65
Preparare un Piano di Disaster Recovery Antonio Tonani, Clever Consulting srl.
Preparare un Piano di Disaster RecoveryAntonio Tonani, Clever Consulting srl.
2
Pianificare ed organizzare le attivitàlegate ad un piano di DR
Sessione 1
Preparare un piano di Disaster RecoveryA.Tonani – Clever Consulting Srl
3
SommarioIl significato di un Disaster Recovery Plan.Motivazioni che spingono lo sviluppo di un piano di DR.Obiettivi principali.Le fasi di un piano di DR.Elementi principali che caratterizzano un piano di DR.Perimetri di intervento ed assunzioni del piano.Il contesto del piano DR.Il ruolo centrale del “DR Coordinator”.L’organizzazione.I benefici della consulenza in outsourcing. Come ottenere il consenso da parte del management aziendale.Problematiche principali.I benefici di valore aggiunto.Durata del progetto.Tools e strumenti di lavoro per lo sviluppo del progetto.La fase iniziale del progetto.I deliverables iniziali.
4
Il significato di un Disaster RecoveryPlan
Quale significato assegnare ad un piano di DR aziendale? Il Disastro: “Un disastro è un evento negativo inaspettato che compromette seriamente la produttività aziendale e che si manifesta con perdite economiche rilevanti ”.Definizione di un piano di DR: “Insieme di attività volte ad eliminare, limitare e ridurre gli impatti in caso di un qualsiasi evento negativo che interrompa i processi critici aziendali ”.Il Goal: “E’ la continuità dei processi critici e delle loro dipendenze attraverso il ripristino programmato ed ordinato delle componenti logistiche, tecnologiche e delle risorse umane”.Il concetto di “disastro” è contestuale e soggettivo.La perdita degli asset informativi aziendali è generalmente percepita come una delle cause principali di disastro.E’ un processo che si colloca nell’area della sicurezza.
5
Motivazioni che spingono lo sviluppo di un piano di DR
Esperienze dirette di perdite economiche.Catastrofi di grande risonanza ed impatto emotivo.
(Year2k, atti terroristici, alluvioni, blackout di massa, virus informatici devastanti etc.).
Cultura e stile aziendale.Sensibilità sul tema della sicurezza.
Policy aziendali.Audit ed ispezioni.
Applicazione degli standard internazionali sulla sicurezza (BS7799, ISO17799, AS4444).
Normative internazionali in alcuni settori industriali.(NYSE 446, FED, principle 7 Basilea II, Direttive Banca D’Italia).
Requirement specifici da parte di fornitori e clienti.
6
Obiettivi principali
Ripristino dei processi mission critical (ripristino programmato ed ordinato a seguito di un evento distruttivo).Mitigazione delle perdite economiche (pianificando in anticipo il ripristino alla normalità).Bilanciamento costi/benefici.Copertura degli asset associati ai processi critici.Strategie preventive e reattive.Perimetro su 3 aree: tecnologica (60%), logistica (10%) ed organizzativa (30%).
La responsabilità di un piano di DR è spesso assegnata ad IT Manager, Senior Project Manager, Audit, Security Manager.La tecnologia è in primo piano nel DR.
7
Le fasi di un piano di DR
8
Elementi principali che caratterizzano un piano di DR
E’ un progetto che si trasforma in un processo ciclico ricorrente.Deve prevedere un budget ricorrente.E’ articolato in fasi sequenziali.Deve equilibrare i costi ed i benefici.E’ una disciplina non regolamentata.Riguarda tutti gli asset aziendali critici (non solo IT).Coinvolge diversi gruppi di lavoro interni ed esterni.La sua efficacia ed efficienza deve essere comprovata attraverso test di simulazione.E’ sempre migliorabile.
9
Perimetri di intervento ed assunzioni del piano
Identificazione perimetri di intervento (scope).Geografici.
• Limitati a perimetri fisici degli edifici dei palazzi.Organizzativi.
• Limitati esclusivamente ad alcuni gruppi di lavoro.Operativi.
• Limitati ad alcuni processi aziendali predefiniti.
Assunzioni e limiti di applicabilità.Indisponibilità di personale.Indisponibilità delle informazioni e delle procedure per l’esecuzione del piano.Estensione e tipologia dello scenario di disastro.Copertura del rischio in caso di interruzioni parziali o totali.Indisponibilità di servizi e delle infrastrutture di DR.
