Punto 6- Backup e Cloud
«Non servirà un backup. Servirà un restore». Le nuove minacce alla sicurezza impongono un totale ripensamento delle strategie di archiviazione e di backup. Oltre a rispondere ai bisogni tradizionali di ripristino di archivi, oggi il backup è diventato un tassello essenziale per garantire la continuità del business. I criminali informatici lo sanno e faranno di tutto per renderlo inservibile per spingere a pagare un riscatto per riavere i propri dati. Oggi, con una spesa sostenibile da tutti, è possibile adottare politiche di archiviazione dati e di backup, con il supporto delle tecnologie Cloud, che possono contribuire a ridurre sensibilmente l’impatto sull’integrità e disponibilità dei dati in caso di incidente. È importante però privilegiare sempre un ambiente Cloud serio, affidabile e ridondato, avendo cura di verificare che i dati personali siano archiviati, in osservanza al GDPR, in un Paese dell’Unione Europea e che vengano mantenuti adeguati profili di sicurezza in tutto il ciclo di vita del dato. Occorre anche prestare attenzione alle possibili problematiche geopolitiche ed ingerenze straniere nella gestione dei grandi Cloud.
COSA FARE?
- Predisporre policy sui dati condivisi, evitando che gli stessi vengano polverizzati su supporti inadeguati o non autorizzati (chiavette, dischi, cloud privati) a rischio di diffusione o distruzione;
- Procedere ad una revisione ed aggiornamento frequente sull’adeguatezza della politica di backup. Verificare se i dati salvati sarebbero sufficienti a consentire una risposta rapida in caso di incidente;
- Effettuare con regolarità delle verifiche sull’efficacia dei backup. Simulare il ripristino di dati e sistemi con un controllo puntuale della reale consistenza di quanto è stato copiato e ripristinato. Se il sistema di backup prevede verifiche automatiche, attivarle;
- Pianificare l’archiviazione in Cloud del backup con adeguati meccanismi allo stato dell’arte rispetto alle ultime tecniche di attacco;
- Valutare lo spostamento in Cloud di eventuali archivi condivisi, mantenendo sempre sotto controllo i diritti di accesso, facendo in modo che gli stessi vengano ereditati automaticamente dai sistemi aziendali;
- Verificare con i fornitori la politica di backup su servizi in data center esterni (es. Sito Internet). Spesso per tenere bassi i costi non è previsto alcun servizio di backup e di ridondanza geografica con il rischio di perdita totale in caso di incidente.
Per approfondire leggi anche "PuntoZero - Un percorso di avvicinamento alla Sicurezza Informatica nelle imprese":
clicca qui per consultare "IL VOCABOLARIO DELLA SICUREZZA"