In un’epoca in cui i dati sono una risorsa strategica, ma al contempo circondati da un campo minato normativo, il concetto di sovranità dei dati è passato dall’essere ai margini delle politiche IT a trovarsi al centro delle discussioni dei consigli di amministrazione e, anche per le organizzazioni operanti in Italia e in tutta l’UE, la posta in gioco non è mai stata così alta. Con normative come il Regolamento Generale sulla Protezione dei Dati (GDPR), la Digital Operational Resilience Act (DORA) e la Direttiva sulla Sicurezza delle Reti e delle Informazioni (NIS2) che stabiliscono requisiti rigorosi per la gestione, l’archiviazione e la protezione dei dati, la questione non è più capire se la sovranità dei dati sia importante, ma come riuscire a garantirla. Se da una parte i servizi cloud hanno rivoluzionato scalabilità e flessibilità, dall’altra hanno portato un livello di ambiguità giurisdizionale che rende la garanzia di sovranità dei dati una sfida complessa. Inoltre, quando la sicurezza è complessa da implementare, è meno probabile che risulti davvero efficace: aumenta il rischio di errori e diventa più difficile trovare persone qualificate per gestirla e mantenerla. Raggiungere una vera resilienza diventa quasi impossibile, ecco perché lo storage di backup immutabile on-premise non è solo una preferenza tecnica, ma un imperativo strategico.
La pressione normativa
Il GDPR è da tempo il gold standard per la protezione dei dati e pone l’accento sia sulla privacy, sia sul controllo: chi può accedere ai dati, dove risiedono e in che modo vengono protetti. Ora, con l’introduzione del regolamento DORA dell’’UE per gli istituti di servizi finanziari, e del NIS2 per una gamma più ampia di organizzazioni “essenziali” ed “importanti” in tutti i settori, le aziende devono rispettare requisiti ancora più rigorosi, che includono: resilienza operativa, integrità del backup, risposta agli incidenti, verificabilità.
La direttiva NIS2 amplia significativamente l’ambito di applicazione: dai tradizionali operatori di infrastrutture critiche ai fornitori di servizi IT, dai produttori alle piattaforme digitali. Le organizzazioni ora devono dimostrare di avere solide strategie di sicurezza e recovery, inclusi backup a prova di ransomware e immutabili, che garantiscano un ripristino rapido e affidabile in caso di attacchi, disastri, incidenti o minacce interne.
Tutte e tre le normative condividono uno stesso filo conduttore: la responsabilità. Le organizzazioni non devono limitarsi a proteggere i dati, devono anche dimostrare di poterli controllare e recuperare in modo rapido, sicuro, senza compromessi. Ed è qui che emergono i limiti delle strategie basate esclusivamente sul cloud.
Il dilemma del cloud
Sia chiaro: il cloud ha un ruolo fondamentale nelle moderne strategie IT: offre flessibilità, ridondanza geografica e scalabilità economica. In una solida strategia di backup 3-2-1 (tre copie di dati, su due supporti diversi, con una copia esterna), il cloud spesso funge da “1”, offrendo separazione geografica e funzionalità di disaster recovery.
Tuttavia, la residenza dei dati non è sinonimo di sovranità dei dati. Anche se i dati sono archiviati in un data center europeo, potrebbero comunque essere soggetti a rivendicazioni giurisdizionali straniere, come ad esempio il CLOUD Act statunitense. Inoltre, il modello di responsabilità condivisa dei provider cloud implica che, pur proteggendo l’infrastruttura, l’onere della protezione dei dati, del controllo degli accessi e della conformità ricade interamente sul cliente. I migliori strumenti dovrebbero ridurre la complessità di gestione e permettere di concentrarsi su ciò che conta davvero: prestazioni, esigenze dei clienti, dipendenti.
Alcuni provider offrono le cosiddette soluzioni di “cloud sovrano”, ma anche queste spesso non sono all’altezza a causa di piattaforme proprietarie, trasparenza limitata o dipendenza da infrastrutture di terze parti.
Ciò rende difficile:
Assicurare il controllo esclusivo sui dati sensibili.
Dimostrare l’assoluta immutabilità dei backup a revisori o autorità di regolamentazione.
Garantire lo Zero Access ad azioni distruttive, soprattutto in caso di violazione o citazione in giudizio.
