SOFTWARE-AS-A-SERVICE

Livelli di servizio e garanzie a tutela del patrimonio informativo nei contratti SaaS: quali valutazioni

Alla luce dei vantaggi della modalità Software-as-a-Service, sono sempre di più le aziende che si rivolgono al SaaS anche per le funzioni business-critical. È dunque importante effettuare le dovute valutazioni in termini di rischi e impatti specifici a garanzia del patrimonio informativo aziendale

18 Mag 2022
C
Francesca Calza

Senior consultant - Information & cyber security advisor presso P4I - Partners4Innovation

I
Anna Italiano

Partner di P4I – Partners4Innovation

Avere le applicazioni principali in modalità Software-as a-Service (SaaS) offre molti vantaggi per un’azienda:

  1. le applicazioni sono vendute all’utente finale con un abbonamento, liberandolo dalla necessità di occuparsi dell’architettura tecnologica sottostante;
  2. il fornitore gestisce la disponibilità del servizio in autonomia;
  3. è un servizio scalabile;
  4. è quasi sempre disponibile l’ultima versione e non c’è necessità di aggiornare la licenza perché è tutto aggiornato automaticamente.

Nell’ottica, quindi, di minimizzare costi e obsolescenza, le aziende si rivolgono sempre più al SaaS anche per funzioni aziendali business-critical; ma per potervi fare affidamento, nell’ottica della migliore salvaguardia del patrimonio informativo aziendale, occorre effettuare le dovute valutazioni in termini di rischi ed impatti specifici, tema con il quale è necessario confrontarsi ogni volta che i dati vengono archiviati al di fuori del perimetro aziendale.

È quindi fondamentale che gli acquirenti comprendano quali fattori considerare quando cercano un fornitore SaaS.

Documenti di business a supporto della security aziendale: il memorandum

Valutare l’effettiva disponibilità del servizio

Sotto questo profilo, i Service Level Agreement, con cui il cloud provider definisce i parametri di riferimento per l’erogazione dei servizi e il monitoraggio del livello qualitativo degli stessi, costituiscono una componente estremamente rilevante dell’offerta SaaS, da vagliare in fase precontrattuale con particolare dovizia di attenzione e cautela.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

Un primo tra questi parametri è sicuramente legato al concetto di disponibilità.

Secondo ITIL, la disponibilità si riferisce alla capacità di un elemento di configurazione o di un servizio IT di svolgere la funzione concordata quando necessario. Viene calcolato utilizzando questa formula:

disponibilità % = (tempo di servizio concordato – tempo di inattività o downtime)/tempo di servizio concordato

dove il tempo di inattività è la quantità di tempo durante il periodo di servizio concordato in cui il servizio non è disponibile.

In un processo di scelta di acquisto, i dati di disponibilità mensili o annuali sono qualcosa che i fornitori di servizi dovrebbero essere in grado di fornire. Se un fornitore omette queste informazioni nell’ambito della documentazione contrattuale, potrebbe già questo essere un segno negativo.

Valutare la performance dell’affidabilità

In linea generale, rispetto al track record di disponibilità e soprattutto in relazione al tipo di servizio e alla qualità che ci si aspetti dal mercato rispetto a quel servizio, l’acquirente dovrebbe cercare una percentuale di uptime annua (ma, a seconda del contratto, può essere espressa anche in mesi o trimestri) vicina al 99,99% per i dati, tenendo presente che ogni numero aggiuntivo dopo l’ultima cifra decimale equivale a un aumento della performance dell’affidabilità in modo esponenziale.

Se consideriamo un ambiente di uptime continuo (24 ore su 24, 7 giorni su 7) un livello di disponibilità del 99,99% comporta periodi di inattività/indisponibilità consentiti complessivamente di circa 1 ora all’anno (52 minuti per la precisione). Invece con una la disponibilità nota come cinque nove (decimali), possiamo avere una perdita di disponibilità anche vicina allo zero.

L’azienda che sta facendo una scelta di acquisto, dovrebbe però chiedersi: “Ho davvero bisogno del 99,9999% di uptime?”.. Oltre ad essere un vincolo nella scelta del fornitore, infatti, i costi di questi due livelli di servizio sono in generale molto diversi.

Oppure immaginiamo che si abbia una disponibilità 99,99% ma il tempo di inattività si verifichi proprio durante periodi di utilizzo elevato, o in giornate con eventi promozionali eccezionali o la chiusura di un bando, periodi di fatturazione, campagne pubblicitarie. Gli obiettivi verrebbero raggiunti, ma il disservizio avrebbe comunque un impatto sulla continuità aziendale o i risultati attesi.

L’effettivo calcolo dei livelli di servizio garantiti

Ma si pensi anche più nel dettaglio al concetto di disponibilità.

Spesso i contratti equiparano la disponibilità alla mera “accessibilità” del servizio, qualificando come “indisponibilità” solo il blocco totale del servizio ), mentre l’indisponibilità parziale di talune funzionalità dello stesso non concorre, al calcolo dei livelli di servizio garantiti.

Senza considerare poi che i concetti di disponibilità, accessibilità e disponibilità ridotta del servizio dovrebbero essere valutati e soppesati in relazione al modo in cui il sistema funziona effettivamente e al contesto in cui l’applicazione lavora.

Per esempio, interruzioni che rendono un sistema indisponibile per un’ora alla volta, ma molto diradate nel tempo, potrebbero essere anche considerate accettabili, mentre continue interruzioni, anche se di pochi secondi, potrebbero rendere l’applicazione inutilizzabile per intere giornate, pur rispettando entrambe le metriche di disponibilità espresse in percentuale complessiva sull’anno nel contratto.

