Una policy di backup rappresenta la strategia di backup completa di un’organizzazione. Una policy di backup dovrebbe identificare dati e sistemi critici da proteggere, chiarire la frequenza dei backup completi e incrementali, delineare le responsabilità dell’amministratore di backup e fornire dettagli per la conservazione, la rotazione per le modalità offline rispetto alla sede, le procedure di ripristino, l’archiviazione dei backup e altro ancora.
Una “policy” e una “procedura di backup e ripristino” ben studiate sono essenziali per le organizzazioni di tutte le dimensioni, poiché spesso rappresentano l’ultima linea di difesa dell’azienda contro la perdita di dati a seguito di corruzione dei dati, errori umani, guasti hardware o violazioni della sicurezza.
Benefici offerti da una Backup Policy
Un criterio di conservazione dei backup fornisce il contesto più ampio per il ripristino dei dati e i processi di backup. Ci sono diversi vantaggi nello sviluppo di un documento inerente alle diverse politiche di backup e ripristino:
Chiarezza e Semplificazione
Una policy di backup chiarisce procedure, policy e responsabilità specifiche, inclusa una pianificazione ben definita per l’esecuzione dei backup, garantendo quindi un processo più stabile. Identifica inoltre eventuali procedure o politiche sostitutive già esistenti, come ad esempio i piani di Disaster Recovery.
Controllo
Una policy di backup ben progettata consente di controllare il tipo di backup da eseguire, la frequenza con cui eseguire il backup dei dati, il software, l’hardware o il servizio cloud da utilizzare per eseguire i backup, dove si trovano i backup e chi può accedere ai backup e le diverse modalità per andarli a “recuperare”.
Definizione delle responsabilità
La policy di backup identifica le figure primarie e secondarie responsabili dell’esecuzione dei backup, fornendo le loro informazioni di contatto. Questa parte della policy di backup e ripristino dei dati identifica anche chi è responsabile di confermare che i backup affidabili vengono eseguiti con successo e stabilisce come e quando lo faranno.
Affidabilità
Statisticamente risulta più probabile che policy di backup più “strong” si traducano in un efficace ripristino completo dei dati. Tipicamente inoltre offrono dettagli su come proteggere i dati, come accedere ai backup e come addestrare i responsabili dell’esecuzione dei backup. Garantiscono l’esistenza di più copie separate dai dati originali e utilizzano differenti repository come destinazione dei backup, con punti di forza complementari. Infine, la policy di backup richiede un’automazione almeno parziale, aumentando ulteriormente l’affidabilità.
Best practices per le backup policy
Ecco alcune best practices per selezionare una soluzione di backup ideale che garantisca che i tuoi dati rimangano recuperabili e al sicuro.
Utilizza spazi di archiviazione remota: I backup remoti sono un elemento critico in qualsiasi soluzione di backup. È del tutto inutile eseguire il backup dei dati dell’organizzazione solo per archiviarli sullo stesso disco delle informazioni originali. L’archiviazione off-server è un requisito minimo e l’archiviazione di backup off-site rappresenta un’alternativa migliore. Se un server centrale viene compromesso durante un disastro, i backup off-site, sia su un server basato su cloud che su un server fisico dedicato, consentono il ripristino completo dei dati, una parte fondamentale del ripristino di emergenza.
Effettua backup frequenti e regolari: E’ possibile prevenire la perdita di dati critici creando una pianificazione regolare di backup frequenti. Ovviamente, i dati più critici possono richiedere una soluzione di backup continuo, mentre backup giornalieri o settimanali possono essere sufficienti per dati più statici.
Usa backup automatici: Come da linee guida per una gestione ottimale dei processi di backup, sarà necessario evitare soluzioni manuali di backup dei dati delegnado magari questo processo agli utenti finali. La policy di backup dei dati dell’utente finale dovrebbe imporre una soluzione di backup completamente automatica. Il backup manuale dei dati potrebbe anche essere rimandato e tramutarsi in qualcosa che poi in realtà, non verrà mai eseguita.
