La Giornata Mondiale del Backup compie 10 anni!

Nata nel 2011, ogni 31 marzo viene celebrato il “World Backup Day“, pensata per sensibilizzare gli utenti sull’importanza di eseguire con una certa frequenza copie di backup dei propri dati. Perdere lo smartphone, dare un colpo accidentalmente al portatile o uno sbalzo di corrente, sono incidenti che capitano quotidianamente e possono compromettere i dati del tuo dispositivo.

Basta una copia? No tre!

Il numero perfetto è tre, infatti perchè il processo di backup sia efficace si consiglia di provvedere ad una copia su chiavetta USB, una su disco esterno e una su server o cloud. E’ capitato anche a noi in passato che nonostante le copie ridondanti, gli HDD si rompessero a distanza di pochi minuti l’uno dall’altro, e questo è seccante.

Provvedere in maniera automatica

Altro consiglio è quello di non averlo come pensiero quotidianao o settimanale. Meglio avere un sistema di backup automatico che lavora per noi anche quando abbiamo l’agenda molto piena e quello di una copia dei dati è l’ultimo dei nostri pensieri, fino a quando… fino a quando i dati non sono più raggiungibili, l’hard disk non è più visto in rete e… dobbiamo ripristinare tutto. Ok ho i dati, ma non ho mai fatto un  ripristino totale del sistema.

Il restore, ossia il ripristino del sistema

Avere una, anzi tre copie aggiornate del nostro sistema è una grande cosa, ma non fare periodicamente dei test di restore potrebbe trasformarsi in un’esperienza drammatica nel momento in cui questo ti vienga richiesto dagli eventi. Ecco dunque che predisporre periodicamente dei test di recocery deve assolutamente diventare un appuntamento una o più volte all’anno, a seconda della quantità e criticità dei sistemi che utilizziamo.

Cosa dicono le norme

Il tema della continuità operativa è profusamente trattato dalla ISO 22301 – Security and Resilience, Business Continuity Management Systems. Per trovare però delle indicazioni precise sui controlli da operare ci rifacciamo alla ISO 27002 al punto 12 Sicurezza delle Attività Operative. Ricordiamo infatti che la perdita di dati sia un problema Integrità prima ancora che di Disponibilità o Riservatezza. Il famoso acronimo RID, Riservatezza, Integrità e Disponibilità, infatti fornisce indicazioni precise su come deve intedersi la Sicurezza delle Informazioni. Non avere più un dato, perchè rubato o perso irrimediabilmente è una mancanza di integrità.

Ricordiamo a tal proposito del definizioni secondo la norma ISO 27000:

Riservatezza (Confidentiality): proprietà di una informazione di non essere disponibile o rivelata a individui, entità o processi non autorizzati;

Integrità (Integrity): proprietà di accuratezza e completezza:

Disponibilità (Availability): proprietà di essere accessbilie e utilizzabile (entro i tempi previsti) su richiesta di un’entità autorizzata.

Il non avere più un dato è il livello estremo di mancanza di integrità (generalmente inteso come correttezza); non è solo o principalmente di riservatezza, se sono stati irrimediabilmente cancellati, nessun altro potrà accedervi, se sono stati rubati, perde anche di riservatezza e allo stesso modo possono essere modificati perdendo di integrità. Non è solo o principalmente di disponibilità, in quanto, come da definizione, il dato non deve essere necessariamente disponibile sempre, ma a chiamata, cioè a fronte di richiesta autorizzata. Il dato potrebbe non essere disponibile per qualche ora al giorno, ma se nessuno lo ha richiesto non siamo davanti ad un problema di disponibilità.

La ISO 27002 al punto 12 approfondisce la “Sicurezza delle Attività Operative”, insieme al controllo delle procedure operative e le relative responsabilità, vengono affrontati problemi relativi alla gestione dei cambiamenti, gestione della capacità, separazione degli ambienti di test dalla produzione, protezione dai malwares e i backup. Al punto 12.3 si approfondisce l’obiettivo di proteggere dalla perdita dei dati. Il controllo in questo senso è molto preciso: dovrebbero essere effettuate copie di backup delle informazioni, del software e delle immagini dei sistemi e sottoposte a test periodici. Oltre alla necessità di avere più copie di backup, si sottolinea l’importanza di averle anche separate anche fisicamente, in ambienti diversi in modo tale che un evento come un incendio non vada a distruggere tutte le copie disponibili. Non ultima la necessità di garantire la riservatezza (questa volta si), predisponendo una protezione con mezzi crittografici.

Chiudiamo con il giuramento che veniva riportato nel sito ufficiale del World Backup Day:

“Giuro solennemente che il 31 marzo farò il backup dei miei documenti e ricordi preziosi”.

E tu, hai fatto il backup?