I fondamentali della Governance, risk e compliance, illustrati da Massimo Vulpiani, Rsa Country Manager e Lorenzo Lumassi, Global Solutions Director Emc.
Primo presupposto: molti dati conservati da qualunque azienda sono soggetti a mandati normativi e legali.
Secondo presupposto: alcuni devono essere archiviati per un determinato periodo di tempo, altri devono essere presentati quasi senza preavviso per soddisfare le richieste di entità governative, altri ancora potrebbero contenere informazioni vitali in caso di controversie legali.
Conseguenza: tutti dovrebbero essere gestiti e archiviati secondo una policy globale di information governance.
Ma come può fare un’azienda che non ha una figura specializzata nella gestione dello storage, o un team di esperti nella gestione dei rischi e uno stuolo di avvocati, anche iniziare a comprendere quali dati devono essere conservati, dove e per quanto tempo?
Si tratta, appunto, di fare information governance, attività che, ci spiegano Massimo Vulpiani, Rsa Country Manager e Lorenzo Lumassi, Global Solutions Director Emc, richiede un’attenta pianificazione e deve essere affrontata da tre punti di vista: la governance in se stessa, la gestione del rischio e la conformità.
In altre parole, la disciplina che oggi viene definita con il termine Grc, Governance, Risk e Compliance.
Primo step: stabilire le regole
Il primo elemento, la governance, prevede la definizione di regole interne sul modo in cui l’azienda gestisce i dati, a seconda della tipologia.
Dove e per quanto tempo andranno conservati? Come dovrebbero essere protetti? Chi dovrebbe potervi accedere? Un audit e una classificazione dei dati rappresentano di solito il primo passo per stabilire quali tipologie di dati sono presenti in azienda, quali regole applicare e come applicarle.
Da un punto di vista tecnico, vi sono diverse tipologie di storage primario: dispositivi as (network-attached storage) file-based, Sam (storage access network) block-based e Cas (content-addessed storage). Ognuno offre dei vantaggi, ma decidere quale utilizzare e in quale occasione può essere a volte difficile.
Quando la relativa semplicità dello storage basato su file (eccellente quando si hanno numerosi file di piccole dimensioni) viene superata dall’efficienza dello storage block-based (più adatto per i file di grandi dimensioni)?
Quali dati devono essere archiviati ma facilmente accessibili in un determinato formato a scopi normativi, rendendoli ideali per il metodo Cas?
La soluzione potrebbe essere quella di guardare ai dispositivi di storage unificato emergenti che offrono storage sia file che block e possono ospitare i dati come record a contenuto fisso.
Secondo step: gestire il rischio
Il secondo elemento, il rischio, conferma che i dati devono essere protetti affinché mantengano il proprio valore e che a rischi diversi siano associati differenti livelli di protezione. In generale, tuttavia, i rischi legati ai dati ricadono in due categorie: intervento umano (accidentale o deliberato) e malfunzionamento del sistema (problema meccanico o disastro naturale).
La protezione dalle minacce della prima tipologia ricade sotto l’ombrello più generale dell’information security, mentre la seconda attiene all’area della business continuity e del disaster recovery.
Anche la governance più efficace si rivela nulla se, in caso di disastro, un’azienda perde i propri dati e non può mantenere la continuità del suo business.
Secondo esperti di mercato, un’impresa che subisce un outage informatico che si protrae per oltre 10 giorni potrebbe non riprendersi facilmente o addirittura mai da un punto di vista finanziario.
Molte aziende si affidano semplicemente al backup dei dati, tramite l’utilizzo di snapshot. Viene scattata una fotografia al dato e di questa viene fatto il backup mentre l’utente continua ad operare con i dati primari. È importante per evitare possibili modifiche ai dati mentre questi vengono copiati, eliminando la possibilità di corruzione degli stessi.
Ma, anche se il backup spesso può garantire il ripristino, non assicura sempre la continuità.
La continuità viene garantita replicando i dati in diversi luoghi geografici, una buona governance richiede quindi la giusta combinazione di backup e replica dei dati.
Terzo step: garantire la conformità
Si può argomentare che l’elemento di governance specifica le regole aziendali in base alle quali gestire i dati, mentre l’elemento di conformità ne garantisce l’aderenza a normative esterne quali quelle imposte dal Governo o da altri enti.
Ci sono due motivi per considerare seriamente la compliance: si deve e si dovrebbe.
In alcuni casi è semplicemente una questione di leggi, in altre è essenziale per il business.
Ma anche se non si è obbligati a essere conformi, si dovrebbe ottemperare.
L’obiettivo di queste normative è quello di aumentare il livello di sicurezza, che a sua volta migliora l’information governance. Vale anche l’inverso: se si desidera potenziare la propria information governance, si può fare molto aumentando la sicurezza.
Se si desidera proteggere l’asset più prezioso della propria azienda, ossia i dati, si deve considerare la loro sicurezza una componente di una più ampia strategia di information governance.
La sicurezza è un’area complessa, ma ci sono due dispositivi che possono favorire la compliance più di qualunque altro: il controllo degli accessi e la cifratura.
Il primo elemento garantisce che solo le persone autorizzate possano visualizzare i dati sensibili mentre il secondo che, anche in caso di perdita, i dati rimangano confidenziali.
La chiave per l’information governance è la capacità di ottenere il massimo livello di governance con il minor sforzo e la minor spesa possibili.
Anche se tutti concordano che una soluzione più semplice sia migliore, facilità d’uso e semplicità sono particolarmente importanti quando non c’è personale esperto a supporto.
Questo significa che selezionare un dispositivo di storage che offre un numero infinito di opzioni di gestione e di controlli automatici che si può integrare facilmente con le principali funzionalità di controllo degli accessi e di cifratura dei dati rappresenta la scelta migliore per una buona gestione delle informazioni.
- Grc: Ca Technologies e Sap sono allineate
- Grc, in Italia ora c’è aiComply
- Fare Grc nel cloud, la visione di Rsa
- Itil per la governance di Europ Assistance
- Informatica: la governance non si fa con le parole
- Governance, risk, compliance: Emc ci mette la “e”
- La governance è anche per i contenuti non strutturati
- It governance qualitativa per capire le applicazioni
- Novell: la sicurezza si trasformi in gestione della compliance
- Emc fa fare compliance nel cloud
- Da Rsa una torre di controllo per l’infrastruttura
- Le soluzioni Emc potranno essere usate tramite iPad
- Emc, provisioning nel cloud con un click
- Big data: Emc cerca il record
- Emc acquisisce NetWitness
- Accordo Emc-Ibm per il mainframe
- Storage: Emc invita alla percezione differente
- Storage: Emc lo fa più potente e automatizzato
- Dal nastro al disco: Emc compra Bus Tech
- Emc imprime velocità al backup
- Cloud: Emc valorizza lo storage per mainframe
