Molte aziende dipendono ormai completamente dai dati archiviati sui propri server di rete, PC, laptop, dispositivi mobili e nel cloud. È probabile che alcuni di questi dati contengano informazioni personali e/o informazioni aziendali riservate.
In questo articolo esamineremo alcuni degli aspetti da considerare quando si esamina la sicurezza dei propri sistemi informatici e dei propri dati.
Il backup dei dati è una procedura essenziale per il disaster recovery e dovrebbe essere eseguito regolarmente. Un'azienda dovrebbe considerare i backup periodici come una sorta di polizza assicurativa contro disastri, furti o attacchi informatici.
Ci sono diversi punti da considerare.
Supporti di installazione di software di sistema e applicazioni
Idealmente, una volta installato il software, il supporto originale dovrebbe essere conservato in modo sicuro fuori sede, a meno che il software non sia stato scaricato. Allo stesso modo, eventuali chiavi/codici di attivazione dovrebbero essere conservati in modo sicuro.
Posizioni dei file di dati
In un ambiente di rete, alcuni file di dati potrebbero essere archiviati sul server e altri su unità locali. In tal caso, potrebbero essere necessari backup separati sia per il server che per uno o più PC.
L'ideale sarebbe fornire una soluzione di rete che garantisca che tutti i dati vengano copiati nuovamente sul server dalle unità locali.
Una strategia potrebbe essere quella di utilizzare un servizio di sincronizzazione come Microsoft OneDrive o anche Sharepoint, invece del più tradizionale storage su disco di rete.
Strategia e frequenza di backup
È probabile che siano necessarie due procedure di backup parallele. Una per coprire il backup completo dei sistemi dei server, solitamente sotto forma di immagine, e un'altra per eseguire in modo incrementale (o differenziale) tutti i file di dati di backup che sono stati aggiornati dal backup precedente.
Il ciclo di backup più comune è il metodo "nonno, padre, figlio". Consiste in un ciclo di quattro backup giornalieri, quattro o cinque backup settimanali e 12 backup mensili.
Ricorda che alcuni dati devono essere conservati per molti anni: ad esempio, i registri contabili devono essere conservati per almeno sei anni.
Alcuni supporti di backup, come nastri o CD/DVD, possono essere riutilizzati più volte, ma non hanno una durata infinita e dovranno essere sostituiti dopo due o dieci anni, a seconda della qualità e del numero di utilizzi. Ulteriori approfondimenti su questo argomento sono disponibili nella sezione dedicata al degrado dei supporti di backup.
Soluzioni come i servizi di backup disk-to-disk o disk-to-disk-to-tape e basati su cloud eliminano la necessità di preoccuparsi del degrado.
Responsabilità di backup
Le procedure di backup devono essere affidate a un membro specifico del personale. Questa persona deve essere in grado di:
- assicurarsi regolarmente che tutti i file di dati (del server e locali) siano incorporati nel ciclo di backup
- adattare i criteri di backup man mano che vengono aggiunte nuove applicazioni e file di dati
- modificare la pianificazione del backup secondo necessità
- interpretare i registri di backup e reagire a eventuali errori segnalati
- ripristinare i dati se i file vengono eliminati accidentalmente o vengono danneggiati
- verificare regolarmente che i dati possano essere ripristinati dai supporti di backup
- tenere un registro regolare dei backup e delle posizioni in cui sono archiviati i supporti di backup.
Routine di backup delle applicazioni
Molte applicazioni di contabilità e gestione paghe dispongono di routine di backup integrate. È buona norma utilizzarle regolarmente (così come i backup convenzionali del server) e sempre prima di aggiornamenti critici. Questi file di backup devono essere archiviati sul disco rigido del server, in modo che vengano sottoposti a backup insieme al server.
PC locali
Alcuni utenti avranno i file di dati delle applicazioni esclusivamente sui propri dischi locali, ad esempio i dati relativi alle buste paga. Questi richiederanno un proprio programma di backup regolare, che (come accennato nel paragrafo precedente) potrebbe consistere in una combinazione di backup su supporto e backup sul server. È inoltre opportuno valutare se questi dati debbano rimanere sui PC locali o se debbano essere spostati altrove.
