{"id":751,"date":"2021-05-21T14:27:00","date_gmt":"2021-05-21T12:27:00","guid":{"rendered":"https:\/\/brentasoft.com\/blog\/backup-aziendale-disaster-recovery-2021\/"},"modified":"2021-05-21T14:27:00","modified_gmt":"2021-05-21T12:27:00","slug":"backup-aziendale-disaster-recovery-2021","status":"publish","type":"post","link":"https:\/\/brentasoft.com\/blog\/backup-aziendale-disaster-recovery-2021\/","title":{"rendered":"Backup aziendale e disaster recovery: la guida 2021"},"content":{"rendered":"<p><strong>Backup aziendale e disaster recovery<\/strong> sono due pilastri della continuit&agrave; operativa che, troppo spesso, vengono confusi o sottovalutati nelle PMI italiane. Nel 2021, con l&#8217;esplosione del lavoro ibrido, l&#8217;aumento degli attacchi ransomware e l&#8217;accelerazione del cloud, una strategia solida di protezione dei dati non &egrave; pi&ugrave; un&#8217;opzione: &egrave; un requisito di sopravvivenza. Questa guida spiega in modo concreto cosa sono RPO e RTO, come applicare la regola 3-2-1, quali piattaforme scegliere tra Veeam, Acronis, Rubrik, Cohesity, AWS Backup e Aruba Cloud Backup, come strutturare un Disaster Recovery Plan conforme a ISO 22301 e quali errori evitare. Ti accompagniamo passo passo, con esempi reali e costi indicativi, per arrivare a un piano che protegge davvero il tuo business.<\/p>\n<figure class=\"wp-block-image size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1880\" height=\"1255\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/server-backup-cloud.jpg\" alt=\"Server backup cloud data center con luci blu\" class=\"wp-image-753\" srcset=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/server-backup-cloud.jpg 1880w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/server-backup-cloud-300x200.jpg 300w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/server-backup-cloud-1024x684.jpg 1024w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/server-backup-cloud-768x513.jpg 768w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/server-backup-cloud-1536x1025.jpg 1536w\" sizes=\"(max-width: 1880px) 100vw, 1880px\" \/><figcaption>Backup su cloud: data center moderni offrono geo-ridondanza e scalabilit\u00e0 immediata.<\/figcaption><\/figure>\n<h2>Backup e disaster recovery: la differenza che pochi conoscono<\/h2>\n<p>La prima fonte di confusione &egrave; semantica. Il <strong>backup<\/strong> &egrave; la copia di sicurezza dei dati: file, database, configurazioni, immagini di sistema. Serve a recuperare informazioni in caso di cancellazione accidentale, corruzione o cifratura da ransomware. Il <strong>disaster recovery<\/strong>, invece, &egrave; l&#8217;insieme di processi, infrastrutture e procedure che permettono di rimettere in funzione i servizi IT dopo un evento disastroso: incendio, alluvione, attacco informatico esteso, guasto hardware grave del data center.<\/p>\n<p>In altre parole: il backup &egrave; il punto di partenza, il disaster recovery &egrave; la catena completa che porta dai dati salvati al servizio nuovamente operativo. Avere backup senza piano di disaster recovery significa avere &#8220;la chiave dell&#8217;auto, ma non l&#8217;auto&#8221;. Avere un piano di DR senza backup affidabili significa &#8220;avere l&#8217;auto, ma senza carburante&#8221;.<\/p>\n<p>La <strong>business continuity<\/strong> &egrave; il livello pi&ugrave; alto: comprende anche aspetti non IT (sedi alternative, comunicazione di crisi, supply chain, personale chiave) ed &egrave; normata dallo standard ISO 22301. Le PMI italiane di solito si fermano al backup e iniziano il DR solo dopo aver subito un incidente grave: un approccio che la storia recente sconsiglia.