In questo articolo proseguiamo l’esame dei controlli di sicurezza linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC  27002:2023 – Controlli di sicurezza) trattando il Controllo 8.13 -Backup delle informazioni.

La linea guida del controllo 8.13 “Backup delle informazioni” della ISO/IEC 27002 non impone una metodologia specifica di backup, ma fornisce criteri e suggerimenti chiave per scegliere o progettare la strategia più adatta. Ecco un riassunto dei suggerimenti principali

I punti essenziali delineati da questo controllo sono i seguenti.

 1. Scegliere la tipologia di backup più adatta

La linea guida fa intendere che la tipologia di backup (completo, incrementale, differenziale, ecc.) debba essere scelta in base a:

• Criticità delle informazioni
• Requisiti aziendali
• Obiettivi di recupero (RPO/RTO)

Le Tipologie comuni sono le seguenti:

• Completo (full): backup di tutti i dati → più sicuro ma più lento e pesante.
• Incrementale: salva solo le modifiche dalla copia precedente → efficiente ma ripristino più complesso.
• Differenziale: salva le modifiche dall’ultimo backup completo → buon compromesso tra spazio e velocità di ripristino.

2. Definire frequenza e scheduling

Il piano di backup deve riflettere la frequenza più adatta in base a:

• Requisiti legali o contrattuali.
• Frequenza di aggiornamento dei dati.
• Rilevanza delle informazioni per la continuità operativa.

Esempio: per un database contabile può essere previsto un backup giornaliero incrementale + settimanale completo.

 3. Registrare e documentare tutto

La linea guida raccomanda:

• Documentazione dettagliata delle procedure di backup e ripristino.
• Tracciamento dei backup eseguiti e dei risultati dei test.
• Registro dei supporti di backup (fisici o virtuali).

4. Protezione dei backup

Il Backup non può essere una copia insicura. I backup pertanto devono essere:

• Cifrati, se contengono dati sensibili.
• Protetti fisicamente in luoghi sicuri e separati dal sito primario.
• Accessibili solo a personale autorizzato.

 5. Test regolari di ripristino

Non basta eseguire il backup: la guida sottolinea l’importanza di testare regolarmente:

• L’integrità dei file di backup.
• La capacità reale di ripristino (su ambiente di test).
• La conformità ai tempi richiesti dal piano di continuità (RTO).

6. In caso di cloud

Se l’organizzazione usa servizi cloud deve:

• Verificare se il cloud provider fa backup e con quali modalità.
• Stabilire piani di backup aggiuntivi se i dati sono mission-critical.
• Garantire che i backup cloud rispettino gli stessi standard di sicurezza e retention dei backup on-premise.

7. Conservazione ed eliminazione

Il backup deve essere integrato con le politiche di:

• Retention: quanto tempo devono essere conservati i dati?
• Eliminazione sicura: cosa succede ai backup una volta superata la scadenza?

In sintesi: la ISO 27002 suggerisce che la strategia di backup deve essere:

• Adatta al contesto aziendale
• Proporzionata ai rischi
• Verificabile e documentata

Supportata da test reali di ripristino.

Oggi le criticità del backup sono costituite dall’assenza di un backup off-line (che protegge da attacchi ransomware) e di un backup off-site (che protegge da eventuali disastri fisici o ambientali quali incendi, inondazioni, terremoti, ecc.), dalla carenza di una procedura di disaster recovery rapida (molte organizzazioni hanno backup recenti di tutti i dati, ma il ripristino richiede tempi lunghissimi perchè occorre reinstallare tutti i sistemi operativi e gli applicativi informatici) e dalla difficoltà ad effettuare backup completi in tempi coerenti con l’operatività aziendale. Inoltre spesso le procedure di backup non sono documentate ed in assenza del personale che le ha progettate diventa difficoltoso effettuare il ripristino.