Nell'ambiente lavorativo odierno caratterizzato da ritmi serrati, le aziende devono poter accedere facilmente ai propri dati da qualsiasi dispositivo per garantire la continuità operativa e la massima produttività. Sempre più aziende hanno effettuato la migrazione a operazioni basate sul cloud, per cui l'accesso affidabile e sicuro ai dati è diventato più critico che mai. Microsoft 365 (M365) è una potente suite di applicazioni per la produttività e la collaborazione basate sul cloud che vanta 345 milioni di utenti a pagamento in tutto il mondo.
Microsoft fornisce un backup piuttosto limitato per i dati di M365 e un periodo di conservazione molto ridotto per alcune risorse, come le e-mail. Non sono inclusi il ripristino granulare e gli obiettivi di punti di ripristino più lunghi che sono standard nella maggior parte delle aziende. In caso di un attacco ransomware, ad esempio, Microsoft può ripristinare in blocco il contenuto della casella di posta elettronica delle ultime due settimane, mentre il lavoro svolto in precedenza andrà perduto e non sarà possibile ripristinare le singole risorse eliminate accidentalmente.
È quindi essenziale che le aziende prendano in considerazione l'implementazione di uno strumento di backup di terze parti per M365 per fornire ulteriori livelli di protezione ed eseguire il backup dei dati in spazi off-site sicuri. È la stessa Microsoft a consigliare un approccio di questo tipo. Nel suo contratto di livello di servizio (SLA) per M365 si legge: "Microsoft si impegna a mantenere i Servizi attivi e funzionanti; tuttavia, non vengono offerti con un livello di qualità garantito e tutti i servizi online sono soggetti a malfunzionamenti e interruzioni occasionali. Nell’eventualità di un blackout o di un’interruzione del Servizio, l’utente potrebbe non essere in grado, temporaneamente, di recuperare il Contenuto dell’utente. Microsoft consiglia all’utente di eseguire regolarmente un backup dei Dati e del Contenuto dell’utente archiviato nei Servizi o di archiviarlo utilizzando le App e i Servizi di terzi.."
La necessità di utilizzare soluzioni di backup di terze parti per M365 non è dettata solo dal suggerimento di Microsoft di implementare una sicurezza dei dati maggiore di quella offerta da M365. Tali soluzioni offrono diversi altri vantaggi, tra cui una protezione di livello avanzato, un recupero dei dati più semplice, un controllo maggiore dei backup e una migliore conformità alle normative.
Questo articolo illustra le limitazioni di M365, l'importanza dei servizi di backup di terze parti per M365 e le best practice per la scelta di un Service Provider di backup di terze parti.
Microsoft 365: principi fondamentali
Microsoft 365 è un servizio in abbonamento basato sul cloud che include una suite di strumenti per la produttività, tra cui Word, Excel, PowerPoint, OneNote, Outlook, Teams e molti altri. La suite comprende anche strumenti per la collaborazione, come Exchange Online (un'app di messaggistica), OneDrive for Business (un'app per lo storage di file basata sul cloud), SharePoint Online e l'accesso alle versioni online delle applicazioni Office.
Gli strumenti di M365 offrono funzionalità di cloud storage, comunicazione e gestione di e-mail e calendari. Consentono la collaborazione semplice a documenti, fogli di calcolo e presentazioni, con più utenti in grado di lavorare contemporaneamente a uno stesso documento. Tuttavia, è fondamentale garantire il backup, la protezione e la ripristinabilità dei dati condivisi da tutti gli strumenti di M365.
I tuoi dati sono sotto la tua responsabilità
Microsoft 365 offre funzionalità di backup dei dati limitate. Supporta un modello di responsabilità condivisa basato sul principio che, per garantire il successo di una relazione, ogni parte in causa deve fornire il proprio contributo. Ne consegue che sia Microsoft che i suoi clienti hanno un ruolo da svolgere nel garantire la disponibilità e la sicurezza dei dati.
Sebbene Microsoft sia nota per l'alta disponibilità dell'infrastruttura fisica su cui viene eseguito M365, la protezione dati non è inclusa nella licenza standard della soluzione, bensì richiede una configurazione aggiuntiva complessa. Nella documentazione di Microsoft viene inoltre dichiarato che l'integrità e la conservazione dei dati sono responsabilità degli utenti. In sostanza, Microsoft è responsabile dell'infrastruttura cloud sottostante, mentre spetta agli utenti garantire la sicurezza dei dati di Microsoft 365.