<\/p>\n<h2>La regola 3-2-1 del backup: il minimo non negoziabile<\/h2>\n<p>La <strong>regola 3-2-1<\/strong>, formalizzata dal fotografo Peter Krogh ma adottata dall&#8217;industria IT, &egrave; il punto di partenza di ogni strategia seria:<\/p>\n<ul>\n<li><strong>3 copie<\/strong> dei dati (l&#8217;originale + 2 backup);<\/li>\n<li><strong>2 supporti diversi<\/strong> (es. SSD interno + NAS, oppure disco + tape, oppure on-premise + cloud);<\/li>\n<li><strong>1 copia offsite<\/strong>, in un luogo geograficamente separato dalla produzione.<\/li>\n<\/ul>\n<p>Nel 2021 molti vendor hanno esteso la regola a <strong>3-2-1-1-0<\/strong>: 1 copia offline (air-gapped, immune da ransomware) e 0 errori verificati nei test di restore. L&#8217;air-gap &egrave; diventato cruciale perch&eacute; i ransomware moderni (Conti, REvil, LockBit) cercano attivamente i backup di rete e li cifrano per impedire il recupero senza pagare il riscatto.<\/p>\n<p>Esempio pratico per una PMI italiana di 30 dipendenti: copia primaria su server NAS in sede + replica notturna su Aruba Cloud Backup (offsite) + snapshot settimanale su disco esterno scollegato (air-gap). Costo indicativo: 80-150&euro;\/mese per circa 2 TB di dati protetti, con RPO di 24 ore e RTO di 4-8 ore.<\/p>\n<h2>RPO e RTO: le due metriche che decidono la sopravvivenza<\/h2>\n<p><strong>RPO (Recovery Point Objective)<\/strong> e <strong>RTO (Recovery Time Objective)<\/strong> sono le due metriche fondamentali del disaster recovery e della business continuity. Spesso fraintese, sono in realt&agrave; molto semplici.<\/p>\n<p><strong>RPO<\/strong> indica <em>quanti dati puoi permetterti di perdere<\/em>, misurato in tempo. Se il backup gira ogni notte alle 23:00 e un disastro avviene alle 17:00 del giorno dopo, hai perso 18 ore di dati: il tuo RPO effettivo &egrave; di 24 ore. RPO basso = backup frequenti = costi pi&ugrave; alti.<\/p>\n<p><strong>RTO<\/strong> indica <em>quanto tempo ci metti a tornare operativo<\/em> dopo il disastro. Se il ripristino completo richiede 6 ore, il tuo RTO &egrave; di 6 ore. RTO basso = infrastruttura ridondante e procedure rodate = costi molto pi&ugrave; alti.<\/p>\n<p>I due valori vanno definiti per ogni servizio critico, non in modo uniforme. Esempio per una PMI manifatturiera:<\/p>\n<ul>\n<li>Gestionale ERP: RPO 1 ora, RTO 2 ore (ogni ora di fermo costa migliaia di euro);<\/li>\n<li>Posta elettronica: RPO 4 ore, RTO 8 ore;<\/li>\n<li>File condivisi marketing: RPO 24 ore, RTO 24 ore;<\/li>\n<li>Archivio storico documenti: RPO 7 giorni, RTO 72 ore.<\/li>\n<\/ul>\n<p>Definire RPO\/RTO obbliga il management a scegliere: ogni riduzione costa, e questa &egrave; una decisione di business, non IT. Per <a href=\"https:\/\/brentasoft.com\/soluzioni\/gestionali-personalizzati.php\">gestionali personalizzati<\/a> e applicativi mission-critical, l&#8217;obiettivo realistico per una PMI ben strutturata &egrave; RPO &lt; 1 ora e RTO &lt; 4 ore.<\/p>\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1880\" height=\"1253\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/backup-locale-azienda.jpg\" alt=\"Backup locale azienda con hard disk esterno\" class=\"wp-image-754\" srcset=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/backup-locale-azienda.jpg 1880w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/backup-locale-azienda-300x200.jpg 300w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/backup-locale-azienda-1024x682.jpg 1024w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/backup-locale-azienda-768x512.jpg 768w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/backup-locale-azienda-1536x1024.jpg 1536w\" sizes=\"(max-width: 1880px) 100vw, 1880px\" \/><figcaption>Backup locale e disco esterno scollegato: la copia air-gapped resta indispensabile contro i ransomware.