Articolazione degli uffici
CED
“Centri di Elaborazione Dati” (CED) o, mutuando una locuzione inglese ormai universalmente utilizzata, “Data Center”. Facciamo un viaggio per conoscere meglio queste che sono le fondamenta di ogni soluzione informatica. Che per poter correttamente funzionare ed erogare i servizi per i quali è stata progettata, implementata e posta in esercizio, deve imprescindibilmente poggiare le proprie fondamenta su solide basi “materiali”.
Ossia, appunto, i Ced.
Questo vale nonostante uno dei principi che generalmente si associano ad un sistema informativo, a prescindere dalla dimensione, dalla finalità o dall’architettura su cui poggia, sia rappresentato dalla cosiddetta “dematerializzazione”, ossia da quel processo che tende a sostituire, quanto più possibile, documenti cartacei, attività fisiche, controlli di tipo umano o attrezzature meccaniche con algoritmi, file, database e capacità elaborative di tipo “virtuale”, “immateriale” se non addirittura “etereo”.
Allo stesso modo, se consideriamo una delle tendenze che da qualche anno riscuotono maggiore popolarità nel panorama mondiale dell’Information Technology, ossia il “Cloud”, possiamo immediatamente intuire come anche gli addetti ai lavori siano propensi, in uno sforzo di estrema sintesi, a presentare le nuove infrastrutture digitali come entità talmente astratte e “incorporee” da poter addirittura risiedere comodamente su un insieme più o meno popolato di “nuvole”, in posti esotici e comunque non ben definiti geograficamente e fisicamente.
I centri elaborazione dati sono veri e propri “quartieri generali” informatici, nei quali sono allocati, manutenuti, custoditi, protetti e costantemente monitorati, attraverso applicazioni software ma soprattutto sotto il coordinamento di personale altamente specializzato, tutti i dispositivi elettronici, gli strumenti di elaborazione e di connettività, gli archivi digitali e quanto serve a far funzionare l’intera architettura informatica, a sua volta in grado di ospitare un numero indefinito di applicazioni, siti internet, portali, software web-based, etc.
I CED devono essere, pertanto, pensati, ideati e costruiti in modo da poter rispondere alle esigenze ed ai compiti delicatissimi per i quali sono concepiti e, soprattutto, per garantire nel tempo i requisiti fondamentali di integrità, disponibilità e riservatezza delle informazioni ricevute, elaborate ed inoltrate potenzialmente in tutto il mondo.
Immaginiamo, ad esempio, cosa possa succedere se uno dei cosiddetti “grandi server” che ospita un servizio informatico di fondamentale importanza, quale può essere ad esempio il “fascicolo sanitario elettronico”, sia liberamente accessibile a personale non autorizzato, in grado di cancellare, modificare o visualizzare dati altamente sensibili, oppure sia collocato in una zona estremamente pericolosa perché vicina all’alveo di un fiume oppure perché considerata ad alto rischio sismico o soggetta ad instabilità di tipo sociale, politico, economico, etc.
Analogamente, se consideriamo che tutte le comunicazioni che oggi avvengono tramite la rete internet, ossia circa il 95% di tutte le forme di interlocuzioni quotidianamente scambiate da esseri umani, macchine, oggetti “intelligenti” sparsi in tutto il mondo, debba obbligatoriamente passare attraverso una serie più o meno complesso di CED tra loro interconnessi, si può ben comprendere come i Centri di Elaborazione Dati rappresentino veramente la base invisibile e sommersa di un immenso iceberg di cui le applicazioni e i software da noi utilizzati sono semplicemente la punta emersa oltre che la parte più piccola e probabilmente meno importante.
E’ stato, ad esempio, dimostrato che la maggior parte dei fenomeni di “crashing” delle principali piattaforme informatiche quali Twitter, Facebook, Instagram, etc, sia stata causata da malfunzionamenti di carattere tecnico nati e sviluppati all’interno di Centri di Elaborazioni Dati particolarmente sensibili e, anche per tale motivo, soggetti a continui attacchi, tentativi di manomissione o veri e propri assalti cyber-criminali.
Alla luce di quanto finora descritto, è possibile definire un Centro di Elaborazione Dati come l’insieme delle risorse umane, fisiche, architetturali, elettroniche e tecnologiche che permette ai sistemi informativi di essere pienamente funzionali e rispondenti alle esigenze per le quali sono stati creati e posti in produzione.
