La vera priorità è proteggere i dati

Verso metà anni Ottanta, come molti altri miei colleghi, ho avuto un Commodore 64 sul quale iniziai a scrivere le mie prime righe di codice. Partendo da un listato preso da una rivista, realizzai un rudimentale database in cui memorizzare le mie recensioni. La mia personalissima missione era quella di schedare tutti i videogiochi possibili, con pagelle, considerazioni personali e il parere di amici con la stessa passione (ovviamente il tutto a scapito dello studio). Il database cresceva di giorno in giorno, in funzionalità e contenuti. Avevo persino introdotto un sistema di password per evitare occhi indiscreti. Un giorno, però, l’incidente: il programma non carica più. Cassetta smagnetizzata. Inutile dire che non avevo fatto alcuna copia del database convinto che il supporto magnetico sarebbe durato per sempre (del resto non avevo prove contrarie a tale convinzione). Di conseguenza tutto quel lavoro andò perduto senza possibilità di recupero.

Se avete avuto a che fare con la sicurezza informatica negli ultimi anni (e quasi certamente per normativa o per incidente lo avrete sicuramente fatto) vi sarete certamente imbattuti in alcuni principi fondamentali della data security. Stiamo parlando di Riservatezza, Integrità e Disponibilità dei dati conosciuti anche con l’acronimo Rid (o Cia in inglese). Se poi vi è capitato di addentrarvi nei concetti e di approfondire il tema, vi sarete trovati a che fare con le tecnologie necessarie a garantire le tre caratteristiche dalla data security (in genere la crittografia, ma non solo). È inevitabile che sorgano dei dubbi e delle domande su come sia possibile mantenere in sicurezza i dati durante il proprio ciclo di vita.

Negli anni passati l’incidente informatico più probabile era la cancellazione fortuita o il guasto hardware. Oggi le cose sono cambiate. La pervasività dei sistemi informatici ha aperto la strada a diversi scenari critici. In primis, quelli derivanti da attacchi di organizzazioni criminali o concorrenti sleali. Ecco qualche consiglio per ripartire velocemente e in sicurezza. A partire dal cloud. Ma più che la tecnologia, contano le procedure e le buone pratiche

Implementare dalle basi un sistema informativo che possa proteggere i dati in qualsiasi momento e in qualsiasi stato è un’operazione davvero complessa, specie se non si è specialisti del settore. Questo perché la data security è principalmente un insieme di buone pratiche, di procedure e marginalmente di tecnologia. Non potendo contare su un prodotto da scaffale, la domanda principale in una prima fase è: da dove iniziare? A cosa è necessario dare priorità?
La piccola digressione a inizio articolo mi è servita a far riflettere sul fatto che i problemi di oggi sono in realtà sempre stati una caratteristica dell’informatica e dei dati in generale. Della triade Rid, il primo attributo a cui è necessario dare la giusta attenzione è sicuramente la disponibilità del dato.

Fino a inizio anni duemila, i backup e le relative procedure erano in sostanza l’unica strada possibile. Una regolare politica di salvataggio su dispositivi di lunga durata (nastri per lo più) con archiviazione offsite (conservazione del media di backup fuori dal perimetro fisico dell’azienda) almeno per le copie settimanali, dava una buona garanzia di poter ripartire in tempi ragionevoli in caso di incidente informatico. Negli anni passati, tuttavia, l’incidente informatico più probabile riguardo i dati era la cancellazione fortuita o il guasto hardware. Oggi le cose sono cambiate. La pervasività dei dati e dei sistemi informatici ha aperto la strada a diversi scenari critici per i dati, quasi tutti malevoli; siano essi condotti da organizzazioni criminali o da concorrenza poco leale. Bloccare l’accesso ai dati di un’azienda, oggi, significa bloccare qualsiasi tipo di produzione per ore, se non giorni o mesi, e come è facile comprendere, una produzione ferma significa un danno economico rilevante, in alcuni casi fatale.

Fortunatamente rispetto al passato esistono strumenti più versatili e automatici per garantire una copia dei propri dati al di fuori del proprio perimetro informatico aziendale. La maggior parte di questi traggono vantaggio dalle infrastrutture cloud pubbliche. Alcune soluzioni sono verticali, specializzate nelle sole copie di backup, mentre altre sono in grado di rilevare modifiche massive ai dati archiviati (un chiaro sintomo di attacco informatico ai dati) al fine di evitare la propagazione di malware ai dati salvati offsite. Infine, i più diffusi sistemi di desktop productivity, offrono il versionamento automatico dei documenti, una funzionalità molto comoda e che mette al riparo dal danno accidentale in tempi rapidi. I vantaggi non finiscono qui, quasi tutti i cloud provider specializzati in archiviazione dati offrono anche sistemi di data discovery per rilevare informazioni critiche etichettandole di conseguenza (un importante aiuto quando si devono fronteggiare normative sui dati).

Salvare i propri dati su un’infrastruttura che non è fisicamente “in casa” solleva sempre qualche dubbio e comprensibile perplessità. Diciamo che questo è un primo passo verso la piena sicurezza dei dati, un passo quasi imprescindibile per avviare una propria politica di protezione del patrimonio informativo aziendale. Trattandosi di un primo passo non è esaustivo, si dovranno prendere in esame una serie di altre contromisure per rendere ancora più sicuro il dato archiviato nell’infrastruttura offsite come, ad esempio, un modello di profilazione degli accessi basato sull’identità o la cifratura a doppia chiave dei dati. Tutte funzionalità normalmente garantite dai cloud provider. La data security non è certamente un argomento facile, ma è fondamentale per qualsiasi azienda adottare delle politiche di protezione dei dati, prendendo in considerazione le soluzioni offerte dal mercato senza aspettare che sia troppo tardi.

Per saperne di più leggi anche: