Quante aziende hanno perso dati importanti convinte di essere al sicuro? Più di quante si pensi.
Il backup aziendale è uno di quei temi che tutti conoscono, ma pochi gestiscono davvero con attenzione. Si configura una volta, si dà per scontato che funzioni e non ci si pensa più, fino al giorno in cui qualcosa va storto.
Un ransomware che cifra tutti i file, un guasto hardware improvviso, un errore umano che cancella una cartella sbagliata: in questi momenti il backup non è solo una best practice, è l’unica cosa che può salvare la continuità operativa di un’azienda.
Ma avere un backup non è sufficiente. Bisogna averlo fatto bene.
1. Il backup è attivo e aggiornato?
Il primo controllo sembra banale, ma non lo è. Molte aziende hanno configurato un sistema di backup anni fa, magari su un vecchio server o con un software che nel frattempo ha smesso di funzionare correttamente. Nessuno se n’è accorto perché nessuno l’ha mai controllato.
Un backup che non gira da settimane – o da mesi – vale come non averlo. I dati che si salverebbero in caso di emergenza sarebbero fermi a quella data, e tutto ciò che è cambiato nel frattempo andrebbe perso.
Le domande da farsi sono semplici: quando è stata eseguita l’ultima copia? Con quale frequenza viene aggiornata? Giornalmente? In tempo reale?
Questi parametri devono essere definiti in base alla criticità dei dati e verificati con regolarità.
2. Il ripristino è stato testato?
Avere il backup non significa poter ripristinare i dati. Sono due cose diverse, e spesso lo si scopre nel momento peggiore.
Un file di backup può essere corrotto, incompleto o semplicemente incompatibile con la versione attuale del software che dovrebbe leggerlo. Senza un test periodico di restore, non c’è alcuna garanzia che il ripristino vada a buon fine quando serve davvero.
Il test di ripristino dovrebbe essere una procedura pianificata, non un’attività straordinaria. La frequenza dipende dalla criticità dei sistemi coinvolti, ma l’importante è che venga fatta e documentata. Solo così si può avere la certezza che, in caso di emergenza, il backup sia realmente utilizzabile.
Capita più spesso di quanto si pensi: un’azienda subisce un guasto, chiede il ripristino dei dati e scopre che il backup non veniva completato correttamente da mesi. I file ci sono, ma sono parziali o danneggiati. In quel momento non c’è nulla da fare.
3. Viene seguita la regola 3-2-1?
La regola 3-2-1 è uno standard consolidato nella gestione del backup aziendale e rappresenta il minimo indispensabile per una protezione efficace dei dati:
- 3 copie dei dati: l’originale più due backup
- su 2 supporti diversi: ad esempio un NAS locale e un servizio cloud
- di cui 1 fuori sede: fisicamente o logicamente separata dall’infrastruttura principale
Perché è importante avere copie su supporti diversi e in luoghi diversi?
Perché un singolo evento, un incendio, un’alluvione, un attacco informatico, potrebbe compromettere contemporaneamente tutte le copie se si trovano nello stesso posto o sulla stessa rete.
Molte aziende si fermano a una singola copia locale. È meglio di niente, ma non è sufficiente per una protezione seria.
4. Il backup è protetto da ransomware?
Questo è il controllo che negli ultimi anni è diventato più critico di tutti. Un attacco ransomware cifra i file del sistema colpito, ma i ransomware più evoluti cercano attivamente anche le cartelle di backup collegate alla rete aziendale, per cifrarle a loro volta.
Se il backup è accessibile dalla rete come una normale cartella condivisa, non è protetto. In caso di attacco, si perderebbero sia i dati originali che le copie.
Le soluzioni per proteggersi sono diverse: backup con copie immutabili (che non possono essere modificate o cancellate per un periodo definito), sistemi con air gap – un sistema che non è mai collegato alla rete aziendale – fisico o logico dalla rete, o servizi cloud con funzionalità specifiche anti-ransomware.
L’importante è che il backup non sia raggiungibile e modificabile da chi, o da cosa, ha compromesso la rete.
Perché il ransomware prende di mira i backup?
Il motivo è semplice: chi sviluppa ransomware sa che il backup è il principale strumento per recuperare i dati senza pagare il riscatto. Eliminarlo o cifrarlo prima aumenta la pressione sulla vittima e le probabilità che il riscatto venga pagato. Per questo i backup collegati alla rete sono diventati un bersaglio esplicito, non un danno collaterale.
5. Copre davvero tutti i dati critici?
L’ultimo controllo riguarda la completezza. Spesso, quando si configura un sistema di backup, ci si concentra sui file server o sui documenti condivisi, e si dimenticano altri dati altrettanto critici per il business.
Cosa viene escluso più di frequente?
- Le email: per molte aziende la posta elettronica contiene contratti, comunicazioni importanti, ordini. Se il server di posta non è incluso nel backup, quei dati sono a rischio.
- I database applicativi: gestionali, CRM, ERP spesso hanno procedure di backup specifiche che vanno gestite separatamente.
- Le applicazioni SaaS: strumenti come Microsoft 365 o Google Workspace non fanno automaticamente backup dei dati degli utenti nel senso tradizionale del termine. La responsabilità della conservazione dei dati rimane in parte sull’azienda.
- I dispositivi dei singoli utenti: laptop e computer dei dipendenti spesso contengono file di lavoro che non vengono mai sincronizzati su un server centrale.
Un buon sistema di backup aziendale deve partire da una mappatura di tutti i dati critici, non da un’assunzione su cosa è importante salvare.
Il problema è che spesso non esiste una lista di cosa vale la pena proteggere. Si parte dall’infrastruttura visibile – i server, le cartelle condivise – e ci si ferma lì. Ma i dati critici di un’azienda sono distribuiti su più sistemi, alcuni dei quali non sono immediatamente ovvi.
Fare una mappatura significa chiedersi: se domani perdessi l’accesso a questo sistema, quanto ne risentirebbe il business?
Il backup aziendale non è un’attività, è un processo
Fare il backup una volta e dimenticarsene non è una strategia: è un rischio. La protezione dei dati aziendali richiede un approccio continuo, fatto di verifiche periodiche, procedure documentate e una visione completa di tutto ciò che vale la pena proteggere.
Se non sai con certezza come rispondere ai 5 controlli descritti in questo articolo, è il momento di fare una valutazione seria della situazione.
Contattaci per capire insieme a quale punto si trova la tua azienda e come strutturare un sistema di backup efficace, completo e resiliente.