La maggior parte delle aziende utilizza quotidianamente un gran numero di diversi sistemi informativi. Garantire che i dati archiviati in tutti i diversi sistemi non vadano persi è in definitiva responsabilità del consiglio di amministrazione e dell’alta dirigenza. Nella maggior parte dei casi, tuttavia, la responsabilità è delegata all’interno dell’organizzazione. Il Dipartimento di digitalizzazione ha creato una bella panoramica sui diversi ruoli che si possono ricoprire in un’azienda per quanto riguarda i compiti relativi al lavoro di sicurezza delle informazioni.

Se un sistema informativo diventa indisponibile, direi che l’entità del danno può essere visualizzata con una formula logaritmica. Questo di solito ha poche o nessuna conseguenza se l’intervallo è breve, ma le conseguenze aumenteranno esponenzialmente nel tempo. La velocità con cui aumentano le conseguenze dipende dalla criticità del sistema.

Chi è veramente responsabile?

Le aziende che dispongono di dati nei propri data center saranno esse stesse pienamente responsabili della protezione e della gestione di tali dati. Se l’azienda noleggia servizi come IaaS, PaaS o SaaS da un fornitore, potrebbe essere più difficile sapere chi è responsabile del guasto del servizio, della perdita di dati e di eventuali responsabilità per danni.

Esistono molti accordi contrattuali diversi e non è raro che un fornitore descriva di essere responsabile della protezione dei dati con, ad esempio, la ridondanza sull’infrastruttura, come i supporti di archiviazione, ma che in aggiunta ha molte riserve quando si tratta di responsabilità. Un altro fattore è che spesso vengono utilizzati fornitori esteri che richiedono che le controversie siano portate davanti ai tribunali di paesi diversi dalla Norvegia.

È naturalmente nell’interesse del fornitore che il servizio sia operativo, fruibile e che i clienti siano soddisfatti. Il risultato di gravi interruzioni del servizio e potenziale perdita di dati potrebbe significare bussare alla porta per il provider o, nel migliore dei casi, una perdita di reputazione.

Un provider non vuole porre restrizioni su ciò che un cliente può fare con i propri dati. Pertanto, se un utente autorizzato sceglie di eliminare, sovrascrivere o crittografare il contenuto, non è certo che il provider possa aiutare a ripristinare i dati.

Il lockout è un altro problema a cui pensare con i fornitori esterni. Se un fornitore pensa che tu abbia violato i termini dell’accordo o che tu sia altrimenti indesiderabile come cliente, è facile essere bannato. In questi casi, i tuoi dati sono diventati improvvisamente ostaggio e il loro recupero può richiedere tempo e risorse, di cui abbiamo esempi anche in Norvegia.

Sono passati alcuni anni, ma molte persone probabilmente lo ricordano furto con scasso Multiconsult dove l’obiettivo erano i dati. Anche se i dati sono dormienti e non accessibili tramite la rete o Internet, potrebbero interessare qualcuno.

Indipendentemente dal sistema informativo o dal luogo in cui i dati sono archiviati, è necessario ricordare di avere la possibilità di modificare il sistema informativo e di conservare i dati. Cosa fai se un fornitore decide di interrompere un servizio o un prodotto che utilizzi? E se il prezzo aumenta improvvisamente? E se volessi cambiare tu stesso provider o sistema?

Tre consigli

È importante avere un rapporto consapevole con i dati che hai, dove sono archiviati e come proteggere e ripristinare i tuoi dati in caso di eventi imprevisti.

Ecco tre suggerimenti per assicurarti che i dati non vadano persi:

1. Classifica i tuoi dati

Valutare l’importanza del sistema per l’azienda e classificare i dati. Pensa a quanto tempo puoi gestire con soluzioni di emergenza alternative e quali saranno le conseguenze se il sistema con i suoi dati scompare improvvisamente per sempre. Ci possono essere molte ragioni per i tempi di inattività, dalla manutenzione programmata, ai guasti intermedi del sistema e dagli errori software o hardware a danni o blocchi.

Dovresti avere tre copie dei dati (produzione, backup 1 e backup 2), due diversi sistemi di archiviazione e una copia in un’altra posizione fisica. Per tenere conto degli attacchi al sistema di backup stesso, si consiglia inoltre di avere una copia disconnessa sia da Internet che dalla rete (offline).

2. Controlla Backup

Verificare a intervalli regolari di ottenere un backup dei dati critici e di poter verificare l’integrità del backup. Progetta piani di emergenza, scopri quali dati devono essere sottoposti a backup, quale accesso è necessario per eseguire un backup, come puoi ricreare e rendere disponibili i dati e come verificare che l’integrità dei dati sia intatta.

Se disponi di dati di produzione nel cloud o noleggiati come servizio, forse il modo più rapido per raggiungere l’obiettivo è anche eseguire backup di tali dati con l’uno o l’altro provider. Ricorda di verificare la velocità con cui puoi estrarre i dati da un tale servizio e se puoi ripristinare i dati in un altro formato.

3. Sii consapevole della protezione dei backup tanto quanto la protezione dei dati di produzione

Negli ultimi anni si è verificata un’esplosione di casi in cui le aziende sono state esposte ad attacchi ransomware e i dati aziendali sono stati crittografati. Se gli aggressori ottengono l’accesso ai tuoi dati di backup, li eliminano o li crittografano anche. È quindi particolarmente importante ricordare che è necessario proteggere anche i dati di backup, proprio come i dati di produzione.

Finché qualcuno può accedere ai tuoi dati attraverso la rete o aprendo determinate porte, dovresti prendere delle misure: utilizzare account di servizio diversi per accedere e archiviare i dati di backup, non combinare sistemi di accesso per la produzione e i dati di backup, crittografare i dati di backup – e se se utilizzi servizi cloud, dovresti utilizzare più provider o data center.