Quanto sono sicuri i dati di Microsoft 365?
La funzionalità di backup integrata di M365 presenta le seguenti limitazioni di cui gli utenti devono essere consapevoli.
Protezione inadeguata contro gli errori umani
L'eliminazione accidentale di file è la causa più comune di perdita di dati dopo il ransomware. Se si tenta di ripristinare un file eliminato per errore dopo il periodo indicato sotto, i dati non potranno essere più recuperati.
Sanzioni normative
Per impostazione predefinita, SharePoint Online conserva gli elementi eliminati, compresi i file, per 93 giorni. Durante questo periodo, i file eliminati possono essere ripristinati utilizzando il Cestino o l'interfaccia di amministrazione di SharePoint Online. Dopo il periodo di conservazione di 93 giorni, i file eliminati vengono spostati nel Cestino di secondo livello di SharePoint Online, dove vengono conservati per altri sette giorni. I file che non vengono ripristinati durante questo periodo vengono eliminati definitivamente e non possono essere recuperati. Alcune normative, tuttavia, richiedono alle aziende di conservare alcuni dati non per giorni, ma per anni.
Limitazioni a livello normativo di M365
Microsoft 365 si integra e condivide i dati con numerosi servizi di terze parti, il che può costituire un problema in termini di conformità con le normative in vigore. Ad esempio, le informazioni personali sono protette dal GDPR e il loro trasferimento al di fuori dell'Unione europea e dello Spazio economico europeo (SEE) deve avvenire in conformità a tale normativa. Anche il Regno Unito ha implementato una propria versione del GDPR. Per agevolare e regolamentare i trasferimenti di dati, Microsoft fornisce meccanismi quali clausole contrattuali tipo, la cui trasparenza è stata però messa in dubbio.
Le normative GDPR dell'Unione europea e del Regno Unito sanciscono inoltre il diritto degli utenti ad accedere ai propri dati personali, di modificarli e di eliminarli. Microsoft fornisce strumenti come il Centro conformità di M365 per aiutare le organizzazioni a rispondere alle richieste di dati, ma il loro utilizzo si è rivelato essere complesso.
Microsoft archivia i dati di M356 in data center dislocati in tutto il mondo. Tuttavia, alcune normative sulla privacy dei dati dei consumatori impongono alle organizzazioni di archiviare i dati in spazi specifici. Ad esempio, in base al GDPR i dati dei residenti dell'Unione europea devono essere conservati all'interno dell'UE. Pertanto, i dati di M365 delle organizzazioni europee conservati negli Stati Uniti violano il GDPR. Tuttavia, in base al Cloud Act le agenzie di intelligence statunitensi devono avere accesso a tutti i dati archiviati dalle aziende con sede negli Stati Uniti, per cui per legge Microsoft è tenuta a salvare i dati dei propri utenti nei data center in cloud degli Stati Uniti.
Ciò crea un conflitto tra normative. Se a questo si aggiunge la mancanza di trasparenza riguardo alle modalità di archiviazione e raccolta dei dati da parte di Microsoft, l'utilizzo di M365 potrebbe avere un impatto sulle organizzazioni in termini di sanzioni e danni alla reputazione. Nel 2022 la Germania ha vietato del tutto l'uso di Microsoft nelle scuole a causa del possibile accesso ai dati da parte di terze parti.
I vantaggi dell'utilizzo di servizi di backup di terze parti per M365
Come abbiamo visto, Microsoft incoraggia i clienti a utilizzare una soluzione di backup di terze parti per i loro dati. Di per sé questo è un motivo sufficiente per seguire tale suggerimento.
Inoltre, la funzionalità di sincronizzazione di OneDrive è diversa rispetto ai backup, in quanto prevede la replica nella copia sincronizzata di qualsiasi operazione effettuata sui dati locali. Pertanto, un eventuale danneggiamento dei dati verrebbe replicato nella copia sincronizzata, con conseguenze disastrose per le organizzazioni grandi e complesse. Ma l'utilizzo di servizi di backup di terze parti offre anche altri vantaggi.
Spazi off-site
I servizi di backup di terze parti salvano i dati in uno spazio off-site, consentendo un ripristino granulare dei dati più rapido e semplice rispetto alla strategia di recupero dei dati frammentaria di M365. Le soluzioni di backup di terze parti sono facili da utilizzare e gestire e offrono interfacce intuitive che consentono un rapido accesso ai dati.