Supporto di backup
La scelta del supporto più adatto per i backup dipenderà da vari criteri, tra cui il budget disponibile, il volume di dati da sottoporre a backup e il software operativo di rete. I dischi rigidi esterni o un NAS con backup su cloud possono rappresentare una buona soluzione. Se si utilizza un fornitore di servizi esterno o un'opzione cloud, è consigliabile che disponga di un proprio sistema di backup. Tuttavia, non affidatevi esclusivamente a questo e assicuratevi che qualsiasi fornitore terzo soddisfi o superi le vostre esigenze di backup.
Anche altri tipi di supporti, come nastri o supporti ottici (CD/DVD/Blu-Ray), possono essere considerati un'alternativa più economica, ma la capacità e la durata potrebbero essere limitate.
Un'altra opzione sono i dischi rigidi esterni. Tuttavia, qualsiasi disco che debba essere spostato fuori sede per motivi di backup dovrebbe essere crittografato in caso di smarrimento o furto.
Posizione di backup
I backup dovrebbero essere archiviati in diverse posizioni, sia in sede che fuori sede. I backup in sede sono facilmente accessibili quando i dati devono essere ripristinati rapidamente, sebbene siano a rischio in caso di emergenze, come incendi o allagamenti.
Molte aziende utilizzano casseforti in loco. Tuttavia, in caso di emergenza, queste potrebbero risultare inaccessibili per un certo periodo di tempo.
I backup fuori sede hanno il vantaggio di poter essere ripristinati in caso di emergenza, ma l'archiviazione deve essere sicura e accessibile.
Conservazione del backup
Infine, alcuni tipi di registrazioni, come ad esempio quelle contabili, devono essere conservate per un periodo di tempo minimo e questo aspetto deve essere preso in considerazione quando si sviluppa la strategia di backup dei dati (vedere anche di seguito in merito al degrado).
Degradazione/decomposizione dei supporti di backup
I supporti di backup si degradano e i dati in essi memorizzati si decompongono nel tempo.
I supporti ottici come CD/DVD e Blu-Ray sono particolarmente sensibili alla luce (fotosensibili), quindi è necessario conservarli in un ambiente buio. Sono inoltre soggetti a danni fisici durante la manipolazione. Infine, i CD-R e i CD-RW durano dai cinque ai dieci anni, mentre i DVD-RW e i nastri LTO possono durare fino a 30 anni.
I backup devono essere controllati regolarmente per individuare eventuali segni di decomposizione digitale e testati per verificare che i dati possano essere ripristinati correttamente.
In-house o nel cloud?
Molti provider di servizi Internet e organizzazioni di servizi IT di terze parti offrono ora repository di dati esterni e soluzioni complete per applicazioni online, sia come standard che come extra a pagamento. Ciò elimina la necessità di supportare internamente un server e il suo software operativo e applicativo. Tuttavia, vi sono numerosi aspetti chiave della sicurezza che dovrebbero essere coperti nell'ambito del contratto/accordo sul livello di servizio (SLA). Questi dovrebbero includere:
- livello di crittografia
- i paesi in cui i dati vengono elaborati e archiviati (poiché ciò potrebbe comportare problemi con le leggi sulla protezione dei dati)
- cancellazione dei dati e periodi di conservazione
- la disponibilità di percorsi di controllo, che indichino chi accede ai dati
- proprietà dei dati se il fornitore entra in amministrazione controllata.
Quando i dati sono archiviati nel cloud, cercate di garantire che il minor numero possibile di dati personali venga elaborato e archiviato in questo modo. Se ciò non fosse possibile, almeno rendete anonimi i dati in modo che non sia possibile identificare le persone.
Assicurati di poter eseguire manualmente copie di backup dei dati archiviati presso terze parti e che tali dati siano in un formato leggibile e possano essere ripristinati su altri servizi e applicazioni.