<\/figcaption><\/figure>\n<h2>Tipi di backup: full, incrementale, differenziale, sintetico<\/h2>\n<p>La scelta della tipologia di backup impatta direttamente RPO, RTO, finestra di backup e occupazione storage.<\/p>\n<p><strong>Full backup<\/strong>: copia completa di tutti i dati. Lento da eseguire, occupa molto spazio, ma &egrave; il pi&ugrave; rapido in restore. Usato come base settimanale o mensile.<\/p>\n<p><strong>Backup incrementale<\/strong>: copia solo i dati modificati dall&#8217;ultimo backup (di qualsiasi tipo). Veloce, occupa poco, ma per ripristinare serve il full pi&ugrave; <em>tutta<\/em> la catena degli incrementali successivi: pi&ugrave; lungo il restore.<\/p>\n<p><strong>Backup differenziale<\/strong>: copia tutti i dati modificati dall&#8217;ultimo full. Pi&ugrave; pesante dell&#8217;incrementale ma pi&ugrave; rapido in restore (servono solo full + ultimo differenziale).<\/p>\n<p><strong>Synthetic full<\/strong>: una tecnica moderna (Veeam, Commvault) che ricostruisce un full &#8220;virtuale&#8221; combinando l&#8217;ultimo full reale con gli incrementali successivi, senza ripetere il full sulla produzione. Riduce la finestra di backup e protegge i sistemi sorgente.<\/p>\n<p><strong>CDP (Continuous Data Protection)<\/strong>: replica continua dei cambiamenti, RPO vicino a zero. Costoso ma indispensabile per database transazionali critici. Veeam CDP, Zerto e Rubrik offrono questa modalit&agrave;.<\/p>\n<p>Una strategia tipica nel 2021 &egrave;: full settimanale (es. domenica notte) + incrementali giornalieri + synthetic full mensile + retention 30 giorni online + 12 mesi su cloud freddo (Glacier, Azure Archive, Aruba Cold).<\/p>\n<h2>Backup on-premise vs cloud vs ibrido: come scegliere<\/h2>\n<p>Nel 2021 esistono tre macro-architetture, ognuna con pro e contro chiari.<\/p>\n<p><strong>On-premise puro<\/strong>: NAS, SAN, librerie tape locali. Pro: bassa latenza, controllo totale, indipendenza dalla connettivit&agrave;. Contro: investimento iniziale (CapEx) elevato, scalabilit&agrave; lenta, vulnerabile a disastri locali (incendio, allagamento, furto). Adatto a chi ha gi&agrave; data center o normative che obbligano dati in casa.<\/p>\n<p><strong>Cloud puro<\/strong>: AWS Backup, Azure Backup, Aruba Cloud Backup, Backblaze. Pro: scalabilit&agrave; istantanea, OpEx prevedibile, geo-ridondanza inclusa, niente hardware da gestire. Contro: dipendenza dalla connettivit&agrave; in restore (ripristinare 5 TB su una linea da 100 Mbps richiede 5 giorni), costi di egress (uscita dati) spesso sottovalutati, lock-in del fornitore.<\/p>\n<p><strong>Ibrido<\/strong>: backup primario on-premise per RTO basso, copia secondaria su cloud per offsite e disaster recovery. &Egrave; la scelta pi&ugrave; comune nel 2021 per PMI tra 10 e 200 dipendenti, perch&eacute; bilancia velocit&agrave; di restore e protezione contro disastri locali. Veeam, Acronis e Rubrik sono nati proprio per orchestrare scenari ibridi.<\/p>\n<p>La domanda chiave non &egrave; &#8220;cloud o non cloud&#8221; ma &#8220;quali workload, con quale RPO\/RTO, a quale costo totale di propriet&agrave; (TCO) su 5 anni&#8221;. Vedi le nostre <a href=\"https:\/\/brentasoft.com\/soluzioni\/software-cloud.php\">soluzioni cloud<\/a> per scenari ibridi gi&agrave; configurati.<\/p>\n<h2>Le 6 piattaforme leader nel 2021<\/h2>\n<p>Il mercato del backup enterprise nel 2021 &egrave; dominato da pochi player, ognuno con un posizionamento preciso. Ecco una panoramica utile per orientarsi.