[WORLD BACKUP DAY] Cosa potrebbe accadere se perdessi tutti i tuoi dati aziendali?

Il 31 marzo ricorre la Giornata Mondiale del Backup che ci ricorda quanto sia fondamentale per un’azienda tutelare la conservazione dei propri dati e quelli dei propri clienti, sia di tipo finanziario che tecnico-operativo. 

Se ormai è assodata l’importanza di un backup plan, ovvero di un piano che stabilisca le procedure per la creazione e la gestione del backup dei dati rilevanti per l’azienda, la sua applicazione può ritenersi davvero sufficiente per poter affermare che l’azienda è sicura? 

 

L’esperienza insegna: qualche esempio da non imitare 

Vi vogliamo raccontare 3 episodi in cui ci siamo imbattuti assieme agli esperti di cybersecurity AptGetDefence, e che hanno avuto conseguenze molto gravi per l’azienda protagonista, augurandoci di fornire alcuni spunti di riflessione. 

 

1. L’assenza di un adeguato monitoraggio 

L’azienda era dotata di un sistema di backup in house, composto da più dischi ridondati (ciascuno, quindi, era una copia degli altri); nel corso di un intervento di manutenzione si riscontra che in realtà si è verificato un guasto sul backpanel (il pannello posto sul retro del sistema di backup su cui è collegato l’alimentatore), di conseguenza il backup risultava disattivato senza che ve ne fosse la consapevolezza in azienda. 

Non solo. 

Nel corso del medesimo intervento di manutenzione è anche emerso che uno dei dischi fissi del server centrale dell’azienda (server collegato al backup di cui sopra) risultava non più funzionante. La conseguenza è stata che i dati nell’hard disk compromesso sono andati irrimediabilmente perduti e l’involontaria disattivazione del backup, non ne ha consentito il recupero. 

Nel nostro caso essendosi guastato il server del reparto amministrativo aziendale, la perdita definitiva dei dati personali in esso contenuti, ha determinato un data breach che, ai sensi dell’art.33 del GDPR comporta una comunicazione al Garante. 

Come si sarebbe potuto evitare tutto questo? 

La macchina che esegue il backup deve essere periodicamente monitorata e sarebbe opportuno segnalare senza indugi ogni possibile malfunzionamento alla funzione IT all’interno dell’azienda o al tecnico di fiducia. 

Una precisazione importante: il monitoraggio del backup consiste non solo nel controllare che il sistema funzioni ma anche e soprattutto nel controllo periodico della leggibilità dei backup stessi. 

 

2. Un errato metodo di backup 

A seguito di copiose precipitazioni stagionali, i locali aziendali sono stati oggetto di allagamento. 

Tra questi anche gli uffici dove erano ospitate le macchine di backup che, a causa delle infiltrazioni d’acqua, hanno provocato un cortocircuito bruciando completamente i dischi e provocando la perdita di tutti i dati e le informazioni aziendali. 

L’operatività aziendale ha subìto così un totale blackout. 

Si sarebbe potuta scongiurare questa perdita? 

Sicuramente grazie ad un corretto metodo di backup (c.d. metodo di backup 3-2-1) che prevede la creazione di 3 copie dei dati aziendali, dislocate in supporti differenti e luoghi fisicamente separati. 

 

3. Un insufficiente perimetro di sicurezza informatica 

È sotto l’occhio di tutti il costante incremento degli attacchi informatici.  

In particolare, ransomware, come quello subìto da un’azienda che al rientro dal week-end è stata costretta a constatare il totale blocco della propria operatività a causa della criptazione dei sistemi di backup. 

Infatti, dopo un periodo di stanziamento nell’infrastruttura aziendale per acquisire i dati di accesso al server, gli hacker sono riusciti a distruggere il backup aziendale chiedendo un elevato riscatto alla società per poter rientrare nel possesso delle proprie informazioni. 

Si sarebbe potuto evitare?  

Certamente. 

Dapprima attraverso un corretto sviluppo di un perimetro di sicurezza informatica aziendale adeguato e, successivamente, con la migrazione in cloud dei server adibiti all’archiviazione e conservazione delle informazioni aziendali.  

 

Il consiglio finale 

Per costruire un sistema di backup sicuro e affidabile sono necessarie competenze specifiche nel campo dell’IT e del management, tra cui la conoscenza delle tecnologie di backup, la pianificazione delle strategie e il monitoraggio del sistema.  

Affidarsi a dei professionisti esperti è fondamentale per garantire una corretta progettazione e implementazione di un business recovery plan e di un backup plan che siano adatti alle esigenze dell’azienda.  

È importante che le business reasons guidino il progetto, per proteggere in modo affidabile i dati e le informazioni aziendali e garantirne il rapido ripristino in caso di data breach.  

Una volta svolta questa progettazione, il reparto IT dell’azienda o un supporto tecnico esterno potranno trasformarlo in uno stack tecnologico adeguato e gestire la manutenzione regolare del sistema di backup 

Inoltre, sarà opportuno mantenere le tecnologie di backup costantemente aggiornate e verificare l’integrità dei dati per garantire la loro disponibilità̀ in caso di emergenza.  

Veronica Zanibellato

Veronica Zanibellato

Nata a Padova, laureata presso l’Università degli Studi di Padova, è stata abilitata alla professione forense nel 2020. Legal specialist presso società bancarie e immobiliari, occupandosi della redazione e della revisione dei contratti ha contribuito alla redazione di modelli contrattuali semplificati, volti a garantirne la trasparenza e l’equilibrio tra le parti coinvolte secondo l’applicazione del legal design. Si occupa di diritto civile, diritto societario, diritto immobiliare e contrattualistica. Pratica tennis e nuoto, nel tempo libero ama fare escursioni o leggere un buon libro.