Nel contesto aziendale, dove ogni risorsa determina costi e ottimizzazione dei dispositivi elettronici, la tentazione di percorrere la via del “fai da te” è forte, soprattutto con la tecnologia.
Inizia solitamente così la storia di una piccola impresa con un budget limitato e poco tempo da dedicare a complesse strategie di sicurezza informatica. La gestione dei dati, e in particolare dei backup, sembra un’area in cui si può facilmente risparmiare; invece di investire in consulenze specializzate o servizi gestiti, la scelta ricade su una soluzione apparentemente semplice ed economica: l’acquisto di un capiente NAS (Network Attached Storage) da collocare in ufficio.
La configurazione viene affidata a una persona non competente che rende operativo il dispositivo, con copie automatiche dei file ogni notte, con dischi configurati in ridondanza che danno una confortante illusione di indistruttibilità e l’accesso ai dati semplice per tutti. In questa condizione in azienda non si percepisce il pericolo, poiché ci si affida al proprio backup. Purtroppo, presto, l’azienda può scoprire a proprie spese che un backup non è semplicemente una copia di file su un disco, ma un processo articolato che richiede pianificazione, controlli rigorosi, procedure definite e un monitoraggio costante.
Indice degli argomenti
Backup PMI, il rischio dei dipendenti non specializzati
La prima crepa in questo tipo di sistema di sicurezza si manifesta con il licenziamento di un collaboratore. Il rapporto di lavoro si conclude in modo poco amichevole, lasciando strascichi di malcontento. Magari l’ex dipendente, pochi giorni dopo, può inviare una richiesta di riscatto, consapevole dei privilegi di accesso di cui ancora gode, minacciando di cancellare o, peggio, criptare l’intero archivio dati aziendale se non ricevesse una cospicua somma di denaro. Per massimizzare la “praticità” e la “facilità d’uso”, nella gran parte dei casi si applicata una politica di permessi estremamente permissiva nel NAS aziendale. In sostanza, viene attivata l’impostazione “everyone as admin”, concedendo a chiunque nella rete locale privilegi amministrativi completi.
Nessuno, al momento dell’uscita del dipendente, si preoccupa di revocare le sue credenziali o di rivedere la struttura dei permessi. L’azienda si trova, quindi, impreparata poiché non ha pianificato un registro degli accessi (log) affidabile che possa dimostrare chi avesse fatto cosa, né strumenti per tracciare le attività sospette. La gestione caotica dei permessi rende impossibile qualsiasi indagine interna e lascia l’azienda in balia della minaccia. Se venisse adottata una visione più strutturata, si potrebbe implementare una soluzione di log management come Intrusa.io.
Questo tipo di sistema è progettato specificamente per registrare in maniera immodificabile e sicura tutte le attività svolte dagli amministratori di sistema. Non solo può conservare i log per il periodo richiesto dalle normative sulla protezione dei dati, ma permette anche di inviare allarmi automatici al rilevamento di comportamenti anomali, come un accesso fuori orario o un tentativo di modifica massiva dei file. Uno strumento simile consente di prevenire l’abuso, reagire tempestivamente e, soprattutto, fornire prove inconfutabili dell’accaduto.
Non aprite quella porta FTP su Internet
Superata, non senza difficoltà, la prima crisi, l’azienda non ha neanche il tempo di riorganizzarsi che un secondo, e ben più grave, problema si può presentare all’orizzonte. Il titolare ha l’esigenza di poter accedere ai documenti di lavoro anche da casa, in modo semplice e immediato. Per soddisfare questa richiesta, il sedicente tecnico potrebbe configurare un accesso remoto tramite il protocollo FTP, esponendo direttamente il NAS su Internet. Non è stata nemmeno implementata una VPN (Virtual Private Network) per creare un canale di comunicazione sicuro, né applicate restrizioni basate su indirizzi IP o meccanismi di autenticazione avanzati. Quella che era una comodità si trasforma in una vulnerabilità critica.