<\/p>\n<p><strong>1. Veeam Backup &amp; Replication<\/strong> (versione 11, rilasciata febbraio 2021): leader per ambienti virtualizzati VMware e Hyper-V. Eccellente integrazione con storage primario (NetApp, HPE, Pure), CDP nativa, instant VM recovery. Licenza per workload o per socket. Costo indicativo: 100-150&euro;\/VM\/anno. Forza: maturit&agrave;, comunit&agrave; enorme, restore granulare anche dentro database e Exchange.<\/p>\n<p><strong>2. Acronis Cyber Backup<\/strong> (rinominato Cyber Protect nel 2020): unisce backup, antimalware, EDR e gestione patch in un&#8217;unica console. Forte focus su MSP e PMI. Cloud incluso (data center anche in Italia). Costo: da 60&euro;\/workstation\/anno, server da 600&euro;\/anno.<\/p>\n<p><strong>3. Rubrik<\/strong>: appliance &#8220;zero-trust&#8221; con interfaccia SaaS-like, immutability nativa, ottima per ambienti enterprise complessi. Costoso (target: aziende sopra i 1.000 dipendenti) ma elimina molta complessit&agrave; operativa. Modello a sottoscrizione.<\/p>\n<p><strong>4. Cohesity<\/strong>: piattaforma iperconvergente di secondary storage che unifica backup, archivio, file services e analytics. Scale-out nativo, integrazione marketplace di app (antivirus, indicizzazione). Target: enterprise.<\/p>\n<p><strong>5. AWS Backup<\/strong>: servizio nativo Amazon che centralizza backup di EC2, EBS, RDS, DynamoDB, EFS, S3, Storage Gateway. Pricing pay-per-use, integrazione IAM, compliance certificate. Indispensabile per chi ha workload AWS.<\/p>\n<p><strong>6. Aruba Cloud Backup<\/strong>: alternativa italiana basata su Acronis, con data center a Bergamo, Arezzo e altre sedi UE. Vantaggio: data residency italiana, supporto in italiano, integrazione con Aruba PEC e domini. Costo: da 4,90&euro;\/mese per 50 GB. Ottima per PMI vincolate a dati in Italia per motivi normativi o contrattuali.<\/p>\n<p>Altri attori 2021 da menzionare: Commvault (storico, ricco di funzioni ma complesso), Veritas NetBackup (storico enterprise), Nakivo (low-cost VMware\/Hyper-V), TIM Cloud Backup (mercato italiano), Yomi by Yoroi (sandboxing italiano, focus security pi&ugrave; che backup).<\/p>\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1880\" height=\"1253\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/disaster-recovery-plan.jpg\" alt=\"Team aziendale al lavoro su disaster recovery plan\" class=\"wp-image-755\" srcset=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/disaster-recovery-plan.jpg 1880w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/disaster-recovery-plan-300x200.jpg 300w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/disaster-recovery-plan-1024x682.jpg 1024w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/disaster-recovery-plan-768x512.jpg 768w, https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/05\/disaster-recovery-plan-1536x1024.jpg 1536w\" sizes=\"(max-width: 1880px) 100vw, 1880px\" \/><figcaption>Costruire un Disaster Recovery Plan richiede coinvolgimento di IT, management e stakeholder.<\/figcaption><\/figure>\n<h2>Disaster Recovery Plan (DRP): cosa deve contenere davvero<\/h2>\n<p>Un Disaster Recovery Plan non &egrave; un documento per l&#8217;auditor: &egrave; un manuale operativo che, in piena crisi, deve permettere a tecnici sotto stress di rimettere in piedi i sistemi seguendo passi precisi. I componenti minimi:<\/p>\n<ol>\n<li><strong>Inventario asset critici<\/strong>: server, applicazioni, database, dipendenze, contatti vendor, numeri di licenza.<\/li>\n<li><strong>Business Impact Analysis (BIA)<\/strong>: per ogni processo aziendale, l&#8217;impatto orario e giornaliero del fermo (perdita di fatturato, danno reputazionale, sanzioni contrattuali). Da qui derivano RPO e RTO.