I dati sono tutto, o quasi, per un’azienda, per questo salvaguardarli significa tutelare il valore aziendale e la continuità stessa dell’attività.
Se non sono adeguatamente protetti, i dati possono essere facilmente manomessi, distrutti o sottratti: un errore umano può causarne l’involontaria cancellazione, una scarica elettrica può rendere inutilizzabile il supporto su cui sono archiviati, e un attacco informatico, come un virus o un ransomware, può distruggerli, sottrarli, cifrarli.
Che la causa sia un attacco doloso o un incidente, in tutti questi casi i dati diventano inaccessibili, causando parziali o totali blocchi operativi per l’azienda.
L’unica soluzione per prevenire la perdita o l’indisponibilità dei dati è un backup sistematico e costante. Per questo la progettazione del backup è uno degli aspetti più importanti e delicati della strategia informatica aziendale.
Di fronte a un incidente o evento imprevedibile, una buona policy di backup aziendale consente di recuperare i dati inaccessibili e di farlo in tempi ragionevoli, per ridurre al minimo i tempi di blocco operativo, che si traducono in costi per l’azienda.
Il backup ha due scopi principali:
• Recuperare i dati persi o danneggiati
• Poter accedere ad una copia dei dati erroneamente modificati o cancellati.
Il backup deve essere predisposto per ogni archivio di dati, che sia su server locali o esterni, gestito internamente, in outsourcing o su un servizio in Cloud.
Molto spesso microimprese, PMI e professionisti sottovalutano il rischio di perdita dei dati e l’impatto che potrebbe avere sulla propria attività, perché ritengono che i propri sistemi siano talmente semplici da non richiedere una protezione e le loro realtà talmente piccole da non essere attrattive per attacchi informatici a fini di riscatto.
In realtà, è molto facile perdere i dati indipendentemente dalla complessità dei sistemi informatici, ad esempio un disco esterno può essere smarrito e un computer può smettere di funzionare. Inoltre, negli ultimi anni abbiamo avuto la dimostrazione che le PMI sono sempre più un facile bersaglio per le gang dei ransomware, forse proprio perché, ritenendo la sicurezza informatica una prerogativa delle grandi aziende, sono più vulnerabili verso le intrusioni esterne.
Molto spesso le piccole realtà non implementano una strategia di backup per il timore di incorrere in costi fuori dalla loro portata, in realtà le soluzioni disponibili sono molteplici e possono essere personalizzate in base alle dimensioni dell’azienda, alle necessità ed alla quantità di dati da proteggere.
Il backup dei dati è possibile anche a costi contenuti, la componente fondamentale è progettarlo rispetto alle reali necessità dell’azienda.
In questa guida introduttiva, vediamo quali sono le informazioni importanti da raccogliere per progettare il backup dei dati aziendali e quali sono invece le fasi di progettazione di un backup che minimizzi le perdite di dati e i tempi di ripristino dell’operatività per l’azienda.
Censimento dei dati in 5 step
Per pianificare una strategia di backup del patrimonio digitale aziendale, è importante identificare i dati da proteggere e come sono gestiti e conservati nei sistemi aziendali.
La prima azione da svolgere è pertanto un censimento esaustivo di ciascun archivio di dati, o repository, che consenta di raccogliere le informazioni necessarie per progettare una gestione sicura.
- Deve essere individuato dove è conservato ciascun repository, ovvero in quale server interno, servizio cloud, dico esterno, dispositivo rimovibile, ecc, e di che natura sono i dati che lo compongono, ovvero se si tratta di file e cartelle, caselle e-mail, database, dischi virtuali, ecc.
- Deve esserne individuata la dimensione totale di ciascun archivio e come questa cresce nel tempo.
- Deve essere stabilito se il repository contiene dati personali, e quindi deve essere gestito in modo conforme a GDPR, o se deve essere oggetto di particolari attenzioni perchè contiene informazioni riservate o strategiche.
- Devono essere censite le modalità di accesso ai dati da parte degli utenti e degli amministratori di sistema, come queste sono regolate e come possono essere tracciate.
- Devono essere infine individuati i parametri di RTO (Recovery Time Objective) ed RPO (Recovery Point Objective).
