Fino all’11 settembre 2001, alcune organizzazioni con uffici in una delle torri del World Trade Center conservavano i backup nell’altra torre, credendo di aver implementato una strategia di ridondanza geografica. Come sappiamo, entrambe le torri sono andate distrutte, cancellando simultaneamente i dati primari e i dati di backup che sembravano separati.

Quella tragedia ha insegnato al mondo IT una lezione fondamentale sulla posizione dei dati: la distanza geografica deve essere reale, non apparente.

La best practice moderna segue la strategia 3-2-1: tre copie totali, una in sede e una fuori sede a distanza adeguata, un’ultima in ambiente air-gapped come nastri o cloud immutabile.

Ecco alcune metodologie concrete di gestione della posizione dei dati che traggono insegnamento dalle tragedie passate, in modo da implementare strategie di backup e di business continuity che proteggano realmente l’organizzazione[1].

L’11 settembre: lezione di storia applicata al backup

La tragedia dell’11 settembre 2001 ha fornito al mondo IT una lezione esemplare sull’importanza della vera separazione geografica. Molte organizzazioni che avevano uffici in una delle torri avevano implementato quella che credevano essere una strategia di backup distribuita, poiché conservavano le copie di sicurezza nell’altra torre del complesso, possibilmente in cambio di uno sconto sul prezzo totale dell’affitto o della connettività.

Dal punto di vista logico, la strategia sembrava ragionevole: due edifici separati e gestiti da sistemi indipendenti, con una distanza fisica sufficiente da rendere improbabile che lo stesso evento potesse colpire simultaneamente entrambe le location.

Il peccato originale di questa falsa sensazione di sicurezza fu non considerare che le due torri, pur essendo strutture separate, costituivano un unico target strategico che poteva essere completamente distrutto da un singolo attacco coordinato.

Quando entrambe le torri crollarono, non solo andarono perduti gli uffici operativi, ma con essi andarono persi anche tutti i backup. Organizzazioni che credevano di aver implementato una ridondanza adeguata si trovarono improvvisamente senza dati primari né copie di sicurezza, scoprendo troppo tardi che la loro strategia era vulnerabile ad un singolo punto di fallimento geografico (SPOF, Single Point of Failure).

Questa lezione ha rivoluzionato l’approccio alla business continuity: la separazione geografica deve considerare non solo la distanza fisica, ma anche la probabilità che eventi catastrofici possano colpire simultaneamente ubicazioni multiple.

La strategia 3-2-1: ridondanza che funziona

La best practice moderna del backup si basa sulla strategia 3-2-1, sviluppata specificamente per prevenire la ripetizione di fallimenti sistemici.

Questa strategia richiede di conservare tre copie totali dei dati critici, distribuite secondo principi che massimizzano la probabilità di sopravvivenza in caso di disastri locali, regionali o anche nazionali.

• Tre copie totali: includono i dati di produzione originali più due backup indipendenti. Questa ridondanza compensa non solo i disastri fisici ma anche le corruzioni logiche, gli errori umani e gli attacchi informatici.
• Due supporti diversi: usare tecnologie diverse (es. disco e nastro, o disco e cloud) protegge dai bug specifici di una tecnologia.
• Una copia off-site: una copia deve essere fuori sede a distanza geografica adeguata. Questo garantisce che disastri locali come incendi, alluvioni o terremoti non possano distruggere simultaneamente tutte le copie. La definizione di “distanza adeguata” varia: potrebbe significare centinaia di chilometri in aree sismiche, oppure distanze minori in regioni stabili.

Infine, l’evoluzione “3-2-1-1-0” suggerisce un’ultima copia in ambiente air-gapped o immutabile. Quest’ultimo approccio fornisce una protezione aggiuntiva contro il ransomware, impedendo che il malware si propaghi dai sistemi primari ai backup attraverso la rete.

Replica in data center geograficamente distribuiti

Le organizzazioni implementano spesso la replica dei dati critici in data center multipli situati in posizioni geografiche separate. Questa strategia va oltre il backup tradizionale, perché fornisce capacità di failover quasi istantaneo.

Tuttavia, la selezione delle ubicazioni deve considerare diversi fattori di rischio: stabilità geologica, infrastrutture di telecomunicazioni ridondanti, disponibilità di energia elettrica e stabilità politica.

Data center troppo vicini potrebbero essere vulnerabili agli stessi disastri regionali; ubicazioni troppo distanti potrebbero introdurre latenze di rete inaccettabili.

Cloud storage e verifica geografica

L’utilizzo di servizi cloud introduce complessità aggiuntive, perché le ubicazioni fisiche dei server potrebbero non essere ovvie.

Molti provider offrono opzioni di selezione geografica, ma le organizzazioni devono verificare attivamente che l’archiviazione cloud si trovi effettivamente in una regione separata dai sistemi primari.

Infatti, ricordo che nel luglio del 2025 Microsoft France ha ammesso al Senato francese di non poter garantire la protezione assoluta dei dati dei clienti europei dalle richieste delle autorità statunitensi, a causa del CLOUD Act americano.

Questo dimostra che la “posizione dei dati” non è solo un concetto geografico, ma è anche un problema giurisdizionale.

[1] Per approfondire le strategie di business continuity e disaster recovery e gli strumenti per implementare una ridondanza geografica efficace, il Manuale CISO Security Manager prepara alla certificazione CISSP e fornisce consigli operativi per una resilienza “sistemica”.