Introduzione.

Transcript

1

2 Introduzione Disaster Recovery(fonte Wikipedia) Per DisasterRecovery(di seguito DR) si intende l insieme di misure tecnologiche atte a ripristinare sistemi, dati e infrastrutture necessarie all erogazione di servizi di businness a fronte di gravi emergenze Businness continuity(di seguito BC) (fonte Wikipedia) Con questo termine si intende la capacità di un azienda di continuare ad esercitare il proprio businness a fronte di eventi catastrofici che possono colpirla Progetto DR Un progetto DR ha come obiettivo la possibilità di ripristinare uno o più servizi IT entro un termine predeterminato di tempo Progetto di BC La BC ha come obiettivo la continuità dei servizi, almeno quelli minimi e definiti critici. Nel progetto devono essere definiti i tempi per il ripristino e la fruizione dei servizi principali compresi tutti gli aspetti logistici e organizzativi. Per definizione un buon progetto di BC deve comprendere sempre un progetto di DR

3 Gli Obiettivi D.Lgs.196/ art. 34 il backup dei dati Dps Documento programmatico sulla sicurezza Dati aziendali Cause della perdita dei dati Cause della perdita dei dati -Statistiche Principali dispositivi Modalità dei backup Tipi di backup Pianificazione dei backup Pianificazione dei test di ripristino

4 D.Lgs.196/2003 Art. 34 IL BACKUP DEI DATI LA BASE NORMATIVA, LEGATA AL DECRETO LEGGE, NON FORNISCE INDICAZIONI PRECISE CIRCA LA MODALITÀ DI SALVATAGGIO DELLE COPIE DI SICUREZZA. TRA LE MISURE MINIME INDICATE ALL ART. 34 CHE DEVONO ESSERE RISPETTATE IN CASO DI TRATTAMENTO DEI DATI CON STRUMENTI ELETTRONICI È PREVISTA «L ADOZIONE DI PROCEDURE PER LA CUSTODIA DI COPIE DI SICUREZZA. IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI E DEI SISTEMI». NELL ALLEGATO B DEL DECRETO INOLTRE VIENE SPECIFICATO «SONO ADOTTATE IDONEE MISURE PER GARANTIRE IL RIPRISTINO DELL ACCESSO AI DATI IN CASO DI DANNEGGIAMENTO DEGLI STESSI O DEGLI STRUMENTI ELETTRONICI, IN TEMPI CERTI COMPATIBILI CON I DIRITTI DEGLI INTERESSATI E NON SUPERIORI A SETTE GIORNI»

5 DPS Documento Programmatico Sulla Sicurezza IL D.L. N. 5 DEL9/2/2012 (SEMPLIFICAZIONE E SVILUPPO), HA ABROGATO LA NECESSITA DI AGGIORNAMENTO DEL DOCUMENTO PROGRAMMATICO SULLASICUREZZA (DPS) PER IL TRATTAMENTO DEI DATI PERSONALI TUTTAVIA L ABOLIZIONE DEL DPS NON HA CAMBIATO LA SOSTANZA DELLA NORMATIVA SULLA PRIVACY E SONO RIMASTE IN VIGORE TUTTE LE MISURE DI SICUREZZA OBBLIGATORIE E I PROVVEDIMENTI STABILITI DEL GARANTE SULLA PRIVACY CHE G CONTINUANO AD AVERE EFFETTO DI LEGGE, ANCHE CON IL NUOVO REGOLAMENTO EUROPEO; PROVVEDIMENTI CHE SE NON VENGONO RISPETTATI ESPONGONO I CONTRAVVENTORI A FORTI SANZIONI. P IL NUOVO REGOLAMENTO PRIVACY EUROPEO(GDPR GENERAL DATA PROTECTION REGULATION), IN VIGORE DAL 25/05/2016 E DA ADOTTARE ENTRO DUE ANNI, AUMENTA LA RESPONSABILITÀ DEI TITOLARI DEI DATI NEL CASO IN CUI NON VENGANO ADOTTATE MISURE TECNICHE E ORGANIZZATIVE ADEGUATE, TENENDO CONTO DELLO STATO DELL ARTE E DEI COSTI DI ATTUAZIONE, DEL CONTENUTO E DELLE FINALITÀ DEL TRATTAMENTO. VIENE INOLTRE RICHIESTO: «LA CAPACITÀ DI RIPRISTINARE TEMPESTIVAMENTE LA DISPONIBILITÀ E L ACCESSO DEI DATI PERSONALI IN CASO DI INCIDENTE FISICO O TECNICO» «UNA PROCEDURA PER TESTARE, VERIFICARE E VALUTARE REGOLARMENTE L EFFICACIA DELLE MISURE TECNICHE E ORGANIZZATIVE AL FINE DI GARANTIRE LA SICUREZZA DEL TRATTAMENTO»