Tempi di ripristino più rapidi
In caso di perdita di dati, i servizi di backup di terze parti consentono di ripristinarli in tempi più rapidi rispetto agli strumenti di backup integrati di Microsoft, il che può rivelarsi fondamentale per ridurre al minimo le interruzioni e garantire la continuità operativa. Si tratta inoltre di soluzioni esterne scalabili, ossia in grado di gestire quantità maggiori di dati man mano che l'azienda cresce.
Maggiore flessibilità
Rivolgersi a un fornitore esterno a Microsoft consente di ottenere maggiore flessibilità per quanto riguarda i periodi di backup e il ripristino dei dati. Un fornitore esterno offre inoltre ulteriori funzionalità di sicurezza dei dati, ad esempio la crittografia e l'autenticazione a più fattori, e questo è ideale per le organizzazioni che operano in settori strettamente regolamentati, come quello sanitario e finanziario.
Best practice per la scelta di un servizio di backup di terze parti
Quando si sceglie un servizio di backup di terze parti per i dati di M365 è necessario seguire alcune linee guida. I fattori elencati di seguito sono quelli più importanti.
Funzionalità
Identifica le tue esigenze in fatto di backup. Assicurati che il fornitore offra funzionalità di recupero dei dati in linea con tali esigenze e che permetta di ottenere risultati facili e veloci. Verifica la disponibilità di backup automatici, funzionalità di crittografia, ripristino in un momento specifico, ripristino granulare e backup di più tipi di dati, tra cui e-mail, file e SharePoint. Il servizio deve inoltre seguire la regola 3-2-1 dei backup per quanto riguarda la varietà dei supporti e degli spazi.
Reputazione e affidabilità del fornitore
Cerca recensioni e feedback di altri clienti; assicurati che il fornitore sia in attività da diverso tempo e che abbia esperienza di Microsoft 365. Verifica se utilizza tecnologie di nuova generazione, come la crittografia dei dati basata sul machine learning, che limita l'accesso ai backup dei dati sia in transito che nel cloud, o la tecnologia anti-ransomware basata su intelligenza artificiale per rilevare e bloccare gli attacchi ransomware.
Supporto clienti e contratti sui livelli di servizio (SLA)
Il fornitore di servizi di backup deve offrire supporto 24/7, tempi di risposta rapidi e più canali per contattare l'help desk, come telefono, e-mail e chat. Il supporto che fornisce dovrebbe essere disciplinato da un contratto sui livelli di servizio (SLA) che definisca, tra le altre cose, i tempi di risposta e la qualità del servizio che ci si può aspettare.
Conformità e requisiti normativi
Assicurati che il fornitore di servizi di backup soddisfi i requisiti di conformità. Se gestisci dati sensibili, il provider deve aderire agli standard di conformità del tuo settore, ad esempio la normativa HIPAA per le aziende che operano in ambito sanitario. Potresti anche avere bisogno di supporto per garantire la conformità agli standard governativi in materia di privacy dei dati dei consumatori, come il GDPR nell'Unione europea e il CCPA in California, negli Stati Uniti. Inoltre, il Provider dovrebbe essere in grado di dimostrare la conformità e documentare che il suo approccio è in linea con i framework di Cyber Security end-to-end, come il CSF NIST, i controlli del CIS o ISO 27001.
Pricing
Infine, valuta il modello di pricing del servizio di backup. Scegli una soluzione che offra prezzi trasparenti e adatti al tuo budget, senza costi nascosti.
Conclusioni
I servizi di backup di terze parti sono fondamentali per mantenere l'integrità e l'accessibilità dei dati di Microsoft 365, in quanto forniscono un ulteriore livello di protezione e colmano le carenze a livello funzionale di Microsoft per M365.
Acronis è un servizio di backup di terze parti affidabile, che segue tutte le best practice illustrate in questo articolo. Consente di eseguire il backup dell'intero ambiente Microsoft 365, compresi i messaggi e-mail, i contatti, i calendari, i file di OneDrive, i siti di SharePoint e i dati di Teams, in uno spazio off-site sicuro e affidabile.
Acronis Cyber Protect offre inoltre il ripristino granulare, il controllo delle versioni e l'archiviazione. Per saperne di più, provalo oggi stesso.