Posts Tagged ‘ disaster recovery ’

Disaster recovery as a service (DRaaS)

DRL’uso diffuso di virtualizzazione e la disponibilità di piattaforme cloud per carichi il recupero di lavoro ha portato ad una proliferazione di offerte DRaaS (Disaster Recovery as a Service).
La replica di una VM è integrata nel servizio, in modo che il cliente ha poco da fare che una due diligence e una firma sulla linea tratteggiata del contratto di fornitura.

Alcuni servizi sono offerti da cloud/hosting provider  come NTT Communications che ha un’offerta europea in collaborazione con il fornitore DRaaS statunitense Geminare. Poi ci sono i “botti” degli specialisti di disaster recovery  che con porfolio offerte DRaaS tipo SunGard e IBM.

I fornitori DRaaS danno un valore unico portando il service ad un nuovo livello di funzionalità. Nel Regno Unito ad esempio, Plan B Disaster Recovery dichiara che la sua offerta di Microsoft Windows Server DRaaS è in grado di garantire il recupero includendo un “test notturno” della recuperabilità delle immagini che ci vuole di ambienti server dei propri clienti. Quindi non solo recuperabilità ma anche valutazioni e stime di rischio che a priori  il cliente non può immaginare. Plan B opera a livello di applicazione con “hypervisor-neutrale”, supporto VMware, Hyper-V e Xen. Il servizio di Plan B può ottenere immagini sia  server fisici che virtuali.

La Quorum offre un servizio chiamato OnQ che è stato originariamente sviluppato per la Marina degli Stati Uniti che permette  il rapido movimento di trasformazione di un sistema da una parte all’altra di una nave in caso di danni da battaglia, quindi è molto veloce e molto resistente; basato su Linux fisico o virtuale e server Windows. Inoltre OnQ è anche “hypervisor-agnostic”. Nel Regno Unito si utilizza un partner datacenter locale per recuperare le immagini del server del cliente come macchine virtuali, che permette un RTO con riavvio veloce del server.

È interessante notare che, Plan B dice che, ogni volta che il servizio è stato invocato per ripristinare un server fisico in un ambiente virtuale, il cliente non può tornare indietro. Ossia, i servizi di disaster recovery possono essere utilizzati per migrare verso ambienti virtuali, ma può anche riconoscere situazioni motivate per il quale effettuare una migrazione autonomamente.

Questo vuol dire che se il cloud è abbastanza buono in termini di connettività,  si può pensare ad un backup secondario anche per le applicazioni più critiche; chissà che npn possa poi diventare anche la stessa piattaforma primaria a lungo termine

Articolo relato : Anche io apostata del backup : DR virtualisation

SR

Image14542 - Copia

 

 

 

2016
08/11
POSTED BY
CATEGORY
Cloud Privacy
Cloud Security and Policy
Compliance and Audit
Governance/Risk Management
Information Security
IoT
Operational Privacy
Privacy e società
Privacy Law and Security
Pubblico contenuto
Rubriche elettroniche
Security and Privacy in the Cloud
TAGS



Lascia un commento

Privacy olistica e non deterministica

Dal 4 Luglio 2013 vige il provvedimento n.333 con cui il Garante con le “Linee Guida per il Disaster Recovery delle pubbliche amministrazioni”; si tratta di un disposto legato all’Agenzia per l’Italia digitale. Questa dovrà quindi verificarne  annualmente l’avvenuto aggiornamento dei piani delle amministrazioni.

 

 

arton31-4e32f

 

Consideriamoa anche il CAD – Codice dell’Amministrazione Digitale – cioè il provvedimento che stabilisce l’ obbligo per tutte le Pubbliche Amministrazioni di predisporre e aggiornare periodicamente il piano di Disaster Recovery.

Recependo i criteri di messa in sicurezza dei dati stabilite dalla prima edizione del testo del 2011, la  normativa specifica le modalità in cui le PA  “definiscono il piano di disaster recovery”, chiarendo quali siano gli aspetti di continuità e di diversità rispetto al testo del parere del 20 Ottobre 2011.

Sono dettagliate questioni relative ai

  • tempi di conservazione dei backup,
  • in relazione alle tipologie di informazione,
  • alla scadenza dei quali i dati dovranno essere cancellati
  • alle tecniche di cifratura, tali da non pregiudicare la disponibilità dei dati in caso di necessità

Sottesa a tutte le clausole di cui sopra, deve essere garantita “la compatibilità tecnologica dei supporti, dei formati di registrazione, degli strumenti crittografici e degli apparati di lettura dei dati per tutta la durata della conservazione del dato” .