L’RTO indica per quanto tempo l’operatività aziendale può essere sostenuta in caso di mancata disponibilità del repository, serve a definire i tempi di ripristino accettabili e a definire modalità di backup che consentano di rispettarli.
L’RPO indica invece quanti dati storici è accettabile vengano persi in caso di incidente e serve a definire la frequenza dei backup. Ad esempio, se faccio dei backup quotidiani alle 2 di notte e si verifica un incidente alle 5 del pomeriggio, tutti i dati aggiornati dall’ultimo backup saranno persi.
RTO e RPO influenzano la scelta dell’infrastruttura di backup: più sono ristretti, più sofisticata sarà l’infrastruttura richiesta per rispettarli.
Una volta raccolte tutte queste informazioni, possiamo progettare la strategia di backup più efficace rispetto alle caratteristiche dei dati ed alle esigenze di recovery dell’azienda.
Progettazione del backup
Come abbiamo anticipato, il backup deve previsto per ciascun archivio di dati, vediamo quindi quali sono gli aspetti fondamentali per progettare una strategia di backup sicura e adatta alle nostre esigenze.
1. Responsabilità
Devono essere chiaramente definite le responsabilità rispetto all’esecuzione, alla conservazione ed alla sicurezza dei backup.
Se il fornitore a cui abbiamo affidato questa attività perderà i nostri dati, potremo rivalerci, ma non potremo riavere i nostri dati e, con loro, la nostra azienda.
2. Frequenza e profondità
Il backup deve garantire, in qualunque caso e per ciascun repository, i valori di RTO ed RPO che sono stati valutati in sede di censimento dei dati.
Sulla base di questi parametri, saranno stabilite per ciascun repository la frequenza, ad esempio mensile, settimanale, giornaliera, oraria, ecc, e la profondità, ovvero la durata di conservazione, del backup.
3. Vincoli
Per ogni repository di dati devono essere valutati i vincoli per l’esecuzione delle copie.
I sistemi devono essere arrestati oppure le copie possono essere effettuate mentre questi sono in esecuzione?
Quanto tempo è richiesto per l’esecuzione del backup di ciascun repository?
Quanta banda internet è necessaria per il trasferimento delle copie offsite?
Sulla base di questo è necessario stabilire i giorni e gli orari in cui eseguire le copie.
4. Strumenti, modalità e crittografia
Sulla base dei vincoli definiti, si può quindi optare per l’esecuzione di backup completi, differenziali o incrementali, di effettuarne copia offsite via internet oppure utilizzare supporti esterni.
In ogni caso, è consigliabile che i backup siano crittografati. In questo modo si garantisce la confidenzialità dei dati anche in caso di furto o perdita dei supporti esterni o di intrusione sul server in cui sono conservati.
In base alle scelte effettuate è quindi possibile selezionare il migliore strumento per l’esecuzione delle copie e definire le procedure di esportazione e verifica dei backup.
5. Sicurezza del backup
Il backup deve essere conservato offline ed offsite.
Non deve cioè essere in alcun modo accessibile, e quindi modificabile, dai sistemi di produzione.
Deve inoltre essere conservato in un luogo fisico diverso rispetto ai sistemi di produzione, come ad esempio su un server o NAS esterno oppure trasferendo fisicamente i supporti altrove.
Ma non sempre è sufficiente una singola copia di backup.
Se esporti i tuoi dati su disco esterno, hai mai riflettuto sul fatto che se usi un singolo disco, durante l’esportazione hai sia i dati di produzione sia il backup nella stessa stanza, contemporaneamente connessi allo stesso computer?
Questo significa che un virus, un ransomware o anche un comune picco di tensione sulla rete elettrica potrebbero distruggere irrimediabilmente (o cifrare) entrambi gli archivi, i dati di produzione ed il backup!
Per prevenire questo rischio, se esporti i backup su disco esterno, usa almeno due dischi, alternali nel fare le copie e conservali in luoghi esterni all’azienda. In questo modo uno dei due resterà sempre disconnesso da un PC (offline) e fuori dal perimetro aziendale (offsite).
Seguendo questa guida puoi iniziare ad implementare in autonomia il backup sicuro dei dati.
Una volta implementati i tuoi backup, scopri come monitorare la sicurezza dei backup nel tempo.