Il 31 marzo è il World Backup Day, assicurati che i tuoi dati siano al sicuro! Il backup è una pratica fondamentale per garantire la conformità al GDPR e per la continuità aziendale. Scopriamo insieme perché è cruciale per le aziende, i rischi se non lo si implementa, come impostare la procedura corretta e molto altro.
Cos’è il backup?
Il concetto di backup si riferisce alla pratica di creare duplicati dei file o dei database, che possono essere sia fisici che virtuali, e salvarli in un luogo alternativo rispetto a quello in cui risiedono i dati originali. Quest’ultimo, noto come sito di backup o sito secondario, è preferibilmente situato a una certa distanza geografica rispetto al sito primario. L’obiettivo principale del backup è garantire la disponibilità e l’integrità dei dati nel caso in cui si verifichino eventi imprevisti o catastrofici, azioni malevole, errori umani e anomalie o guasti che potrebbero compromettere l’accesso ai dati originali. In sostanza, il backup agisce come una sorta di “salvataggio di emergenza” che consente di ripristinare i dati in caso di necessità, proteggendo così da perdite di dati irreparabili e assicurando la continuità operativa.
Un backup dei dati funziona acquisendo uno snapshot point-in-time (PIT), che rappresenta esattamente lo stato dei dati in un determinato momento. Ciò consente il ripristino del sistema allo stato precedente a un evento dannoso o indesiderato nel minor tempo possibile.
Backup e GDPR: quali obblighi?
L’Art. 32 del GDPR sottolinea la necessità per le organizzazioni di garantire la sicurezza del trattamento dei dati personali. La capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidenti fisici o tecnici è una forma di sicurezza del trattamento dei dati. Il backup è infatti lo strumento che costituisce uno dei principali metodi di ripristino dei dati in caso di perdita, danneggiamento o cancellazione accidentale, garantendo accessibilità e disponibilità dei dati.
Di conseguenza, sebbene il GDPR non menzioni esplicitamente i backup, la necessità di avere procedure e policy di backup adeguate è implicita nell’obbligo di garantire la disponibilità e l’accesso dei dati personali. Le organizzazioni devono quindi definire politiche di backup adeguate, compresa la frequenza dei backup, i tipi di supporto utilizzati, i luoghi di conservazione dei backup e le procedure per il ripristino dei dati in caso di necessità.
Per saperne di più dal punto di vista tecnico vedi qui
Il backup non è solo “imposto” dal GDPR: è uno strumento di continuità operativa aziendale
Abbiamo detto che, nei fatti, il GDPR obbliga le aziende a implementare strumenti di backup, secondo le previsioni dell’ è un obbligo discendente dall’art. 32 del GDPR. Il backup però, non è solo questo: nel panorama informatico contemporaneo rappresenta un elemento fondamentale di qualsiasi data strategy. In un’epoca in cui la capacità di elaborare e gestire informazioni costituisce un elemento chiave per la competitività delle imprese digitali, è cruciale pianificare un percorso strutturato per i dati, noto come data journey, che includa misure mirate a preservare la confidenzialità, l’integrità e la disponibilità dei dati.
Senza un salvataggio di sicurezza dei propri dati, le aziende potrebbero trovarsi improvvisamente privati dell’accesso a informazioni cruciali o file vitali per la loro operatività e competitività. Per questo eseguire il backup è indispensabile: è un solido strumento di business continuity, garantendo un rapido ripristino dei dati, quindi della produttività.
Consideriamo ad esempio il pericolo di un attacco ransomware. In questi casi, gli attaccanti criptano i dati dell’azienda e richiedono un riscatto per ristabilire l’accesso. Possedere un backup dei dati significa non dover cedere al ricatto e non subire interruzioni nelle attività aziendali.
Le principali conseguenze del mancato backup sono le seguenti:
- riduzione delle entrate aziendali, che costringerebbero l’azienda a dedicare tempo prezioso per ricostruire ciò che è stato perso;
- reputazione dell’azienda danneggiata agli occhi dei clienti, che minerebbe la fiducia e comprometterebbe le relazioni commerciali consolidate nel tempo.
Scopri StrongBox > Il futuro del backup in cloud
Come impostare la procedura corretta di backup?
Per capire come impostare una corretta procedura è importante mappare i dispositivi, i dati e i processi aziendali. Le domande che devono porsi le aziende sono:
- quali dati vanno salvati?
- a quali rischi vanno incontro i dati?
- quali dati sono sensibili e quali non-core?
- quali perdite di dati sono considerate accettabili?
- qual è il tempo massimo (RTO) entro cui vanno recuperati i dati sottoposti a backup? Dove sono salvati i dati originari e dove verranno salvate le copie?
- con quali tecnologie vanno salvati?
La strategia di backup coinvolge diverse fasi:
- definizione della strategia di backup: stabilire la frequenza e il tipo di backup da utilizzare, ad esempio completo (copiando tutti i dati) o incrementale (copiando solo i dati modificati dall’ultimo backup);
- scelta del metodo di archiviazione: decidere dove archiviare le copie di backup (ad esempio su dispositivi di storage fisici, server di rete, dispositivi di backup esterni o soluzioni basate su cloud;
- utilizzo del software di backup: viene utilizzato per automatizzare il processo. Il software gestisce l’organizzazione, la selezione dei file da copiare e la gestione degli archivi;
- piani di ripristino in caso di emergenza: definiscono i passaggi da seguire per ripristinare rapidamente i dati in caso di perdita.
Quali dati backuppare e con quale frequenza?
I dati su cui deve essere eseguito il backup sono i seguenti:
- database critici;
- applicazioni a supporto delle attività e servizi aziendali.
Le politiche di salvataggio dei dati di ogni processo di backup specificano ogni quanto tempo viene eseguito il backup e il numero di copie realizzate. Ovviamente, tanto più i dati saranno importanti, tanto più la frequenza del backup sarà alta. A stabilire la velocità di ripristino dei dati sono gli SLA (Service Level Agreement).
Quale backup utilizzare?
Nel determinare il tipo di strategia di backup da utilizzare, è fondamentale considerare due parametri chiave: il Recovery Point Objective (RPO) e il Recovery Time Objective (RTO). Questi parametri sono strettamente associati con le attività di ripristino e influenzano direttamente la pianificazione dei backup e la strategia complessiva di protezione dei dati.
- Recovery Time Objective (RTO): indica il tempo massimo entro il quale un’applicazione o un sistema deve essere ripristinato dopo un’interruzione per garantire la continuità operativa. In altre parole, rappresenta il tempo di inattività massimo tollerabile per l’azienda in caso di guasto o incidente.
- Recovery Point Objective (RPO): indica il volume di dati che l’azienda può perdere senza compromettere la continuità operativa o la conformità normativa.
Le aziende devono associare ogni specifica strategia di backup a una serie di SLA, che devono tener presente delle modalità di accesso e di disponibilità dei dati. Ad esempio, se un’applicazione ha un RTO molto breve, sarà necessario utilizzare strategie di backup più frequenti e rapide per garantire un ripristino rapido in caso di necessità.
Vuoi implementare un sistema di backup e non sai da dove iniziare? O vuoi sapere se quello già implementato nella tua azienda è conforme al GDPR? Chiedilo ai nostri esperti!