Alberto Ronchi, direttore dei sistemi informativi presso l’Istituto Auxologico Italiano e Andrea Rossetti, docente di filosofia del diritto e informatica giuridica presso l'Università degli Studi di Milano-Bicocca e co-fondatore di ReD OPEN sono intervenuti durante il primo - e unico accessibile liberamente - incontro del ciclo Cultura digitale: Frammenti di un discorso sulla responsabilità intitolata “I nostri dati nel cloud evaporano?”.

Durante l'evento i due relatori hanno proposto, partendo da alcune domande, una riflessione sul tema del backup e dell'importanza che questo ha per garantire una solida business continuity per le imprese, se adottato correttamente e con la dovuta sicurezza dei dati.

Quando si parla di backup, la prima cosa che ci viene in mente è il salvataggio di file importanti in una memoria esterna al nostro pc. Ma questa attività è solo la punta dell’iceberg di un processo ben più complesso. Nelle aziende il backup è una delle priorità essenziali per garantire resilienza e continuità del business ed interessa non soltanto i dati confinati all’interno del perimetro aziendale, ma quelli che in misura progressiva sono oggi residenti in cloud.

Il recente caso dell’incendio del data center di OVH, che sta ancora causando disagi a centinaia di servizi online, ha mostrato cosa può succedere se capita un incidente unito ad una gestione poco accorta. Il problema, in questo caso, non è esclusivamente di natura tecnologica, ma anche e soprattutto contrattuale.

Avere un danno così esteso e senza possibilità di recupero, come confermato dall’azienda di hosting, significa che la maggioranza dei rapporti è regolata da contratti poco inclusivi e molto basilari. Questa mancanza di copertura è molto comune da parte delle aziende che affidano i propri server a hosting provider ed è figlia di una scarsa conoscenza del contratto stesso in quanto piccole e medie imprese credono erroneamente che il cloud sia un porto sicuro per le proprie attività.

La realtà dei fatti è però ben diversa. Quando si mettono i propri dati in un cloud bisogna sempre stabilire anche i gradi di sicurezza e di trattamento che questi subiranno. Questo perché i servizi di un buon backup non si fermano solo al recupero di dati persi, ma anche alla protezione di questi da furti e attacchi hacker e alla velocità e qualità del recupero.

È in queste due caratteristiche che si concretizza la cosiddetta business continuity, ovvero la resilienza di un’attività nel continuare ad operare anche in seguito ad un incidente. Questa non è attuabile se la qualità del contratto e dei server di recupero non sono dei migliori e il restore non è puntuale, sia a livello di tempistiche che di precisione dei dati.

A questo punto però sorge spontanea una domanda: cosa significa attuare un buon processo di backup?

Al di là di quelli che sono gli obblighi normativi derivanti dal GDPR, per quanto riguarda la protezione dei dati personali dei propri clienti, e in casi di particolare rilevanza dell’azienda dalla Direttiva NIS - direttiva europea che disciplina gli standard minimi di sicurezza delle organizzazioni di rilevanza strategica in determinati settori - è indispensabile partire da un concetto, per alcuni scontato, ma che vale la pena sottolineare: la sicurezza dei backup, e i loro livelli di protezione, devono essere proporzionali alla sensibilità dei dati che conservano.

Viene da sé, quindi, che i backup del database di un ospedale dovranno godere di maggiori protezioni, informatiche e contrattuali, rispetto ai backup dei dati sulle rilevazioni delle centraline meteorologiche.

Il punto di partenza in una strategia di governance dei dati consiste nella stipula dei contratti adeguati, per ottenere servizi più vantaggiosi per la propria attività.

Intraprendendo questo percorso è possibile costituire un sistema di governance dei backup dove i dati dell’impresa e del cliente sono protetti, ovunque si trovino, e il loro recupero è rapido e specifico e non è necessario recuperare enormi moli di informazioni per avere quelle necessarie. Solo così si può davvero affermare di essere in grado di garantire continuità all’attività aziendale, prevenendo qualsiasi genere di problema legato alla perdita dei dati e al loro recupero.

L’attuazione di un processo di questo tipo appare come costosa, sia in termini di denaro che di tempo, e senza dubbio lo è. Arrivati a questo punto e dopo aver visto un esempio concreto di rischio per la propria impresa come quello di OVH è necessario fare una stima del rapporto rischio/beneficio e rendersi conto che, per quanto costosa possa essere la prevenzione sui dati tramite un backup sufficientemente sicuro, non supererà mai i costi di processi legali, risarcimenti e sanzioni in caso di incidenti e di clienti che vogliano far valere i propri diritti sui dati persi di cui ci è presi carico contrattualmente.

Photo by Matthew Wheeler on Unsplash