Vista la complessità, la portata e l’importanza delle tematiche a vario titolo connesse con le attività di un CED, è fondamentale chiarire, preliminarmente, come tutta la gestione di un Centro di Elaborazione Dati debba essere necessariamente strutturata secondo regole, procedimenti e norme in grado di garantire adeguati livelli di efficacia, efficienza e sicurezza.
In primo luogo, è opportuno sottolineare come tutta la sfera organizzativa e funzionale di un CED rientri a pieno a titolo all’interno del più ampio ed articolato processo di IT Governance di un’azienda, sia pubblica che privata, e deve, pertanto, rispondere a principi strategici, funzionali ed operativi volti, in ultima battuta, a garantire il perseguimento degli obiettivi fondamentali e vitali dell’intera organizzazione.
In tale contesto, la strutturazione di un CED dovrà prevedere un primo passo dedicato alla declinazione delle politiche di livello strategico, ossia della cosiddetta “missione” aziendale e della “visione” etica, professionale e commerciale indicata dal Top Management, in procedure, manuali e norme di carattere operativo, che sappiano contemperare gli aspetti legati alle “performance” del Centro, ossia agli output che dovranno essere forniti, con quelli, altrettanto importanti, della Sicurezza delle Informazioni e della Cyber Security, del tutto basilari ed imprescindibili in relazione alle attività concretamente svolte.
Interfaccia tra il CED ed il management aziendale
Da quanto appena illustrato, emerge chiaramente la necessità di un continuo allineamento tra la gestione e l’operatività del Centro di Elaborazione Dati ed il Governo dell’azienda, ossia con gli strati direttivi più alti dell’organizzazione.
Mutuando, a tale riguardo, quanto indicato dall’ISACA, che rappresenta un riferimento a livello mondiale nelle tematiche di IT Governance e Gestione della Sicurezza, una buona pratica da adottare è quella di porre il “Direttore”, o comunque la figura apicale chiamata a dirigere il CED, alle dirette dipendenze del CEO o comunque dell’Amministratore Delegato, così come assume particolare importanza che il Consiglio di Amministrazione (o un suo Organo omologo nel caso di aziende pubbliche o diversamente strutturate) sia periodicamente informato, attraverso report sintetici, dell’andamento delle attività poste in essere, al fine di consentire l’adozione di decisioni strategiche tempestive, efficienti e basate su informazioni certe, affidabili ed aggiornate in tempo reale.
Il CED, inteso come insieme complesso di risorse umane fortemente specializzate, dotazioni tecnologiche ed informatiche di alto livello e mezzo di condivisione di informazioni anche di carattere estremamente critico, può essere considerato, soprattutto in un’era in cui tutti (o quasi) i processi aziendali sono ormai digitalizzati, come uno dei principali strumenti che concretizzano le direttive del Management e, pertanto, incidono profondamente in tutta la vita di un’organizzazione, sia pubblica che privata.
Cosa succederebbe, ad esempio, se, a causa di un malfunzionamento di una componente (non solo tecnologica) interna del CED, un’informazione fosse erroneamente pubblicata sul sito internet anziché sulla bacheca aziendale?
Allo stesso modo, sarebbe accettabile che una decisione strategica del Management fosse basata su dati non corretti, in quanto provenienti da un sistema di elaborazione non ben tarato o congeniato o perché, addirittura, manipolati intenzionalmente da un soggetto interno o esterno all’organizzazione?
Si consideri, in particolare, l’imponente mole di informazioni della quale vengono fisiologicamente a conoscenze tutti gli operatori del CED e delle sconfinate possibilità che uno dei tecnici operanti nel Centro di Elaborazione Dati potrebbe avere nel modificare, alterare, cancellare o inserire fraudolentemente dati nei sistemi aziendali.
Appare utile ricordare, a tal proposito, come il Garante per la Protezione dei Dati Personali non solo abbia più volte invitato le imprese private e le amministrazioni pubbliche a porre in atto stringenti meccanismi di verifica, monitoraggio e tracciatura delle attività svolte da coloro che, per finalità aziendali, hanno accesso ai sistemi di elaborazione dei dati con utenze di tipo amministrativo ed in generale con alti privilegi sia verticali (scrittura, cancellazione, modifica) che orizzontali (in termini di estensione delle informazioni intercettabili) ma sia anche intervenuto, con propri atti, prevedendo pene e sanzioni più severe per chi abusa della propria posizione di “Amministratore di Sistema”.
