Mejores prácticas: cómo proteger sus copias de seguridad

Guías de solución

El cifrado de backup debe formar parte de la estrategia de seguridad. En muchos entornos, el almacenamiento se ha realizado fuera de la supervisión de los responsables de seguridad, ya que éstos se suelen centrar en áreas como la seguridad perimetral, la detección y prevención de intrusiones y la protección de sistemas.

5 de septiembre de 20196 mins
Descargar recurso
Iron Mountain logo with blue mountains

El cifrado de backup debe formar parte de la estrategia de seguridad. En muchos entornos, el almacenamiento se ha realizado fuera de la supervisión de los responsables de seguridad, ya que éstos se suelen centrar en áreas como la seguridad perimetral, la detección y prevención de intrusiones y la protección de sistemas. Como resultado, es probable que la infraestructura de almacenamiento (el almacenamiento principal y, especialmente, las copias del mismo) represente un talón de Aquiles en lo que se refiere a seguridad. Así, las políticas de seguridad de datos se convierten en un problema corporativo cuando deberían ser un elemento fundamental de la estrategia de seguridad de una empresa. Estas políticas pueden dar lugar a acciones tácticas y operativas mediante el esfuerzo conjunto de las organizaciones de seguridad y de almacenamiento. Para ello, el almacenamiento debe convertirse en una parte integral de la estrategia de seguridad de la empresa.

Para lograr estos objetivos, la empresa debe crear una práctica alrededor de cinco áreas fundamentales:

El 90% de las empresas que sufren una pérdida de datos importante desaparece del mercado en dos años.

Fuente: Cámara de Comercio de Londres

1 Asignar responsabilidad y autoridad

Convierte la seguridad del almacenamiento enuna función dentro de la arquitectura y laspolíticas globales de seguridad de la información.Incluso, aunque la empresa decida que laseguridad de las copias o del almacenamientodeben asignarse al equipo de almacenamiento,éstas deben integrar cualquier medida deseguridad de almacenamiento y backup conlas que proteger el resto de la infraestructura.La integración de medidas de seguridad en lacustodia y el backup ayuda a crear unaprotección más eficaz.

Divide las obligaciones cuando los datos seanespecialmente confidenciales. Es importanteasegurar que la persona que autoriza el accesono sea la misma persona responsable de laejecución.

2 Evaluar el riesgo de almacenamiento ya que éste se aplica a la seguridad de la información

Realizar un análisis de riesgos de todo el proceso de backup
Los responsables deben examinar todos los pasosen la metodología para la realización de backupsen busca de vulnerabilidades en la seguridad.¿Podría un administrador crear de forma secretacopias de seguridad? ¿Se dejan abiertas las cajascon soportes magnéticos? ¿Existe una estrictacadena de custodia de los backup? Si el backupy transporte de datos se realiza sin cifrar, puedeoriginar que los datos críticos estén en riesgo.

Ejecuta R un análisis de costes y beneficios del cifrado de datos de backup
Si un análisis de riesgos descubre numerosasvulnerabilidades, las organizaciones debenconsiderar seriamente si el cifrado estágarantizado. Este proyecto debería ser másexhaustivo y no ceñirse únicamente al costeexclusivo de las licencias de software odispositivos, e incluir los costes de tareasoperativas relacionadas con el cifrado en procesosde backup y recuperación ante posiblesincidencias, así como el impacto del cifrado en eltiempo de recuperación. El coste total del cifradodebería compararse con los riesgos potenciales yla probabilidad de una infracción de seguridadpara determinar si tiene sentido, económicamentehablando, la implementación de un cifrado másamplio o más reducido, o no lo tiene en ningúncaso. El cifrado de cintas con datos confidencialeses una inversión que merece la pena.

Identificar los datos sensibles
Conoce qué archivos, bases de datos y columnasse consideran suficientemente confidenciales porlas unidades de negocio para garantizar el costeadicional de la protección. Asimismo, debessaber dónde se encuentran los datos. En muchasocasiones, los datos se encuentran duplicados enel entorno. Es importante disponer de políticas yprocedimientos que permitan saber exactamentedónde se encuentran los datos en todo momento.Por ejemplo, las empresas tienen información enportátiles que también puede estar duplicada enun disco de red o en un repositorio de backuputilizado en el PC.