Non deve limitarsi a perimetri puramente tecnologici.
10
Il contesto del piano DRProtezione
Civile /Servizi di soccorso Ufficio
risorse umane
Utenti
Senior management
Servizi Generali
Vendordi servizi
e prodotti DR
ITSviluppo
TecnologiaSecurity
Securityofficer, compliance,
Audit
DR community
Carriertelecomunicazioni
Società di Consulenza
BrokerAssicurativi
DisasterRecovery
plan
11
Il ruolo centrale del “DR Coordinator”
Senior Project Manager, con abilità nella gestione di progetti complessi.Visione “Business Oriented”, nel coordinare il progetto.Competenza Tecnologica. Possiede una buona competenza sulle tecnologie aziendali.Comunicazione interna. Comunica con lo staff tecnico e presenta le informazioni a personale non tecnico attraverso procedure, report ed altra documentazione.Esperienza. Possiede conoscenza ed esperienza in soluzioni tecnologiche, logistiche ed organizzative.Conoscenza. Conosce le tematiche legate alla sicurezza.Doti fondamentali. Pazienza e perseveranza nella conduzione del progetto.
12
L’organizzazione
DR Steering Committee.Rappresentanti del senior management. Funzione di supervisione e validazione degli obiettivi di progetto e dei deliverables. Potere decisionale sulle strategie e i costi.
Business Coordinators.Business leader di ogni dipartimento.Devono avere una visibilità sui processi operativi.Sono coinvolti nella fase di analisi di impatto e durante i test.Richiedono almeno un backup.
Security Officers e Audit.Validano le soluzioni tecnologiche proposte.
Ufficio Risorse Umane. Regola le policy contrattuali durante la crisi.
Dipartimenti IT.Coinvolti nell’implementazione e mantenimento delle soluzioni e delle strategie di recovery.
Utenti.Coinvolti nei test di recovery.
13
I benefici della consulenza in outsourcing
Affiancamento interno. Affiancano personale interno nello sviluppo di fasi specifiche di progetto.Competenza specialistica. Le società di consulenza offrono una competenza specialistica.Visione indipendente. I consulenti hanno una visione indipendente e non condizionata.Considerazione interna all’azienda. I consulenti tendono ad essere ascoltati e considerati positivamente da parte del Senior Management.Impiego on demand. Possono essere impiegati su richiesta per il mantenimento e la gestione delle fasi di test più critiche.
14
Come ottenere il consenso da parte del management aziendale
Presentazione chiara delle metodologie e le milestone di progetto.Definizione perimetri e obiettivi.Focus esclusivo sui processi critici.Evidenziare i rischi in forma economica.Presentare i benefici di valore aggiunto.Sensibilizzare il management attraverso case history e policy internazionali.Comunicare lo stato di avanzamento attraverso meeting e report ciclici delle attività.
15
Problematiche principali
Metodologie di progetto non coerenti.Coordinamento di progetto.Strategie che non rispecchiano i bisogni del business.Strategie sovradimensionate o sottodimensionate rispetto ai bisogni.Informazione e awareness del piano all’interno dell’azienda.Piano non verificato attraverso test di recovery.Change management : Mancanza di procedure e di integrazione del piano alle nuove necessità.
16
I benefici di valore aggiunto
Utilizzo dei benefici tecnologici in condizioni di normalità (es. UPS, clustering, tape vaulting etc.).Utilizzo delle infrastrutture e dei siti alternativi di DR per altri scopi (corsi, training, test etc.).Riduzione dei premi assicurativi.Utilizzo parziale o limitato delle soluzioni tecnologiche.Servizio di valore aggiunto da proporre alla clientela.
17
Durata del progetto
Dipendente dal numero delle Business Unit e dalla complessità tecnologica.Fase di analisi.
Analisi di processo: da 2 settimane fino a 3 mesi.Analisi tecnologica: da 2 settimane fino a 3 mesi.
Disegno della strategia. Da 1 a 6 mesi.
Sviluppo del piano e delle procedure.Da 3 a 12 mesi.
Pianificazione dei test.Da 3 a 6 mesi.
Mantenimento del piano.All’interno delle normali attività di gestione.
18
Tools e strumenti di lavoro per lo sviluppo e il mantenimento del processo.
Presentazioni e documentazione.MS Power Point.MS Word.Acrobat Reader.MS Visio.
Project Management. MS Project.
