Backup: Istruzioni per l’uso

DataStorage

Un’efficace politica di backup presuppone un’attenta fase preliminare di
studio e il rispetto di alcune regole fondamentali

Qualsiasi attività, dai singoli professionisti alle società multinazionali, deve disporre di un piano di backup efficace per garantire la conformità alle leggi e alle normative locali e nazionali nonché evitare costose perdite di dati. A seconda dell’importanza dei dati, la frequenza di backup può variare da in tempo reale a settimanale. Una delle fasi del processo di pianificazione consiste nel classificare i dati e assegnare a ciascuna categoria la frequenza di backup appropriata. Ad esempio, nella maggior parte dei casi è ragionevole eseguire il backup della posta elettronica ogni 24 ore, mentre un sito di e-commerce richiede il backup istantaneo su un sistema RAID veloce delle transazioni che contengono informazioni su carte di credito. Un numero sempre maggiore di aziende di grandi dimensioni opta per soluzioni basate su unità disco per memorizzare i dati più importanti, ossia i dati critici che devono potere essere recuperati e resi accessibili nel minor tempo possibile.

Una guida efficace

Un buon sistema per pianificare un valido piano di backup è quello di partire da documenti ufficiali e/o indicazioni normative che ci possano consentire contemporaneamente di tracciare le linee guida e adeguarci alle disposizioni di legge. Un buon punto di partenza è costituito dal Documento Programmatico SUlla Sicurezza, il quale pur riferendosi a un ambito più vasto ci fornisce un utile modo di procedere anche nel caso del backup. In particolare, il DPSS identifica alcune fasi fondamentali:

1. Identificazione delle risorse da proteggere. Non è infatti possibile stabilire una politica di sicurezza, indicare delle misure di protezione, o salvare dati, file e documenti senza avere prima assegnato un valore a quanto si desidera salvaguardare.

In questa prima fase, un elenco di informazioni sicuramente utili alle sucessive operazioni comprenderà le attività di censimento di:

? Archivi in formato elettronico utilizzati dai software ? Copie (storiche o per fini di backup) di questi ? Archivi cartacei Sarà importante, anche in questo caso, non soffermarsi a stilare un semplice elenco di archivi, bensì si dovranno già raccogliere dati quali: ? Tipologia di archivio (elettronico/cartaceo) ? Risorsa hardware che ospita l’archivio (se si tratta di un archivio elettronico) ? Natura dei dati (sensibili o no) presenti sull’archivio ? Strumenti e politiche di backup (se si tratta di un archivio elettronico) La raccolta di questi dati non solo faciliterà la successiva fase di analisi dei rischi ma permetterà di raccogliere molte altre informazioni

2. Analisi dei Rischi. Individuati i beni da proteggere occorrerà valutare a quali minacce e vulnerabilità sono esposti. Qui una parte fondamentale è giocata anche dalla fantasia. I server contenenti i dati e i loro supporti storage possono guastarsi oppure essere trafugati. La sala server può incendiarsi. La stanza dove archiviamo i nastri può allagarsi, e così via. Per quanto riguarda il modo di operare l’analisi dei rischi è possibile affermare che il tutto parte dall’individuazione degli elementi e dei fattori di rischio. Questi scaturiranno dall’analisi effettuata durante l’Identificazione delle risorse da proteggere considerando le minacce che possono essere isidiate: ? I luoghi ? Le risorse hardware ? Le risorse dati ? Le risorse software

La quantizzazione del rischio su ogni elemento individuato, è un problema piottosta complesso. Esistono infatti delle tecniche e delle metodologie,per valutare e quantificare il rischio. Tuttavia l’applicazione di queste procedure è complessa e non sempre fattibile in tutte le realtà, soprattutto quelle di dimensioni più ridotte. E’ ragionevole pensare che sia sufficiente affidarsi, quindi, al realismo ed al buon senso delle varie funzioni aziendali che dovranno essere coinvolte nell’attività di valutazione unitamente alla istituzione di una scala semiqualitativa che individuerà varie soglie di rischio. E’ possibile, almeno in prima istanza, pensare ad una scala con quattro soglie di rischio: ? Lieve. Con questa soglia viene individuato un rischio molto basso che identifica una minaccia remota e comunque rapidamente reversibile od ovviabile. ? Media. Con questa soglia viene individuato un rischio superiore al precedente identificante una minaccia remota ma i cui effetti non sono totalmente o parzialmente reversibili od ovviabili. In tale caso è già consigliabile pensare ad accorgimenti per contenere il rischio. ? Grave e Gravissimo. Li trattiamo insieme, perché con queste soglie vengono individuati rischi che è sicuramente inaccettabile pensare di correre. Pertanto dovrà sicuramente essere attivato un insieme di contromisure (di natura fisica, logica, etc..) per abbattere il rischio e contenerlo in livelli accettabili.

3. Definizione ed attuazione della Politica di Sicurezza Aziendale. Procedendo dall’analisi dei rischi occorrerà definire un piano di sicurezza aziendale. Questo presenterà l’insieme delle misure fisiche, logiche ed organizzative che si adottano per tutelare le strutture preposte al trattamento dei dati. Per definire un piano di sicurezza proporzionato alle reali esigenze aziendali, ed efficiente, occorrerà partire dall’analisi dei rischi condotta in precedenza, cercando di adottare quelle misure che vanno maggiormente a contrastare le minacce più gravi alla struttura ed agli strumenti che operano il trattamento dei dati.

4. Piano di verifica delle misure adottate. La verifica dell’efficacia e della validità nel tempo delle misure di sicurezza adottate è punto fondamentale di tutto il processo per Ia sicurezza. Molto spesso la bontà di una soluzione adottata si può valutare solo ?monitorando? nel tempo gli effetti di questa soluzione, oppure nel caso dei backup, effettuare dei test di disaster recovery ripristinando saltuariamente alcuni dati e archivi.

Conclusioni

Pianificare un piano di backup economico ed efficiente presuppone una serie precisa di attività preliminari. Un buon sistema per partire da zero è quello di considerare le linee guida contenute in numerosi documenti ufficiali Decreti leggi, normative o case history adottate da grandi società. Nel corso dell’articolo per esempio abbiamo sviluppato le indicazioni contenute nel Documento Programmatico SUlla Sicurezza, che pur applicandosi ad un ambito di maggior portata, nel dettaglio possono tranquillamente essere considerate anche solo per la definizione delle lineee guida per lo sviluppo di un piano di backup aziendale. Partire dalle indicazioni contenute in documenti ufficiali e normative ha anche un altro vantaggio in quanto i risultati raggiunti consentiranno all’azienda di trovarsi in linea con la normativa vigente. In ogni caso, e indipendentemente da qualsiasi altra considerazione possa essere fatta resta valida la seguente regola: “tutte le aziende, indipendentemente dalle dimensioni, devono disporre di una strategia di backup dei dati attentamente pianificata al fine di proteggere le informazioni aziendali di importanza vitale”.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore