Backup cos’è, cos’è quali sono le differenze con il disaster recovery. Una nuova guida pratica preziosa al centro di #DataRevolution la rubrica multipiattaforma costruita in collaborazione con ICOS.

Nel lessico della sicurezza informatica risulta frequente imbattersi in termini quali backup e disaster recovery, senza contare tutte le implicazioni con la protezione e la gestione dei dati orientata a garantire la continuità di business di un’azienda.
La diffusione dei servizi in cloud ha ulteriormente variegato lo scenario, offrendo nuove opportunità in ambito IT, contestualmente alla crescente complessità strategica che deriva dal mettere a punto misure efficaci per la sicurezza dei dati, in grado di rispettare un quadro normativo in continua evoluzione.

Preso atto di uno scenario evolutivo oggettivamente variegato e complesso, in questo articolo cercheremo soprattutto di fare chiarezza sulla natura del backup, sulle sue applicazioni in cloud e sugli aspetti che lo distinguono dal disaster recovery.

[Vuoi conoscere la strada del vero Disaster Recovery sicuro e di valore a misura di ripartenza e di rivoluzione cloud? Scopri la rivoluzione firmata Oracle , scarica qui l’esclusivo White paper]

Backup: cos’è e come gestirlo in azienda

Nella sua accezione gergale, il backup consiste nella copia di file e cartelle per poterli ripristinare in caso di imprevisti che vanno dalla perdita accidentale, al salvataggio sbagliato, alle infezioni virali, fino alla rottura dei supporti informatici su cui sono fisicamente salvati. Giusto per citare alcune tra le cause più comuni di incidenti sui dati che possono causare non pochi problemi anche al semplice utente domestico, spesso ignaro dei rischi che corre senza un’adeguata strategia di backup.

Nel contesto aziendale, tali fattori assumono una maggior rilevanza, considerando che il dato è un’entità che esprime pienamente il concetto di asset, di risorsa univoca, non sostituibile nel caso in cui venisse irrimediabilmente perduta. Tale riflessione, nella praticità operativa, rende opportuno effettuare un versionamento dei dati, ossia una fotografia (snapshot) dello stato di un sistema in una determinata condizione, ai fini di poterla ripristinare nel caso di un imprevisto.

Il backup costituisce pertanto il luogo dove vengono effettuate le copie dei dati aziendali, con criteri che partono molto spesso da considerazioni di buon senso, in primis la distribuzione delle copie stesse su repository collocate in sedi fisiche differenti, onde evitare che una calamità possa compromettere tutti i data center. Quella che può apparire una considerazione banale, nella pratica non lo è, come dimostrano i milioni di account che hanno irrimediabilmente smarrito le loro risorse online in un incendio che ha interessato un noto cloud provider francese.

Come vedremo tra pochi paragrafi, coinvolgendo anche il disaster recovery, una corretta strategia di backup aziendale rientra in un contesto più ampio, orientato alla formazione di un vero e proprio piano di continuità di business (BCP – Business Continuity Plan).

Il cloud backup: le opportunità e vantaggi del Backup as a Service (BaaS)

Nella sua concezione tradizionale, di per sé tuttora valida, il backup veniva eseguito su infrastrutture proprietarie, duplicando i dati in più posizioni. Negli ultimi anni il mercato IT ha visto progressivamente imporsi il cloud backup, o Backup as a Service (BaaS), un metodo di data storage in remoto in cui file e cartelle vengono duplicati in sincronia da provider terzi, che li ospitano su infrastrutture IT di loro proprietà, in una posizione accessibile tramite la rete internet.

Il Backup as a Service è genericamente più semplice da gestire rispetto a quello in locale, on-premises, dal momento che il servizio è automatizzato dall’infrastruttura IT del provider, che assorbe tutta la complessità, lasciando al cliente soltanto un comodo pannello di controllo con cui monitorare lo stato del servizio e pianificare le operazioni di cui necessita. Il provider BaaS si occupa di mantenere la propria struttura sia dal punto di vista hardware / software che di garantire i più elevati standard di sicurezza per la conservazione e la protezione dei dati, in conformità con quanto disposto dalle normative vigenti.

A seconda delle esigenze e delle condizioni normative da rispettare in relazione ai dati da conservare, è possibile avvalersi di un cloud privato, dove l’azienda trova risorse IT dedicate ai propri servizi, oppure di un cloud pubblico, che il provider mette a disposizione di più clienti. Entrambe le condizioni prevedono specifiche SLA (Service Level Agreement) cui i responsabili aziendali possono far riferimento per valutare la congruità rispetto ai loro obiettivi prestazionali ed economici.

Una condizione molto ricorrente è il cloud ibrido, ossia l’impiego simultaneo di più servizi in cloud pubblico e privato. È inoltre piuttosto frequente del multicloud, ossia avvalersi di più servizi BaaS su cloud pubblico, offerti da provider differenti, per distribuire il rischio ed evitare il cosiddetto lock-in, che subentra nella spiacevole condizione in cui si diventa tecnicamente o proceduralmente dipendenti da una singola offerta, dunque in balia delle possibili variazioni unilaterali che potrebbero manifestarsi nel corso del tempo.

Tra i vantaggi fondamentali di un BaaS ritroviamo quelli essenziali del cloud: zero investimento iniziale in infrastrutture, limitando il parco skill richiesto al reparto IT, il che equivale a pagare soltanto per i servizi che effettivamente si acquistano, in funzione delle proprie esigenze.

Un ulteriore vantaggio, forse il più interessante a livello strategico, è dato dalla scalabilità del cloud, in quanto i provider BaaS sono in grado di mettere a disposizione, in qualsiasi momento, ulteriori risorse nel caso in cui i carichi di lavoro da dedicare al backup aumentassero. In questo caso l’azienda non deve preoccuparsi di fare investimenti a prescindere, ma può facilmente prevedere i costi da affrontare sulla base di un listino prezzi chiaro, che generalmente prevede soluzioni adatte al budget delle PMI e delle grandi aziende, che dispongono di un numero di utenti mediamente molto più elevato.

Un provider BaaS deve innanzitutto garantire una dotazione informatica evoluta, capace di replicare i dati sui data center fisici e negli storage virtuali, secondo le condizioni previste dalle SLA. In questo frangente sono decisamente utili i cosiddetti servizi gestiti, grazie ai quali il provider può occuparsi in toto del processo di backup & restore, liberando il reparto IT aziendale dalle pratiche di routine, in favore di attività più strategiche ed innovative.

[Oracle ti aiuta a gestire il disaster recovery e a ripartire subito in caso di blocco o attacco cyber, qui tutti i dettagli , scopri come qui]

I dati in cloud: il caso del Software as a Service

I dati costituiscono la linfa vitale per qualsiasi organizzazione. Alcune recenti ricerche dimostrano come oltre la metà delle aziende che hanno subito la perdita di dati effettivamente critici, siano destinate a chiudere nel giro di sei mesi. Le minacce sono molteplici, anche laddove, spesso in totale buona fede, si crede di essere al sicuro.

Negli ultimi anni si sta diffondendo in maniera molto consistente il modello a servizi, anche per quanto riguarda il software, erogati in rete in modalità SaaS (Software as a Service), senza prevedere installazioni in locale. Ma come vengono gestiti i dati in SaaS, laddove si è totalmente in balia di servizi di terzi?

Di base, le policy dei SaaS non garantiscono una tutela al 100% dei dati, né la capacità di ripristinare gli eventuali dati persi in maniera immediata, anche qualora fossero disponibili nei servizi di backup automatici che solitamente sono compresi nel servizio. Nel caso di un SaaS le condizioni di sicurezza previste dai provider cloud sono di base molto elevate, ma il fatto di avere molti punti di accesso dalla rete li pone in una condizione molto ambita da parte degli attacchi malevoli. A ciò vanno naturalmente aggiunti gli errori umani dei dipendenti nel gestire i file di lavoro. Un rischio concreto soprattutto nei progetti che prevedono la collaborazione di più figure.

Quando si inserisce nella pipeline aziendale un SaaS, è importante assicurarsi che sia associato un BaaS, le cui condizionali contrattuali siano conformi alle esigenze dell’azienda. In altri termini, un servizio capace di automatizzare i servizi di backup & restore correlati ai dati gestiti dall’applicazione in remoto. In caso contrario, si entrerebbe in un limbo caratterizzato da un’eccessiva casualità, che potrebbe rivelarsi critico nel caso in cui manifestasse un’emergenza.

Un esempio di SaaS molto diffuso anche in Italia è Microsoft Office 365. Forse non tutti sanno che anche per Office 365 è necessario prevedere un servizio di Backup aggiuntivo rispetto ai livelli di servizio offerti dai contratti Microsoft.

Scopri come risolvere la tua esigenza di Backup di Office 365 con il suo servizio di SaaS Backup.

Backup e Disaster Recovery: strategie differenti per la continuità di business

Sin dalle premesse abbiamo specificato come backup e disaster recovery siano due aspetti complementari nella data strategy di un’azienda, pur essendo sostanzialmente differenti nei metodi, nelle tecnologie impiegate e negli obiettivi da perseguire.

Il backup opera in maniera estremamente granulare, sui singoli file, effettuando copie con logica point-in-time (PIT), facendo una fotografia (snapshot) del sistema informativo in un momento specifico, con l’obiettivo di ripristinarlo nelle medesime condizioni anche in un momento successivo. Un sistema di backup è solitamente associato ad un sistema di recupero dei dati, che consente di ripristinare file e cartelle nel point-of-time desiderato.

Nel caso del disaster recovery, l’obiettivo è quello di conservare e ripristinare l’intero sistema IT nel caso di downtime, incidenti o qualsiasi episodio possa minare la continuità di business dell’azienda, cui corrisponde un danno significativo sia dal punto di vista economico che produttivo. In termini pratici il disaster recovery predispone una o più repliche dell’intera infrastruttura IT.

Le aziende tendono a dotarsi di un Disaster Recovery Plan (DRP), documento che comprende le misure tecnologiche e procedurali utili a ripristinare nel minor tempo possibile l’operatività, che a sua volta è ricompreso nel più ampio Business Continuity Plan (BCP), che contempla anche gli aspetti relativi al backup.

Anche per il disaster recovery è possibile avvalersi di servizi in cloud, noti come Disaster Recovery as a Service (DRaaS), in grado di minimizzare i tempi di down in caso di incidente, grazie al pronto ripristino garantito dalle macchine virtuali su cui è strutturata la replica dell’infrastruttura IT aziendale. La sicurezza delle informazioni viene garantita da sistemi di crittografia atti a proteggere sia i repository che i flussi di dati. I provider cloud specializzati in backup e disaster recovery offrono molto spesso servizi in grado di coordinare l’azione di entrambe le procedure di business continuity.

Gli standard di riferimento per la sicurezza e la resilienza

La continuità operativa, messa nero su bianco in un Business Continuity Plan, prevede vari modelli di riferimento, capaci di fungere da linea guida. In particolare esiste uno standard definito dalla norma UNI EN IS 22301 Sicurezza e resilienza: “Sistemi di gestione per la continuità operativa”, finalmente disponibile anche in lingua italiana a partire dal 2020. La norma è basata sul ciclo di DEMING “Plan-Do-Check-Act” basato sul miglioramento continuo. La formazione del sistema di ripristino prevede cinque fasi:

  • Valutazione del danno potenziale: costituisce l’assessment iniziale si basa sulla stima delle conseguenze causate dall’indisponibilità delle normali condizioni operative. Le due grandezze di riferimento più utilizzate sono la RTO (Recovery Time Objective) e la RPO (Recovery Point Objective). Nel primo caso si valuta il tempo necessario per ripristinare i sistemi informatici, nel senso il tempo che intercorre tra la produzione di un dato e la sua messa in sicurezza. Sia il RTO che il RPO contemplano direttamente sia il backup che il disaster recovery.

Questa fase, preliminare al vero e proprio ciclo di DEMING risulta fondamentale per definire le policy relative al backup e al rispristino (sicronia, asincronia, condizioni ammissibili per le operazioni real time, near real time, ecc.)

  • PLAN – Pianificazione delle misure tecnologiche ed organizzative per abbattere il livello di rischio, attraverso la predisposizione di soluzioni, processi e risorse per prevenire e gestire l’emergenza nel caso in cui dovesse verificarsi.
  • DO – Implementazione di sistemi e procedure di supporto per eseguire l’ordinaria conservazione e salvataggio dei dati e delle configurazioni.
  • CHECK – Periodica verifica dell’efficienza delle procedure di gestione dell’emergenza.
  • ACT – Pianificazione della strategia di miglioramento continuo dell’intero sistema IT, con la progressiva eliminazione di tutte le condizioni ritenute non conformi.

Backup, disaster recovery e GDPR

Le condizioni descritte in precedenza sono soggette ad ulteriori condizioni nel caso in cui l’azienda di riferimento sia una pubblica amministrazione, soggetta a specifiche normative per la conservazione e il trattamento dei dati. Un caso ricorrente è caratterizzato dalle strutture sanitarie, che dispongono di informazioni riservate dei pazienti, piuttosto che dagli uffici dei vari enti locali.

Le pubbliche amministrazioni dispongono di linee guida specifiche per il disaster recovery, ma per estendere il concetto a tutte le realtà aziendali è sufficiente fare riferimento a quanto previsto dal GDPR. Sintetizzando il contenuto di vari articoli, i responsabili per la conservazione e il trattamento dei dati sono tenuti ad adottare tutte le misure tecniche e procedurali utili a garantire l’integrità delle informazioni, oltre a disporre un’adeguata capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico.

Il legislatore traccia pertanto una linea guida, cui far riferimento per adattare i procedimenti tecnologici e organizzativi necessari per la protezione, la gestione e l’eventuale ripristino dei dati nel caso in cui incorrano le condizioni di emergenza.

Nel caso in cui si scelga di utilizzare un Backup as a Service, è importante valutare il fattore geografico e controllare con grande attenzione le condizioni contrattuali relative alla conservazione e al trattamento dei dati.

Molto spesso i data center che ospitano i servizi di backup & restore sono fisicamente ubicati in nazioni extra UE, a prescindere dal fatto che ci si avvalga di un server fisico o virtuale. In tal caso, il quadro normativo non coincide direttamente con le condizioni espresse dal GDPR europeo, per cui, soprattutto se il backup prevedesse dati sensibili, è molto importante fare le opportune valutazioni e verifiche, per evitare di incorrere in pesanti sanzioni. Ciò a prescindere dalla validità del servizio e dal rispetto delle buone prassi tecniche ed organizzative previste dal GDPR.

Backup: cos’è e quali sono le differenze con il disaster recovery ultima modifica: 2022-04-13T11:10:00+02:00 da Francesco La Trofa

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui