Sempre più spesso, al giorno d’oggi, il cloud viene visto come la soluzione a tutti i mali, come il luogo lontano e quasi mistico in cui non esistono problemi.

Ma non è così.

Le applicazioni cloud hanno una serie di indubbi vantaggi: sono facili da usare, sono in genere economiche e utili per standardizzare i servizi agli utenti e ai clienti. Ci sono però una serie di aspetti da tenere bene in considerazione quando si decide di andare “in the cloud”.

Che cos’è realmente il cloud?

Il cloud è una modalità di delivery di servizi con regole e responsabilità ben precise e dettagliate.
Se si tiene in mente questo, risulta chiaro perché la maggior parte delle applicazioni cloud non si occupa dei tuoi dati e di quelli dei tuoi clienti, ma della sola infrastruttura che li contiene.

Per dirla in maniera sintetica con una frase che ho letto online qualche giorno fa: il cloud non esiste, si tratta semplicemente del computer di qualcun altro.

Per cui se è ovvio che tu esegua un backup di un server che hai in casa (o in casa del cliente), perché non è così ovvio eseguire il backup di un’applicazione che sta in cloud?

Parliamoci chiaramente: è chiaro che chi gestisce un cloud faccia un backup dei propri sistemi. Ma lo fa solo per poter garantire l’erogazione continua dei propri servizi, non per proteggere i dati tuoi e dei tuoi clienti.

E tu non hai alcun modo di sapere se ci sono effettivamente dei backup in corso e se i tuoi dati o quelli dei tuoi clienti sono realmente al sicuro.
 
Nuvola con cassetto

Ma mettiamoci nei panni dell’utilizzatore finale, ovvero il tuo cliente.

Lui potrebbe pensare “Sposto il servizio in cloud, così non bisogna più gestire l’infrastruttura e tutti i problemi che ne derivano… sono in una botte di ferro”.

Il punto è che i problemi non sono solo di natura infrastrutturale e se qualcosa va storto il cliente chiama te, che gli hai venduto il servizio in cloud. A lui non interessa niente se l’infrastruttura non è gestita direttamente da te, sei tu che gli vendi il servizio e tu devi risolvergli le grane.

La verità è che i clienti hanno un’errata percezione del SaaS, quindi l’MSP (Managed Service Provider) ha l’onere di far capire loro quali responsabilità, rischi e limiti sono tipici del modello di servizi in cloud.

Come vengono definite le responsabilità?

Il cloud è basato sul cosiddetto “Modello a responsabilità condivisa”, all’interno del quale ci sono due attori: il cloud provider e l’azienda utilizzatrice finale seguita dal suo MSP (Managed Service Provider) o IT Service Provider.

Qui sotto ti riporto un rapido schema riepilogativo.


Il fornitore cloud si fa carico di ciò che può controllare direttamente, cioè di aggiornamenti software, manutenzione e affidabilità dell’infrastruttura.

I dati, la protezione da errori umani, attacchi interni/esterni, attacchi da parte di virus e malware invece sono fuori dalla sua responsabilità

E’ compito di chi eroga servizi IT, quindi, informare il cliente su questo modello di responsabilità e trovare insieme a lui una soluzione per mettere in sicurezza tutti i dati, ovunque essi risiedano.

Nel contratto di utilizzo del fornitore di servizi cloud, in generale, non c’è scritto da nessuna parte che lui si assume la responsabilità per la perdita dei tuoi dati.

Ti dirò di più, mi è capitato di leggere gli SLA di Microsoft per Office 365 e c'è scritto esplicitamente che loro si assumono nessuna responsabilità in caso di perdita di dati, anche dovuta a malfunzionamenti.

Vuol dire che loro si occupano di rimediare e correggere eventuali problemi, ma non hanno l’obbligo di eseguire un backup o recuperare i tuoi dati in nessun modo se questi si dovessero danneggiare in seguito a uno di questi malfunzionamenti o in seguito a cancellazione dolosa o accidentale.

Ti riporto qui sotto un estratto dello SLA di Office 365 (ti informo che mentre stai leggendo questo articolo gli SLA di Microsoft potrebbero essere cambiati).
 
We strive to keep the Services up and running; however, all online services suffer occasional disruptions and outages, and Microsoft is not liable for any disruption or loss you may suffer as a result. In the event of an outage, you may not be able to retrieve Your Content or Data that you’ve stored.

We recommend that you regularly backup Your Content and Data that you store on the Services or store using Third-Party Apps and Services.
 
Quindi Microsoft consiglia addirittura di utilizzare servizi di terze parti per il backup.

Sul blog di Office 365 viene sottolineato lo stesso concetto:
 
We recommend that your backups are kept in an external, non-mapped or not synced storage.
 
Come vedi non c’è nessuna “zona d’ombra”, tutto è esposto in maniera chiara. I dati sono responsabilità tua e del tuo cliente, di nessun altro.

M quindi, cosa puoi fare tu? Come ti comporti con il tuo cliente?
 
  • Puoi non fare nulla e sperare che non accadano disastri o imprevisti di alcun tipo. Ti informo però che secondo alcune statistiche circa un terzo di chi utilizza il SaaS ha subito almeno una volta perdite di dati.
  • Puoi fare affidamento su alcuni strumenti che i fornitori cloud mettono a disposizione. Questi strumenti però consentono un recupero parziale di dati, oltre un certo lasso di tempo di conservazione non si può andare.
  • Puoi informare il tuo cliente e offrirgli un servizio di backup dei dati in cloud. Se il tuo cliente utilizza solo un sistema di posta in cloud (ad esempio Office 365), allora l’archiviazione email può fare al caso tuo. In caso di soluzioni più “ampie” (SharePoint, OneDrive, ecc.) puoi proporre una soluzione di backup vera e propria, pensata appositamente per il SaaS.
 
Il tuo cliente non ci sente?

Inizia a fare (in)formazione sensibilizzandolo su questi temi perché il problema prima o poi arriva, non è più un problema di SE ma di QUANDO.


Condividi sui Social Network