Perché parlare di archiviazione dei dati nel topic della sicurezza informatica? Può sembrare un collegamento senza senso, ma se riflettiamo un po’ capiremo che così non è. La cybersecurity aziendale ha a che fare con la protezione dei dati.
L’archiviazione dati si può intendere sotto due punti di vista:
- La memorizzazione di dati storici, di uso non più frequente: questo senso è chiaro a tutti;
- La copia di dati che sono fuori dalla nostra esclusiva portata fisica, come i dati memorizzati in un cloud: e questo è meno chiaro.
L'importanza di una corretta procedura di archiviazione dati
Nel primo caso, una corretta procedura di archiviazione dati aziendale sposta quelli considerati “freddi”, quindi ormai non acceduti da tempo, in un contenitore “sicuro”, dove sappiamo possono essere facilmente ritrovati. Ma allora perché non tenerli in produzione Perché, il fatto che siano considerati di poco valore fa sì che molti li considerino anche “perdibili”.
Tante volte mi sono sentito dire: “Questi dati, anche se si rompe il disco, possiamo perderli. Poi, però, capita che di quel dato se ne aveva bisogno. Ecco allora che un corretto sistema di archiviazione dati, ovvero di spostamento del dato dall’ambiente di produzione ad uno meno nobile e performante di archiviazione, è una vera e propria best practice. . Poi la domanda cruciale è sempre la stessa: per quanto tempo conservare questi dati? Il mercato ci insegna che costa meno tenerli, piuttosto che ragionare su quando cancellarli.
Lascio a ciascuno dare la propria risposta.
Il backup e la copia dei dati: perché è importante eseguirla
Il secondo caso, quello della copia dei dati, va spiegato bene e, per questo, partiamo da un assunto legato al GDPR.
Tutte le indicazioni del Garante Privacy sottolineano quanto sia necessario fare una copia di tutti i dati presenti nel cloud, copia che deve essere “nelle mani del titolare”. Come tradurre questa espressione è lasciato alla libera interpretazione; ovvero, può essere con una copia in casa, in un altro cloud o altre invenzioni personali. Allora qual è la ratio di tale indicazione? Sono diverse, ma ne sottolineo un paio:
- Exit strategy: se voglio cambiare cloud provider, posso avere tutte le clausole contrattuali che voglio (fatto salvo che normalmente si firmano quelle immodificabili del cloud provider), ma dipendo dai tempi del fornitore. Avere una copia dei dati nelle proprie mani ci libera da questo fardello;
- Disaster Recovery: i cloud provider non sono solo AWS, Google e Microsoft, anche se ricordo che colossi del calibro di Yahoo hanno affrontato disastri impegnativi (disastro non è solo l’incendio, ma anche l’attacco informatico). Un cloud provider può incorrere in problemi che danneggiano o fanno perdere i dati: una copia nelle mani del titolare, anche su supporti meno nobili, ci cautela da tale rischio enorme e tutt’altro che remoto.
Detto ciò, spero di aver fornito idee chiare che portino all’archiviazione, alla salvaguardia e all’ integrità dei dati. È il buon senso che guida l’attività imprenditoriale, e lo stesso avviene nella gestione dei sistemi informativi. Prevenire piuttosto che curare: la regola aurea dell’investimento informatico.