Sicurezza e Privacy dei CED
Anche alla luce di quanto appena illustrato, è fondamentale che un’organizzazione curi con particolare attenzione, tra le attività fondamentali di implementazione di un CED, gli aspetti relativi alla privacy, alla tutela dei dati personali e della sicurezza delle informazioni, facendo riferimento, per quanto possibile, a standard internazionali quali la ISO/IEC 27001 e, soprattutto, adempiendo sempre in maniera piena e completa a tutte le normative di settore, con particolare riferimento alle disposizioni del Regolamento Generale per la Protezione dei Dati (Gdpr) che ha introdotto principi e regole del tutto innovative quali i concetti di “Accountability”, “Privacy by default”, “Privacy by Design”, etc.
In uno sforzo di estrema sintesi, è possibile affermare che un’organizzazione debba attentamente pianificare, progettare, ideare e sviluppare, già nelle fasi iniziali di tutto il processo (e comunque il più presto possibile), l’intera architettura posta a salvaguardia delle informazioni critiche aziendali ed a supporto della protezione dei dati personali.
In particolare, ancor prima dell’avvio dell’operatività di un CED, dovranno essere prese in considerazione ed appositamente normate, attraverso Manuali e Procedure formalmente approvati dal Management, almeno le seguenti tematiche basilari:
- Gestione degli Accessi fisici e logici, attraverso, ad esempio, la previsione di adeguate “barriere” quali porte blindate, tornelli, servizi di guardiania, etc ma anche tramite l’implementazione di appositi meccanismi di attribuzione dei permessi di ingresso negli stabili e di accesso in lettura, scrittura, modifica e cancellazione ai diversi software applicativi;
- Gestione delle modifiche (o “Change Management”), che sintetizza tutte le politiche finalizzate a tenere traccia delle variazioni intercorse ed a riconnetterle alle persone che le hanno generato; si pensi, ad esempio, ai casi di ingresso o uscita di personale dall’organizzazione ed alle conseguenti modifiche che devono essere effettuate in relazione all’abilitazione/disabilitazione di badge o di creazione/cancellazione di utenze connesse alle identità aziendali digitali;
- Gestione degli asset, attraverso un censimento, che in parte può avvenire in modalità automatica grazie ad appositi strumenti di scansione della rete, di tutti i dispositivi presenti ed operanti all’interno di una sala CED e delle loro caratteristiche principali;
- Gestione degli incidenti, che deve descrivere le modalità con le quali saranno affrontati tutti gli eventi anomali di piccola e media rilevanza con il fine di garantire, attraverso un’immediata risoluzione delle problematiche (i cosiddetti “work-around”), la continuità dei servizi e permettere l’avvio delle successive attività di individuazione ed “estirpazione” delle cause principali sottese al malfunzionamento (meglio conosciute tra gli addetti ai lavori come le “root causes”);
- Disaster Recovery e Business Continuity, che rappresentano l’insieme delle strategie, degli strumenti, delle procedure e delle attività previste per rispondere a disastri anche di grandi dimensioni che possono causare l’indisponibilità dell’intero Centro di Elaborazione o degli uffici amministrativi fondamentali per il suo funzionamento. In tale ambito è fondamentale prevedere soluzioni quali le repliche sincrone verso siti remoti, la predisposizione di accordi e convenzioni con terze parti per l’utilizzo di risorse in caso di emergenza, la formazione di tutto il personale, che deve essere a conoscenza di quali step procedurali debbano essere innescati a fronte di una situazione estremamente pericolosa.
Dal punto di vista strettamente tecnico, invece, il CED dovrà essere adeguatamente dimensionato e dotato di tutti i dispositivi, non solo elettronici, necessari per la corretta erogazione dei servizi da fornire sia agli utenti interni che a tutti gli stakeholders, inclusi i fornitori, i clienti, i partner, etc, che gravitano al di fuori del perimetro aziendale.
Il primo passo è, naturalmente, rappresentato dall’individuazione dell’ area geografica, dello stabile ed eventualmente dei locali che dovranno ospitare il Centro di Elaborazione Dati: come già anticipato in precedenza, è di vitale importanza che un CED sia posizionato in una zona quanto più possibile sicura, lontana da fonti di pericolo ambientali ed umane, connessa alle principali vie di comunicazione ma non adiacente a grandi “Concentratori” o “Hub” quali possono essere aeroporti o stazioni ferroviarie, e soprattutto servita da infrastrutture telematiche in grado di garantire l’interconnessione con la rete internet e quindi con i potenziali fruitori dei servizi erogati.