Risk Analysis / Data collection.MS Word. Software specifici:
• Strohl BIA (www.ldrps.com). • CPA Risk PAC (www.cpa-ltd.com). • Blue292 (www.blue292.com).
Redazione e gestione del piano. Excel, SQL, Access. Software DR specifici:
• Strohl LDRPS.• Recovery PAC by CAP.
19
La fase iniziale del progetto
/ HJJLHQRUP
DWLYH
6WDQ
GDUGH
EHVW
SUDFWLFH
5HSRUWV
6WDWH
PHQWVXL
PHWRGL
3URMHF
WSODQ
SUHOLP
LQDUH
3 ' 5
5RDGP
DSGHOSLDQR
/ LVWDSURGRWWL
HVHUYL]L
VFKH
GXOD]
LRQH
GHOOH
LQWHU
YLVWH
3URGX]LRQHGHL
TXHVWLRQDUL
*LX
VWLIL
FD]L
RQH
GHLE
LVRJ
QL
20
I deliverables iniziali
1. Meeting preliminare (Condurre un meeting tecnico ed organizzativo preliminare).
Presentare le metodologie di progetto.Condurre un assessment organizzativo e tecnico preliminare.Preparare il materiale per il meeting di kick-off.
2. Kick-off Meeting (Condurre un meeting con il management).Presentare gli obiettivi di massima e le assunzioni.Presentare e rivedere le fasi di progetto.Definire e presentare le guidelines ed il reporting di progetto.Definire e presentare le metodologie di comunicazione con i partecipanti.
3. Project Definition Report (Preparare e presentare un sommario esecutivo con gli obiettivi, i milestone ed un budget preliminare).
Ottenere il consenso del management per il recruitment delle risorse e l’avvio del progetto.
21
Fine della sessione
Domande ?
22
L’analisi di rischio
Sessione 2
Preparare un piano di Disaster RecoveryA.Tonani – Clever Consulting Srl
23
SommarioPerdite economiche legate ad un disastro.Il fattore tempo e la criticità.L’analisi di rischio.Il bilanciamento costi/benefici in un piano di Disaster Recovery.I deliverables del Business Impact Analysis.Obiettivi dell’analisi di impatto.Assessment e grado di rischio tecnologico.La classificazione delle applicazioni. Analisi e classificazione delle minacce.I concetti di RPO e RTO.Il concetto di degrado.Il downtime delle infrastrutture IT: statistiche.Tipologia degli eventi catastrofici: statistiche.I Virus.Sviluppo degli obiettivi.Data Flow Diagram - La fase di analisi.
24
Perdite economiche legate ad un disastro
Statistiche DR. Risulta difficile reperire statistiche esatte circa le conseguenze economiche derivanti da un disastro.Nel 1993 il primo attentato terroristico del WTC di New York ha causato la chiusura di circa 150 societànel giro di 8 anni.Importanza di un piano di DR. Alcune delle societàcoinvolte sono riuscite a sopravvivere grazie ad un piano di DR efficace.Importanza tempo di recovery. Risulta evidente che il tempo di ripristino dei processi critici è determinante per il successo del ripristino delle attività aziendali.
25
Perdite economiche legate ad un disastro
L’ammontare delle perdite economiche è sempre legata al tempo di sospensione delle attività.Si raggiunge il massimo della perdita economica nei primi giorni dal disastro.Per le aziende e.Commerce ed e.Business, il picco massimo di perdita lo si raggiunge nei tempi subito successivi al disastro.La perdita risulta irreparabile e devastante se il disastro affligge irrimediabilmente gli asset informativi aziendali.
26
Perdite economiche legate ad un disastro
Tipologie di perdite dirette.Perdite di profitto sulla vendita dei prodotti e dei servizi.
• Commercio, brokerage, industria, e.Commerce e ASP.
Interessi passivi sui mancati pagamenti.
• Interessi passivi.• Penali per ritardati pagamenti.
Costi dovuti all’improduttività del personale durante lo stop delle attività.Costi necessari per la gestione dei backlog.
Tipologie di perdite indirette.Perdita di immagine e reputazione.Costi operativi e regolamentari.
• Omissione di clausole di contratti.
• SLA sottoscritte con i clienti.Perdita di market share.Costi legali e contrattuali.Valore del titolo dell’azienda quotata in borsa.
