5 MEJORES PRÁCTICAS PARA PROTEGER COPIAS DE SEGURIDAD

18 de marzo del 2011 | por Gerardo Zamudio

∙ Cada 15 segundos se rompe un disco duro y toma 19 días volver a escribir 20 MB de datos perdidos.
∙ Los datos digitales representan hasta el 60% de la información de una empresa.

Según los datos de IDC, en 2020 las empresas verán crecer sus sistemas de almacenamiento hasta 44 veces más de lo que tienen hoy, alcanzando los 35 zetabytes a nivel mundial. Para dar respuesta a estas necesidades de almacenamiento, la deduplicación y el respaldo surgen como claves para que las corporaciones puedan afrontar el crecimiento exponencial de los datos que se espera en la próxima década.

La deduplicación es una forma específica de compresión, en donde se eliminan los datos redundantes, por lo general para mejorar la utilización del almacenamiento. La protección de esta cantidad abrumadora de información se ha convertido en una de las preocupaciones principales de los CIO’s. En respuesta a estos temores, el cifrado de respaldos debe formar parte de la estrategia de seguridad.

En muchos entornos, el almacenamiento se ha realizado fuera de la supervisión de los responsables de seguridad, ya que éstos se suelen centrar en áreas como la seguridad perimetral, la detección y prevención de intrusiones y la protección de sistemas. Como resultado, es probable que la infraestructura de almacenamiento (el almacenamiento principal y, especialmente, las copias del mismo) represente un talón de Aquiles en lo que se refiere a seguridad.
Así, las políticas de seguridad de datos se convierten en un problema corporativo cuando deberían ser un elemento fundamental de la estrategia de seguridad de una empresa. Y es que con datos de estudios que enuncian que cada 15 segundos se rompe un disco duro o que toma 19 días volver a escribir 20 MB de datos perdidos, es de esperar que la protección de las copias de seguridad resulte de vital importancia a la hora de preparar un plan de seguridad.*

Para lograr estos objetivos de protección, la empresa debe crear una práctica alrededor de cinco áreas fundamentales:

1. ASIGNAR responsabilidad y autoridad.

Se debe convertir la seguridad del almacenamiento en una función dentro de la arquitectura y las políticas globales de seguridad de la información. Incluso, aunque la empresa decida que la seguridad de las copias o del almacenamiento debe asignarse al equipo de almacenamiento, éstas deben integrar cualquier medida de seguridad de almacenamiento y respaldo que protejan el resto de la infraestructura. La integración de medidas de seguridad en la custodia y el respaldo ayuda a crear una protección más eficaz.
Además, hay que dividir las obligaciones cuando los datos sean especialmente confidenciales, esto porque es importante asegurar que la persona que autoriza el acceso no sea la misma responsable de la ejecución.

2. EVALUAR el riesgo de almacenamiento, ya que éste se aplica a la seguridad de la información.

Los responsables deben examinar todos los pasos en la metodología para la realización de respaldos en busca de vulnerabilidades en la seguridad. Asimismo, deben ejecutar un análisis de costos y beneficios del cifrado de datos de respaldo. Si un análisis de riesgos descubre numerosas vulnerabilidades, las organizaciones deben considerar seriamente si el cifrado está garantizado.

Este proyecto debería ser más exhaustivo y no ceñirse únicamente al costo exclusivo de las licencias de software o dispositivos, e incluir los costos de tareas operativas relacionadas con el cifrado en procesos de respaldo y recuperación ante posibles incidencias, así como el impacto del cifrado en el tiempo de recuperación.

El costo total del cifrado debería compararse con los riesgos potenciales y la probabilidad de una infracción de seguridad para determinar si tiene sentido, económicamente hablando, la implementación de un cifrado más amplio o más reducido, o no lo tiene en ningún caso. El cifrado de cintas con datos confidenciales es una inversión que merece la pena.

También es importante identificar los datos sensibles, pues al conocer qué archivos, bases de datos y columnas se consideran suficientemente confidenciales por las unidades de negocio, se puede garantizar el costo adicional de la protección. Asimismo, se debe saber dónde se encuentran los datos, ya que en muchas ocasiones, éstos se encuentran duplicados en el entorno; por lo que es importante disponer de políticas y procedimientos que permitan saber exactamente dónde se encuentran los datos en todo momento.