Per gli obblighi di fornitori “cloud computing” , si fa riferimento alle indicazioni del parere del 2011; che tradotto nell’esempio di maggiore rilievo, implica che il fornitore indichi

con apposita dichiarazione resa in sede contrattuale, l´esatta localizzazione, o le esatte localizzazioni dei dati gestiti“.

Ovvio l’intento di stabilire il paese in cui vengono trasferiti i dati perchè nel caso che sia fuori Unione europea,  deve essere assicurato un livello di tutela dei dati personali adeguato normativa (direttiva Data Protection della Comunità Europea).

Lo so’ tutto questo, è molto bello ma nessuno ci crede perchè in Italia lo stesso consumo della rete sta scendendo quindi perchè si dovrebbe dare credibilità ad una rivoluzione del sistema nella PA?

 

Salvo Reina

 

 

 

2013
09/17
POSTED BY
CATEGORY
Domande e risposte
Privacy e società
Pubblico contenuto
Recenzioni e letteratura
Rubriche elettroniche
TAGS


Lascia un commento

FORSE NON SI CHIAMERA’ DPS… EPPURE E’ LA STESSA COSA !

Non stupisce che ci siano dei periodi in cui si parla e si scrive solo sul tormentone del momento.

La privacy e gli adempimenti ad essa correlate non fanno eccezione, tuttavia questa materia non è il Festival di Sanremo quindi è giusto dare informazioni complete e corrette.

In questa area abbiamo già trattato la controversia legata al Decreto Monti con le urgenti misure in materia di semplificazione, sostenendo che nel punto di cui allArt. 46, la eliminazione dell’obbligo del DPS per le aziende, non va interpretato come una eliminazione o una manleva degli obblighi in materia di trattamento dei dati personali.

Si è detto già di come il DPS costituisca comunque un riferimento  storico per buona parte degli accertamenti ispettivi condotti dagli organi preposti. Ricordiamo di seguito alcune delle maggiori incombenze che comunque attengono alle prescrizioni legali.

OBBLIGHI CHE PRESCINDONO DAL DPS :

  • a) obbligo  contestabile della sanzione per omessa notificazione al Garante ex art. 37 del Codice privacy
  • b) obbligo di aggiornamento periodico  dei trattamenti sia cartacei che elettronici (elenchi dei trattamenti costituenti)
  • c) obbligo di aggiornamento periodico delle deleghe e delle nomine ad incaricato al trattamento (cfr. artt. 34 lett. d) e 35 lett. a) del Codice privacy);
  • d) obbligo, di delega e nomina del personale (o del consulente) che proceduralizza le attività IT degli strumenti elettronici ( Linee Guida per internet e posta elettronica del 1° marzo 2007);
  • e) obblighi inerenti la nomina degli Amministratori di sistema (v. provvedimento del Garante del 27 novembre 2008);
  • f)  obbligo elenco aggiornato dei soggetti nominati responsabili in modo da metterlo a disposizione dei soggetti interessati (art. 13);
  • g)  obbligo per i soggetti pubblici di tenere piani di disaster recovery;
  • h) obbligo di piani di formazione e verbali organizzativi (informative, ADS, video sorveglianza).
  • i) obbligo di protocolli accreditati congiunti con il Ministero degli interni per le attività che trattino dati giusdizionari (elenchi di operazioni compiute, es. comunicazione dei dati, incrocio di dati);
  • l) obbligo di  attestato di conformità aziendale (L 231/2000);
  • m) obbligo per le PA  della stesura di un piano di business continuity e disaster recovery.

IN CONCLUSIONE …

Forse non si chiamerè più  DPS (se preferite chiamatelo Pippo Baudo), ma in certe aziende, soprattutto quelle con trattamenti di dati a rischio, un documento di
riepilogo dei trattamenti, degli strumenti e delle misure di sicurezza sarà necessario averlo.

Come potrà il Titolare del Trattamento tutelarsi senza “pezze d’appoggio”  in caso di contenzioso?

Buona sicurezza e tutti

Salvo Reina

2012
02/21
POSTED BY
CATEGORY
Pubblico contenuto
TAGS



2 commenti