3 Desarrollar un programa de protección de la información

Adoptar un método de seguridad multicapaAdopta un método multicapa de protección dedatos mediante la aplicación de las mejoresprácticas para la red de datos de la red dealmacenamiento, mientras que se añaden capas"a medida" del tipo de datos a custodiar. Entreéstas se incluyen las áreas de:

  • Autenticación. Aplicación de técnicas de autenticación y anti-sproofing.
  • Autorización. Aplicación de privilegios en base a las funciones y responsabilidades en lugar de dar acceso administrativo completo. Cuando estén disponibles, uso de capacidades administrativas basadas en funciones de aplicaciones de gestión del almacenamiento, especialmente backup.
  • Cifrado. Todos los datos confidenciales deben estar cifrados cuando se almacenen o copien. Además, todos los datos de interfaz de gestión transmitidos a través de cualquier red que no sea privada deben estar cifrados. Los datos confidenciales se definen como la información que contiene datos personales o secretos comerciales.
  • Auditoría. Deben mantenerse los registros de las operaciones administrativas de cualquier usuario para garantizar la rastreabilidad y responsabilidad.

Realizar copias de las cintas de backup
Depender de una única copia de los datos noes nunca una buena idea. A pesar de que lossoportes pueden tener una vida útil larga, sonsusceptibles de daños ambientales y físicos.La práctica recomendada consiste en realizarlas copias de seguridad en soportes magnéticos yenviar dicha copia a un lugar externo. El métodorecomendado para los soportes de backup esescribir una cinta nueva mediante la lectura dela original. Este método tiene la ventaja deverificar que los datos del backup se puedan leereliminando en la medida de lo posible el puntoúnico de fallo de la cinta de backup.

La razón más frecuente por la cual no se cuentacon una política de duplicación de copias deseguridad es la falta de tiempo. Desde un punto devista práctico, la realización de copias deseguridad conlleva mucho tiempo, lo que dificultala duplicación de datos de forma puntual. Existenvarios métodos para hacer frente a este problema.El primer método comienza con la optimizacióndel sistema de backup para reducir el tiempoempleado en realizar el backup original.A continuación, pueden usarse varias unidades decinta de alta velocidad para crear la segunda copiacon fines de almacenamiento externo. Otrométodo consiste en usar la capacidad de algunospaquetes de software de backup para crearsimultáneamente un original y una copia.

Aunque este método no tiene la ventaja deverificación tratada en el párrafo anterior,ahorra el tiempo necesario para realizar copias, ycualquier tipo de copia es mejor que no disponerde ninguna. Independientemente del tamaño delentorno, una combinación de dispositivos decinta de alta velocidad, bibliotecas de cintasvirtuales y servicios profesionales puedenayudar a satisfacer este importante requisito.

Implementar una cadena estricta e integral del proceso de custodia para la gestión de soportes
La cadena de custodia se refiere a la actuación,método, gestión, supervisión y control desoportes o información (normalmente soportesmagnéticos, aunque no siempre). El objetivoúltimo de una cadena de custodia correctaes conservar la integridad de los recursos.Los siguientes aspectos sobre la cadena decustodia deben tenerse en cuenta.

Se debe realizar un seguimiento de los soportesmediante códigos de barras y generar informesque detallen su ubicación actual. Una prácticarecomendada es realizar un informe diario delas copias de seguridad que se hayan enviadofuera y de las que hayan caducado, mandandoa destruir aquellas que ya no son necesarias.Deben existir procedimientos operativosestándar documentados para garantizarque se lleven a cabo estas medidas.Deben analizarse la seguridad y el acceso a lasinstalaciones externas. Los soportes debencolocarse en contenedores cerrados antes desacarlos del centro de datos. Asimismo, deberealizarse un seguimiento posterior de losmismos, mediante el análisis de códigos de barrascada vez que se traslada un contenedor, incluidoslos que se encuentran en el centro de datos y enubicaciones externas. Los contenedores desoportes deben estar sellados y no quedar nuncaexpuestos a que alguien pueda cogerlos.

Combina el inventario de soportes custodiadosde forma externa periódicamente (al menos unavez al mes) con cintas que puedan guardarseinternamente. Al final de cada mes, deberealizarse un control de inventario de todo loexternalizado y compararse con los registrosde la aplicación de backup/archivado con elobjetivo de descubrir posibles incoherencias.Si los soportes no están contabilizados se debentomar las medidas oportunas.

Cuando los soportes hayan quedado obsoletoso ya no pueda confiarse en su integridad,estos deberán destruirse de forma adecuada.La destrucción de los soportes magnéticos selogra normalmente mediante la aplicación deun proceso de destrucción del cartucho, ya seamediante la eliminación de los datos de la cintao la destrucción de la cinta en su conjunto,con lo que quedaría inutilizable. La destrucciónde datos puede realizarse en las propiasinstalaciones con un equipo de desmagnetizaciónadecuado, o a través de los servicios de untercero. (Si la destrucción de los datos tienelugar en tus instalaciones, asegúrate de que elequipo de desmagnetización está calibrado parael soporte correcto). La destrucción de datosse realiza de una forma más óptima a través deuna organización que proporcione un certificadode destrucción.

