Molte volte i clienti si domandano perché sia necessario spendere ulteriori soldi per fare il backup dei dati di Office365. In fondo la scelta del servizio Cloud di Microsoft viene fatta proprio per “dimenticarsi” il problema della gestione della posta elettronica!
Per fare chiarezza è importante capire cosa significa adottare un servizio Cloud, ovvero comprenderne le caratteristiche in termini di delega della responsabilità. Non è vero che tutto ciò che è in Cloud è esente da rischi e nemmeno che tutte le responsabilità sono delegate al Cloud Provider, il modello di delega di responsabilità varia a seconda del tipo di servizio Cloud.
Quando l’infrastruttura è on-premise la responsabilità di tutti i livelli dello stack è del cliente, quando si passa al Cloud, la delega di responsabilità varia in funzione della tipologia di …aaS (… as a Service) a partire dall’Infrastructure as a Service fino al Software as a Service dove si ha la massima delega, ma questa non riguarda il contenuto del dato che resta sempre responsabilità del cliente.
Anche nei casi in cui il contratto Cloud prevede un rimborso in caso di perdita dei dati, questo è limitato ad ottenere poche mensilità di servizio gratuite, chiaramente irrilevanti come risarcimento.
Quindi la responsabilità di creare una protezione del dato è del cliente, ma quali sono i rischi che realmente si corrono?
Anche in questo caso spesso prevale una visione ottimistica in cui si crede che, essendo i servizi Cloud molto ben protetti, sicuramente molto più delle infrastrutture on-premise, ci si possa ritenere ragionevolmente esenti da rischi.
Ma quali sono i rischi reali? Non certo quello di un attacco distruttivo verso il Cloud provider, come dicevamo prima la protezione del Cloud è generalmente molto alta. I veri rischi sono rappresentati dall’operatività comune degli utenti, come ad esempio cancellazioni accidentali o intenzionali (es. in caso di uscita dall’azienda), oppure propagazione di un Cryptolocker o azioni di malware verso il drive Cloud, come ad esempio OneDrive (a questo proposito si veda l’articolo pubblicato il 25 luglio ——> LINK.), ma anche l’accesso indesiderato causato da una protezione debole delle credenziali (es no MFA).
Esistono inoltre degli studi specifici sulla necessità di protezione dei dati in servizi come Office 365, come ad esempio il Rapporto IDC – “Why a Backup Strategy for Microsoft Office 365 is Essential for Security, Compliance, and Business Continuity (IDC perspective #EUR145096519).
Quali sono le best practices da adottare per il backup dei dati di Office 365?
È fondamentale tenere conto che Office 365 comprende una vasta tipologia di dati, a partire da quelli contenuti nei messaggi di posta, fino a Sharepoint, OneDrive e Teams. È necessario anche considerare la possibilità che siano presenti dati sensibili ed in questo caso tenere conto delle indicazioni del GDPR all’articolo 32 ed in particolare:
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico
Pertanto, ogni cliente può definire il corretto piano di backup in termini di numero di versioni salvate, tipologia di dato e scadenza, per garantire la ripristinabilità adatta al suo contesto.
È importante predisporre la corretta architettura che consenta di creare le copie di Backup in Cloud (ovviamente su provider differente), oppure on-premise, in ogni caso archiviate in modo sicuro per evitare che le stesse copie aumentino il rischio di esposizione o sottrazione dei dati aziendali.