Perché il backup immutabile on-premise è essenziale
Le soluzioni di backup immutabile on-premise offrono un livello di controllo, trasparenza e sicurezza che il cloud, da solo, non è in grado di eguagliare. Ecco i motivi per cui risultano indispensabili per le organizzazioni che pongono grande attenzione alla sovranità dei dati:
Controllo assoluto: i dati rimangono all’interno del proprio dominio fisico e legale, è possibile controllare chi vi accede, come vengono protetti e se vengono eliminati.
Immutabilità assoluta: lo storage di backup immutabile garantisce che anche l’amministratore o l’aggressore con maggiori privilegi di accesso all’archiviazione di backup non possa modificare o eliminare nessun dato: una difesa cruciale contro ransomware e minacce interne.
Preparazione all’audit: le soluzioni on-prem possono essere strettamente integrate con i processi di conformità interni, semplificando l’attestazione di conformità ai requisiti GDPR, NIS2 e DORA.
La vicinanza fisica e il pieno controllo sull’infrastruttura di backup agevolano la documentazione di audit trail e il rispetto delle normative, senza dover ricorrere a fornitori di servizi esterni.
Avere il controllo locale significa anche avere la possibilità di definire e applicare policy di sicurezza autonomamente, senza dipendere da azioni di terze parti, rafforzando in questo modo sia la conformità, sia la fiducia da parte dei clienti.
L’importanza di avere una strategia “Simply resilient”
Una moderna strategia di backup non dovrebbe prevedere una scelta tra cloud e on-prem, ma essere ibrida per definizione. Cloud e cold storage sono entrambi eccellenti per la conservazione a lungo termine e per il disaster recovery, ma per un ripristino rapido in termini di conformità normativa e garanzia di sovranità la soluzione ideale è lo storage immutabile on-prem.
La strategia 3-2-1 dovrebbe includere almeno una soluzione di backup immutabile on-prem: questa architettura Zero Trust garantisce che, anche in caso di compromissione dei sistemi di produzione, una copia dei dati pulita e immutabile sia sempre a portata di mano. Quindi non si tratta più di sperare di essere resilienti, ma di avere la certezza di esserlo.
Una strategia ibrida consente alle organizzazioni di combinare il meglio di entrambi i mondi: la scalabilità e la flessibilità del cloud con il controllo e la sicurezza dell’on-prem. La chiave è garantire che ogni componente svolga il proprio ruolo nel soddisfare sia i requisiti normativi che quelli operativi.
Le implicazioni nel mondo reale
Pensiamo ad esempio a un istituto finanziario soggetto al DORA: in caso di attacco informatico dovrà dimostrare che i dati critici sono intatti, recuperabili e non manomessi. Oppure immaginiamo un operatore sanitario che deve gestire dati sensibili dei pazienti ai sensi del GDPR, dove l’accesso non autorizzato o la perdita di dati potrebbero comportare severe sanzioni. In entrambi i casi, il backup immutabile on-premise offre la garanzia necessaria per soddisfare gli aspetti normativi e mantenere la continuità operativa.
Con l’aumento di attacchi ransomware mirati alle organizzazioni europee è fondamentale garantire che i backup non possano essere crittografati o eliminati, anche qualora le credenziali dell’amministratore venissero compromesse.
Conclusioni
Il cloud non è un nemico, ma nemmeno una garanzia di sovranità. Per le organizzazioni che operano sotto l’occhio vigile di GDPR, NIS2, DORA e altre normative locali, lo storage di backup immutabile on-premise non è un’opzione, è una necessità.
I responsabili IT e i responsabili della conformità dovrebbero ripensare le proprie strategie di protezione dei dati poiché la sovranità non riguarda solo dove risiedono i dati, ma anche chi li controlla, chi può accedervi e fino a che punto sono resilienti quando (non “se”) un ransomware colpisce. E per questo, non esiste alternativa alla sicurezza garantita dai backup on-prem con Immutabilità Assoluta.
Oggi chi investe nella sovranità dei dati protegge non solo l’archiviazione dei dati di backup, ma anche la reputazione aziendale, i clienti e il futuro dell’impresa: è arrivato il momento di puntare a una resilienza informatica di livello enterprise.
A cura di Simona Riela, Channel & Territory Manager in Italia di Object First
