Perché fare il backup: parte 1

Un dato o un file o l’intero file system o un servizio o l’intera rete aziendale potrebbero esser corrotti o non più utilizzabili per diversi motivi:

  • per un errore di un dipendente o di un operatore;
  • per problemi con il software;
  • perché il file system si è rovinato;
  • per problemi hardware;
  • per un virus informatico o per l’intromissione di un hacker;
  • per un disastro strutturale o per una calamità naturale.

Perché fare il backup: parte 2

Inoltre se si hanno dati sensibili in base al GDPR è necessario avere un sistema di backup:

  • sicuro, meglio se i dati siano criptati con algoritmi sicuri prima di esser salvati;
  • sempre attivo in modo da avere a disposizione tutti gli aggiornamenti;
  • facile da ripristinare in tempi brevi e quindi necessariamente la disponibilità dei dati anche in caso di incidente fisico o tecnico;
  • una procedura (meglio se scritta e dettagliata) di come fare per ripristinare il sistema. Tale procedura andrebbe testata regolarmente;

Tutto ciò è presente nella sezione 2 (Sicurezza dei dati personali) nell’articolo 32 del GDPR:

Sicurezza del trattamento
1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2.   Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Backup del servizio e/o dei dati della vm

Per motivi di sicurezza e per garantire la continuità dei vostri servizi è necessario avere un sistema di backup che vi permetta di ripristinare il servizio ad un dato momento temporale identificato come stabile e non corrotto.

Il backup lo possiamo implementare in diversi modi in base alla scelta del cliente come:

  • backup su disco locale (ma in tal modo saremo a rischio operatore e virus o problemi hardware);
  • backup su NAS aziendale o remoto;
  • backup remoto tramite un software tipo NetBackup o simili;
  • su uno spazio in cloud come ad esempio su Amazon S3 o Glacier o altri.

Regole di backup e GDPR

Per ogni tipo di backup, se necessario, per rispettare il punto 1 a dell’articolo 32 del GDPR provvederemo alla “pseudonomizzazione” (vedi Articolo 4 – Definizioni del GDPR per il significato) dei file (con il vostro aiuto e quello del responsabile del trattamento dei dati) e la cifratura dei dati.

Definito il tipo di backup predisporremo le policy temporali in cui verrà copiato tutto o parte dei dati cioè quando fare un backup completo oppure quando fare solamente l’incrementale in modo da assere in regola anche con il GDPR.

Prove di ripristino del backup

A questo punto abbiamo il backup ma dobbiamo testarlo per vedere che abbiamo salvato tutto come volevamo.

Quindi, provvederemo a ripristinare tutto in un ambiente parallelo (eventualmente su delle macchine virtuali equivalenti) sia con il backup completo che con quello incrementale.

Se si riscontrano problemi durante il ripristino dovuti al backup lo sistemiamo sino a che non si avrà il risultato voluto.

Scriveremo, infine, un documento (in modo da rispettare il punto 1 c e d dell’articolo 32 del GDPR) su come è stato fatto il backup e come fare per ripristinarlo ed il tempo stimato per tutte le operazioni sia su un ambiente virtualizzato che su uno identico all’originale (nel caso sia possibile avere una copia simile oppure direttamente sull’originale se possibile).

Monitoraggio del sistema

Per capire in anticipo un problema che potrebbe verificarsi o comunque per poter intervenire velocemente su un malfunzionamento è necessario avere un sistema di monitoraggio.

Nei casi più semplici il monitoraggio potrebbe essere solo interno al server mentre in tutti gli altri casi sarebbe utile prevedere un monitoraggio sia interno che esterno che preveda notifiche al responsabile.

  • monitoraggio tramite cron del sistema operativo;
  • predisposizione script di monitoraggio interno;
  • monitoraggio tramite servizio esterno come Icinga;
  • intervento tempestivo per ripristino problema rilevato.

Assistenza come System Administrator

Per qualunque esigenza relativa al vostro server siamo a vostra completa disposizione con assistenza immediata per:

  • Nuova installazione
  • Aggiornamento
  • Monitoraggio interno ed esterno
  • Backup del sistema
  • Backup remoto pianificato
  • Ogni altra esigenza