Secondo questo studio, ogni anno il 20% delle aziende perde dei dati sensibili. Non so quanto pessimistica sia la stima ma ho ragione di credere che le perdite di dati "comuni", ovvero quelli che le disposizioni di legge non definiscono come sensibili, siano ben superiori visto che, per ovvi motivi, questi sono oggetto di minori investimenti per la loro protezione. Non sono poi molte le realtà che, per diversi motivi, possono permettersi di rivelare di aver perso dei dati e questo elemento, da solo, porterebbe ad amplificare le stime di cui sopra.

Benchè il dato riportato nell'articolo si riferisca non solo alla perdita dovuta a problemi della base dati, è innegabile che una attenta politica di gestione dell'infrastruttura IT dovrebbe avere come primario obiettivo quello della salvaguardia del patrimonio informativo il cui valore è spesso paragonabile a quello dell'azienda. Tuttavia la presenza di un DBA è un lusso che la maggior parte delle piccole e medie imprese italiane non possono permettersi ed anche in alcune grandi aziende è talvolta una figura di secondo piano o un ruolo assegnato ad una sola persona che deve svolgere anche altre mansioni.

Di sicuro "la più attenta pianificazione non potrà mai sostituire una gran botta di culo" (cit.), ma adottare quelle misure idonee a ridurre i rischi di perdita di dati è una attività su cui ciascuna azienda, grande o piccola, dovrebbe investire. Purtroppo invece capita spesso che si tenti di fare l'impossibile quando un evento dannoso è già avvenuto ed in questi casi contattare un aspirante stregone sarebbe più utile che chiamare il più esperto dei DBA.

Finchè i DBA non imparano a fare (anche) gli stregoni l'unica arma a disposizione resta la prevenzione, la valutazione dei rischi e l'implementazione di una serie di piani di auditing e controllo degli accessi, gestione della sicurezza fisica e perimetrale e, last but not least, disaster recovery. In particolare, come già sottolineato in parecchi miei post (sia su questo blog che su newsgroup/forum), definire delle efficienti politiche di backup è solo una parte del piano di disaster recovery. Finchè non si eseguono delle simulazioni di ripristino in diversi scenari di criticità che vanno dalla perdita parziale di dati dovuta a errori umani, alla corruzione parziale o totale di un database utente, di sistema o dell'intera macchina fino agli eventi più catastrofici (incendio, allagamento, terremoto, ecc) non si può parlare di disaster recovery plan ma al massimo di "disaster recovery hope"... ;-)

Bye