L’importanza di documentare il funzionamento di una rete informatica e dei sistemi di protezione realizzati per proteggerla è fondamentale quanto, se non di più, dei sistemi stessi.
Perché vi chiederete. La documentazione a corredo di una rete informatica è il manuale di funzionamento della rete stessa. I titolari delle aziende dovrebbero imporre e pretendere ai propri consulenti informatici di fornire la documentazione esplicativa dell’infrastruttura informatica, i diagrammi di funzionamento dei sistemi, la descrizione delle procedure di sicurezza e dei metodi da utilizzare in caso di eventi gravi. Non solo, le aziende dovrebbero pretendere di avere i documenti costantemente aggiornati alla luce di qualsiasi nuovo dispositivo installato, software attivato, archivio reso operativo, modifica effettuata in uno qualsiasi dei sistemi presenti in rete.
Questo perché i dati ed i dispositivi sono di proprietà dell’azienda, non dei consulenti informatici. Le password di administrator devono essere nella disponibilità della direzione aziendale o di chi è stato nominato responsabile di detenerle.
La documentazione che descrive l’infrastruttura informatica è di importanza fondamentale e ne va pagato il giusto prezzo. Non deve essere intesa come una attività inclusa a resa gratuitamente da parte dei consulenti informatici: si tratta di produrre documenti a volte estremamente complessi e dettagliati, contenenti istruzioni e metodologie personalizzate cliente per cliente.
L’azienda deve pretendere la produzione e l’aggiornamento di questa tipologia di documenti e deve mettere a budget le giuste risorse sia per la loro realizzazione che, soprattutto, per la loro protezione. Questo genere di documenti deve essere visibile ad un numero limitato di persone, vista la natura delle informazioni in essi contenute.
Concentriamoci sull’importanza di documentare, nello specifico, le procedure di backup e disaster recovery.
In generale nel documento vanno riportati:
1) Sistemi coinvolti nelle procedure di backup
E’ fondamentale sapere quali sistemi sono coinvolti nei processi di backup, allo scopo di evitare che, a causa dell’indisponibilità di uno qualsiasi di tali sistemi i processi di backup stessi non vadano a buon fine. In questo scenario è fondamentale implementare degli applicativi di monitoraggio continuo dei sistemi, utili per evidenziare con rapidità eventuali o potenziali problemi (ad esempio sistemi spenti, spazio di archiviazione in esaurimento etc). Anche i sistemi di monitoraggio vanno quindi descritti all’interno del documento che riepilogano le procedure di backup in quanto parte integrante dello scenario
2) Software utilizzati
Ogni software dedicato all’esecuzione di backup va censito. Lo scopo principale è quello di verificare il luogo in cui è installato, come si comporta in caso di problemi (invia alert?) ed infine di tenerlo costantemente aggiornato.
3) Utenze coinvolte nei processi di backup
Problema spesso sottovalutato. Nelle reti informatiche, anche in quelle meno complesse, i backup vengono gestiti da pochi sistemi che “centralizzano” le procedure. Questo scenario funziona fino a quando i sistemi destinati ad eseguire i backup sono in grado di accedere a tutti gli altri sistemi in rete per recuperare i dati oggetto di backup. Cosa succede quando, in uno di questi sistemi, viene modificata la password dell’utenza principale? Lo script di backup potrebbe in questi casi non essere più in grado di funzionare correttamente. Ecco perché è fondamentale dettagliare tutte le utenze coinvolte nelle autorizzazioni tra i molteplici sistemi, anche per semplificare e rendere più sicure quelle periodiche procedure di aggiornamento password che dovrebbero essere parte integrante di qualsiasi scenario di sicurezza informatica.
4) Dettaglio dello scopo, del funzionamento e della periodicità di ogni script di backup in funzione
Ogni singolo script di backup va descritto nella sua interezza: si tratta della parte più importante del documento, poiché è quella che consente a chiunque sia in possesso del documento (ad esempio un nuovo consulente informatico che subentra al precedente) di capire dove si trovano i giusti backup per poterli utilizzare in eventi di disaster recovery. Ogni script dovrebbe avere un nome facilmente riconoscibile, una descrizione del funzionamento e della periodicità di esecuzione. Inoltre, per ogni script andrebbe descritto l’ultimo aggiornamento effettuato ed il motivo per cui è stato fatto, allo scopo di rendere più agevole la comprensione dell’adattamento.
Badate bene. Questa tipologia di documento non serve alle aziende per “disfarsi” dei consulenti informatici ogni volta che vogliono. Tutt’altro: la condivisione tra consulenti informatici ed aziende di documenti di questo tipo non può far altro che rafforzare la fiducia ed il legame. Inoltre, questi documenti sono fondamentali per il consulente informatico stesso, poiché sono una guida utile per ricordarsi le peculiarità di ogni singolo cliente, senza dover tenere tutto a mente e garantendo, nelle aziende di consulenza più strutturate, l’operatività da parte di più soggetti diversi.