1. Introduzione
Cubbit ha il dovere di garantire che tutte le informazioni e i dati di cui è responsabile siano sottoposti a backup in modo sicuro e regolare. Cubbit ha la responsabilità di garantire che le informazioni e i dati che sono stati sottoposti a backup possano essere ripristinati in caso di cancellazione, perdita, danneggiamento, o resi non disponibili a causa di circostanze impreviste.
2. Scopo
Lo scopo di questa politica è quello di identificare e stabilire processi, procedure e buone pratiche di lavoro per il backup e il ripristino tempestivo delle informazioni e dei dati di Cubbit esistenti sia in forma elettronica che fisica.
3. Campo di applicazione
L’ambito di applicazione di questa politica si estende al backup di tutte le informazioni e i dati importanti, indipendentemente dalla forma che assumono, compreso il recupero dei sistemi IT e delle infrastrutture di supporto.
4. Dichiarazione politica
Esiste sempre il rischio che i sistemi e/o le procedure non funzionino, con conseguente perdita di accesso alle informazioni, ai dati e ai sistemi, nonostante l’applicazione delle migliori pratiche.
Le seguenti operazioni consentono di garantire che le informazioni e i dati di Cubbit vengano sottoposti a backup e ripristinati in modo sicuro e nel modo più efficiente possibile:
SISTEMI/BACKUP DI DATI
- I System Admin di Cubbit sono responsabili della fornitura del supporto di sistema e delle attività di backup delle configurazioni delle apparecchiature di infrastruttura ove localmente presenti (router, firewall, ecc.). Le configurazioni di rete devono essere documentate per poter essere implementate anche su nuovo hardware in caso di sostituzione per obsolescenza di quello attualmente in uso.
- Le procedure di backup e ripristino IT devono essere documentate, riviste periodicamente e messe a disposizione del personale addestrato responsabile per l’esecuzione dei backup e degli eventuali ripristini.
- Le procedure di ripristino devono essere provate con regolarità predeterminata per ogni contesto in coerenza con i piani di simulazione del Recovery Disaster.
- I backup non avverranno generalmente su supporti fisici rimovibili, in caso diventi indispensabile questo seguirà le linee guida al successivo paragrafo.
- I backup online dovranno seguire le linee guida:
- cifratura;
- distribuzione su almeno 2 differenti datacenter e regioni geografiche.
- Se i backup è necessario conservare una registrazione che illustri dettagliatamente il guasto del processo di backup e le azioni intraprese.
BACKUP SU SUPPORTI FISICI RIMOVIBILI
Qualora si renda necessario utilizzare un supporto fisico rimuovibile le seguenti linee guida devono essere seguite:
- Tutti i supporti di backup devono essere crittografati e opportunamente etichettati con data/e e codici/marchi che consentano una facile identificazione dell’origine originale dei dati e del tipo di backup utilizzato sui supporti. Tutte le chiavi di crittografia devono essere conservate in modo sicuro in ogni momento e con procedure chiare per garantire che i supporti di backup possano essere decifrati prontamente in caso di emergenza.
- Le copie dei supporti di backup devono essere rimosse dai dispositivi il più presto possibile una volta completato il backup o il ripristino.
- Tutti i backup identificati per l’archiviazione a lungo termine devono essere archiviati in un luogo sicuro e remoto con un controllo e una protezione ambientali adeguati per garantire l’integrità di tutti i supporti di backup.
- I supporti di backup devono essere protetti in conformità con le politiche di protezione fisica e ambientale e di gestione dei dati e dei supporti di Cubbit, in particolare il/i supporto/i fisico/i contenenti i back-up verranno assegnati in custodia al System Admin che avrà il compito di custodirli in posto sicuro presso la sede operativa di Cubbit.
RESPONSABILITÀ DEGLI UTENTI
Gli utenti IT hanno la responsabilità di garantire che i dati di Cubbit siano conservati in modo sicuro e disponibili per il backup:
- Non è permesso utilizzare dispositivi rimovibili non autorizzati.
- Gli utenti non devono memorizzare dati o file sul disco locale di un computer o su dispositivi rimovibili in aree non crittografate (ciò esclude il normale funzionamento del sistema operativo e di altri software autorizzati che richiedono la “cache” di file a livello locale per funzionare); devono altresì mantenere quanto necessario per le proprie attività lavorative in supporti o partizioni opportunamente cifrati e per il tempo necessario per le proprie attività. Al termine delle operazioni richieste dalle attività assegnate, ogni utente dovrà salvare nel repository cloud opportuno il proprio lavoro, e, se possibile, rimuoverlo dal proprio PC o dal dispositivo rimovibile. Si consiglia l’utilizzo in maniera appropriata del repository anche per salvataggi intermedi, in modo da poter recuperare eventuali lavori parziali in caso di necessità.
- Se l’infrastruttura cloud di Cubbit non è disponibile per qualsiasi motivo per un tempo prolungato, rendendo consistente il rischio di perdere i dati o il lavoro, è ammessa come soluzione temporanea la possibilità di salvare dati e file localmente o su supporti rimovibili, previa approvazione e seguendo le linee guida temporanee fornite dall’amministratore di sistema.
- I telefoni cellulari non devono essere utilizzati per memorizzare informazioni sensibili, aziendali o personali. Nel rispetto della Politica di sicurezza per dispositivi mobili è ad ogni modo consentito l’accesso e la modifica di documenti aziendali in modalità “cloud” (come ad esempio Google Doc), mediante app. In caso di necessità ed urgenza, l’accesso o la modifica di documenti presenti nella repository aziendale può avvenire in modalità offline, solo per il tempo strettamente necessario all’operazione. In caso di utilizzo di smartphone personale per scopi lavorativi occorre attenersi alla Politica BYOD relativa.
RIPRISTINO DEI DATI
Cubbit ha implementato procedure di backup e ripristino consolidate. I ripristini dei dati disponibili in formato elettronico possono essere eseguiti dal personale IT o dagli utenti stessi a seconda dei casi.
Gli utenti possono agire in completa autonomia qualora il ripristino comporti il semplice recupero dei file necessario da un repository cloud, essendo questa la modalità primaria scelta dall’azienda per il salvataggio e la conservazione dei dati.
Qualora il backup riguardi sistemi informativi e dati relativi ai servizi erogati da Cubbit verso terze parti o sistemi informativi interni di Cubbit:
- Gli utenti possono richiedere il ripristino dei dati al personale IT. Dal ripristino verranno forniti, per via verifica, solo i file ai quali l’utente è autorizzato ad accedere.
- Se il ripristino diventa necessario a seguito di un evento non previsto è necessario compilare un incident report che riporti tutte le informazioni sui dati (file) necessarie, incluso quanto segue:
- Il motivo di ripristino
- Il nome del file o dei file e/o della cartella o delle cartelle da ripristinare
- Posizione originale del/i file e/o della/i cartella/i
- Data, giorno o ora della cancellazione/corruzione o più prossima approssimazione
- l’ultima data, giorno o ora in cui l’Utente richiama i dati (File) intatti e vi si accede/utilizza con successo.
- Tutte le procedure di backup e ripristino (Restore) devono essere documentate e verificate tramite simulazioni in coerenza con i piani di simulazione del Recovery Disaster. Qualora fosse necessario un intervento fisico, le procedure di backup e restore vanno anche messe a disposizione del personale del Data Center responsabile dell’esecuzione del ripristino dei dati.
- Le richieste da parte di fornitori di software/hardware di terze parti per il ripristino di file o sistemi a scopo di supporto, manutenzione, test o altre circostanze impreviste devono essere effettuate sotto la supervisione del Dipartimento IT.