„Avem backup" este una dintre cele mai periculoase fraze din lumea IT a firmelor mici. De cele mai multe ori înseamnă că există ceva care pare un backup — un hard disk extern, un folder pe OneDrive, poate chiar un NAS cumpărat acum 3 ani. Dar nimeni nu a verificat dacă funcționează cu adevărat.
Parcurge aceste 12 întrebări sincer. Dacă nu știi răspunsul la unele, acolo e vulnerabilitatea. La final, un scor simplu îți arată unde te afli.
Categoria 1: Existența și acoperirea backup-ului (1–4)
Răspunsul corect: o listă specifică de foldere, baze de date, aplicații — nu „cred că tot".
Răspuns greșit tipic: „backup-ul rulează automat pe server" fără să știi dacă include și baza de clienți sau contabilitatea.
De ce contează: dacă nu știi ce e în backup, nu știi ce poți restaura.
Backup manual = backup care nu se face. Oamenii uită, sunt ocupați, pleacă în vacanță.
Răspunsul corect: backup automat, programat, cu notificare în caz de eșec.
Semnal de alarmă: „îl pornește cineva din echipă vineri seara".
Regula 3-2-1: 3 copii, 2 suporturi, 1 offsite.
O singură copie = un singur punct de defect. HDD-ul se strică, laptop-ul e furat, serverul arde.
Răspunsul corect: NAS local + cloud, sau server + NAS + cloud.
NAS-ul și serverul în același birou = distruse de același incendiu sau furate în același jaf.
Offsite = alt oraș nu e necesar — un cloud storage criptat este suficient.
Răspuns greșit: „avem backup pe un hard disk în dulap" (același birou).
Categoria 2: Securitatea backup-ului (5–7)
Criptare în tranzit (HTTPS) nu e suficientă — furnizorul poate vedea datele tale.
Criptare end-to-end: datele sunt criptate pe calculatorul tău înainte să plece în cloud.
De ce contează pentru GDPR: date necriptate la furnizor = potențial breach dacă furnizorul e atacat.
Backup accesibil din rețeaua unde lucrezi = criptat de ransomware odată cu restul datelor.
Răspunsul corect: snapshot-uri imuabile (nu pot fi modificate/șterse nici de ransomware) sau rețea separată.
Acesta e probabil cel mai important aspect tehnic — un backup care poate fi criptat de ransomware nu e un backup real.
Ransomware care rămâne latent 3–7 zile înainte de activare = backup-ul recent conține fișiere deja infectate.
Răspunsul corect: retenție de minim 30 de zile, cu versiuni zilnice.
Categoria 3: Testarea backup-ului (8–10)
Diferența critică: a verifica că backup-ul a rulat ≠ a verifica că restaurarea funcționează.
Mulți manageri văd „backup completat" și consideră că sunt protejați. Nu sunt până când restaurarea nu e testată.
Răspunsul corect: da, am restaurat fișiere de test și au funcționat.
Dacă răspunsul e „nu știu" sau „acum mai mult de 6 luni", e o problemă.
GDPR Art. 32 cere testare periodică a măsurilor tehnice de securitate.
Standard recomandat: lunar pentru sisteme critice, trimestrial pentru restul.
Dacă nu știi, nu poți planifica. Dacă nu poți planifica, nu poți comunica cu clienții și partenerii.
Testul de restaurare complet îți dă acest număr. Fără el, RTO-ul tău real este „nu știm, vedem când se întâmplă".
Categoria 4: Planul de continuitate (11–12)
Memorie + stres = decizii proaste sub presiune.
Răspunsul corect: document de 1–2 pagini cu: cine suni, ce faci în ordinea asta, unde e backup-ul, cum restaurezi.
Dacă nu există, îl creăm împreună — asta facem pentru fiecare client.
Single point of failure uman = la fel de periculos ca un single point of failure tehnic.
Răspunsul corect: proceduri documentate, minim 2 oameni care știu să le execute.
Vei fi în concediu când se întâmplă — Murphy garantează asta.
Scorul tău
Citește și
Câte răspunsuri corecte ai avut?
Dacă ai descoperit vulnerabilități, le remediem împreună. Evaluare gratuită — analizăm situația actuală și propunem corecțiile necesare.