Nelle ultime settimane mi sono trovato a discutere più volte su quale sia la distanza ideale tra il data center di produzione e quello alternativo di disaster recovery. 50/60 Km, 160, 180, 300, chi offre di più?
Esiste una distanza ideale tra sito primario e DR? L’unica risposta valida che mi sento di dare è che NON esiste un: “one size fits all”.
Non esistono 2 aziende uguali, non esistono 2 DC uguali, perché mai dovrebbe venir standardizzata una decisione di tale portata, senza che venga condotta un’analisi delle esigenze e dei rischi. Volendo andare a ben vedere in passato questa situazione si verificava, ma oggi siamo nel 2019, dobbiamo parlare al presente e il presente è fatto di consapevolezza e responsabilità, la tanto cara accountability.
Prendiamo a questo punto in esame i vari Standard internazionali che trattano l’argomento.
La ISO 22301 è lo standard che definisce i concetti di business continuity, al suo interno si parla di Risk Assessment e Business Impact Analysis (BIA), di Minimum Business Continuity Objective (MBCO) e di Plan-Do-Check-Act (PDCA), ma in nessun punto si fa mai riferimento ad una distanza misurabile tra l’installazione di produzione e quella di DR. Al contrario in più punti si fa riferimento alle responsabilità e alla consapevolezza.
A livelli di infrastrutture si fa riferimento alle facilities al punto 8.3.2, asserendo che debbono essere incluse, ma non ci si deve limitare a quello.
Prendiamo allora in considerazione la famiglia ISO 27K? Qui dobbiamo fornire integrità, riservatezza e disponibilità, i 3 pilastri della sicurezza (ma delle informazioni), richiesta come obiettivo, ma mai anche qui viene menzionata la modalità in cui arrivarci e men che meno vengono citate modalità. I controlli descritti nella 27002 al Punto 17.1.2 impongono solo che la sicurezza delle informazioni sia mantenuta sia per produzione che in disaster recovery.
Volessimo inasprire ancora le nostre policy potremmo controllare il framework del NIST (National Institute of Standards and Technology), con particolare riferimento alle Special Publication (SP) 800 series, che contengono informazioni di sicuro interesse per le implementazioni in ambito cyber security, ma anche qui nessun riferimento a distanze precise.
Veniamo a Standard più di “casa nostra”, la Gazzetta Ufficiale del 9 giugno 2018 ha sancito l’entrata in vigore nel nostro paese della cosiddetta Direttiva NIS (Network and Information Security), ma nel suo recepimento non troviamo dettagli tecnici così profondi come l’analisi delle distanze che tanto continua a starmi a cuore. allora mi sono concentrato su quello che ci dice AgID e quello che viene richiesto alla PA.
Se andiamo indietro al 2017, la Presidenza del Consiglio dei Ministri, a pag. 23 in merito al “Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica“, scriveva che si deve “sviluppare un approccio reattivo integrato (concetto di resilienza), seguendo procedure testate, proiettate a garantire la disponibilità dei servizi erogati (business continuity e disaster recovery)”. Un po’ pochino vero?
AgID nel 2013, ben 6 anni orsono, nelle sue “Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni” a pag. 69 metteva una tabella per indicare la distanza in Km (il nostro primo riscontro).
Chi fa il mio lavoro da un po’ però dovrebbe anche ricordare che prima di AgID e prima dell’Unione Europea alle Banche era già chiesto di rispettare determinate “misure minime di sicurezza”. La Banca d’Italia con la sua Circolare 285 da anni comunica le “Disposizioni di vigilanza per le banche” nelle quali si fa esplicita menzione ai siti alternativi. A partire dall’aggiornamento 22 (Parte Prima.IV.5.13) si parla di “congrua distanza dai siti primari“, mentre un tempo si parlava di 300Km (secondo riscontro).
Oggi, data in cui scrivo questo post, la 285 è arrivata all’aggiornamento 29 che si concentra molto sulla Continuità Operativa di cui il DR diviene sottoinsieme e a pag. 403 continua a sancire: “I siti alternativi per i processi a rilevanza sistemica sono situati a congrua distanza dai siti primari in modo da assicurare un elevato grado di indipendenza tra i due insediamenti.“
Poi si va anche oltre ed è l’unico caso in cui si parla in qualche modo di ubicazioni: “In generale, i siti alternativi sono ubicati all’esterno dell’area metropolitana nella quale sono presenti i siti primari; inoltre, essi utilizzano servizi (telecomunicazioni, energia, acqua, ecc.) distinti da quelli impiegati in produzione. Laddove ciò non avvenga è necessaria una valutazione rigorosa, supportata da pareri di parti terze qualificate (ad es., Protezione Civile, accademici, professionisti) e compiutamente documentata, che il rischio di indisponibilità contemporanea dei siti primari e alternativi è trascurabile.“
Banca d’Italia fa poi anche riferimento alle misure di sicurezza previste dall’EBA (European Banking Authority), ma nè nelle “Guidelines on ICT and Security Risk Management” nè nelle “Guidelines on security measures for operational and security risks under the PSD2” ho trovate scritto distanze suggerite o altre indicazioni così precise come viene fatto in Italia. Al contrario ho trovato ribadito più è più volte concetti di analisi del rischio, assunzione di responsabilità, testing e miglioramento continuo dei sistemi (esattamente quello che viene definito in un qualunque standard ISO).
La verità probabilmente è che le nostre Istituzioni hanno capito solamente da poco che in un mondo in continuo cambiamento, dove le tecnologie evolvono velocemente, è meglio rifarsi agli standard e alle best practices internazionali analizzate sopra piuttosto che ingessare l’operatività di PA e operatori privati con la solita montagna di adempimenti.
Constatato che oggi nessuno ci dice più a che distanza mettere il nostro DR, analizziamo quali rischi si corrono se scegliamo location troppo vicine, ma anche se le scegliessimo troppo lontane. Analizziamo i rischi e creiamo consapevolezza, l’IT è un “linguaggio” internazionale, fatto di standard (ISO) e best practices, dove le parole chiave sono accountability, risk, awareness, non più le italianissime Norme (vedi Misure Minime) che ti “impongono” per filo e per segno cosa fare. Seguendo queste modalità il nostro Paese è rimasto indietro di millenni e tutto ciò in una visione generale mi riporta alla mente ciò che diceva Tacito: “Corruptissima re publica plurimae leges“. Oggi la cultura internazionale, in troppi settori, è ancora lontana dalla nostra economia e dalle nostre posizioni standard, troppo basate su adempimenti, invece che su consapevolezza e responsabilità e questo purtroppo non solo per DR e BC.