Non basta, quindi, ragionare su una generica indisponibilità su un periodo di un anno: è necessario valutare anche l’indisponibilità massima su periodi più brevi, come anche la durata massima accettabile di un singolo periodo di indisponibilità.

Teniamo presente che gli eventi di manutenzione pianificati, inclusi aggiornamenti e riconfigurazioni, tipicamente non vengono inclusi nelle statistiche di indisponibilità, con la conseguenza, quindi, che per valutare la disponibilità complessiva (e reale) dell’applicazione dovremo sommare all’indisponibilità contrattualmente “tollerata” (il “delta” tra il 100% della disponibilità e la percentuale di uptime contrattualmente garantita) anche gli intervalli di inattività pianificata dovuta a manutenzione.

Se il recovery time (considerato un tempo medio necessario per il ripristino da errori, ovvero tempo per il rilevamento, l’isolamento e la risoluzione) fosse incluso, per un servizio h24 7×7 il tempo di inattività su una disponibilità del 99,99% potrebbe arrivare ad essere anche di più giorni l’anno.

Sotto questo profilo, in verità, i contratti non sono sempre chiari, poiché spesso definiscono solo le fasce orarie nell’ambito delle quali possono verificarsi gli interventi di manutenzione pianificata, senza però specificare frequenza e/o durata degli stessi. Elementi che, invece, sono importanti per valutare in modo certo la continuità e l’affidabilità del servizio, anche in relazione alle esigenze di business che deve soddisfare e all’importanza dei processi aziendali che esso supporta.

A ciò si aggiungano poi le ipotesi di manutenzione straordinaria, in relazione ad incidenti o problematiche che comportino la necessità di sospendere il servizio e agire in urgenza, per le quali non è ovviamente possibile garantire un’indisponibilità del servizio al di fuori degli orari e delle giornate lavorative.

I meccanismi di penalizzazione contrattualmente garantiti

Un ulteriore e fondamentale aspetto da valutare attentamente in sede di analisi dell’offerta cloud è quello relativo ai meccanismi di penalizzazione contrattualmente garantiti per l’ipotesi di violazione dei livelli di servizio formalizzati nell’accordo, avendo riguardo di valutare la sostenibilità e il carattere satisfattorio o meno delle penali o dei crediti di servizio accordati dal provider a fronte di indisponibilità anche protratte del servizio (specie nell’ipotesi tipica in cui il contratto stabilisca che tali penali o crediti sono gli unici rimedi esperibili dal cliente, con conseguente esclusione della possibilità, per quest’ultimo, di agire per ottenere il risarcimento del maggior danno).

Non di rado ci si imbatte in accordi contrattuali in cui, a fronte di percentuali di disponibilità molto alte e vantaggiose per il cliente, sono, tuttavia, previsti indennizzi modesti (o addirittura irrisori) per le ipotesi di indisponibilità verificatesi in violazione degli SLA. In particolare, è frequente che gli indennizzi si concretizzino in “prolungamenti gratuiti del contratto” o scontistiche, che difficilmente possono compensare i danni subiti dal cliente per il disservizio.

In conclusione, non si dia per scontato che le buone statistiche di disponibilità siano direttamente proporzionali ai buoni risultati per i clienti. Può accadere che un fornitore di servizi stia raggiungendo l’obiettivo della misurazione, pur non riuscendo a supportare le effettive esigenze del cliente.

La collocazione fisica dei dati

Oltre alle metriche a disposizione nel contratto di un servizio Saas, la disponibilità e salvaguardia dei dati aziendali passa anche dalle informazioni relative alla loro collocazione fisica.

Dando per scontato che all’interno del contratto le parti non hanno la possibilità di accordarsi sul tipo di infrastruttura fisica o sul tipo di rack, box e cavi che il fornitore dovrebbe utilizzare, è consolidata opinione che la conoscenza di almeno il Tier del datacenter, le certificazioni e lo scenario di rischio in cui si posiziona geograficamente siano informazioni a garanzia di un primo livello di fiducia sull’infrastruttura fisica utilizzata.

Un’ulteriore e fondamentale garanzia è quella di replicare i propri dati e servizi su un secondo datacenter, differente da quello di produzione, al fine di minimizzare i danni in caso di incidente e rendere immediato il recupero dell’operatività. Questo datacenter deve essere abbastanza lontano dal primo da assicurare che eventuali incidenti che rendano indisponibile l’uno non rendano indisponibile anche l’altro. Questa garanzia viene troppo spesso data per scontata e considerata connaturata al servizio cloud, ma in effetti è presente solo se esplicitata e contrattualizzata.

Utile anche fare attenzione alla retention dei backup: mentre le imprese sono costrette a conservare i dati per diversi anni, i backup SaaS sono spesso impostati per memorizzare i dati per un massimo di pochi mesi. Se non lo si considera in anticipo, si potrebbe scoprirlo dopo un incidente in cui i dati non risultino poi disponibili per il ripristino.

Conclusioni

Tutti questi elementi fanno da guida nell’acquisto di un servizio in SaaS; le metriche legate al livello di servizio possono fornire una garanzia che la disponibilità del servizio non diminuirà in momenti meno opportuni, mentre l’attenzione alla collocazione fisica dei datacenter e la gestione dei backup potrà garantire nel tempo una corretta salvaguardia del patrimonio informativo aziendale.

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO
@RIPRODUZIONE RISERVATA

Articolo 1 di 5