27
Perdite economiche legate ad un disastro
Come calcolare le perdite dirette in forma approssimativa. http://roc.cs.berkeley.edu/talks/pdf/LISA.pdfhttp://roc.cs.berkeley.edu/projects/downtime/index2.php
Statistiche pubbliche aggiornate al 2001.http://www.contingencyplanningresearch.com/2001%20Survey.pdf
Costo orario medio di downtime (163 aziende). 46% meno di 50.000$.28% tra 51K$ e 250K$.18% tra $251K e 1000K$.8% più di 1000K$.
Tempi critici (RTO).24% entro le 8 ore.15% entro le 24 ore.21% entro le 48 ore.40% entro le 72 ore.
28
Il fattore tempo e la criticità
Tempo di ripristino: costante determinante per valutare le strategie di recovery dei processi.Concetto di “tolleranza” nel DR.
Elemento che quantifica la dipendenza tra i processi critici dell’azienda ed i tempi di esecuzione dei processi.Fortemente relazionato all’informatizzazione dei processi aziendali.
Tolleranza media. Dalla fine degli anni 70’ ad oggi, la tolleranza media a fronte di un’interruzione di processo è passata da una media di 6 giorni ad una media di sole 48 ore.Perdite economiche. Per alcune attività, la minima interruzione dei servizi informativi può comportare perdite economiche devastanti (broker finanziari, banche, assicurazioni, società di e.Commerce, servizi pay per use etc.).
29
L’analisi di rischio
Quali sono gli asset informativi e logistici critici? Quale peso economico assegnare ad ogni processo? Qual’è il tempo massimo di interruzione tollerato? Quali le strategie alternative?
Business Impact Analysis.
Quali sono le minacce e gli eventi più probabili e quali effetti possono generare?
Threat Risk Analysis.
Quali sono i rischi associati ai sistemi informativi?Technology Assessment e Technology Risk Analysis.Network Security Analysis.
30
Il bilanciamento costi/benefici in un piano di Disaster Recovery
7HP SR0 LQXWL 2 UH * LRUQL
&RVWR�GHOOD�VROX]LRQH�HLQ�IXQ] LRQH�GHO�WHP SR
3 HUGLWH�SURGRWWHGDOO¶�LQWHUUX] LRQHGHOO¶DSSOLFD] LRQH
³ $ ´
3HUGLWH�SURGRWWHGDOO¶LQWHUUX] LRQHGHOO¶DSSOLFD] LRQH
³ %́) LQHVWUD�FRVWL�H�WHPSL
DFFHWWDELOL
31
Obiettivi dell’analisi di impatto
Identifica i processi operativi per ciascuna Business unit e gli asset informativi ad essi associati.Associa un valore economico in funzione del tempo d’interruzione dei processi.Identifica la criticità relativa e la priorità di ripristino di ciascun processo, tenendo conto del valore economico.Identifica le possibili dipendenze di processo da parte di altreBusiness Unit o entità esterne.Associa i processi critici agli asset informativi ed alle relative componenti tecnologiche, logistiche ed organizzative.Definisce gli obiettivi e le priorità di intervento del piano.Identifica le possibili soluzioni alternative nella gestione deiprocessi critici.
32
I deliverables del Business Impact Analysis
1. Formulazione dei questionari.2. Presentazione dei questionari ai Business Coordinators
(workshop).3. Distribuzione e compilazione dei questionari.4. Raccolta dei questionari, follow-up ed interviste.5. Analisi dei record informativi e delle applicazioni associate sulla
base dell’impatto prodotto.6. Identificazione dei tempi di ripristino di ogni applicazione
associata ai processi critici.7. Report riepilogativo che evidenzi le perdite associate ai processi
critici .8. Report e classificazione delle applicazioni e delle infrastrutture.9. Report delle dipendenze per ogni processo critico.10.Presentazione dei risultati al Senior Management.
33
La classificazione delle applicazioni
Uno degli obiettivi principali dell’analisi di impatto è quello di classificare i livelli di priorità di ciascuna applicazione.
Le funzioni dell’applicazione possono essere sospese fino al raggiungimento di una situazione di normalità. La tolleranza risulta molto alta e il non utilizzo non produce perdite economiche sensibili. La sua indisponibilità può superare settimane.
Non Critica
Le funzioni dell’applicazione possono essere gestite per un periodo prolungato attraverso procedure manuali o alternative. La tolleranza all’interruzione risulta medio alta. La sua indisponibilità può toccare diversi giorni. Richiede procedure alternative.
