L’importanza del backup nella conformità al GDPR

Al momento stai visualizzando L’importanza del backup nella conformità al GDPR

Il 31 marzo è il World Backup Day, assicurati che i tuoi dati siano al sicuro! Il backup è una pratica fondamentale per garantire la conformità al GDPR e per la continuità aziendale. Scopriamo insieme perché è cruciale per le aziende, i rischi se non lo si implementa, come impostare la procedura corretta e molto altro.

Cos’è il backup?

Il concetto di backup si riferisce alla pratica di creare duplicati dei file o dei database, che possono essere sia fisici che virtuali, e salvarli in un luogo alternativo rispetto a quello in cui risiedono i dati originali. Quest’ultimo, noto come sito di backup o sito secondario, è preferibilmente situato a una certa distanza geografica rispetto al sito primario. L’obiettivo principale del backup è garantire la disponibilità e l’integrità dei dati nel caso in cui si verifichino eventi imprevisti o catastrofici, azioni malevole, errori umani e anomalie o guasti che potrebbero compromettere l’accesso ai dati originali. In sostanza, il backup agisce come una sorta di “salvataggio di emergenza” che consente di ripristinare i dati in caso di necessità, proteggendo così da perdite di dati irreparabili e assicurando la continuità operativa.

Un backup dei dati funziona acquisendo uno snapshot point-in-time (PIT), che rappresenta esattamente lo stato dei dati in un determinato momento. Ciò consente il ripristino del sistema allo stato precedente a un evento dannoso o indesiderato nel minor tempo possibile.

Backup e GDPR: quali obblighi?

L’Art. 32 del GDPR sottolinea la necessità per le organizzazioni di garantire la sicurezza del trattamento dei dati personali. La capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidenti fisici o tecnici è una forma di sicurezza del trattamento dei dati. Il backup è infatti lo strumento che costituisce uno dei principali metodi di ripristino dei dati in caso di perdita, danneggiamento o cancellazione accidentale, garantendo accessibilità e disponibilità dei dati.

Di conseguenza, sebbene il GDPR non menzioni esplicitamente i backup, la necessità di avere procedure e policy di backup adeguate è implicita nell’obbligo di garantire la disponibilità e l’accesso dei dati personali. Le organizzazioni devono quindi definire politiche di backup adeguate, compresa la frequenza dei backup, i tipi di supporto utilizzati, i luoghi di conservazione dei backup e le procedure per il ripristino dei dati in caso di necessità.

Per saperne di più dal punto di vista tecnico vedi qui

Il backup non è solo “imposto” dal GDPR: è uno strumento di continuità operativa aziendale

Abbiamo detto che, nei fatti, il GDPR obbliga le aziende a implementare strumenti di backup, secondo le previsioni dell’ è un obbligo discendente dall’art. 32 del GDPR. Il backup però, non è solo questo: nel panorama informatico contemporaneo rappresenta un elemento fondamentale di qualsiasi data strategy. In un’epoca in cui la capacità di elaborare e gestire informazioni costituisce un elemento chiave per la competitività delle imprese digitali, è cruciale pianificare un percorso strutturato per i dati, noto come data journey, che includa misure mirate a preservare la confidenzialità, l’integrità e la disponibilità dei dati.

Senza un salvataggio di sicurezza dei propri dati, le aziende potrebbero trovarsi improvvisamente privati dell’accesso a informazioni cruciali o file vitali per la loro operatività e competitività. Per questo eseguire il backup è indispensabile: è un solido strumento di business continuity, garantendo un rapido ripristino dei dati, quindi della produttività.

Consideriamo ad esempio il pericolo di un attacco ransomware. In questi casi, gli attaccanti criptano i dati dell’azienda e richiedono un riscatto per ristabilire l’accesso. Possedere un backup dei dati significa non dover cedere al ricatto e non subire interruzioni nelle attività aziendali.

Le principali conseguenze del mancato backup sono le seguenti: 

  • riduzione delle entrate aziendali, che costringerebbero l’azienda a dedicare tempo prezioso per ricostruire ciò che è stato perso;
  • reputazione dell’azienda danneggiata agli occhi dei clienti, che minerebbe la fiducia e comprometterebbe le relazioni commerciali consolidate nel tempo. 

Scopri StrongBox > Il futuro del backup in cloud

Come impostare la procedura corretta di backup?

Per capire come impostare una corretta procedura è importante mappare i dispositivi, i dati e i processi aziendali. Le domande che devono porsi le aziende sono: 

  • quali dati vanno salvati? 
  • a quali rischi vanno incontro i dati?
  • quali dati sono sensibili e quali non-core?
  • quali perdite di dati sono considerate accettabili?
  • qual è il tempo massimo (RTO) entro cui vanno recuperati i dati sottoposti a backup? Dove sono salvati i dati originari e dove verranno salvate le copie?
  • con quali tecnologie vanno salvati?

La strategia di backup coinvolge diverse fasi:

  1. definizione della strategia di backup: stabilire la frequenza e il tipo di backup da utilizzare, ad esempio completo (copiando tutti i dati) o incrementale (copiando solo i dati modificati dall’ultimo backup);
  2. scelta del metodo di archiviazione: decidere dove archiviare le copie di backup (ad esempio su dispositivi di storage fisici, server di rete, dispositivi di backup esterni o soluzioni basate su cloud;
  3. utilizzo del software di backup: viene utilizzato per automatizzare il processo. Il software gestisce l’organizzazione, la selezione dei file da copiare e la gestione degli archivi;
  4. piani di ripristino in caso di emergenza: definiscono i passaggi da seguire per ripristinare rapidamente i dati in caso di perdita. 

Quali dati backuppare e con quale frequenza?

I dati su cui deve essere eseguito il backup sono i seguenti: 

  • database critici;
  • applicazioni a supporto delle attività e servizi aziendali.

Le politiche di salvataggio dei dati di ogni processo di backup specificano ogni quanto tempo viene eseguito il backup e il numero di copie realizzate. Ovviamente, tanto più i dati saranno importanti, tanto più la frequenza del backup sarà alta. A stabilire la velocità di ripristino dei dati sono gli SLA (Service Level Agreement).

Quale backup utilizzare?

Nel determinare il tipo di strategia di backup da utilizzare, è fondamentale considerare due parametri chiave: il Recovery Point Objective (RPO) e il Recovery Time Objective (RTO). Questi parametri sono strettamente associati con le attività di ripristino e influenzano direttamente la pianificazione dei backup e la strategia complessiva di protezione dei dati.

  • Recovery Time Objective (RTO): indica il tempo massimo entro il quale un’applicazione o un sistema deve essere ripristinato dopo un’interruzione per garantire la continuità operativa. In altre parole, rappresenta il tempo di inattività massimo tollerabile per l’azienda in caso di guasto o incidente.
  • Recovery Point Objective (RPO): indica il volume di dati che l’azienda può perdere senza compromettere la continuità operativa o la conformità normativa.

Le aziende devono associare ogni specifica strategia di backup a una serie di SLA, che devono tener presente delle modalità di accesso e di disponibilità dei dati. Ad esempio, se un’applicazione ha un RTO molto breve, sarà necessario utilizzare strategie di backup più frequenti e rapide per garantire un ripristino rapido in caso di necessità.

Vuoi implementare un sistema di backup e non sai da dove iniziare? O vuoi sapere se quello già implementato nella tua azienda è conforme al GDPR? Chiedilo ai nostri esperti! 

CONTATTACI