Checklist backup pentru firma ta: 12 întrebări la care orice manager trebuie să știe răspunsul

BACKUP  ·  5 min citit

„Avem backup" este una dintre cele mai periculoase fraze din lumea IT a firmelor mici. De cele mai multe ori înseamnă că există ceva care pare un backup — un hard disk extern, un folder pe OneDrive, poate chiar un NAS cumpărat acum 3 ani. Dar nimeni nu a verificat dacă funcționează cu adevărat.

Parcurge aceste 12 întrebări sincer. Dacă nu știi răspunsul la unele, acolo e vulnerabilitatea. La final, un scor simplu îți arată unde te afli.

Categoria 1: Existența și acoperirea backup-ului (întrebările 1–4)

1. Știi exact ce date sunt incluse în backup?

Răspunsul corect: o listă specifică de foldere, baze de date, aplicații — nu „cred că tot".

Răspuns greșit tipic: „backup-ul rulează automat pe server" fără să știi dacă include și baza de clienți sau contabilitatea.

De ce contează: dacă nu știi ce e în backup, nu știi ce poți restaura.

2. Backup-ul rulează automat sau trebuie pornit manual?

Backup manual = backup care nu se face. Oamenii uită, sunt ocupați, pleacă în vacanță.

Răspunsul corect: backup automat, programat, cu notificare în caz de eșec.

Semnal de alarmă: „îl pornește cineva din echipă vineri seara".

3. Ai cel puțin 2 copii ale datelor pe 2 suporturi diferite?

Regula 3-2-1: 3 copii, 2 suporturi, 1 offsite.

O singură copie = un singur punct de defect. HDD-ul se strică, laptop-ul e furat, serverul arde.

Răspunsul corect: NAS local + cloud, sau server + NAS + cloud.

4. Ai cel puțin 1 copie stocată în afara biroului (offsite)?

NAS-ul și serverul în același birou = distruse de același incendiu sau furate în același jaf.

Offsite = alt oraș nu e necesar — un cloud storage criptat este suficient.

Răspuns greșit: „avem backup pe un hard disk în dulap" (același birou).

Categoria 2: Securitatea backup-ului (întrebările 5–7)

5. Backup-ul cloud este criptat end-to-end?

Criptare în tranzit (HTTPS) nu e suficientă — furnizorul poate vedea datele tale.

Criptare end-to-end: datele sunt criptate pe calculatorul tău înainte să plece în cloud.

De ce contează pentru GDPR: date necriptate la furnizor = potențial breach dacă furnizorul e atacat.

6. Backup-ul local este izolat de rețeaua principală?

Backup accesibil din rețeaua unde lucrezi = criptat de ransomware odată cu restul datelor.

Răspunsul corect: snapshot-uri imuabile (nu pot fi modificate/șterse nici de ransomware) sau rețea separată.

Acesta e probabil cel mai important aspect tehnic — un backup care poate fi criptat de ransomware nu e un backup real.

7. Există versiuni istorice — poți restaura de acum 7 zile, nu doar ultima versiune?

Ransomware care rămâne latent 3–7 zile înainte de activare = backup-ul recent conține fișiere deja infectate.

Răspunsul corect: retenție de minim 30 de zile, cu versiuni zilnice.

Categoria 3: Testarea backup-ului (întrebările 8–10)

8. Ai testat vreodată restaurarea unui fișier din backup?

Diferența critică: a verifica că backup-ul a rulat ≠ a verifica că restaurarea funcționează.

Mulți manageri văd „backup completat" și consideră că sunt protejați. Nu sunt până când restaurarea nu e testată.

Răspunsul corect: da, am restaurat fișiere de test și au funcționat.

9. Când a fost ultimul test de restaurare reușit?

Dacă răspunsul e „nu știu" sau „acum mai mult de 6 luni", e o problemă.

GDPR Art. 32 cere testare periodică a măsurilor tehnice de securitate.

Standard recomandat: lunar pentru sisteme critice, trimestrial pentru restul.

10. Știi cât timp durează restaurarea completă a tuturor datelor critice?

Dacă nu știi, nu poți planifica. Dacă nu poți planifica, nu poți comunica cu clienții și partenerii.

Testul de restaurare complet îți dă acest număr.

Fără el, RTO-ul tău real este „nu știm, vedem când se întâmplă".

Categoria 4: Planul de continuitate (întrebările 11–12)

11. Există un document scris cu pașii de urmat dacă toate calculatoarele sunt criptate mâine?

Memorie + stres = decizii proaste sub presiune.

Răspunsul corect: document de 1–2 pagini cu: cine suni, ce faci în ordinea asta, unde e backup-ul, cum restaurezi.

Dacă nu există, îl creăm împreună — asta facem pentru fiecare client.

12. Dacă persoana responsabilă de backup ar fi indisponibilă, altcineva știe ce să facă?

Single point of failure uman = la fel de periculos ca un single point of failure tehnic.

Răspunsul corect: proceduri documentate, minim 2 oameni care știu să le execute.

Vei fi în concediu când se întâmplă — Murphy garantează asta.

Scorul tău

• 0–4 răspunsuri corecte: risc critic — acționează imediat
• 5–7: vulnerabilități semnificative — necesită corecții urgente
• 8–10: aproape acolo — câteva gap-uri de închis
• 11–12: felicitări — ești printre puținele firme cu adevărat pregătite

Citește și

Backup Regula 3-2-1 de backup: ce înseamnă și cum o implementezi în firma ta Backup Ce este RPO și RTO și de ce contează pentru firma ta Backup Disaster recovery pentru IMM-uri: cum te pregătești înainte să fie prea târziu