Sensibile
Le funzioni dell’applicazione non possono essere sostituite se non dalla stessa applicazione. La tolleranza all’interruzione risulta molto bassa. Le operazioni possono essere gestite in modo alternativo per un breve periodo. Il ripristino delle funzionalità richiede un considerevole lavoro di ripristino manuale dei dati. La sua indisponibilità è al massimo di pochi giorni.
Vitale
Le funzioni dell’applicazione non possono essere sostituite se non dalla stessa applicazione e dai sistemi ad essa associati. La tolleranza risulta molto bassa e l’intero processo viene interrotto. Le perdite dovute alla sua interruzione risultano elevate. Non è possibile sostituirla con metodi manuali o alternativi. Il suo ripristino è legato al recupero dei sistemi associati ed ai dati in essa contenuti. Il ripristino delle sue funzionalità ed il recupero dei dati deve avvenire in un tempo limitato. L’indisponibilità è in genere tollerata per un massimo di poche ore.
Critica
34
Assessment e grado di rischio tecnologico
Ha l’obiettivo di mappare le componenti tecnologiche, le risorse IT ed i rischi di failure ad esse associate.
Analisi di rischio dei siti e dei data center.Analisi di rischio dei sistemi critici e delle infrastrutture associate.Analisi dell’organizzazione delle competenze all’interno dell’IT.Analisi funzionale delle applicazioni critiche e dei data flow ad esse associate.Analisi operativa (log, carichi di lavoro, utilizzi applicativi, interfacce etc.).Analisi delle infrastrutture di rete e di telecomunicazione.
Identifica le dipendenze ed i limiti tecnologici dei sistemi (link, apparati di rete, nodi di telecomunicazione, infrastruttura fisica etc.).Identifica e valuta strategie di recovery già presenti.
35
Analisi e classificazione delle minacce
E utile considerare uno scenario di worst case.L’analisi delle minacce è utile per dare priorità alle strategie di prevenzione.L’analisi deve essere basata su statistiche di mercato e sopratutto su esperienze di minacce reali subite dall’azienda.Sono utili: problem e incident report, audit report e incidenti pregressi etc.
Probabilità / Vulnerabilità
MedioBassoMolto Basso
AltoMedioBasso
Molto altoAlto Medio
IMPATTO
La matrice di rischio
36
I concetti di RPO e RTO
RPORPO : Recovery Point Objective.Quale è la perdita dei dati tollerata? Tempo che intercorre tra l’ultimo salvataggio dei dati ed il momento del disastro. Nel peggiore dei casi corrisponde all’intervallo temporale tra 2 salvataggi consecutivi. Si riferisce alla tolleranza massima di perdita dati.
RTORTO : Recovery Time Objective.In quanto tempo devono essere riattivati i sistemi?Tempo massimo di ripristino delle applicazioni, dei sistemi e delle infrastrutture dal momento del disastro.
Min GioOreSec SetGio MinOreSet Sec
Recovery PointRecovery Point Recovery TimeRecovery Time
37
Il concetto di degrado
Degrado temporale.
Tempo necessario al ripristino in condizioni di normalità.
Degrado operativo.
Carico massimo di lavoro in condizioni di emergenza.
38
Il downtime delle infrastrutture IT: statistiche
Le interruzioni dovute ad errori umani o ad errori software, rappresentano quasi la metà delle interruzioni non pianificate.
Le interruzioni di rete sono le più critiche perchéproducono un impatto trasversale su tutti i sistemi.
I disastri per cause naturali rappresentano solo l’8%, ma il trend è in costante aumento (blackout, attentati terroristici, eventi atmosferici disastrosi etc.).
39
Tipologia degli eventi catastrofici: statistiche
Elettricità: I casi di blackout aumentano del 30% l’anno, con una media di 4 blackout l’anno.
http://www.grtn.it/ita/index.asp
Terremoti: in aumento le scosse telluriche registrate negli ultimi anni in Italia.
http://gndt.ingv.it/
Inondazioni: in aumento del 20%. http://www.gndci.cnr.it/http://www.protezionecivile.it/
Problemi ambientali. Fulmini (www.fulmini.it). Inquinamento.
Contaminazioni chimiche e batteriologiche.Terrorismo e falsi allarmi.