<\/li>\n<li><strong>Scenari di disastro<\/strong>: ransomware esteso, incendio data center, perdita connettivit&agrave; geografica, errore umano massivo, indisponibilit&agrave; del cloud provider. Ogni scenario ha procedure dedicate.<\/li>\n<li><strong>Procedure di failover e failback<\/strong>: passo-passo, con screenshot, comandi esatti, credenziali in cassaforte separata.<\/li>\n<li><strong>Catena di comando<\/strong>: chi decide di attivare il DR, chi comunica ai clienti, chi parla con la stampa, chi coordina i tecnici.<\/li>\n<li><strong>Piano di test<\/strong>: tabletop trimestrale, test parziale semestrale, test full almeno annuale. Senza test, il DRP &egrave; carta.<\/li>\n<li><strong>Runbook di restore<\/strong>: ordine di ripristino dei sistemi (prima Active Directory, poi DNS, poi database, poi applicativi&hellip;), tempi attesi, criteri di &#8220;go\/no-go&#8221;.<\/li>\n<li><strong>Comunicazione di crisi<\/strong>: template email per clienti, fornitori, dipendenti, autorit&agrave; (Garante Privacy entro 72 ore se c&#8217;&egrave; data breach).<\/li>\n<\/ol>\n<p>Un buon DRP per una PMI sta in 30-60 pagine, &egrave; aggiornato almeno ogni 6 mesi e <em>non vive solo sul portatile dell&#8217;IT manager<\/em>: copia stampata in cassaforte e copia digitale in repository accessibile anche se la rete aziendale &egrave; gi&ugrave;.<\/p>\n<h2>Business Continuity Plan (BCP): il livello sopra il DRP<\/h2>\n<p>Il <strong>Business Continuity Plan<\/strong> &egrave; il documento sovraordinato che governa la continuit&agrave; di tutta l&#8217;azienda, non solo dell&#8217;IT. Include il DRP come capitolo, ma copre molto di pi&ugrave;:<\/p>\n<ul>\n<li>Sedi alternative (smart working esteso, uffici di backup, accordi di reciprocit&agrave;);<\/li>\n<li>Personale chiave e successione (cosa succede se si ammala il responsabile produzione);<\/li>\n<li>Supply chain alternativa (fornitori di backup pre-qualificati);<\/li>\n<li>Continuit&agrave; finanziaria (linee di credito di emergenza, assicurazioni cyber);<\/li>\n<li>Rapporti con autorit&agrave; e stakeholder.<\/li>\n<\/ul>\n<p>Lo standard internazionale di riferimento &egrave; <strong>ISO 22301:2019<\/strong>, &#8220;Security and resilience &mdash; Business continuity management systems&#8221;. Le PMI italiane raramente si certificano, ma adottare la struttura del framework anche senza certificazione formale porta benefici concreti: maggiore consapevolezza dei rischi, procedure scritte, riduzione dei premi assicurativi cyber, vantaggio competitivo nelle gare con grandi clienti che richiedono ai fornitori un BCP documentato.<\/p>\n<h2>ISO 22301 e standard di compliance correlati<\/h2>\n<p>Oltre a ISO 22301, nel 2021 le aziende italiane devono coordinare diversi framework che si intersecano sul tema continuit&agrave; e protezione dati:<\/p>\n<ul>\n<li><strong>GDPR (Regolamento UE 2016\/679)<\/strong>: l&#8217;art. 32 richiede la &#8220;capacit&agrave; di ripristinare tempestivamente la disponibilit&agrave; e l&#8217;accesso dei dati personali in caso di incidente fisico o tecnico&#8221;. Tradotto: backup e DR sono obblighi normativi, non opzioni. Vedi la nostra guida alla <a href=\"https:\/\/brentasoft.com\/erp-brenta\/gdpr.php\">compliance GDPR<\/a>.<\/li>\n<li><strong>ISO 27001<\/strong>: sistema di gestione della sicurezza delle informazioni. Il controllo A.17 &egrave; dedicato proprio agli &#8220;aspetti relativi alla sicurezza delle informazioni nella gestione della continuit&agrave; operativa&#8221;.<\/li>\n<li><strong>NIS Directive (2016\/1148)<\/strong>: per operatori di servizi essenziali (energia, sanit&agrave;, trasporti, finanza, infrastrutture digitali) prevede obblighi specifici di resilienza e notifica incidenti.