I cybercriminali, costantemente alla ricerca di sistemi esposti e non protetti, non tardarno a individuare e sfruttare questa debolezza. Utilizzando tecniche di scansione automatica, possono trovare l’accesso FTP e, approfittare di una password non sufficientemente robusta o di una vulnerabilità nota del software, riuscendo a penetrare nel sistema. In poche ore, gran parte dei dati archiviati sul NAS vengono criptati e possono presentarsi richieste di riscatto, questa volta da parte di un gruppo di hacker professionisti.
Il dispositivo che deve garantire la sicurezza dei dati si trasforma nel principale veicolo dell’attacco. Ancora una volta, la radice del problema non è tecnologica, ma organizzativa e procedurale. Manca un sistema di monitoraggio degli accessi esterni, non c’è alcun sistema di allerta per i login sospetti e non vi sono tracce forensi utili a ricostruire la dinamica dell’intrusione.
I tool
Strumenti come Microsoft Defender 365 Audit Log, possono fare la differenza; ogni tentativo di accesso, ogni modifica ai file e ogni attività sospetta vengono registrati e resi immediatamente consultabili, permettendo di identificare la provenienza dell’attacco e gli account compromessi.
L’adozione di una piattaforma di monitoraggio più avanzata come Teramind può prevenire l’incidente ancora prima che degeneri. Teramind è specializzato nell’analisi del comportamento degli utenti e nell’implementazione di politiche di prevenzione della fuga di dati (DLP). È in grado di rilevare anomalie, come un utente che scarica una quantità anomala di file o che accede da una geolocalizzazione insolita, e di bloccare tali azioni in tempo reale, riducendo drasticamente il rischio che un uso improprio delle risorse si trasformi in un grave incidente di sicurezza.
Il furto e la trappola del cloud
La catena di criticità, però, non è ancora terminata. Di notte, un gruppo di ladri si può intrufolare negli uffici. Oltre a computer e altre apparecchiature, possono portare via anche il NAS, lasciato in bella vista su una scrivania, senza alcuna protezione fisica. In pochi minuti, l’intero sistema di backup aziendale può svanire nel nulla. In quel preciso istante, emergono le lacune più gravi dell’intera strategia: non esiste alcuna copia off-site dei dati. Nessun backup secondario in un servizio cloud certificato, nessuna replica geografica in un’altra sede. Tutto il patrimonio informativo aziendale può essere archiviato in quel singolo dispositivo, che potrebbe non esserci più.
Tuttavia, proprio quando tutto sembra perduto, vi è la possibilità di non cadere nello sconforto. Magari il tecnico improvvisato aveva attivato una piccola applicazione preinstallata sul NAS che eseguiva una sincronizzazione automatica dei dati verso un servizio di storage in cloud. Purtroppo, spesso il servizio cloud scelto, acquistato a un prezzo conveniente, si appoggia a data center situati al di fuori dell’Unione Europea. Le PMI non si preoccupano di verificare la residenza dei dati, né di valutare le implicazioni legali di tale scelta.
Il risultato è un disastro per l’azienda che non vuole bloccare l’attività lavorativa. Oltre alla perdita fisica dei dati e all’impossibilità di ripristinare l’operatività in tempi brevi, l’azienda si trova a dover affrontare un grave problema di conformità al GDPR (General Data Protection Regulation). Dati sensibili di clienti e dipendenti vengono trasferiti e archiviati all’estero senza le adeguate clausole contrattuali standard, senza una corretta informativa agli interessati e senza che tale trattamento sia registrato come previsto dalla normativa. Il danno legale e reputazionale rischia di essere persino più pesante della perdita tecnica stessa, con possibili sanzioni e brand reputation danneggiata.
Da tragedia a lezione: come impostare un sistema di backup professionale
Questi episodi, che sembrano cronaca sfortunata, rappresentano in realtà lezioni preziose per qualsiasi piccola e media impresa. Ogni incidente ha messo in luce un errore strutturale: la concessione indiscriminata di privilegi amministrativi, l’assenza totale di monitoraggio, l’esposizione sconsiderata di servizi su Internet, la mancanza di ridondanza geografica e, infine, una superficialità nella scelta dei fornitori e nella valutazione della conformità normativa. Un sistema di backup serio e affidabile non si può improvvisare. È un processo strategico che deve essere pianificato con meticolosità, documentato in ogni sua parte e verificato costantemente nel tempo.