40
I Virus
Info: http://www.icsalabs.com/2002avpsurvey/.Il 7% delle interruzioni non sono pianificate.Le statistiche denotano un trend in salita costante nel corso degli anni.L’e-mail, con l’86% dei casi, è il primo veicolo di trasmissione. Seguono i download da Internet (11%) ed il WEB Browsing(4%).Più del 50% ha dichiarato che il costo medio di ciascun incidente è compreso tra i 5.000$ e i 10.000$. Il 13% ha dichiarato un costo medio di 30.000$.
1 0
21
3 2
80
9 0
103 105
0
20
40
60
80
100
120
140
1996 1997 1998 1999 2000 2001 2002
numero di PC infettat i perogni 1000 pc
41
Sviluppo degli obiettivi
L’Analisi di Rischio e l’Assessment Tecnologico servono a sviluppare gli obiettivi e le prioritàspecifiche da dare ai task di progetto.
La definizione degli obiettivi è un prerequisito indispensabile per identificare le priorità e le strategie.
Per il raggiungimento dei tanti obiettivi è richiesta la collaborazione di diverse figure professionali.
La disciplina del DR è complementare a quella per la sicurezza fisica e tecnologica.L’implementazione delle strategie negli ambienti di produzione coinvolge più team e gruppi di lavoro.
42
La fase di analisi
6RPP
DULRGLDQDOLVL
ULVSR
VWH
) ROOR
ZXS
GHLT
XHVW
LRQDU
L
7HPSLPDVV
LPL
GLULS
ULVWLQ
R
' HILQL] L
RQLG
HLVLVW
HPLF
ULWLFL
'HI
LQL]
LRQH
GHOO¶R
SHUD
WLYLWj
FULWL
FDVX
OODUH
WH
43
Sviluppo degli obiettivi Esempi di obiettivi specifici di progettoAree
Procedure di emergenza
Salvataggi ed archiviazione offlinedegli asset critici e dei record critici
Environmentapplicativo e tecnologico
Environment fisico
Mantenimento ed organizzazione del piano
Sviluppo di policyaziendali
1. Documentazione delle procedure tecniche per l’attuazione del piano. 2. Procedure di monitoraggio degli allarmi.
3. Procedure di escalation ed attivazione del piano.4. Procedure per la gestione della crisi.
1. Negoziazione con società di vaulting e DR Service Provider. 2. Identificazione dei record critici da archiviare offline (su qualsiasi supporto).
3. Quantificazione del rischio e delle perdite associate all’interruzione dei servizi IT.4. Sviluppo delle soluzioni di archiviazione e backup secondo i requirement di business
richiesti.
1. Quantificazione dei rischi e delle perdite associate all’interruzione dei servizi logistici e IT.
2. Sviluppo di soluzioni per la prevenzione ed il recovery delle applicazioni critiche dopo x tempo.
3. Documentazione delle attività assegnate al personale coinvolto nel test.4. Sviluppo dei bisogni di recovery delle infrastutture logistiche e tecnologiche richieste
dopo x tempo dal disastro.
1. Assessment e analisi di rischio per le componenti logistiche ed infrastrutturali.
1. Sviluppo di una procedura di allineamento e change management del piano.2. Sviluppo di un programma di ownership per assegnare le responabilità ai gruppi di
lavoro.3. Sviluppo e programmazione di test di recovery programmati e non programmati.4. Documentazione delle attività ricorrenti all’interno del piano (training, workshop e altro).
5. Sviluppo di un programma di conoscenza del piano interno all’azienda.
1. Sviluppo e proposte di policy per la protezione delle persone, delle risorse e degli assetsecondo gli standard aziendali.
44
Fine della sessione
Domande ?
45
La mitigazione dei rischi sulle infrastrutture IT
Sessione 3
Preparare un piano di Disaster RecoveryA.Tonani – Clever Consulting Srl
46
SommarioIl processo di prevenzione.Il processo di prevenzione sulle infrastrutture IT.Protezione delle infrastrutture IT.Tecniche di prevenzione sulle infrastrutture dei data center.Il problema dell’acqua.L’Acqua: tecniche di prevenzione.Il problema del fuoco.Il fuoco: tecniche di prevenzione. L’accesso fisico al data center.La contaminazione ambientale: soluzioni preventive.Il problema della contaminazione e dell’inquinamento ambientale.La continuità elettrica.La qualità elettrica.Problemi elettrici: sintomi principali.I gruppi di continuità.Il processo di prevenzione – Data Flow Diagram.
