Disaster Recovery: l’approccio e la soluzione as-a-Service realizzata da CRIF

03/10/2019

Da oltre 30 anni CRIF è tra i player più importanti a livello globale nei servizi e soluzioni per il mondo bancario e finanziario per la valutazione del rischio di credito, gestendo grandi volumi di flussi di informazioni provenienti da clienti o da enti preposti. La capacità di garantire un servizio Business Critical con elevati livelli di affidabilità, con rischi minimi di interruzioni di servizio non programmate, rappresenta un prerequisito fondamentale. Inoltre, il tipo di dati trattati espone CRIF al rischio di attacchi informatici.

La divisione CRIF Global Technologies conta più di 1.200 collaboratori, con competenze nei diversi settori IT - Technology, Security, applicativo e di Governance - e forma e fa crescere talenti in Italia e nel mondo. Nell’ambito dei propri costanti investimenti in innovazione, in linea con la mission e il dna dell’azienda, un anno e mezzo fa CRIF Global Technologies ha scelto di disegnare e implementare internamente per tutte le società del gruppo una soluzione di Disaster Recovery as-a-Service.

Abbiamo chiesto a Carlo Romagnoli, Senior Director IT Infrastructure & Operations di CRIF, di raccontarci questo progetto e come oggi sia diventata una soluzione messa a disposizione anche delle PMI. Iniziamo da quanto è rilevante, per il vostro settore, dotarsi di un sistema di Data Recovery.

Le informazioni per il credito sono di per sé un’area critica per la gestione dei dati; per CRIF in maniera particolare, in quanto gestiamo informazioni in parte da fonti pubbliche ma soprattutto informazioni riservate provenienti dal mondo bancario e finanziario. Un’eventuale interruzione dei nostri servizi può produrre blocchi parziali o totali nell’erogazione del credito da parte delle banche e società finanziarie nostri clienti, per i quali rappresentiamo quindi un “fornitore critico”.

Ben consapevole di questa responsabilità, CRIF Global Technologies ha sempre dedicato una grande attenzione alla continuità del servizio in tutte le sue forme: creazione di architetture ridondate in ogni parte e in alta affidabilità, e in particolare un’attenzione estrema alla gestione del dato. CRIF ha infatti sviluppato processi e procedure con l’obiettivo della completa gestione del ciclo di vita del dato, dal backup di sicurezza alla doppia copia conservata in caveau di sicurezza esterni e certificati.

Strutturata per hub geograficamente dislocati nei vari continenti, la divisione CRIF Global Technologies è oggi in grado di offrire un servizio interno di Disaster Recovery as-a-Service che mette a fattor comune e capitalizza competenze e investimenti importanti nel settore. Il servizio prevede test periodici per i sistemi informativi delle singole Country di CRIF, che forniscono una garanzia indispensabile di affidabilità e solidità dell’“ecosistema” complessivo di CRIF.

Per un’azienda quali sarebbero gli effetti della perdita di dati sul business? Che probabilità ci sono che si verifichi un evento così grave?

In ogni settore oggi non è immaginabile un business senza sistemi informativi: già di per sé i dati relativi a clienti, dipendenti, pagamenti e informazioni interne costituiscono parte fondamentale di ogni attività economica. La perdita totale dei propri dati può compromettere seriamente l’operatività aziendale, provocare l’immediato blocco di tutte le funzionalità, generare una crisi fino a causare la perdita totale del proprio fatturato qualsiasi sia il settore di appartenenza dell’azienda colpita. Nel caso di perdita parziale dei dati, l’impatto può essere reputazionale e, anche non generando un danno immediato diretto sul fatturato, può essere devastante in quanto compromette la fiducia dei clienti. Ci sono stati purtroppo casi in cui aziende senza un sistema di Disaster Recovery sono state colpite da eventi disastrosi e non sono state in grado di far ripartire il business.

Le probabilità che si verifichi un evento che costringa ad attivare un servizio di Disaster Recovery sono relativamente basse, soprattutto se i sistemi sono stati pensati e realizzati con i corretti livelli di ridondanza e affidabilità. Ma è comunque necessario predisporre un servizio di questo tipo proprio con la finalità di tutelare il business aziendale a fronte di un evento catastrofico e prevenire possibili effetti negativi dalla portata travolgente.