Una volta individuata la “location” dal punto di vista territoriale, dovrà essere effettuato un attento dimensionamento dell’area da utilizzare effettivamente, tenendo in debita considerazione, anche attraverso il calcolo del cosiddetto “Total Cost of Ownership” (TCO), descritto nel seguito della presente trattazione, tutte le principali esigenze, tra le quali anche le possibili necessità di ampliamento e rimodulazione delle attività che potrebbero sopraggiungere una volta che tutte le funzionalità siano effettivamente entrate a regime.
In linea di principio, ed in uno sforzo di estrema sintesi, è possibile suddividere le attrezzature di cui un CED deve dotarsi nelle seguenti macro-categorie:
- Gli armadi “rack”, compresi tutti gli accessori finalizzati a permettere la corretta allocazione di tutta la strumentazione necessaria (mensole, ventole di raffreddamento, predisposizioni per cablature interne, etc);
- Gli elaboratori elettronici ed i sistemi di storage, che fondamentalmente rappresentano le unità operative più semplici attraverso le quali i servizi sono effettivamente erogati; si pensi, ad esempio, ai server (anche a quelli di elevate dimensioni), ai cosiddetti NAS (Network Attached Storage), agli hardware “iper-convergenti” ed in generale a tutti quei dispositivi che garantiscono capacità computazionali ed adeguati spazi di memorizzazione per le informazioni a vario titolo scambiate ed elaborate.
- I dispositivi di rete, nel cui novero devono essere inclusi non solo gli strumenti quali gli switch o i router che consentono di gestire le interlocuzioni digitali ma anche e soprattutto tutti gli apparati di sicurezza in grado, a vario titolo, di filtrare le connessioni in ingresso ed in uscita, di individuare le trame malevole all’interno di flussi informativi e di prevenire e contrastare i tentativi di intrusioni nella rete interna così come le fughe incontrollate ed non autorizzate di informazioni (quali ad esempio gli ormai famosi fenomeni di “data breach”);
- I gruppi di continuità e i generatori elettrogeni, che permettono sia di filtrare e stabilizzare l’energia elettrica in ingresso, evitando picchi potenzialmente dannosi per gli apparati, sia di sopperire, grazie a fonti di alimentazioni alternative come il gasolio, alla temporanea ed improvvisa mancanza di erogazione da parte dei fornitori energetici;
- Le apparecchiature di sicurezza fisiche ed ambientali, ossia tutti quegli apparti in grado di prevenire, intercettare o mitigare i danni provenienti da diverse tipologie di minacce quali possono essere le intrusioni non autorizzate, gli allegamenti, gli incendi. Si pensi, ad esempio, alle sonde anti-inondazione, in grado di captare la presenza di acqua, ai pavimenti “flottanti”, ossia rialzati rispetto alla base dello stabile, ai sensori anti-fumo o ai sistemi di spegnimento del fuoco attraverso gas o polvere.
I professionisti impiegati in un CED: competenze necessarie
Un altro elemento assolutamente indispensabile nella predisposizione di un CED è costituito dall’individuazione di personale adeguato, in possesso delle specifiche competenze tecniche necessarie a gestire tutti gli aspetti connessi all’operatività di un Centro di Elaborazione Dati.
| Professionale | Descrizione | Competenze |
| Tecnico hardware |
Si occupa prevalentemente di intervenire sulle componenti fisiche di un computer e di una rete locale, individuando, classificando e risolvendo le eventuali anomalie che potrebbero emergere durante l’utilizzo del sistema.
|
|
| Tecnico hardware-software |
È una figura di interconnessione tre le componenti hardware e software ed in generale gestisce e sovraintende alla manutenzione dei PC sia Client che Server all’interno di piccole reti.
|
|
| Sistemista junior |
E’ un tecnico specializzato in grado di occuparsi dell’installazione, configurazione, gestione/manutenzione, aggiornamento e monitoraggio di un sistema operativo e più in generale di uno o più sottosistemi di un sistema informatico.
|
|
| Sistemista senior |
Può essere considerato il fisiologico risultato della crescita professionale di un sistemista junior ed offre soluzioni informatiche di più ampio respiro, considerando anche l’impatto economico e la scalabilità. E’ una delle prime figure di interfaccia con la sfera manageriale dell’azienda.
|
|
| Coordinatore tecnico-commerciale |
Si occupa prevalentemente di tematiche connesse all’approvvigionamento di soluzioni esterne, è in grado di valutare e comparare diverse opzioni e deve possedere adeguate competenze linguistiche e professionali per interloquire con la Direzione, preparando, dove necessario, anche adeguati “Business Case”.