<\/li>\n<li><strong>AgID (Agenzia per l&#8217;Italia Digitale)<\/strong>: linee guida per la PA su disaster recovery e cloud (Circolari AgID 1\/2017 e successive).<\/li>\n<li><strong>Misure minime AgID<\/strong>: per le PA, livello minimo, standard, alto.<\/li>\n<\/ul>\n<p>Per le PMI fornitrici della PA o di grandi gruppi industriali, dimostrare conformit&agrave; ad almeno uno di questi standard &egrave; sempre pi&ugrave; spesso requisito di gara.<\/p>\n<p>Per approfondire la sicurezza informatica complementare al backup, leggi la nostra <a href=\"\/blog\/sicurezza-informatica-pmi-guida-2021\/\">guida alla sicurezza informatica per PMI 2021<\/a> e il <a href=\"\/blog\/gdpr-aziendale-guida-pmi-2021\/\">pillar GDPR aziendale<\/a>. Riferimenti istituzionali: <a href=\"https:\/\/it.wikipedia.org\/wiki\/Disaster_recovery\" rel=\"noopener\" target=\"_blank\">Wikipedia disaster recovery<\/a> e <a href=\"https:\/\/www.enisa.europa.eu\/\" rel=\"noopener\" target=\"_blank\">ENISA, l&#8217;agenzia europea per la cybersecurity<\/a>.<\/p>\n<h2>Costi indicativi 2021 per PMI italiane<\/h2>\n<p>I costi reali variano molto in base a volume dati, RPO\/RTO richiesti e scelta on-premise\/cloud. Ecco range realistici osservati nel 2021 sul mercato italiano:<\/p>\n<ul>\n<li><strong>PMI 5-20 dipendenti, 500 GB-1 TB dati<\/strong>: backup cloud puro Acronis o Aruba, 50-120&euro;\/mese. RPO 24h, RTO 8-24h.<\/li>\n<li><strong>PMI 20-50 dipendenti, 2-5 TB dati<\/strong>: ibrido NAS + cloud, 200-400&euro;\/mese inclusa licenza Veeam Essentials. RPO 4-12h, RTO 4-8h.<\/li>\n<li><strong>PMI 50-150 dipendenti, 5-20 TB dati<\/strong>: ibrido con appliance dedicata + replica cloud + DR site freddo, 800-2.000&euro;\/mese. RPO 1-4h, RTO 2-4h.<\/li>\n<li><strong>Aziende 150-500 dipendenti, 20-100 TB dati<\/strong>: piattaforma enterprise (Veeam, Rubrik, Cohesity) + DRaaS, 3.000-8.000&euro;\/mese. RPO &lt; 1h, RTO &lt; 2h.<\/li>\n<\/ul>\n<p>A questi vanno aggiunti i costi di consulenza per la stesura del DRP (5.000-15.000&euro; una tantum), test annuali (2.000-5.000&euro;) e formazione del personale. Il ritorno sull&#8217;investimento si misura confrontandolo con il costo di un fermo: nel 2021, secondo Ponemon, il costo medio di un&#8217;ora di downtime per una PMI italiana &egrave; tra 8.000 e 25.000&euro;. Una giornata persa pu&ograve; bastare a giustificare anni di budget DR.<\/p>\n<h2>Errori frequenti nelle PMI italiane<\/h2>\n<p>Dopo anni di progetti sul campo, gli errori si ripetono con sconfortante regolarit&agrave;. I pi&ugrave; comuni:<\/p>\n<ol>\n<li><strong>Backup mai testato<\/strong>: il restore funziona finch&eacute; non lo provi. Programma test trimestrali documentati.<\/li>\n<li><strong>Una sola copia, una sola sede<\/strong>: NAS sotto la scrivania dell&#8217;IT non &egrave; un backup, &egrave; una copia locale. Manca l&#8217;offsite.<\/li>\n<li><strong>Backup connesso 24\/7 alla rete<\/strong>: il primo bersaglio dei ransomware. Servono copie offline o immutable.<\/li>\n<li><strong>Retention troppo corta<\/strong>: ransomware moderni restano dormienti settimane. Conserva almeno 30 giorni online + 6-12 mesi cold.<\/li>\n<li><strong>Niente backup di SaaS<\/strong>: Microsoft 365, Google Workspace, Salesforce <em>non<\/em> garantiscono il recupero dei dati cancellati dall&#8217;utente. Usa Veeam Backup for M365, Acronis SaaS Backup o equivalenti.<\/li>\n<li><strong>Nessuna documentazione<\/strong>: se il responsabile IT &egrave; in vacanza, nessuno sa come fare restore.<\/li>\n<li><strong>Confondere alta disponibilit&agrave; e backup<\/strong>: cluster e RAID proteggono dai guasti hardware, non dai ransomware n&eacute; dagli errori umani. Servono entrambi.