Nella pillola precedente abbiamo visto che cos’è il backup, a cosa serve, quali rischi si corrono a non effettuarlo e come si procede alla sua esecuzione.
In questa pillola continuiamo ad esplorare il mondo del backup, strumento fondamentale per la tutela del patrimonio informatico aziendale e personale. In particolare, parleremo della strategia che al momento risulta più adatta per tutelare i dati dai criminali informatici e da altre minacce (ad esempio cancellazioni accidentali, guasti hardware software, eventi naturali, ecc.).
La regola 3-2-1-1-0
Vediamo nel dettaglio che cosa rappresentano i numeri indicati nella regola.
3 – Gestire tre copie dei dati
Con tre copie si intende che, oltre ai dati primari, si dovrebbero avere almeno altri due backup.
Questo perché la possibilità che qualcosa vada storto con tre dispositivi contemporaneamente è molto più bassa che con due dispositivi, soprattutto quando il backup primario è situato vicino ai dati primari. In caso di disastro, i dati primari e il backup primario potrebbero essere persi. Il backup secondario è spesso situato da un’altra parte e potrebbe essere la soluzione in caso di tale disastro.
2 – Memorizzare i backup su due supporti diversi
Non è consigliabile archiviare le due copie del backup sullo stesso tipo di supporto di archiviazione. È meglio archiviare una delle copie su unità disco rigido interne e l’altra copia su supporti di archiviazione rimovibili (ad esempio nastri, unità disco rigido esterne, cloud storage, ecc).
In alternativa, il backup primario può essere inserito su unità disco rigido interne di un server fisico, mentre il backup secondario su unità disco rigido interne di un NAS: in questo caso, le unità disco rigido di entrambi i sistemi devono essere di marca, dimensione e tipo diversi.
1 – Archiviare almeno una copia in una sede esterna
Si consiglia di conservare almeno una copia dei backup lontano dalla posizione fisica in cui si trovano i dati primari e il backup primario. Non è una buona idea conservare la seconda copia nella stessa posizione fisica. Immaginiamo un disastro come un incendio, un’inondazione, un terremoto, tutto potrebbe essere distrutto: dati primari, backup primario e backup secondario.
Se l’azienda non ha una filiale o un ufficio remoto, un’alternativa potrebbe essere quella di salvare una copia presso un service provider in un cloud privato o di salvare una copia nel cloud pubblico.
Un’altra alternativa può essere la scelta di utilizzare nastri o altri supporti rimovibili e trasportarli regolarmente lontano dall’azienda per conservarli in un luogo sicuro. È consigliabile inoltre proteggere tali backup con una chiave di crittografia.
1 – Conservare almeno una delle copie offline
È buona prassi conservare almeno una copia dei backup offline. Con offline si intende che non ci sono connessioni con l’infrastruttura ICT (rete, USB, il nastro che deve essere espulso, ecc.). Se un hacker dovesse accedere al sistema informatico, tutto ciò che ha una connessione online può essere attaccabile. Pertanto, avere un backup offline permette di far in modo che l’hacker non possa accedervi. Questo tipo di backup offline è anche chiamato backup airgapped. Alcuni esempi sono i dischi USB, i nastri o l’archiviazione di oggetti con immutabilità.
0 – Assicurarsi di avere backup verificati senza errori
I backup sono validi solo nella misura in cui vengono verificati. Innanzitutto, i backup dovrebbero essere monitorati quotidianamente, in modo da scoprire subito eventuali errori e risolverli il prima possibile. In secondo luogo, a intervalli ricorrenti, è necessario eseguire test di ripristino, ripristinando appunto i dati dai backup e verificando che tutto sia corretto.
Come organizzare i dati per il backup?
Per poter rendere il più semplice possibile la gestione dei backup, è necessario organizzare le informazioni in modo opportuno. Il metodo più semplice è quello di definire l’attualità del dato, in modo da poterne poi differenziare il tipo di backup:
· dati attivi, usati e/o modificati attualmente o recentemente
· dati inattivi, usati o modificati in un passato abbastanza lontano
· dati inutili, il cui impatto per l’eventuale perdita è nullo
Gli ultimi sono i più difficili da individuare. Infatti, si tende a pensare che tutti i dati potrebbero servire di nuovo, ma nella realtà molti risultano appartenere alla terza categoria.
Questo tipo di categorizzazione può essere applicata anche ad un singolo file, ma è molto più semplice applicarla a cartelle o strutture di cartelle, presupponendo un’organizzazione logica di queste fatta a monte. Se da una parte non esistono regole generali, è anche vero che alcuni esempi di situazioni comuni possono risultare utili:
· documenti vari, da suddividere per categoria o tipologia (se sono parecchi, prima per anno)
· posta elettronica, da suddividere per anno, poi per altri criteri (es. clienti/fornitori)
· contabilità, da suddividere per anno
· progetti, da suddividere per fasi se sono a durata pluriennale, altrimenti meglio prima raggruppare i progetti per anno
· database, da considerare come un’entità unica (a meno che non sia di dimensioni troppo grandi per poter fare backup ripetuti)
In conclusione
Organizzare e mantenere i dati in maniera efficiente è un’attività impegnativa, ma sarà senz’altro ripagata in caso di situazioni in cui i dati si trovino in pericolo.
Ricorda che l’Area Legale di Ascom Padova offre un servizio dedicato a sostenere le aziende in materia di cybersecurity, privacy e conformità al GDPR.
Puoi richiederci informazioni per l’adeguamento al GDPR Privacy compilando il form a questo link.
Contattaci legale@ascompd.com o chiamaci 049/8209741.
Ascom Servizi Padova spa
Padova, 29 ottobre 2025