|
|
| Sviluppatore web |
Si occupa prevalentemente di sviluppa applicationi “web-based”, sfruttando programmi di creazione di siti o tecnologie HTML, ASP, DOTNET, PHP, python, JSP, Javascrit, etc
|
|
| Sviluppatore software junior |
Sviluppa applicazioni di varia natura utilizzando linguaggi soprattutto visuali BASIC, C, C#, Visual Basic, Java, Python, etc
|
|
| Sviluppatore software senior |
Può essere considerata come la naturale evoluzione di uno sviluppatore SW junior, rispetto al quale ha generalmente una maggiore predisposizione, derivante dall’esperienza acquisita, a coordinare team, anche di grandi dimensioni. Si occupa di analizzare la struttura dell’applicazione, e proporre le soluzioni tecnologiche migliori.
|
|
Come funziona un CED: organizzazione
Dopo aver descritto, sia pure in maniera estremamente sintetica, le principali caratteristiche strutturali, fisiche, tecnologiche ed umane di un CED, proviamo a definire quale possa essere l’organizzazione di riferimento di un Centro di Elaborazione Dati ed, in linea generale, quali siano i compiti generalmente affidati a tali unità organizzative.
Riprendendo quanto indicato dall’Agenzia per l’Italia Digitale nelle “Linee Guida per la razionalizzazione dell’infrastruttura informatica della PA” (disponibile al seguente indirizzo), nel quale è contenuta un’interessante riflessione di carattere generale su come è organizzato un CED in Italia, i compiti affidati alle strutture che sovraintendono ai Data Center riguardano tipicamente le aree del “Data Processing” (Job Control e scheduling, gestione nastri e device di tipo DASD – Direct Access Storage Device), l’help desk su questioni riguardanti il funzionamento degli apparati, la gestione del software di sistema, dell’hardware, il capacity planning delle risorse, la gestione degli apparati di telecomunicazione e delle reti, etc…
A tali funzioni vanno poi aggiunte tutte quelle non dirette alla gestione di asset informatici, ma necessarie per il corretto funzionamento burocratico-amministrativo della struttura stessa quali la logistica, l’amministrazione, la gestione delle risorse umane, etc.
Da quanto appena riportato, appare del tutto evidente come un CED debba essere considerato alla stregua di un’ “Unità Operativa Complessa” dotata di elevata autonomia organizzativa, contabile ed economica e, pertanto, il cui funzionamento debba essere normato attraverso appositi Regolamenti operativi ed all’interno della quale debbano essere individuate specifiche posizioni di responsabilità, cui assegnare obiettivi, budget ed indicatori quantitativi di performance.
Da un punto di vista maggiormente tecnico, invece, il punto di riferimento universalmente accettato per la realizzazione e la gestione operativa e l’organizzazione di un data center sono le “Telecommunications Infrastructure Standard For Data Centers” o “TIA-942”, che fanno parte degli standard nazionali americani (American National Standard) e forniscono preziose indicazioni sulla definizione degli spazi, sulla realizzazione dei cablaggi e sulle condizioni ambientali, classificando i data center in 4 livelli (o TIER):
| LIVELLO (TIER) | DESCRIZIONE | UPTIME PREVISTO (SU BASE ANNUA) |
| TIER 1 – BASIC |
Data center dotato di un solo sistema di alimentazione e un solo sistema di raffreddamento. Le politiche di backup e i componenti ridondati sono assenti o se presenti lo sono per un numero molto limitato di componenti;
|
99,671% |
| TIER 2 – REDUNDANT COMPONENT |
Data center dotato di un solo sistema di alimentazione e un solo sistema di raffreddamento. Alcuni componenti sono ridondati ed esistono politiche di backup.
|
99,741% |
| TIER 3 – CONCURRENTLY MAINTENABLE |
Data center dotato di più sistemi di alimentazione e più sistemi di raffreddamento. Tutti i componenti sono ridondati. La maggior parte delle manutenzioni e degli aggiornamenti non richiedono di portare offline il data center.
|
99,982% |
| TIER 4 – FAULT TOLERANT |
Data Center progettato e creato per essere totalmente fault-tolerant e ogni componente è ridondato. Ha più sistemi di alimentazione e di raffreddamento.
|
99,995% (il downtime annuale massimo non deve superare i 26,3 minuti).
|
E’ importante sottolineare come, nonostante non siano previsti specifici programmi per la certificazione di conformità, il sito www.tia-942.org raccolga in maniera centralizzata, e su base volontaria, un archivio dei soggetti coinvolti nei processi di formazione, di accreditamento e di revisione.
dalle ore 09:00 alle ore 12:30