Ogni azienda produce e gestisce dati critici. Un guasto hardware, un attacco ransomware o un errore umano possono causare la perdita di informazioni vitali e bloccare l'operatività per giorni. Avere una strategia di backup e disaster recovery non è un lusso: è una necessità operativa e, con NIS2, anche un obbligo normativo.
1. Backup vs Disaster Recovery: le Differenze
🗄️ Backup
- Copia dei dati su un supporto separato
- Ripristino di singoli file o database
- Protezione da cancellazioni accidentali
- Obiettivo: recuperare i dati
🔄 Disaster Recovery
- Piano completo di ripristino operativo
- Include infrastruttura, processi e procedure
- Protezione da eventi catastrofici
- Obiettivo: ripristinare l'intera operatività
2. La Regola 3-2-1: il Minimo Indispensabile
La regola 3-2-1 è lo standard di riferimento per ogni strategia di backup efficace:
3
Copie dei dati (l'originale + 2 backup)
2
Supporti diversi (es. disco locale + cloud)
1
Copia offsite (fuori dalla sede aziendale)
Evoluzione: la regola 3-2-1-1-0
Le best practice moderne aggiungono: 1 copia immutabile (non modificabile da ransomware) e 0 errori nei test di ripristino. Un backup non testato è un backup di cui non puoi fidarti.
3. RPO e RTO: i Due Parametri Chiave
Per dimensionare correttamente la strategia di backup e DR, è fondamentale definire due parametri:
RPO (Recovery Point Objective)
Quanti dati puoi permetterti di perdere? Un RPO di 1 ora significa che il backup più recente risale al massimo a 1 ora prima del disastro. Per dati critici, l'RPO deve essere il più basso possibile.
RTO (Recovery Time Objective)
Quanto tempo puoi restare fermo? Un RTO di 4 ore significa che l'azienda deve tornare operativa entro 4 ore dal disastro. Determina il tipo di infrastruttura DR necessaria.
4. I Costi del Fermo Operativo
Molte aziende sottovalutano l'impatto economico di un fermo operativo. Ecco i numeri:
- Il costo medio di un'ora di downtime per una PMI è di 8.000-25.000 euro
- Il 60% delle PMI che subisce una perdita di dati grave chiude entro 6 mesi
- Un attacco ransomware causa in media 21 giorni di fermo parziale
- Le sanzioni GDPR per mancata protezione dei dati possono arrivare al 4% del fatturato
5. Best Practice per il Backup Aziendale
Backup automatico e schedulato
Mai affidarsi a procedure manuali. Configurare backup automatici con verifica di integrità e notifiche di errore.
Backup immutabili
Utilizzare tecnologie che impediscono la modifica o cancellazione dei backup, proteggendo dal ransomware.
Test di ripristino regolari
Testare il ripristino almeno ogni trimestre. Un backup che non si riesce a ripristinare è inutile.
Crittografia dei dati
Cifrare i backup sia in transito che a riposo per proteggere i dati sensibili anche in caso di furto del supporto.
Documentazione e DR plan
Piano di disaster recovery documentato con procedure passo-passo, contatti di emergenza e ruoli definiti.
Domande Frequenti
Qual è la differenza tra backup e disaster recovery?
Il backup è la copia dei dati, il DR è un piano completo per ripristinare l'intera operatività aziendale dopo un evento catastrofico.
Cos'è la regola del backup 3-2-1?
3 copie dei dati, su 2 supporti diversi, di cui 1 conservata offsite. È lo standard minimo per una strategia di backup efficace.
Ogni quanto fare il backup aziendale?
Dipende dall'RPO aziendale. Per dati critici, backup continuo o almeno orario. Per dati meno critici, un backup giornaliero può bastare.