Va specificato che un servizio di Disaster Recovery non può prevenire anche gli attacchi hacker, in quanto la sicurezza del sistema informativo è questione ben diversa. È vero però che un servizio di Disaster Recovery efficiente può essere fondamentale nel caso di attacchi che compromettano la disponibilità dei dati, in quanto mantiene una replica aggiornata del dato, difficilmente danneggiabile a fronte di un attacco al sistema primario.

In base alla vostra esperienza le aziende hanno a disposizione sistemi efficaci di recupero dei dati? Quanto costerebbe, per una piccola o media impresa, sviluppare una soluzione simile?

Per una PMI realizzare un progetto e servizio così complesso può essere difficile sia per le limitate disponibilità di budget e investimenti finanziari che per le competenze IT necessarie. È vero che le piccole e medie imprese hanno sistemi di backup mediamente efficienti ma non in grado di far fronte e sostenere i servizi di business in situazioni catastrofiche. Il costo di sviluppare internamente un servizio di questo tipo dipende strettamente dalle dimensioni dell’impresa e dalla complessità del sistema informativo: con una stima assolutamente indicativa, il possibile investimento per un’azienda può aggirarsi intorno al milione di euro, a cui si aggiungono i costi di mantenimento e aggiornamento, i test periodici e soprattutto le articolate competenze specialistiche che andrebbero internalizzate. Proprio tenendo conto di questi aspetti e per rispondere alle esigenze delle imprese, CRIF ha deciso di offrire e mettere a disposizione del mercato la propria soluzione di Disaster Recovery as-a-Service, forte delle competenze acquisite in questi anni e della solida infrastruttura realizzata. Nell’attuale scenario in cui la gestione del dato è diventata centrale per quasi tutte le tipologie di business, riteniamo di poter dare un contributo sulle tematiche relative alla protezione dei dati e a un efficiente e affidabile processo di recovery.

La vostra soluzione di Disaster Recovery as-a-Service è quindi ora matura per essere proposta anche alle piccole e medie imprese. Cosa la contraddistingue?

L’avanzata soluzione di Disaster Recovery as-a-Service sviluppata da CRIF si basa sulla disponibilità di un Datacenter in altissima affidabilità, sulle opportune competenze tecnologiche e soprattutto manageriali e procedurali che rappresentano fattori indispensabili per poter fronteggiare eventi rari ma devastanti.

Nello specifico, il servizio viene erogato attraverso il nostro Datacenter certificato Uptime Institute Tier IV, che si trova in Italia. Ogni anno vengono eseguiti test di funzionalità per singolo cliente, durante i quali CRIF mette a disposizione, oltre al Datacenter, l’infrastruttura di base: network, firewall, bilanciatori, connettività, server e storage, mentre al cliente rimane la responsabilità dei test di funzionalità delle proprie applicazioni. Le modalità di attivazione di ciascun ambiente di Disaster Recovery è regolato da specifici contratti.

La soluzione CRIF si basa su più elementi caratteristici: iperconvergenza, software defined network, avanzate tecnologie di allineamento dei dati, adeguate qualità e quantità di banda. Ciascun ambiente di Disaster Recovery è isolato per poter garantire la necessaria segregazione; per la gestione di questi ambienti non è previsto alcun accesso ai dati da parte di CRIF.

L’efficacia di un completo Disaster Recovery impone inoltre di avere un Disaster Recovery Plan, cioè un manuale con tutte le procedure necessarie per attivare e gestire l’eventuale crisi, sulla base di scenari di no-building (cioè danni alle strutture fisiche), no-people (in mancanza di personale) e no-technology (ovvero quando il sistema informativo non è attivo e disponibile). Per un’azienda, infatti, è fondamentale non solo dotarsi delle infrastrutture tecnologiche necessarie a fronteggiare una situazione di grave crisi ma è opportuno definire la Governance e le procedure per attivare il Disaster Recovery. Normalmente il Disaster Recovery Plan non prevede una procedura per il ripristino del servizio nel sito primario, in quanto lo scenario di disastro non è prevedibile, per cui i tempi e le modalità di un eventuale ritorno vanno studiati nello specifico scenario. Per questo motivo, ancora una volta, le competenze manageriali e tecnologiche sono quanto mai fondamentali e imprescindibili.

Per maggiori informazioni: infoglobaltechnologies@crif.com