<\/li>\n<li><strong>Sottovalutare il restore time<\/strong>: ripristinare 10 TB da cloud su linea ADSL richiede settimane. Calcola sempre il restore reale, non solo il backup.<\/li>\n<li><strong>Non aggiornare il DRP dopo cambi infrastrutturali<\/strong>: nuovo gestionale, nuovo CRM, migrazione cloud&hellip; ogni modifica richiede aggiornamento del piano.<\/li>\n<li><strong>Mancanza di crittografia<\/strong>: backup non cifrato + furto del nastro = data breach GDPR.<\/li>\n<\/ol>\n<p>L&#8217;integrazione con sistemi gestionali e l&#8217;<a href=\"https:\/\/brentasoft.com\/soluzioni\/integrazione-api.php\">integrazione API<\/a> tra applicativi richiede una visione coordinata: ogni nuovo connettore &egrave; un nuovo punto da proteggere e includere nel piano di backup.<\/p>\n<h2>Domande frequenti (FAQ)<\/h2>\n<p><strong>Quanto spesso devo fare backup?<\/strong><br \/>\nDipende dall&#8217;RPO definito. Per dati operativi standard, almeno una volta al giorno; per database transazionali, ogni 1-4 ore con log shipping continuo.<\/p>\n<p><strong>Il cloud &egrave; pi&ugrave; sicuro del backup locale?<\/strong><br \/>\nPi&ugrave; resistente ai disastri locali, s&igrave;. Pi&ugrave; veloce in restore di grandi volumi, no. La risposta corretta &egrave; quasi sempre &#8220;ibrido&#8221;.<\/p>\n<p><strong>Quanto costa un piano completo per PMI 30 dipendenti?<\/strong><br \/>\nRange realistico 2021: 250-500&euro;\/mese di servizi + 5-10k&euro; una tantum di consulenza\/setup. Variabile in base a RPO\/RTO e volume dati.<\/p>\n<p><strong>Devo certificarmi ISO 22301?<\/strong><br \/>\nLa certificazione formale serve a chi opera in settori regolati o partecipa a gare che la richiedono. Per le altre PMI, adottare il framework senza certificazione &egrave; gi&agrave; un grande passo avanti.<\/p>\n<p><strong>Cosa fa la differenza tra DRP e BCP?<\/strong><br \/>\nIl DRP &egrave; tecnico (IT). Il BCP &egrave; organizzativo (tutta l&#8217;azienda). Il DRP &egrave; un capitolo del BCP.<\/p>\n<p><strong>I backup di Microsoft 365 servono davvero?<\/strong><br \/>\nS&igrave;. Microsoft garantisce la disponibilit&agrave; del servizio, non il recupero dei dati cancellati o cifrati. Senza backup terzo, una mailbox cancellata oltre la retention nativa &egrave; persa.<\/p>\n<p><strong>Come si testa un DRP?<\/strong><br \/>\nTre livelli: tabletop (riunione su scenario), parziale (ripristino di un singolo servizio in ambiente isolato), full (failover completo su sito DR). Almeno uno di ciascun tipo all&#8217;anno.<\/p>\n<p><strong>Backup &egrave; obbligatorio per legge?<\/strong><br \/>\nIndirettamente s&igrave;: GDPR (art. 32) e ISO 27001 lo richiedono come misura tecnica adeguata. Per la PA, AgID lo impone esplicitamente.<\/p>\n<p><strong>Cosa significa &#8220;immutability&#8221; nel backup?<\/strong><br \/>\nSignifica che il backup, una volta scritto, non pu&ograve; essere modificato n&eacute; cancellato per un periodo definito (retention lock), nemmeno dall&#8217;amministratore. Tecnologie come AWS S3 Object Lock, Veeam Hardened Repository (Linux con file immutable bit), Rubrik append-only e nastri WORM (Write Once Read Many) implementano questo principio. Nel 2021 &egrave; diventato la difesa pi&ugrave; efficace contro ransomware mirati: anche se l&#8217;attaccante ottiene credenziali admin, non pu&ograve; cifrare o eliminare i backup protetti.<\/p>\n<p><strong>Quanti tipi di test DR servono ogni anno?