Disaster Recovery Plan: in pochissimi ci pensano, spesso dopo che un incidente informatico è già avvenuto. Ecco invece perché il DRP è essenziale
Privacy e protezione dati sono concetti diversi
Continuare a chiamare privacy la Protezione dei dati non è corretto. Porta a gravi distorsioni che inducono a ritenere sufficienti per adempiere al GDPR, una privacy policy scaricata da internet e un antivirus. Non è così e, purtroppo, i più se ne rendono conto quando è troppo tardi. Magari dopo una sanzione del Garante o una perdita dei propri dati, evento che è solo l’anticamera di un intervento successivo dell’Authority.
Ne sanno qualcosa le aziende vittime incolpevoli dell’incendio di un data center che, come riportano notizie di stampa, hanno subìto gravi disagi e creato disservizi ai clienti. Se non, addirittura, la totale perdita del database aziendale. Si tratta di un evento che, talvolta, non viene preso in giusta considerazione al momento della analisi dei rischi che corrono i dati aziendali e nella predisposizione della privacy policy.
Disaster Recovery Plan: in quanti ci pensano?
La maggior parte delle analisi si focalizza sui rischi che possono essere definiti ordinari, quali un cyberattacco e la successiva fase di recupero dati. Ciò non toglie che evenienze catastrofiche, all’apparenza ai confini dell’impossibile, non possono essere trascurate.
Pertanto, non solo si deve prevedere una procedura in caso dei più normali data breach, ma un imprenditore attento deve tenere presente anche l’evenienza di eventi ancora più gravi. Per farlo, non può prescindere da una approfondita conoscenza di quella che possiamo ben definire la catena della privacy nella propria azienda.
In tal senso diventa fondamentale sapere con esattezza dove vengano conservati i dati. Informazione che non sempre gli imprenditori dimostrano di sapere in quanto si fidano dei propri web developer, fornitori di gestionali e creatori di siti ai quali si sono affidati. E’ necessario quindi accertarsi che vengano periodicamente eseguiti dei backup per avere le copie dei dati. Ma non basta. Serve anche la consapevolezza di dove materialmente i fornitori abbiano inserito uno dei beni aziendali più preziosi ed appetibili per gli hacker: i dati aziendali.
Disaster Recovery Plan: che cosa è?
A tutto ciò deve essere aggiunto, insieme alle procedure in caso di data breach, anche un vero e proprio piano di Recupero dal Disastro (DRP). Questo è un documento aziendale dettagliato che indichi come attivarsi a seguito di eventi catastrofici e che non rientrano in canoni normali di prevedibilità. Questo documento assume rilievo fondamentale quando, all’esito di un evento, l’impresa debba rispondere davanti al Garante dell’accaduto. Il Garante chiederà di dimostrare di avere fatto tutto quanto in potere dell’azienda per evitare la perdita dei dati, ma anche avere previsto tutte quelle procedure virtuose di minimizzazione dei danni.
Ma in concreto, come fare?
- limitare al massimo eventuali interruzioni di servizio,
- individuare da subito i reparti e le risorse da coinvolgere, che dovrebbero in tal senso ricevere anche la giusta formazione,
- sapere quali componenti della struttura debbano essere utilizzati
sono solo i primi elementi di una strategia di intervento. Strategia che, in ogni caso, non può prescindere a monte dalla ricostruzione della catena privacy. Da qui discende l’importanza di individuare i vari passaggi e, preventivamente, disciplinarli contrattualmente, laddove necessario, con soggetti esterni o con lettere di incarico a chi opera all’interno della struttura.
La tua azienda ha previsto il Disaster Recovery Plan? Oppure hai bisogno di supporto per redigerne uno e implementarlo in azienda?
