anni fa ha aperto le porte a una maggiore consapevolezza dell’importanza di potenziare la qualità del dato. Si è visto in concreto quanto sia fondamentale centralizzare i dati, per esempio per garantire l’assistenza sanitaria a domicilio, ma anche per una corretta prevenzione dei rischi e soprattutto per evitare blocchi nell’operatività con ripercussioni sulle vite delle persone”, aggiunge Mazzucco.
Tale cura del dato passa necessariamente dall’attenzione agli aspetti legati al data center management: “La normativa offre tutte le indicazioni per fare bene – evidenzia Monteduro -. Per esempio, in questo periodo in relazione all’applicazione della direttiva Nis2 è stato emanato il regolamento delle infrastrutture per i servizi cloud della PA, il quale sta creando movimento nell’IT management della PA per la necessità di adeguarsi a elevanti standard. Nelle prossime settimane le PA dovranno classificare le loro attività ordinarie, strategiche e critiche, tre differenti categorie che richiedono applicazioni differenti”. Il data center deve essere quindi adeguato a ospitare queste categorie di dati, la valutazione viene svolta contemplando elementi come la capacità elaborativa, il risparmio energetico e l’affidabilità “cioè la capacità di resilienza, di restare attivo ogni ora del giorno e ogni giorno dell’anno – spiega Monteduro -. Un data center secondo gli standard internazionali deve avere una resilienza del 99.98 per cento, cioè non può rimanere spento per attività non programmate per più di due ore all’anno”. Il data center inoltre è una struttura energivora, ma esistono tecnologie capaci di limitare l’impatto energetico, come il free cooling: considerando l’attenzione posta dalle politiche europee alla transizione energetica, è un fattore da considerare nel proprio data center management.
Data center management, i consigli di N&C per gli enti pubblici
La normativa offre tutti gli strumenti per valutare se un data center è compliant. Tuttavia, destreggiarsi tra norme internazionali, regolamenti, standard tecnici e best practice richiede competenze di cui non sempre le PA dispongono al loro interno. Serve quindi il supporto di una realtà esterna: “Come tech company ci occupiamo di ciò – precisa Monteduro -. Conduciamo una due diligence e valutiamo se l’infrastruttura rispetta le normative, stiliamo un report che viene poi mandato ad Acn che verifica la conformità. Secondo la Nis2, la relazione sull’efficienza del data center deve essere inviata all’autorità ogni due anni”. Un’attività che non riguarda solo la cybersecurity: “Il data center management contempla anche la sicurezza fisica dell’infrastruttura e questo è previsto anche dalla stessa direttiva Nis2. Si cita per esempio che la PA deve avere la capacità di resistere a fumo e incendi”, sottolinea Monteduro.
Le norme spiegano come tutelare fisicamente i data center, per esempio prevedendo l’ingresso della fibra in due punti diversi e distanti tra loro, oppure di non realizzare parcheggi troppo vicini alla struttura: “Un danno fisico esattamente come un attacco cyber può comportare il blocco delle attività – conclude Monteduro -. A questo pro, è importante anche controllare gli accessi fisici al data center, disponendo di un sistema di videosorveglianza”.
Inoltre, come spiega Mazzucco, anche nella scelta di un partner per la cura degli aspetti di data center management serve compliance alle norme: “la supply chain della PA è importante e in norme come la Nis2 ha una rilevanza specifica. Bisogna puntare a fornitori la cui affidabilità e competenza è certificata. In N&C il personale dispone di circa ottocento certificazioni, in più come azienda abbiamo conseguito le maggiori certificazioni a livello aziendale.
Contributo editoriale sviluppato in collaborazione con N&C