Per costruire una strategia di backup solida, è necessario abbandonare la visione “casalinga” e adottare un approccio professionale che integri tecnologia, procedure e consapevolezza. Ma quali sono le fasi da considerare? Le condizioni principali sono: valutazione e audit iniziale, scelta delle tecnologie di backup, gestione degli accessi e separazione dei ruoli, logging e monitoraggio continuo, segmentazione di rete e protezione degli accessi remoti, repliche offsite e resilienza geografica, test periodici di restore, alerting e risposta agli incidenti, compliance e documentazione GDPR e infine miglioramento continuo.
Il primo passo fondamentale è una valutazione iniziale completa. È cruciale mappare con precisione dove risiedono i dati critici, chi è autorizzato ad accedervi e con quali permessi, e quali sistemi sono esposti, anche indirettamente, verso l’esterno. Questo audit iniziale fa emergere quelle debolezze che, se ignorate, si trasformeranno inevitabilmente in falle di sicurezza.
La scelta dei fornitori
Successivamente, si passa alla scelta delle tecnologie e dei fornitori. È imperativo selezionare un provider di servizi cloud certificato, che garantisca la residenza dei dati all’interno dell’Unione Europea e che dimostri la propria conformità alle normative di settore. Il backup deve essere cifrato sia in transito che a riposo, replicato su più zone geografiche per garantire la resilienza e configurato con politiche di conservazione (retention) adeguate alle esigenze aziendali e legali.
Parallelamente, la gestione degli accessi deve essere rivoluzionata secondo il principio del minimo privilegio: ogni utente deve avere accesso solo ed esclusivamente alle risorse strettamente necessarie per svolgere il proprio lavoro. Le identità con privilegi elevati devono essere protette con sistemi di autenticazione forte e i loro permessi devono essere revocati non appena cessi la necessità.
Gli strumenti, uniti a una corretta segmentazione della rete e alla protezione degli accessi remoti tramite VPN e firewall, crea un ambiente molto più sicuro. Un backup locale, come dimostra la storia, non è sufficiente. È essenziale avere almeno una copia in cloud e, idealmente, una seconda copia in un sito fisico diverso, per garantire la continuità operativa anche in caso di disastri naturali, furti o incendi.
Come è facile dedurre, un backup che non viene mai testato è un backup di cui non ci si può fidare. È necessario programmare test periodici di ripristino per verificare l’integrità dei dati e l’efficacia delle procedure. Questo processo deve essere supportato da un sistema di allarmi che notifichi immediatamente eventi sospetti e da un piano di risposta agli incidenti chiaro e documentato. Ogni aspetto, dalla scelta del fornitore alla procedura di restore, deve essere documentato e allineato ai requisiti del GDPR, aggiornando il registro dei trattamenti e garantendo la massima trasparenza. Il backup non è un progetto con una data di fine; è un ciclo di miglioramento continuo che deve evolversi con l’azienda, con la tecnologia e con le normative.
Backup e PMI, un investimento che previene i disastri
Risparmiare sulla progettazione e gestione dei backup può sembrare una scelta conveniente nel breve periodo, ma il prezzo da pagare in caso di incidente è incalcolabilmente più alto, in termini di perdite economiche, danni reputazionali e conseguenze legali. Le PMI, spesso convinte di non essere un bersaglio interessante, sottovalutano il rischio. La realtà è che ogni azienda, indipendentemente dalle sue dimensioni, custodisce dati preziosi e vulnerabili.
Affidarsi a un piano di backup improvvisato è una scommessa destinata a essere persa. Attraverso una progettazione consapevole, l’adozione di strumenti di monitoraggio avanzati e una costante attenzione alla conformità normativa, è possibile trasformare il backup da semplice e passiva copia di file a un vero e proprio baluardo strategico per la sicurezza e la resilienza aziendale.