Intervallo di conservazione dei backup: Dopo aver ragionato sulla frequenza dei backup, la fase successiva sarà quella di valutare per quanto tempo dovrà essere conservato ogni backup. Conservare ogni backup per sempre non è né desiderabile né fattibile e quindi qualsiasi buona policy e soluzione di backup e archiviazione dei dati permette di configurare delle politiche specifiche di conservazione. Questa pianificazione è tipicamente una configurazione dinamica dove ad esempio si pianificheranno inizialmente backup più frequenti, ad esempio backup orari e giornalieri per una settimana, mentre successivamente si concentrerà su backup meno frequenti. Il programma di conservazione manterrà anche alcuni backup più a lungo o anche a tempo indeterminato. È possibile conservare backup annuali, semestrali o anche mensili al fine di sottostare a specifiche normative, in modo da garantire le compliance normative in questione: ad esempio, le organizzazioni sanitarie dovranno creare policy di backup conformi a HIPAA, le aziende attive nell’UE potrebbero aver bisogno di una policy di backup GDPR, etc.
Crittografia sui backup: Anche quando i backup sono off-site, i criteri di backup dei dati dovrebbero sempre richiedere la crittografia dei file di backup.
Utilizza l’archiviazione cloud come repository per i backup: L’archiviazione dei backup nel cloud aggiunge ridondanza alla tua infrastruttura e migliora i costi e la scalabilità. In effetti, sfruttare il cloud per il ripristino di emergenza è uno dei modi migliori per ridurre il rischio di perdita di dati dopo un disastro.
Esempio di backup policy su dati
Un tipico esempio di policy di backup dei dati potrebbe essere simile a questo:
Overview
In questa prima sezione, la policy di backup del server indicherà in che modo le procedure del piano aiuteranno l’organizzazione a garantire la continuità delle sue operazioni, garantire un backup affidabile e tempestivo delle sue risorse IT e soddisfare i suoi obiettivi aziendali aziendali. Questa sezione del documento di descrizione dei criteri di backup e ripristino potrebbe anche indicare altri obiettivi aziendali di alto livello e citare i membri del team coinvolti.
Scopo
Successivamente, la policy di backup e ripristino descriverà il suo scopo, ovvero il “perché” alla base della policy di backup. In genere questo definisce il modo in cui l’organizzazione si riprenderà in caso di guasto del software, guasto hardware o entrambi e descrive come il team proteggerà l’organizzazione dalla perdita di dati in caso di disastro, errore umano o altra problematica.
Una policy di backup descriverà anche il “cosa”, descrivendone l’ambito in quanto copre tutte le risorse e l’intera infrastruttura IT dell’organizzazione, nonché i dati contenuti nelle applicazioni SaaS. I riferimento all’ambito descriveranno anche la documentazione e come sarà controllata la stessa.
Una policy di backup specificherà il “come” eseguire i backup, inclusi i tipi di backup che verranno eseguiti e per quanto tempo verranno archiviati.
La policy spiegherà anche il “quando”, la frequenza e l’ora dei backup da eseguire. Infine, una dichiarazione di ambito in una politica di backup coprirà la manutenzione e la distribuzione della documentazione stessa. In questo modo, tutti coloro che necessitano della policy di backup nell’organizzazione dovrebbero avervi accesso.
Politica di Backup
Nella sezione relativa ai criteri e alle procedure di backup dei dati sostanziali, i criteri di gestione del backup dovrebbero identificare i dati mission-critical e quali dati a livello di utente e dati a livello di sistema verranno mantenuti. Maggiori dettagli sulla frequenza di backup in base al rischio accettabile e all’importanza dei dati dovrebbero essere tutti qui. Altri elementi di una politica di backup e ripristino dei dati possono includere dettagli sulla conservazione del backup, procedure e documentazione di ripristino, procedure di test del ripristino, linee guida su come procedere quando il supporto di backup è scaduto e un elenco di altre politiche applicabili.
Una policy di backup dei dati IT deve anche designare il personale responsabile per la corretta implementazione della policy. In questo senso, dovrebbe stabilire i termini di applicazione, comprese le azioni disciplinari che saranno intraprese contro i dipendenti che violano la politica di backup in linea con le politiche esistenti delle risorse umane, gli standard di settore e la legge di controllo.
Infine, le procedure di backup e ripristino dovrebbero includere tutte le definizioni rilevanti per garantire chiarezza e capacità di esecuzione. Dovrebbe includere anche la cronologia delle revisioni e qualsiasi modifica al documento dovrà poi essere controllata, in modo da garantire la recuperabilità in caso di catastrofe.