Conocer la cadena de custodia
Otro elemento crítico en la gestión segura desoportes es garantizar que los proveedoresde custodia externa sigan las prácticasrecomendadas. A continuación, se indicanalgunos elementos que deben tenerse en cuenta:

  • Vulnerabilidad.
    No dejes las cintas en un contenedor abierto, por ejemplo, una caja de cartón en el mostrador de recepción a la espera de ser recogida. La recogida debe seguir un procedimiento operativo estándar en el que un responsable del departamento de informática entregue y reciba la firma de un representante conocido e identificado del proveedor.
  • Proceso de selección.
    Cuando una empresa externa custodia los datos críticos de tu compañía, debes estar seguro de que el proveedor realiza un minucioso proceso de selección de su personal.
  • La empresa debe seguir un proceso completo de la cadena de custodia.
    Tu proveedor debe explicarte todo el proceso relacionado con la gestión de los soportes de principio a fin. Haz hincapié en la seguridad física, junto con mecanismos de auditoría y control para garantizar que se sigue el proceso. Resulta poco aconsejable trasladar datos confidenciales en vehículos que puedan identificarse fácilmente.
  • Custodia en maletines.
    Con la custodia en maletines se realiza el seguimiento de cubos o cajas, pero no de su contenido. La mayoría de los proveedores admiten este tipo de custodia.
  • Controles de seguridad físicos.
    Las instalaciones deben protegerse de forma adecuada. Ninguna persona no autorizada debe tener acceso al área de seguridad.
  • Controles medioambientales.
    Las cintas y otros soportes no deben almacenarse nunca en el maletero de un vehículo ni en ninguna otra ubicación con un entorno no controlado. Para la custodia de soportes magnéticos, el entorno debe controlarse de forma estricta, incluyendo la temperatura, la humedad y el control estático. El polvo es el peor enemigo para la mayoría de soportes y dispositivos de grabación. El entorno de backup y custodia debe permanecer limpio y libre de polvo. Debes utilizar un trapo suave y antiestático para limpiar el exterior de los cartuchos, y eliminar el polvo de las ranuras de una biblioteca utilizando aire comprimido de un pulverizador. Las cintas deberán transportarse en un soporte electrostático y no apilarse en un cubo o una caja de cartón. Aunque parezcan bastante duraderas, las cintas pueden dañarse fácilmente si se manipulan de forma incorrecta.

Tener en cuenta la custodia de datos digitales
Un aspecto a tener en cuenta es la custodia dedatos digitales y el transporte de informaciónde soportes físicos en un vehículo. Actualmente,existen diversas compañías que ofrecen a losprofesionales de IT la posibilidad de realizarcopias de seguridad de los datos a través deInternet. Los datos pueden cifrarse y trasladarsea través de Internet hasta una instalación dedatos de backup seguros. La custodia de datosdigitales puede no ser una solución práctica paratodos los datos de la empresa, pero sí puederesultar práctica para los datos distribuidosen servidores de archivos o en ordenadorespersonales. Los datos distribuidos puedenrepresentar el 60% de la información de unaempresa y resulta difícil para los encargadosde IT poder controlarlos en su totalidad.

Asegúrate de que el proveedor que ofreceestos servicios cifra los datos mientrasse transfieren y cuando están en espera.Además, habla con el proveedor sobre cómomantener disponible la información. ¿Se harealizado una copia de seguridad en un soportemagnético? ¿Se ha replicado en otro sitio?Asegúrate de que las prácticas de recuperaciónde datos ante posibles incidencias del proveedorcumplan un estándar excepcional. Habla con elproveedor sobre cómo mantener la informacióndisponible para su recuperación o la asistenciaen procesos judiciales.

 

Cuando una empresa externa custodia la información crítica de tu compañía, debes asegurarte de que realiza un minucioso proceso de selección de sus empleados.

4 Comunicar los procesos de protección de la información y seguridad

Una vez definido el proceso para garantizarque los datos confidenciales estánprotegidos y gestionados de formaadecuada, es importante asegurar que laspersonas responsables de la seguridadestén bien informadas y hayan recibido laformación adecuada. Las políticas deseguridad representan el aspecto másimportante de la asignación deresponsabilidad y autoridad.

