Data Breach e Disaster Recovery

Sicurezza dei dati personali e rischi di affidare i dati ad un data center remoto

Negli ultimi dodici mesi una serie di malfunzionamenti e di eventi imprevedibili hanno colpito alcuni data center. Il più famoso di questi eventi è l’incendio dello scorso marzo al data center OVH di Strasburgo.

La perdita massiva di dati che si è verificata ha finalmente fatto emergere una verità spesso non considerata dagli utenti che affidano i propri dati e servizi a data center remoti: la necessità di mettere in sicurezza i propri dati, non tanto intesa come protezione alle intrusioni ma quanto come rischio di perdita (irreversibile o meno) dei dati.

Utilizzo di data center remoti e la perdita dei dati

L’errore più diffuso tra gli utenti di questi servizi è pensare che per il solo fatto di essere ospitati in server condivisi porti automaticamente ad avere una serie di protezioni in caso di disastro. 

Nella realtà è tutto il contrario: la sempre maggiore concorrenza in questo effervescente mercato ha portato ad un livellamento dei prezzi che va di pari passo con un livellamento dei servizi. 

I costi molto appetibili di un servizio di hosting su server condiviso o di VPS (Virtual Personal Server) sottendono un livello base di servizio: l’hosting (ovvero la semplice disponibilità di uno spazio) o la disponibilità di un server (in caso di VPS) e nulla più.

Pertanto, molto spesso, affidare i propri dati a servizi e data center remoti non comporta l’applicazione di strumenti di sicurezza contro la perdita di dati.

Le grandi perdite di dati sofferte anche da enti pubblici (ad esempio le amministrazioni locali di Pavia e Trapani, Università Cattolica) a seguito dell’incendio di Strasburgo è stato un brusco risveglio per molti amministratori di sistema particolarmente ottimisti che non si sono posti il problema di minimizzare il rischio di perdita dei dati in caso di disastro.

Impatto sulla GDPR Compliance

Qualunque sia la causa della perdita di dati personali, l’art. 4 del GDPR configura come violazione della sicurezza dei dati personali “data breach” l’evento che “comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Al verificarsi di tali ipotesi, il GDPR pone a carico del titolare adempimenti e conseguenti molto gravose:

  • L’obbligo di comunicare al Garante della Privacy la violazione
  • L’obbligo di comunicare ai soggetti interessati alla perdita l’evento dannoso che  li vede coinvolti
  • l’avvio da parte dell’autorità di un’istruttoria volta a scoprire le cause della perdita
  • (quasi certamente) l’irrogazione di sanzioni a carico della struttura responsabile della perdita.

Disaster Recovery

Indipendentemente dall’impatto disastroso sulla compliance GDPR, che potrebbe aggiungere al danno subito le conseguenze della violazione della norma e le eventuali richieste da parte degli interessati i cui dati sono andati distrutti, resta la perdita dei dati che in alcuni casi è irreversibile e potrebbe avere conseguenze a cascata imprevedibili e certamente sgradevoli.

L’unico modo per minimizzare i rischi di un data breach è prevedere un Disaster Recovery Plan (DRP) ovvero un piano di protezione dai disastri . 

A titolo di esempio, alcuni provider offrono funzioni e servizi di copia dei dati e di duplicazione del server virtuale che permette la limitazione della perdita al tempo intercorso tra l’ultima copia/replica e il momento dell’evento disastroso. In questa ipotesi, quanto più è frequente la copia/replica tanto meno pesante è la perdita dei dati (e tanto più è costoso il servizio).

Conclusioni

Non esiste un Disaster Recovery Plan di valenza universale. Ogni realtà ha le sue peculiarità e le variabili da considerare sono molteplici.

Pertanto, la soluzione migliore e più in linea con i principi dettati dalla normativa privacy che impone l’adozione delle misure organizzative e di sicurezza commisurate alle esigenze e problematiche della singola realtà è coinvolgere un team esperto di Cyber Security e di Data Protection per confezionare una soluzione su misura.

Un buon piano di disaster recovery deve tenere in considerazione le variabili endogene aziendali:

  • tipologia di applicazioni ospitate dai server, 
  • famiglia di data base adottati, 
  • sistemi web attivati, 
  • distribuzione delle applicazioni tra server diversi, 

e al contempo delle variabili esogene:

  • hosting provider, 
  • livello di sicurezza dei data center, 
  • servizi di DR offerti e costi. 

Vuoi saperne di più sulla sicurezza dei tuoi dati personali? Vuoi adottare un piano di distaster recovery? Contattaci per un incontro di consulenza gratuita!

Lascia un commento