47
Il processo di prevenzioneE’ implementabile immediatamente subito dopo l’analisi di rischio.
Rappresenta la componente proattiva del piano di DR.
Ha come obiettivo l’irrobustimento e la continuità delle componenti IT e delle sue dipendenze critiche.
E’ da applicare fino ai perimetri (scope) definiti nella fase iniziale.
48
Il processo di prevenzione sulle infrastrutture IT
Focus verso il fenomeno prodotto indipendentemente dalla causa originaria.
Danni provocati dall’acqua (allagamenti, guasti all'impianto idraulico, inondazioni e straripamenti).Danni provocati dal calore o dal fuoco (fulmini, surriscaldamento ambientale, guasti ai condizionatori).Danni provocati dall’impianto elettrico.Distruzione o danneggiamento volontario o involontario di hardware e software e dati (sabotaggi,errori operativi,terrorismo,virus)Incidenti per la rottura di componenti hardwareNetwork failure (LAN,WAN o linee)Altre cause (evacuazioni per rischi di contaminazione ambientale, incidenti aerei, etc.).
49
Protezione delle infrastrutture IT
Sistemi di rilevamento e allarme allagamenti.Sistemi di rilevamento precombustione e fumo.Sistemi di rilevamento contaminazione ambientale.Sistemi di soppressione incendi.Sistemi per il controllo degli accessi fisici.Sistemi di continuità elettrica.Sicurezza logica (non trattata nel seminario).Sistemi di backup e restore dei dati(trattato nella sessione “Il recovery dei dati”).Sicurezza fisica sulle reti e le linee di comunicazione(trattato nella sessione “Il recovery delle reti”).
50
Tecniche di prevenzione sulle infrastrutture dei data center
51
Il problema dell’acqua
L’acqua non è controllabile.E’ la principale causa tra i disastri naturali.
Rottura di tubature e condotte dell’impianto idrico.Perdite d’acqua dall’impianto di climatizzazione.Eventi atmosferici. Innalzamento della falda acquifera.Guasti agli impianti sprinkler.
Compromette la sicurezza fisica del personale.Ha impatto immediato sull’impianto elettrico.Causa guasti irreparabili sull’hardware.
52
L’acqua: tecniche di prevenzione
Collocare il data center ad un piano rialzato (mai nei seminterrati)Pavimento flottante all’interno del data center.Utilizzo di canaline elettriche e network flottanti.Sistemi di rilevamento acqua sotto i pavimenti.
53
Il problema del fuoco
Impatta gravemente tutte le infrastrutture e le facilities.Può essere controllato efficacemente prima che si estenda.La combustione di componenti elettroniche può produrre gas tossici.E’ generalmente prodotto da:
Malfunzionamento dell’impianto di condizionamento.Corto circuiti sulle componenti elettroniche.Surriscaldamento e combustione di componenti IT.Cablaggio elettrico non conforme alle norme di sicurezza.
54
Il fuoco: tecniche di prevenzione
Ispezione da parte di società specializzate.La prevenzione degli incendi rientra nelle norme di sicurezza delle leggi italiane.http://www.ambiente.it/sicurezza/temi/p-incendio.htm.Decreto legislativo di riferimento n° 626.
Utilizzo di agenti puliti (clean agent) all’interno di locali IT.L’impianto deve essere costruito in base al volume ed al perimetro del locale.Isolamento del locale dagli ambienti esterni.
E’ consigliato l’utilizzo di un impianto di rilevamento precombustione per i data center.Adottare policy di prevenzione.
Assoluto divieto di fumare all’interno dei data center.Non mantenere materiale infiammabile vicino a fonti di calore (carta, o atro materiale infiammabile).
55
Il fuoco: tecniche di prevenzione
Halon è stato bandito dal mercato.CO2.
Pericoloso.
Clean Agent. FM-200.
• Eptafluropropano.• Non crea pericoli di vita.• Non inquina e non danneggia.
Nitrogeno.CEA-410.FE – 13.
56
Il fuoco: tecniche di prevenzione
Sistemi di rilevamento del calore e combustione.Rilevatori fotoelettrici.Rilevatori di ionizzazione.Rilevatori di temperatura.Rilevatori della velocità di aumento del calore.Rilevatori di campioni di aria.
• Vesda: prelevano campioni dell’aria analizzando la presenza di combustione attraverso sensori laser.