Informar a los directores empresariales de los riesgos, las contramedidas y los costes
La pérdida de datos y el robo de propiedadintelectual son un problema de la empresa,no del departamento de informática. Comotal, el Responsable de la Seguridad de laInformación (CISO , por sus siglas en inglés)debería comenzar a aplicar la seguridad de losdatos mediante formación a los ejecutivos dela empresa en lo que se refiere a los riesgos,amenazas y posibles pérdidas debidas ainfracciones de seguridad, más el coste decontramedidas de seguridad. De esta forma,los directores corporativos pueden tomardecisiones fundadas sobre el coste y lasventajas de las inversiones en seguridad dedatos.

Valorar los riesgos y formar al personalLos datos procedentes de estudios deseguridad demuestran que "más valeprevenir que curar". Es más probable quelas organizaciones que se dedican a valorarlos riesgos apliquen políticas, procedimientosy tecnologías de seguridad que protegenlos activos vitales. Por otro lado, unainfraestructura vulnerable y un personal sinformación representan un problema enpotencia: indican una retribución real porrealizar el “trabajo repetitivo y agotador”de la seguridad.

5 Ejecutar y Probar el plan de seguridad de protección de la información

La protección de datos seguros no se basaen la tecnología, sino que representa todoun proceso. Ése es el motivo por el que esimportante validar el proceso. A medidaque una empresa crece, la protección de lainformación y los datos necesitan cambiar,por lo que las prácticas de seguridad dela información deben adaptarse. Una vezdesarrollado y definido el plan integral,y tras informar de él a las personasapropiadas, es hora de llevarlo a la práctica.Asegúrate de contar con las herramientas,tecnologías y metodologías que necesitaspara la clasificación de la información.

Prueba el proceso una vez implementado.Recuerda, la prueba debe incluir los procesosde backup y recuperación. Intenta incluir enel proceso una amenaza, incluida la pérdidade un servidor y de un soporte, problemas dered, problemas con un dispositivo, problemasde clasificación de datos y cualquier otroescenario que pudiera afectar al negocio.Realiza pruebas con el personal que pudieraestar menos familiarizado con el proceso. Estetest ayuda a garantizar que el proceso resultafácil de seguir y que puede ejecutarse inclusosi el responsable no está en la oficina.

La Información Tiene Vida Propia. te Ayudamos a Gestionarla.

Un Socio en el que Confiar

Independientemente del tamaño de la empresa o el sector, ofrecemos servicio especializado basado en estosprincipios clave:

Confianza
Durante 60 años, hemos sidoconfiables socios de trabajo decompañías pequeñas ycorporaciones globales,proporcionando solucionespersonalizadas en más de 1000oficinas instaladas globalmente.

Seguridad
Contamos con instalaciones de altaseguridad, equipos de profesionalescalificados y procesos optimizados,que aseguran que su información -y la información de sus clientes -siempre se encuentre en lasmejores manos.

Experiencia
Nuestra experiencia de trabajo yconocimientos, se manifiesta através de nuestra gente, nuestrosprocesos, y nuestras tecnologías.

En Iron Mountain, comprendemoslas regulaciones vigentes y losdesafíos de su correctocumplimiento en las diversasindustrias y geografías. Esto nospermite ayudar a su empresa aobtener el máximo beneficio desu información, reducir suscostos y minimizar los riesgosasociados.

Enfoque en el Cliente
Nuestro firme compromiso con laexcelencia en el servicio, le ofrece asu empresa atención durante las 24horas del día todos los días del año –a través de nuestro portal en línea onuestro Centro de Ayuda al Cliente.

Desarrollo Sustentable
Al ayudar a su empresa a reducirla cantidad de información quenecesita retener y al implementaruna política de reciclaje paratodos los documentos destruidos,contribuimos a que su compañíacumpla con sus compromisosecológicos.

Elevate the power of your work

¡Obtenga una consulta gratis hoy!

Empezar

 

Recursos Relacionados

Ver más recursos
Iron Mountain logo with blue mountains
Videos y webinars

Nuestra transformación ahora es «phygital»

La humanidad como protagonista de los procesos tecnológicos.
22 de julio de 2024
Beyond the box: The digital impact on retention schedulesPremium
Blogs y artículos

Gobernanza de la Información en la era de la IA

La Gobernanza de la Información (IG) busca maximizar el valor de los datos y mitigar los riesgos asociados con la creación, uso y compartición de información empresarial.
Information Governance in the age of AIPremium
Blogs y artículos

Gobernanza de la Información en la era de la IA

La Gobernanza de la Información (IG) busca maximizar el valor de los datos y mitigar los riesgos asociados con la creación, uso y compartición de información empresarial.
7 de mayo de 2024
Ver más recursos