31 marzo 2021: si celebra oggi il ventennale del World Backup Day. Ma una giornata collettiva per celebrare il backup, è davvero necessaria?
A giudicare dai dati presentati sul sito dei suoi promotori (percentuali di utenti che non hanno mai eseguito backup, nonostante gli innumerevoli smartphone persi o rubati ogni minuto, o la frequenza di virus e incidenti informatici), sembrerebbe proprio di sì.
E probabilmente, una sola giornata all’anno è troppo poco.
Una corretta (e continua!) gestione dei backup, infatti, è fondamentale per una buona sicurezza delle informazioni, e il piano di backup rappresenta, all’interno di qualsiasi organizzazione, il fulcro della complessiva capacità di far fronte a quegli incidenti informatici che mettono a rischio la disponibilità dei dati.
Il recente incidente di Strasburgo, che ha coinvolto i server di OVH, e in cui abbiamo visto andare letteralmente a fuoco una rilevante porzione di internet, dovrebbe insegnare qualcosa. Spento l’incendio, è iniziata la conta dei danni, e gli utenti colpiti che non dispongono di backup esterni all’infrastruttura, probabilmente hanno approcciato il report dell’azienda (sugli elementi recuperabili e sugli elementi persi per sempre), allo stesso modo con cui si controllano i biglietti vincenti della lotteria: sperando di aver avuto fortuna. Niente da vincere, però, in questo caso, solamente tanto da non perdere.
Ecco perché non è opportuno affidarsi alla fortuna quando si tratta di proteggere i dati. Non è un caso che il backup sia regolarmente citato in tutte le buone pratiche di sicurezza informatica. Solo nel 2020 l’ENISA vi ha fatto esplicito riferimento in ben tre linee guida: dedicate alle PMI, al settore sanitario, e in tema di smart-working. Tutte distribuite in concomitanza con l’avvento della pandemia da COVID-19, che, insieme ai rischi per la salute che ben conosciamo, è stata un potente catalizzatore di attacchi informatici che cavalcavano l’emergenza.
Come organizzarsi, quindi?
Una strategia suggerita dagli esperti per pianificare al meglio il salvataggio delle copie di backup è riassunta nella regola del 3-2-1: 3 copie di backup, salvate in 2 formati diversi, di cui 1 non connesso alla rete. In questo modo, ci si può ragionevolmente aspettare di riuscire a mantenere al sicuro almeno una copia dei dati, a prescindere dagli incidenti che possono colpire le stesse copie di backup (prese sempre più di mira anche dagli ormai noti attacchi ransomware).
I backup, poi, devono essere svolti regolarmente: un giorno all’anno non è abbastanza, dicevamo.
La frequenza sarà stimata a seconda delle specifiche necessità della propria organizzazione, ma qualsiasi buon piano di backup dovrebbe tenere in considerazione almeno questi due criteri:
1. Recovery Point Objective (RPO)
2. Recovery Time Objective (RTO)
L’RPO, ovvero l’istante in cui è stato effettuato l’ultimo backup, idealmente dovrebbe cadere immediatamente prima dell’incidente, in modo tale da preservare tutte le modifiche effettuate. Va da sé che quanto più frequente è l’operazione di salvataggio, tanto più ci si avvicinerà a questo ideale. Malauguratamente, troppo spesso, il backup cade proprio “con un giorno di ritardo”…
L’RTO, viceversa, corrisponde al tempo necessario per ripristinare i dati dopo l’incidente. Questo tempo, che dovrebbe essere il più breve possibile, ovviamente varierà dall’entità dei danni occorsi che non è possibile prevedere.
Invece, ciò su cui si può agire per ridurre i tempi di indisponibilità di dati, è l’aspetto organizzativo: non si sottovaluti, ad esempio, l’importanza delle prove di ripristino – operazione che a sua volta introduce una serie di nuovi rischi, che sono spesso trascurati e possono provocare ritardi.
Può sembrare scontato, ma se da una parte servono a proteggere i dati, i backup devono anche essere a loro volta protetti, e perfino con maggiori cautele che per i “normali” dati: innanzitutto dovrebbero essere resi quanto più inaccessibili, pertanto i diritti di accesso ai backup dovrebbero essere concessi solo a chi ne ha delle reali esigenze. Questo principio varrà tanto per il software quanto per la protezione fisica dell’hardware. Per scongiurare il peggio, si dovrebbe poi sempre considerare di implementare tecniche di crittografia sui dispositivi di backup, specialmente per quelli che vengono separati dalla rete o rimossi dalla propria sede. Attenzione anche al falso senso di sicurezza fornito dalle casseforti ignifughe in cui molti usano proteggere i dischi esterni, ma che spesso sono classificate solo per l’archiviazione di documenti cartacei e inadatte ai dispositivi che hanno un punto di fusione inferiore.
Tutte queste considerazioni ci portano dritti alla cosa più ovvia di tutte: senza adeguate competenze informatiche, il backup non può essere certo gestito col “fai-da-te”.
Eppure, c’è sempre chi sottostima l’importanza del budget per la sicurezza delle informazioni, o chi si illude che il solo ricorso ai servizi in licenza di grossi fornitori cloud (magari senza davvero conoscerne le rispettive condizioni contrattuali) sia una misura sufficiente per sentirsi protetti. Purtroppo, non è abbastanza: in mancanza delle giuste risorse nel vostro organico, quindi, affidatevi sempre a professionisti competenti e di fiducia.
Buon backup a tutti !