<\/strong><br \/>\nLa best practice nel 2021 prevede: 4 tabletop trimestrali (1-2 ore, su scenari diversi), 2 test parziali semestrali (ripristino di un servizio specifico in lab isolato), 1 test full annuale (failover di tutta l&#8217;infrastruttura sul sito DR). Ogni test produce un report con tempi misurati e gap rilevati, alimentando l&#8217;aggiornamento del DRP. Le aziende che fanno solo &#8220;backup, ma il DR mai testato&#8221; scoprono i problemi solo quando &egrave; troppo tardi.<\/p>\n<h2>Conclusioni: backup e DR come investimento, non costo<\/h2>\n<p>Nel 2021 la domanda non &egrave; pi&ugrave; &#8220;se&#8221; subiremo un incidente, ma &#8220;quando&#8221;. Ransomware, errori umani, guasti hardware e disastri ambientali sono statistiche, non possibilit&agrave; remote. Una PMI italiana ben strutturata deve trattare backup e disaster recovery come pilastri dell&#8217;infrastruttura, allo stesso livello della rete e dei firewall.<\/p>\n<p>I tre passi minimi da fare subito, anche con budget limitato, sono: (1) implementare la regola 3-2-1-1-0 con almeno una copia immutable; (2) definire formalmente RPO e RTO per i 5 servizi pi&ugrave; critici, coinvolgendo il management; (3) scrivere un DRP base, anche di sole 20 pagine, e testarlo almeno una volta. Da qui si costruiscono i livelli successivi: BCP completo, conformit&agrave; ISO 22301, integrazione con assicurazione cyber.<\/p>\n<p>Il costo di non farlo &egrave; sempre superiore al costo di farlo. Le aziende che hanno dovuto pagare riscatti ransomware nel 2020-2021 hanno speso, in media, dieci volte quello che sarebbe servito per un piano di prevenzione adeguato. Investire oggi in backup affidabili e disaster recovery testati significa proteggere fatturato, clienti, dipendenti e reputazione: in breve, garantire che la tua PMI esista ancora dopo l&#8217;incidente.<\/p>\n<div style=\"background:#f5f7fa;border-left:4px solid #0066cc;padding:20px;margin:30px 0;border-radius:4px;\">\n<h3 style=\"margin-top:0;\">Vuoi una strategia backup e disaster recovery per la tua PMI?<\/h3>\n<p>Brentasoft sviluppa software e infrastrutture cloud con backup integrati 3-2-1, disaster recovery e business continuity per PMI italiane: RPO\/RTO certi, conformit&agrave; GDPR.<\/p>\n<p style=\"margin-bottom:0;\"><a href=\"https:\/\/brentasoft.com\/erp-brenta.php\" style=\"display:inline-block;background:#0066cc;color:#fff;padding:12px 24px;border-radius:4px;text-decoration:none;font-weight:600;\">Scopri ERP Brenta &rarr;<\/a><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Backup aziendale e disaster recovery 2021: regola 3-2-1, RPO RTO, Veeam Acronis Rubrik AWS Aruba, DRP, ISO 22301, costi PMI ed errori da evitare.<\/p>\n","protected":false},"author":2,"featured_media":752,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"Backup aziendale e disaster recovery: la guida 2021","_seopress_titles_desc":"Backup aziendale e disaster recovery 2021: regola 3-2-1, RPO RTO, Veeam Acronis Rubrik AWS Aruba, DRP, ISO 22301, costi e errori da evitare nelle PMI.","_seopress_robots_index":"","footnotes":""},"categories":[25],"tags":[449,444,446,445,450,447,448],"class_list":["post-751","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance-normative","tag-acronis","tag-backup-aziendale","tag-business-continuity","tag-disaster-recovery","tag-iso-22301","tag-rpo-rto","tag-veeam"],"_links":{"self":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/751","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/comments?post=751"}],"version-history":[{"count":0,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/751\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media?parent=751"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/categories?post=751"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/tags?post=751"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}