• Permettono di rilevare la combustione nella fase preliminare.• Sono collegabili a UPS e sistemi di spegnimento elettrico.
57
L’accesso fisico al data center
Policy di accesso.
Registrazione degli accessi e apertura di serrature elettriche.
Sistemi di controllo degli accessi.
Badge magnetici.Badge di prossimità.Smartcard.Biometrici.
Evacuazione ed accesso al data center in caso di disastro.
58
La contaminazione ambientale:
Agenti inquinanti.Polveri di cemento prodotte dalle erosioni della superfice del pavimento.Particelle di carta o cartone.Inquinamento urbano (polvere di carbonio).Toner stampanti.Contaminanti metallici (polvere di zinco, di metallo di tubature o infrastrutture metalliche).Particelle organiche umane (capelli, pelle, fibre di indumenti).
Cause originarie della maggior parte dei failure hardware sui sistemi.
Corto circuiti causati da particelle conduttrici (particelle di zinco, carbonio).Aumenti di temperatura dei sistemi e degli alimentatori.Surriscaldamento dei dischi fissi.Danneggiamento delle superfici dei dischi, con conseguente failure.
Le componenti più a rischio sono:Alimentatori.Dischi Fissi.JukeBox, DVD, CD e lettori ottici in genere.Circuiti elettrici e microprocessori.
59
Il problema della contaminazione e dell’inquinamento ambientale
U.S. Federal standard 209B.Definisce la concentrazione di materiali inquinanti per volume di aria.
Le soluzioni preventive.Divieto di fumare all’interno dei data center.Rimozione dei contenitori di carta e dei cestini dal data center.Utilizzo di attrezzature per le pulizie non inquinanti.Evitare di installare stampanti nel data center.Manutenzione e gestione corretta del pavimento galleggiante.
Per il rilevamento degli inquinanti è richiesto l’intervento di società specializzate.
60
La continuità elettricaRientra sempre più negli obiettivi di Disaster Recovery.In Italia, in particolare, il livello di rischio è in costante aumento.
Ottobre 2004, il ministro delle attività produttive Antonio Marzano ha dichiarato: “l’Italia sarà a rischio blackout per tutto il 2004.”
Principali cause di disservizio elettrico.Eventi atmosferici (fulmini, allagamenti).Guasti alle centrali.Tagli accidentali alla rete di distribuzione.Attività di manutenzione alle centrali Impatti collaterali dovuti a problemi elettrici su edifici adiacenti.
Strategie a 4 livelli.Gruppi di alimentatori e linee ridondate sui sistemi critici.
• Server, router, pbx, core switch, critical access switch.• Pannelli di distribuzione differenziati all’interno dei data center.
UPS e gruppi di continuità.Impianti elettrici ridondati da linee e pannelli separati.Gruppi elettrogeni.
61
La qualità elettrica
Oltre alla continuità, esiste il problema della qualità.Sovratensioni, spike, distorsioni,”brownout”, variazioni di fase, possono danneggiare gravemente hardware e software.
Principali problematiche sull’impianto elettrico.Impianto elettrico sottodimensionato al carico richiesto.Macchinari e sistemi di potenza attivati e disattivati in fasi alterne (motori, sistemi di raffreddamento, ascensori).Messe a terra.Sovraccarichi di circuiti o linee.Armoniche e rumori sulla linea elettrica.
62
Problemi elettrici: sintomi principali
Segni di sovraccarico o di corto circuiti su prese e cavi elettrici.Computer che presentano evidenti disturbi ai monitor o all’audio.Luci o monitor intermittenti.Errori persistenti e anomali sui log dei sistemi.Guasti hardware anomali.Anomalie frequenti sui sistemi (blue screen, freeze PC) segnalate dagli utenti.
63
I gruppi di continuitàSi differenziano in due tipologie.
Stand-by.• Switch da rete a UPS in meno di 10ms.
On-line.• Erogano elettricità pulita in condizioni di normalità.
Sono dimensionati in base alla potenza erogata.Potenza / tempo di mantenimento.Espandibilità e durata delle batterie.• Modulari e a rack.
Gestione e management.Calore prodotto.
La configurazione può essere fatta onlinewww.Apc.Com.
64
Il processo di prevenzione
6LVWHP
LHUHWLFULWLFKH
5HYLVLRQH
GHOOH
WHFQLFKH
UHSR
UW
DSSURYD]LRQ
H
65
Fine della sessione
Domande ?