6 Dati Aziendali In ambito sanitario le informazioni che vengono registrate non si limitano più ai soli dati amministrativi, ma la costituzione dei Fascicoli Sanitari Elettronici (FSE) ha semplificato a ottimizzato i processi di cura dei pazienti, ma ha reso ancora più forte la necessità di proteggere questi dati, difficilmente riproducibili. La memorizzazione di tutto questo nuovo flusso di dati, che ha anche un importanza medico legale, richiede sempre più attenzione nelle procedure di salvataggio. I danni derivanti da perdita di dati oggi sono difficilmente quantificabili blocco di attività ricostruzione delle informazioni potrebbe richiedere l impiego di molte risorse e di tempi non certi, oltre a non avere la certezza di poterli replicare fedelmente

7 Cause della perdita dei dati Guasto hardware Manomissione Furto Errore umano Virus informatico Attacchi informatici

8 Cause della perdita dei dati - Statistiche 55% problemi HW 22% da errori umani 18% problemi SW 5% disastri naturali Sono molte le pagine in internet dove vengono riprese le statistiche riportate sopra e dove è possibile capire come sono troppo spesso valutate le attività di backup dei dati.

9 Principali dispositivi Grandi capacità (2TB e oltre) Economico Riutilizzo Economico Accesso rapido ai dati Grande capacità Accesso rapido ai dati Dispositivo di rete Maggiore sicurezza Doppio salvataggio Maggiore scalabilità Lento Accesso sequenziale Non sempre affidabile Capienza limitata Difficolta nella gestione Potrebbe essere costoso Richiede verifiche periodiche e manutenzione Costi a Gb Necessità di linee internet veloci Mancata esecuzione in mancanza di collegamento

10 Modalità dei Backup Copia dei singoli file o di cartelle Copia di un immagine completa del disco (in particolare per VM) Salvataggi compressi Protezione dei dati con password o crittografia Esistono diverse tipologie di software di backup, sia proprietari dei S.O. sia di terze parti.

11 Tipi di Backup Differenziale Ad ogni salvataggio vengono salvati tutti i dati modificati dall ultimo full backup Completo Ogni volta vengono salvati tutti i file Incrementale Il primo salvataggio è completo quelli successivi salvano solo gli archivi modificati dall ultimo full backup o incrementale

12 Pianificazione dei backup Programmazione dei backup ad intervalli dei tempo regolari La pianificazione delle attività di backup deve essere fatta in funzione del tempo di esecuzione e dello spazio di archiviazione che si ha a disposizione. I backup potrebbero essere su base giornaliera con conservazione settimanale, quindicinale, mensile e per ogni singolo backup i dati da salvare potrebbero essere differenti in base al giorno della settimana Pianificazione dei backup che non interferiscano con le normali attività Le attività di backup richiedono normalmente un importante impegno di risorse di disco e rete, rendendo di fatto più lenta la normale attività lavorativa, per questo è importante pianificare tali attività in orari dove gli sportelli o le attività sono ridotte e non richiedono particolari performance Programmazione di cosa e come salvarlo Il responsabile della struttura, insieme ai vari fornitori dovrà stabilire quali dati salvare e con quale frequenza Esempio di pianificazione settimanale L M M G V S D a e I I I I I I F I = Incrementale F = Full Backup

13 Pianificazione test di ripristino VERIFICA PERIODICA DEI SUPPORTI VERIFICA PERIODICA DELL INTEGRITÀ DEI DATI SALVATI ADOZIONE DI SISTEMA DI COMUNICAZIONE DEGLI AVVENUTI BACKUP DEFINIZIONE PERIODICA DI UN PIANO DI TEST DI RIPRISTINO DEI DATI Risorse interne Affidare alle società esterne che forniscono i vari applicativi Periodicità

14 Conclusioni L importanza del salvataggio dei dati viene spesso sottovalutata Quando si ha bisogno di ripristinare un dato è tardi per accorgersi dell inefficacia del piano di backup Le sanzioni per inadempienza del titolare dei dati sono sempre maggiori