En una conversación con la Dirección de TI de una organización, surgÃa la pregunta: SI solo pudiéramos resolver una necesidad de Ciber Seguridad, ¿qué deberÃamos resolver?
Lo interesante de esta pregunta es que permitió que la Dirección pudiera perfilar su reto más acuciante, aquello que podrÃa ser el salvavidas en caso de naufragio.
Respaldos ! surgió como respuesta apresurada, porque nos dan la posibilidad de recuperación si la operación se compromete, respondÃa el Director. Ahora bien, esta réplica plana parecerÃa ser una solución en sà misma, pero: ¿podrÃan los respaldos no funcionar del todo a una organización? Antes de contestar es importante observar con detenimiento que esta respuesta engloba elementos crÃticos para la estrategia de Continuidad de Negocio de cualquier compañÃa, que podemos resumir en 4 elementos:
1. Los back ups son determinantes en la Resiliencia organizacional
2. Los back ups son un enclave para la Gestión de Riesgos.
3. Los back ups brindan la capacidad de una recuperación acelerada
4. Los back ups pueden ser amortiguadores de las pérdidas por salidas de operación forzada.
Cabe indicar que estas 4 premisas se cumplen si existe una gestión adecuada de los respaldos, para lo cual deben optimizarse algunas condiciones para que esos beneficios se obtengan, las cuales describiremos más adelante.
1. Los back ups son determinantes en la Resiliencia organizacional
Resiliencia la definimos como la capacidad que tiene una compañÃa de volver a la normalidad después de ser atacada. Si las estrategias de contención y respuesta fallaran, el back up se convierte en el salvavidas organizacional, al fin y al cabo muchas empresas podrÃan continuar si colapsan sus infraestructuras fÃsicas, pero no si el colapso está en sus bases de datos o información crÃtica.
2. Los back ups son un enclave para la Gestión de Riesgos.
Con la llegada del Ransomware, el Mapa de Riesgos Organizacional se ha transformado. Los ciberataques ya no solo amenazan con robar información, sino también con comprometer la operación, por lo que hay una relación directa entre la estrategia de mitigación de riesgos y la gestión de respaldos. Hoy cuando hablamos de respaldos bien administrados, estamos hablando de gerenciar el riesgo de continuidad de negocio
3. Los back ups brindan capacidad de recuperación acelerada
Los back ups adecuados son producto de un enfoque en lo importante . Las adecuadas estrategias de defensa deben considerar el peor escenario, ¿qué pasa si un ataque sobrepasa las defensas y se materializa dejando en jaque la continuidad empresarial?. En este escenario el tiempo es oro, y el retraso para reanudar la operación expone a la organización a pérdidas económicas, operativas y reputacionales; por lo que se hace determinante la potencia de la solución, la capacidad de levantar el respaldo en un servidor virtualizado por ejemplo, que permita continuidad inmediata sin que los datos deban bajarse de nuevo a premisas.
4. Los back ups pueden ser amortiguadores de las pérdidas por salida de operación forzada
El tiempo promedio por estar fuera de producción cuando un ataque se produce es de 23 dÃas. Esto hace que una empresa a la que le solicitan un rescate promedio de $170.000 dólares, eleve sus pérdidas a $1.8 Millones debido a los costos asociados de puesta en marcha nuevamente.
La gestión de back up que permita procesos de Disaster Ricovery, disminuirá al máximo el tiempo salida de lÃnea, recuperando con celeridad la operación y disminuyendo el impacto operacional, económico y reputacional .
¿PodrÃan los respaldos no servir de nada a la organización?
La respuesta es definitivamente sÃ, esto por cuanto el concepto de respaldos no podemos desligarlo de la adecuada gestión de los mismos. Sin la administración adecuada, podrÃamos tener la falsa sensación de seguridad, pensando que tenemos respaldos que a la hora de la verdad, cuando hay que utilizarlos, sencillamente no están actualizados, no son funcionales y no sirven para el propósito que buscábamos. Enumeramos a continuación algunas caracterÃsticas cruciales que debe tener la adecuada gestión de los back ups:
1. Regla 3-2-1 Capacidad hÃbrida
La regla base de los respaldos es conocida como la regla 3 2 1, donde el objetivo es contar con tres copias de seguridad, utilizando al menos dos soportes distintos y uno de ellos fuera de la compañÃa, por ejemplo en la nube. Esta distribución brinda el diseño estructural óptimo para que los respaldos no estén comprometidos por deficiencias de estructura.
2. Automatización de los back ups
La realización de 3 sistemas de back up simultáneos en instancias diferenciadas, supone un reto mayúsculo para una organización, donde la complejidad de las operaciones debe ser simplificada a través de la automatización que permita fluidez, constancia y efectividad en la ejecución. Hoy en dÃa, pensar en salvaguardar la información manualmente es una práctica obsoleta y riesgosa, que supondrÃa la utilización de muchos recursos personales y un altÃsimo riesgo de efectividad.
3. Facilidad de Gestión
El gran desafÃo de las organizaciones es el foco en el negocio sin que la arquitectura que lo soporta consuma los recursos operacionales. Existen estructuras de respaldos que requieren una base operativa amplia que demandan prácticas que no son sencillas de ejecutar, y por lo tanto implican la concentración de recursos de personal y/o infraestructura que comprometen la costo – efectividad porque implican importes ocultos muy relevantes.
4. Capacidad de Recuperación (Disaster Ricovery)
Cuando es necesario acudir a la recuperación, es requerido evitar la pregunta: ¿Ahora qué?, considerar muchos elementos sin tomar en cuenta los procesos y la velocidad de recuperación, es una de las tareas pendientes de muchas organizaciones. Los respaldos deben tener equilibradas las capacidades de recuperación ante desastres, lo cual solo es posible con una arquitectura adecuada y con una sana ejecución de pruebas de continuidad recurrentes que permitan estar preparados ante una eventualidad.
Conclusiones
Los respaldos son uno de los ejes de ciberseguridad más crÃticos y en muchas ocasiones no se les presta la atención requerida. La gestión de Back Ups es un tema de planificación estratégica, de importancias antes que de urgencias, por lo tanto es un tema gerencial que toma mayor relevancia hoy ante la amenaza que el Ransomware supone a las organizaciones.
Respaldar no es suficiente. Respaldar, gestionar, probar y establecer los respaldos como parte de una estrategia de continuidad de negocio es un "must" si queremos que los mismos sirvan al propósito por el cual los hacemos. Algunas preguntas muy pertinentes son:
- ¿Tiene tu plataforma de respaldos la estructura adecuada?
- ¿Existe una arquitectura automatizada de los back ups? - ¿La gestión es sencilla?
- ¿Están probadas con recurrencia las capacidades de recuperación?
Si al menos 2 de tus respuestas a estas preguntas fueron no, te proponemos que nos contactes a la brevedad, porque podemos evaluar sin costo tu estructura y brindarte lo que tu organización necesita para amalgamar una estrategia integral de Gestión de Riesgos y Continuidad de Negocio.
Contáctanos, permÃtenos ser tu gestor estratégico para la continuidad de tu organización.