In questo articolo Manlio De Benedetto, Director Systems Engineering di Cohesity analizza come sviluppare il giusto approccio per la disponibilità dei dati più adatto all’azienda e consiglia di affidarsi ad un partner in grado di combinare le funzionalità di sicurezza critiche in un’unica soluzione SaaS.
Le soluzioni SaaS: sono solamente una questione di “Set and Forget”?
La crescente adozione del Software as a Service (SaaS) ha trasformato positivamente il modo di fare business. Invece di essere vincolate a contratti costosi e a lungo termine, le aziende hanno ora la flessibilità di scalare i servizi applicativi per soddisfare le singole esigenze specifiche. Tuttavia, i responsabili IT e aziendali devono fronteggiare le insidie comuni legate alle modalità di archiviazione, conservazione e protezione dei dati in un mondo SaaS.
Il modello di fornitura SaaS, in cui il software viene offerto in licenza su abbonamento ed è ospitato centralmente, continua a crescere in popolarità. Secondo Gartner, nel 2025 quasi due terzi (65,9%) della spesa per il software applicativo saranno indirizzati verso offerte cloud su abbonamento, rispetto al 57,7% del 2022.
I risultati di questo successo sono evidenti: il SaaS è ormai radicato nel modo in cui le aziende gestiscono le proprie applicazioni. Tuttavia, un effetto collaterale è rappresentato dal fatto che un numero maggiore di dati viene memorizzato nel cloud, con possibili implicazioni future. I dati aziendali, infatti, vengono archiviati su un’infrastruttura esterna ma la responsabilità di proteggerli da eventuali perdite, errori umani o violazioni rimane un onere delle aziende.
Anche se è vero che affidandosi a un provider SaaS è possibile beneficiare di tutti i vantaggi di un servizio on-demand, questo non significa che si possa accedere e dimenticarsi di come vengono conservati i dati. Le aziende che si affidano al SaaS hanno dati distribuiti su una serie di provider. I responsabili IT o aziendali che utilizzano SaaS devono, quindi, focalizzarsi su come i dati vengono archiviati, conservati e protetti in questi ambienti, dovendosi interfacciare con diversi fornitori coinvolti, ognuno con un proprio SLA concordato.
Considerare i termini e le condizioni di archiviazione dei dati
L’acquisto di SaaS è talmente semplice che, secondo l’analista Gartner, molti responsabili IT e aziendali completano più del 60% del processo di acquisto da soli, prima ancora di rivolgersi a un fornitore. I grandi provider SaaS hanno progettato i loro siti e le procedure di acquisto in modo tale da rendere gli acquisti B2B semplici come quelli che offerti agli utenti da un grande rivenditore online.
Poiché il SaaS viene percepito come un investimento semplice e a basso rischio, molti decisori delegano il processo di acquisto ai membri del team. Così, mentre il senior manager viene relegato alla decisione finale di spesa, qualcun altro si occupa della maggior parte del processo di selezione di un nuovo servizio. Secondo Gartner, spesso, i decision maker vengono coinvolti solo per il 5-10% finale del processo di acquisto di SaaS.
Tuttavia, i responsabili IT e aziendali devono essere consapevoli che la sottoscrizione di un contratto con uno specialista SaaS non implica il passaggio delle responsabilità di archiviazione al fornitore di cloud. Per quanto riguarda la conformità alle normative, spetta al cliente finale garantire il backup dei dati in modo sicuro e protetto, non al fornitore di cloud.
Quindi, mentre il partner SaaS si occupa della fornitura del cloud, l’azienda è responsabile di tutto ciò che viene trasferito su cloud. I responsabili devono quindi essere coinvolti fin dall’inizio nel processo contrattuale, valutando la gamma di servizi che l’azienda sta acquistando e porsi le seguenti domande pertinenti: il team preposto esamina ogni dettaglio dei termini e delle condizioni nella sottoscrizione di un nuovo accordo cloud? Oppure, il personale addetto all’acquisto di servizi si limita a fare clic su “accetta” quando si tratta dell’accordo legale, proprio come potrebbe fare un qualsiasi consumatore quando acquista un nuovo servizio online? Se un’azienda si rispecchia in questa situazione, è il momento di agire.
I dirigenti devono riflettere attentamente sulle implicazioni degli accordi SaaS che le loro organizzazioni stanno sottoscrivendo. In particolare, devono assicurarsi che i sistemi e i servizi utilizzati rispettino i mandati legali, compreso il Regolamento generale sulla protezione dei dati (GDPR).
Creare un approccio alla disponibilità dei dati adatto all’azienda
L’archiviazione dei dati non è l’unica preoccupazione quando ci si affida a un provider cloud. Un altro tema cruciale riguarda la conservazione dei dati. Una volta pagato un servizio SaaS si potrebbe pensare che i dati vengano conservati dal fornitore per tutto il tempo di sottoscrizione, ma non è necessariamente così.
Le policy e le procedure di conservazione dei dati variano in modo significativo tra i differenti fornitori e tra le diverse gamme di prodotto. Mentre alcuni provider propongono offerte di livello Enterprise, che prevedono periodi di conservazione più lunghi, alcuni servizi conservano i dati cancellati solo per 30 giorni. Potrebbe sembrare un periodo ragionevole, ma cosa succede se qualcuno cancella inconsapevolmente informazioni che potrebbero essere necessarie anche mesi dopo? Che cosa comporta la cancellazione dei dati per la normativa Europea, come il GDPR e le normative nazionali sulla protezione dei dati?
Le organizzazioni non possono permettersi di rischiare proprio con l’archiviazione e la conservazione dei dati, ma hanno bisogno di meccanismi che aiutino a garantire la protezione dei dati, anche nel peggiore dei casi, come un attacco ransomware. Per i responsabili che vogliono fare qualcosa di più della semplice fornitura di SaaS “set and forget”, avvalersi di un partner SaaS dedicato alla sicurezza dei dati è l’alternativa.
Questo provider dovrebbe semplificare i processi di gestione dei dati. Per questo è necessario un partner in grado di combinare tre funzionalità di sicurezza critiche in un’unica soluzione SaaS: rilevamento delle minacce, classificazione dei dati e cyber vaulting/isolamento dei dati. Insieme, queste funzionalità possono aiutare i clienti a proteggere, rilevare e recuperare i dati in caso di attacco informatico.
I migliori servizi di backup e cyber vaulting possono contribuire a ridurre i costi di protezione dei dati del 70% o anche di più. Questo consente che i dati siano protetti, resilienti e inalterabili in un caveau virtuale protetto, in modo che, in caso di attacco ransomware, sia possibile un recupero rapido e sicuro.
Con la classificazione dei dati integrata è possibile rilevare e identificare più rapidamente i dati sensibili o le informazioni di identificazione personale (PII). Questo semplifica la comprensione e la valutazione dell’impatto di un attacco e permette di determinare se le informazioni sensibili sono state compromesse. Inoltre, è possibile controllare centralmente la conservazione dei dati e mantenere la conformità.
E ancora, un partner SaaS per la sicurezza dei dati che esegue una scansione costante dei dati per rilevare le minacce ransomware e le anomalie può garantire la protezione dei dati a tutti i livelli, gli SLA e gli ambienti. Infine, la presenza di un’unica piattaforma per la gestione dei dati di tutti i fornitori contribuirà a garantire che il SaaS sia una risorsa IT affidabile, efficace e gestibile.
di Manlio De Benedetto, Director Systems Engineering di Cohesity
