Che cos’è la data retention policy?

Ogni buon piano di backup comprende una data retention policy che specifica nel dettaglio per quanto tempo l’azienda conserva i dati prima di archiviarli, sovrascriverli o distruggerli, eliminandoli così definitivamente. La data retention policy, il cui significato è letteralmente policy per la conservazione dei dati, definisce: in che modo, dove e per quanto tempo sono conservati i dati, il loro formato, il mezzo su cui vengono conservati, chi vi ha accesso e che cosa succede nel caso in cui si verifichi un accesso non autorizzato a tali dati. Per alcune aziende, la data retention policy è obbligatoria per motivi di conformità.

Per la maggior parte delle aziende, la data retention policy è uno dei requisiti di conformità richiesti da diversi enti regolatori e offre agli amministratori una guida sul backup e l’archiviazione dei dati. Il processo di pianificazione e creazione di una retention policy può aiutare a scoprire problemi di archiviazione, autorizzazione e qualsiasi altro rischio associato ai dati.

La ragione principale per cui le aziende implementano una data retention policy è per motivi di conformità. Ad esempio, in ambito Europeo, il GDPR disciplina la data retention policy. In ambito Americano questo ruolo è coperto da: la normativa HIPAA (Health Insurance Portability and Accounting Act), le norme Gramm-Leach-Bliley Act del 1999, e Sarbanes-Oxley Act del 2002, e le normative Securities and Exchange Commission rules 17a-3 e 17a-4, che, tra i vari standard che controllano la conservazione e l’accesso ai dati, obbligano le aziende ad avere una retention policy.

Ogni azienda gestisce la pianificazione e l’esecuzione in modo diverso, ma è possibile seguire delle linee guida per assicurarsi che il proprio piano sia sviluppato in maniera efficiente e senza problemi. Inoltre, disporre di una valida soluzione di archiviazione può aiutare a semplificare: il processo di discovery, la conformità normativa e l’accesso ai dati degli utenti. La data retention coinvolge ogni reparto dell’azienda, perciò un piano solido influisce positivamente sull’intera organizzazione e aiuta amministratori e addetti del reparto IT ad adempiere ai contratti SLA (service level agreement).

I passi principali per la pianificazione e creazione della policy:

• Costruire una squadra. A meno che non abbiate un team interno in grado di creare una retention policy, avrete bisogno di affidarvi ad un consulente, un collaboratore, o assumere una figura specifica. Anche se i vostri amministratori di rete hanno sicuramente un ruolo importante, andranno affiancati da professionisti preparati in materia di data retention policy che conoscono bene le pratiche da seguire per definire un buon piano.
• Categorizzare i dati. Ogni azienda tratta differenti tipi di dati, ha le proprie regole di accesso e i propri metodi di archiviazione. I dati andrebbero categorizzati così da separare i dati sensibili da quelli generici. I dati sensibili, come i PII, richiedono rigide regole e solidi strumenti di difesa per essere protetti dalle minacce esterne.
• Identificare leggi e standard di conformità che regolano la gestione dei dati. Gli standard di conformità offrono una guida nella definizione delle regole della policy. Non va trascurato nessuno degli standard che regolano i dati, perché le eventuali violazioni possono portare a pesanti sanzioni.
• Definire la policy. Questo richiede la partecipazione di più persone al fine di raccogliere tutte le idee e scrivere le regole della policy.
• Comunicare la policy agli amministratori. Chiunque partecipi al piano di backup e retention deve conoscere le policy che stanno dietro ai regolamenti stabiliti.
• Valutare annualmente la policy. Come ogni policy, andrebbe valutata regolarmente per assicurare che sia aggiornata alle ultime normative. La tecnologia è in continua evoluzione, perciò la policy deve riflettere: le modifiche all’infrastruttura, le autorizzazioni, i dati che vengono raccolti e come vengono conservati.

Il periodo di tempo per la data retention dipende dalla sensibilità dei dati e dai requisiti di compliance. Anche i dati non sensibili devono essere conservati per un periodo di tempo specifico nell’eventualità che gli utenti debbano recuperare i file per ragioni lavorative. Se gli standard di conformità per la vostra azienda non definiscono un periodo di tempo specifico per la data retention, dovrete determinare internamente una durata adeguata.

Per i dati non importanti la data retention può limitarsi ad un paio di settimane, ma i dati critici, come le informazioni sanitarie ad esempio, potrebbero dover essere conservate per decenni. È fondamentale conservate i dati per un tempo sufficiente a supportare i piani di disaster recovery, al fine di ripristinare le normali attività lavorative tramite i backup, in caso di necessità.

Anche la capacità di memorizzazione va tenuta in conto nell’ambito della pianificazione del tempo di retention. Più lungo sarà il lasso di tempo per la data retention, maggiori saranno le dimensioni degli archivi di dati da conservare. Se il costo per la conservazione dei dati è superiore al costo della perdita di tali dati, sarà bene considerare di eliminarli in tempi più rapidi anziché conservarli per mesi.

Per poter definire una valida data retention policy, dovrete seguire alcune best practice per assicurarvi di rispettare tutte le normative che regolamentano la vostra attività. Potrete personalizzare la policy per adattarla al meglio alle esigenze della vostra azienda, ma alcuni standard valgono per tutti i generi di attività.

Classificazione di tutti i dati

È facile trascurare dati considerati non importanti, tuttavia, tutti i file e dati nell’ambiente aziendale vanno considerati e inclusi nei piani di backup. Classificando i dati, vi assicurate che ogni informazione critica per l’operatività aziendale venga conservata per un certo periodo di tempo, affinché possa essere ripristinata o analizzata in qualsiasi momento.

Analisi degli standard di conformità

La maggior parte delle aziende deve rispondere ad un ente regolatore che disciplina la conservazione dei dati, i backup, e la retention. Per essere conformi, potreste avere bisogno di un consulente che abbia dimestichezza con le normative di settore.

Policy di cancellazione

Vi capiterà ad un certo punto, di non avere più bisogno di conservare certi dati e vorrete eliminarli per tagliare i costi di archiviazione. La policy di cancellazione definisce quando è possibile eliminare i dati senza compromettere la conformità o le capacità di ripristino delle attività aziendali in caso di incidente.

Lavoro di squadra

Ogni membro di ogni reparto interno dell’azienda coinvolto nella data retention policy, dovrà poter fornire il proprio feedback, in particolare sui dati che interessano il proprio reparto.

Collega la retention ai piani di backup

Il vostro piano di backup definisce i dati da conservare mentre il piano di retention determina il periodo di tempo per la conservazione. Le due policy devono essere interconnesse.