Backup, Disaster Recovery e Business Continuity secondo il GDPR
GDPR e Cyber Security – parte 6
Il GDPR affronta i temi del backup e della disaster recovery nel modo più ampio possibile perché nasce come documento che deve gestire ogni casistica. Come possiamo quindi declinare per il nostro negozio o PMI quello che recita l’art.32 (Sicurezza del Trattamento) dello stesso? Lo scopo dell’articolo di oggi è rispondere pragmaticamente a questa domanda.
Cominciamo innanzitutto con dire che nell’art. 32 sulla Sicurezza del trattamento si fa riferimento ad alcuni competenze della figura del Responsabile del trattamento dati deve garantire sia “la pseudonimizzazione e la cifratura dei dati personali” sia “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.
Quello che deve risultare chiaro a tutti è che è giunta l’ora di lasciare perdere cassette, chiavette USB e Hard-disk esterni da portare a casa per il backup dei dati aziendali, ora dobbiamo pensare ad un sistema più sicuro e che magari risulterà anche più comodo. Quando infatti nel GDPR si parla di Privacy by Design si intende che bisogna fare attenzione alla protezione dei dati fin dalla progettazione dell’apparato di gestione tecnico diventa quindi molto importante scegliere bene sia lato hardware, che software e procedurale.
Come funziona un buon sistema di backup?
Iniziamo dal backup dei dati sensibili, occorre decidere dove e come effettuarlo: vogliamo stare tranquilli? Noi consigliamo di avere più copie di backup in locale ma anche su Data Center in cloud. Per la parte locale è sufficiente un buon NAS (Network Attached Storage), un’unità di immagazzinamento dati che permette di centralizzare i dati in un solo dispositivo accessibile a tutti i nodi della rete. Le principali caratteristiche che lo rendono GDPR compliant sono il fatto di poter utilizzare schemi RAID e di codificare i volumi disco, garantendo la completa recuperabilità e sicurezza dei dati. Ok, abbiamo la nostra copia, ma siamo già Disaster Recovery ready? No, non ancora, restiamo per il momento soggetti a catastrofi naturali come alluvioni o terremoti, errori umani, furti o attacchi hacker (i classici gesti scaramantici non sono GDPR compliant 😊).
E’ per questo motivo che è utile attrezzarsi anche per il backup in cloud su Data Center accreditati; state tranquilli perché Microsoft OneDrive e Azure, Google Drive, Amazon S3 e Dropbox sono tutti servizi GDPR-compliant è sufficiente quindi acquistare un buon software di backup con caratteristiche di criptazione. Nel GDPR non se ne parla ma esiste poi un’opzione per garantire la Business Continuity ovvero la capacità di ripristinare un sistema in tempo zero per non interrompere la nostra attività, possiamo infatti clonare il proprio ambiente su una macchina virtuale.
Lo sappiamo sono molte notizie in poche righe, ma è proprio per questo che potendo supportarvi sia lato hardware che software ma soprattutto con una consulenza su misura restiamo a vostra completa disposizione presso il nostro punto vendita o compilando il modulo che trovate sotto.
Vogliamo lasciarvi con un consiglio amichevole: la cifratura ha il grande vantaggio di essere praticamente inattaccabile in termine di protezione dati ma pone limiti alla loro disponibilità, rallenta i processi di scrittura e lettura e soprattutto può – in caso di disastro e di perdita della chiave – causare la perdita delle informazioni cifrate. Usare con cautela!