3. DESARROLLAR un programa de protección de la información.

Es aconsejable adoptar un método de seguridad multicapa; esto mediante la aplicación de las mejores prácticas para la red de datos de almacenamiento, a la vez que se añaden capas «a medida» del tipo de datos a custodiar.

Entre éstas se incluyen las áreas de:

• Autenticación. Aplicación de técnicas de autenticación y anti-spoofing, que son medidas para prevenir el abuso de datos de identificación y autenticación, impidiendo que alguien se haga pasar por quien no es.
• Autorización. Aplicación de privilegios en base a las funciones y responsabilidades en lugar de dar acceso administrativo completo.
• Cifrado. Todos los datos confidenciales deben estar cifrados cuando se almacenen o copien. Además, todos los datos de interfaz de gestión, transmitidos a través de cualquier red que no sea privada, deben estar cifrados. Los datos confidenciales se definen como la información que contiene datos personales o secretos comerciales.
• Auditoría. Deben mantenerse los registros de las operaciones administrativas de cualquier usuario para garantizar la rastreabilidad y responsabilidad de las mismas.

Igualmente, es importante realizar copias de las cintas de respaldo, ya que depender de una única copia de los datos no es nunca una buena idea. A pesar de que los soportes pueden tener una vida útil larga, son susceptibles a daños ambientales y físicos. La práctica recomendada consiste en realizar las copias de seguridad en soportes magnéticos y enviar dicha copia a un lugar externo que cuente con las características de seguridad óptimas.

Por otro lado, se sugiere implementar una cadena estricta e integral del proceso de custodia para la gestión de soportes. La cadena de custodia se refiere a la actuación, método, gestión, supervisión y control de soportes o información (normalmente soportes magnéticos, aunque no siempre). El objetivo último de una cadena de custodia correcta es conservar la integridad de los recursos.
Asimismo, el conocimiento de la cadena de custodia es un elemento crítico, ya que garantiza que los proveedores de custodia externa sigan las prácticas recomendadas.

4. COMUNICAR los procesos de protección de la información y seguridad.

Una vez definido el proceso para garantizar que los datos confidenciales están protegidos y gestionados de forma adecuada, es importante asegurar que las personas responsables de la seguridad estén bien informadas y hayan recibido la formación adecuada.
El Responsable de la Seguridad de la Información (CISO, por sus siglas en inglés) debería comenzar a aplicar la seguridad de los datos mediante formación a los ejecutivos de la empresa en lo que se refiere a los riesgos, las amenazas y posibles pérdidas debidas a infracciones de seguridad, más el costo de contramedidas de seguridad. De esta forma, los directores corporativos pueden tomar decisiones fundadas sobre el costo y las ventajas.

5. EJECUTAR y PROBAR el plan de seguridad de protección de la información.

La protección de datos seguros no se basa en la tecnología, sino que representa todo un proceso. Ése es el motivo por el que es importante validar el proceso. A medida que una empresa crece, la protección de la información y los datos necesitan cambiar, por lo que las prácticas de seguridad de la información deben adaptarse.
Una vez desarrollado y definido el plan integral, y después de ser comunicado a las personas apropiadas, hay que asegurase de contar con las herramientas, tecnologías y metodologías que se necesitan para la clasificación de la información. Se debe probar el proceso una vez implementado, y la prueba debe incluir los procesos de respaldo y recuperación, incluyendo en este proceso una amenaza.

Iron Mountain ayuda a las organizaciones en todo el mundo a reducir los costos y los riesgos relacionados con la protección y el almacenamiento de la información. Como líder de la industria en soluciones proactivas e integrales de protección de datos y recuperación de información que ayuda a sus clientes a enfrentar los retos administrativos de información, Iron Mountain cuenta con la infraestructura que permite a los usuarios accesibilidad a su información en el momento que lo necesiten, mediante soluciones de control y manejo preciso de archivos, físicos y digitales.