Il backup è quella cosa che andava fatta prima

Quello del backup, è un tema cruciale che richiede un approccio strutturato, non solo da parte degli addetti ai lavori, ma di tutti coloro che hanno a cuore i propri e gli altrui dati, che se perduti, potrebbero portare a scenari a dir poco spiacevoli. Seppur comprendere le motivazioni di tale approccio può risultare immediato, non è così scontata la messa in atto delle giuste ed appropriate pratiche da parte di singoli e organizzazioni, che rischiano importanti danni oltre che economici, reputazionali, dove può essere difficile recuperare.

 

Ma cosa sono e a cosa servono i backup?

I backup permettono di assicurare che dati per noi importanti sopravvivano a minacce quali la perdita o il furto di device, la loro distruzione a causa di disastri dolosi o naturali, infezioni da malware, corruzione dei dati a causa di attacchi mirati o, più semplicemente, per via del naturale deterioramento dei supporti di memoria. Qualunque siano le minacce però, occorre che il piano e le pratiche da strutturare e condurre contemplino e si rivelino efficaci anche nel caso in cui si realizzi il cosiddetto “worst-case scenario”. Tale concetto è ben conosciuto da chi si occupa di risk-management e consiste nello strutturare le attività considerando il risultato più grave possibile che si possa verificare in una determinata situazione.

 

Backup per la compliance

L’esigenza di una strategia efficace di backup rappresenta oltre che una buona prassi di sicurezza uno dei punti fondamentali per diverse normative nazionali ed internazionali. All’interno del GDPR (regolamento europeo per la protezione dei dati) sono diversi i punti che affrontano questo aspetto. Per il principio di accountability, è necessario assicurare l’accesso ai dati, adottando sistemi che consentano di memorizzarli in maniera sicura ed evitando che possano essere accidentalmente cancellati. L’art. 5, par. 1, lett. F del regolamento, invece, sottolinea che:

I dati personali sono trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione e dal danno accidentali (“integrità e riservatezza”).

Ulteriormente rafforzato dall’art. 32, par. 1, lett. C, che riporta come ogni organizzazione che tratta dati personali debba avere “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”, e dalla lett. D, dove si prevede che le misure di sicurezza tecniche ed organizzative, dove rientrano backup e ripristino, siano testate, verificate e valutate regolarmente nella loro efficacia al fine di garantire la sicurezza del trattamento.

 

Modalità di backup

All’interno di una strategia di backup, è possibile scegliere tra diverse modalità che si rivelano più o meno indicate, a seconda dei diversi contesti ed esigenze:

Backup completo: prevede la copia completa dei dati senza esclusione e indipendentemente dal fatto che i file siano stati modificati.

Backup incrementale: copia dei dati creati e modificati dall’ultima esecuzione di un backup completo.

Backup differenziale: copia dei dati creati e modificati dall’ultima esecuzione di un backup completo. A differenza di quello incrementale, il backup differenziale confronterà sempre i cambiamenti rispetto all’ultimo backup completo, salvando ogni volta tutte le eventuali differenze.

 

Consigli pratici per una efficace strategia

Per una efficace strategia di backup, l’analisi degli elementi in gioco rappresenta un passo importante. Qui occorre valutare vantaggi e svantaggi di ogni supporto, il budget a disposizione, la quantità di dati da salvare, le misure di sicurezza da predisporre per la protezione dei dati sensibili e l’accessibilità dei dati stessi. Seppur molti di questi aspetti vanno considerati e opportunamente ponderati in base all’ecosistema di riferimento, vi sono alcuni pratici consigli da poter mettere in atto:

> Predisporre in maniera periodica i propri interventi di backup. La scelta dell’intervallo può variare in base alle caratteristiche e alla dinamicità dei dati stessi (quanto spesso e in che quantità cambiano i dati). Vige la regola del buon senso. La parola d’ordine è resilienza, assicurandosi che le eventuali interruzioni siano minime.

> Crittografare i propri backup. Obiettivo all’interno di una valida strategia di backup è proteggere i dati in caso di furto, perdita o dismissione non corretta di macchine fisiche; l’utilizzo di sistemi e strumenti di crittografia adeguati e opportuni fornisce una efficace soluzione, anche nei casi in cui uno di questi scenari si verificasse. Bisogna infatti ricordare che i nostri dati hanno un valore. Valore molto attraente soprattutto per criminali, con l’obiettivo, tra i tanti, di rubare segreti commerciali, avere accesso ai dati stessi o minare la reputazione del legittimo proprietario qualora questi venissero diffusi. Come riportato prima, nell’art. 32 del GDPR si evidenzia come questa rappresenti una misura precauzionale necessaria per garantire la sicurezza del trattamento e non solo una buona pratica.

> Applicare la regola del “backup 3-2-1”. Approccio che aiuta a rispondere alla domanda: quanti file di backup dovrei avere e dove dovrei conservarli?

  • Possedere almeno tre copie dei dati. Avere una sola copia di backup non è sufficiente. Avere più copie si traduce in una importante riduzione della possibilità di perdita dei dati in caso di disastro.
  • Memorizzare due copie di backup su dispositivi o supporti di memorizzazione diversi. Qualsiasi dispositivo di memorizzazione prima o poi si guasterà. Questo punto della regola si basa sull’assunto che due dispositivi dello stesso tipo hanno un rischio di guasto molto maggiore di due dispositivi di tipo diverso o di due supporti di memorizzazione diversi.
  • Tenere almeno una copia del backup off-site. Custodire tutte le copie di backup all’interno di uno stesso sito potrebbe rivelarsi fatale in caso di disastri. Ottima soluzione per privati e piccole imprese senza sedi remote è rappresentata dalla conservazione dei backup nel cloud.

 

> Isolare opportunamente i propri backup. Ogni giorno capita di leggere di attacchi (ad esempio i ransomware) che colpendo un device, si propagano all’interno di tutti i dispositivi connessi all’interno della stessa rete. Una soluzione può essere quella di affidarsi a soluzioni cloud (che richiedono anch’esse approfondita analisi in termini non solo di sicurezza), che si rivela una efficace scelta anche a beneficio della scalabilità.

> Verifica periodica del processo di recovery. E’ fondamentale verificare con regolarità (dipendentemente dalla natura delle attività) che tutta la catena sia efficiente, comprese le persone che la gestiscono. Se non si effettua un reale recupero dei dati, non si sarà mai sicuri che la copia di sicurezza in oggetto sia integra e funzionante.

> Formazione. Essere edotti riguardo le procedure appropriate da predisporre e condurre, permette di garantire un processo che riduca in maniera significativa i potenziali rischi e rendere più efficiente l’intera filiera.

 

È importante che ognuno di noi investa e rivesta il giusto peso e ruolo all’interno di ognuno dei punti affrontati. Le conseguenze per chi si astiene, come si è brevemente analizzato in questo articolo, sono molteplici.

È importante farlo. È importante farlo ora. Non arriviamo al punto in cui ci sarà qualcuno che ci ripeterà che: “il backup è quella cosa che andava fatta prima”.