Elevate the power of your work
¡Obtenga una consulta gratis hoy!
El cifrado de backup debe formar parte de la estrategia de seguridad. En muchos entornos, el almacenamiento se ha realizado fuera de la supervisión de los responsables de seguridad, ya que éstos se suelen centrar en áreas como la seguridad perimetral, la detección y prevención de intrusiones y la protección de sistemas.
El cifrado de backup debe formar parte de la estrategia de seguridad. En muchos entornos, el almacenamiento se ha realizado fuera de la supervisión de los responsables de seguridad, ya que éstos se suelen centrar en áreas como la seguridad perimetral, la detección y prevención de intrusiones y la protección de sistemas. Como resultado, es probable que la infraestructura de almacenamiento (el almacenamiento principal y, especialmente, las copias del mismo) represente un talón de Aquiles en lo que se refiere a seguridad. Así, las políticas de seguridad de datos se convierten en un problema corporativo cuando deberían ser un elemento fundamental de la estrategia de seguridad de una empresa. Estas políticas pueden dar lugar a acciones tácticas y operativas mediante el esfuerzo conjunto de las organizaciones de seguridad y de almacenamiento. Para ello, el almacenamiento debe convertirse en una parte integral de la estrategia de seguridad de la empresa.
Para lograr estos objetivos, la empresa debe crear una práctica alrededor de cinco áreas fundamentales:
Convierte la seguridad del almacenamiento enuna función dentro de la arquitectura y laspolíticas globales de seguridad de la información.Incluso, aunque la empresa decida que laseguridad de las copias o del almacenamientodeben asignarse al equipo de almacenamiento,éstas deben integrar cualquier medida deseguridad de almacenamiento y backup conlas que proteger el resto de la infraestructura.La integración de medidas de seguridad en lacustodia y el backup ayuda a crear unaprotección más eficaz.
Divide las obligaciones cuando los datos seanespecialmente confidenciales. Es importanteasegurar que la persona que autoriza el accesono sea la misma persona responsable de laejecución.
Realizar un análisis de riesgos de todo el proceso de backup
Los responsables deben examinar todos los pasosen la metodología para la realización de backupsen busca de vulnerabilidades en la seguridad.¿Podría un administrador crear de forma secretacopias de seguridad? ¿Se dejan abiertas las cajascon soportes magnéticos? ¿Existe una estrictacadena de custodia de los backup? Si el backupy transporte de datos se realiza sin cifrar, puedeoriginar que los datos críticos estén en riesgo.
Ejecuta R un análisis de costes y beneficios del cifrado de datos de backup
Si un análisis de riesgos descubre numerosasvulnerabilidades, las organizaciones debenconsiderar seriamente si el cifrado estágarantizado. Este proyecto debería ser másexhaustivo y no ceñirse únicamente al costeexclusivo de las licencias de software odispositivos, e incluir los costes de tareasoperativas relacionadas con el cifrado en procesosde backup y recuperación ante posiblesincidencias, así como el impacto del cifrado en eltiempo de recuperación. El coste total del cifradodebería compararse con los riesgos potenciales yla probabilidad de una infracción de seguridadpara determinar si tiene sentido, económicamentehablando, la implementación de un cifrado másamplio o más reducido, o no lo tiene en ningúncaso. El cifrado de cintas con datos confidencialeses una inversión que merece la pena.
Identificar los datos sensibles
Conoce qué archivos, bases de datos y columnasse consideran suficientemente confidenciales porlas unidades de negocio para garantizar el costeadicional de la protección. Asimismo, debessaber dónde se encuentran los datos. En muchasocasiones, los datos se encuentran duplicados enel entorno. Es importante disponer de políticas yprocedimientos que permitan saber exactamentedónde se encuentran los datos en todo momento.Por ejemplo, las empresas tienen información enportátiles que también puede estar duplicada enun disco de red o en un repositorio de backuputilizado en el PC.
Adoptar un método de seguridad multicapaAdopta un método multicapa de protección dedatos mediante la aplicación de las mejoresprácticas para la red de datos de la red dealmacenamiento, mientras que se añaden capas"a medida" del tipo de datos a custodiar. Entreéstas se incluyen las áreas de:
Realizar copias de las cintas de backup
Depender de una única copia de los datos noes nunca una buena idea. A pesar de que lossoportes pueden tener una vida útil larga, sonsusceptibles de daños ambientales y físicos.La práctica recomendada consiste en realizarlas copias de seguridad en soportes magnéticos yenviar dicha copia a un lugar externo. El métodorecomendado para los soportes de backup esescribir una cinta nueva mediante la lectura dela original. Este método tiene la ventaja deverificar que los datos del backup se puedan leereliminando en la medida de lo posible el puntoúnico de fallo de la cinta de backup.
La razón más frecuente por la cual no se cuentacon una política de duplicación de copias deseguridad es la falta de tiempo. Desde un punto devista práctico, la realización de copias deseguridad conlleva mucho tiempo, lo que dificultala duplicación de datos de forma puntual. Existenvarios métodos para hacer frente a este problema.El primer método comienza con la optimizacióndel sistema de backup para reducir el tiempoempleado en realizar el backup original.A continuación, pueden usarse varias unidades decinta de alta velocidad para crear la segunda copiacon fines de almacenamiento externo. Otrométodo consiste en usar la capacidad de algunospaquetes de software de backup para crearsimultáneamente un original y una copia.
Aunque este método no tiene la ventaja deverificación tratada en el párrafo anterior,ahorra el tiempo necesario para realizar copias, ycualquier tipo de copia es mejor que no disponerde ninguna. Independientemente del tamaño delentorno, una combinación de dispositivos decinta de alta velocidad, bibliotecas de cintasvirtuales y servicios profesionales puedenayudar a satisfacer este importante requisito.
Implementar una cadena estricta e integral del proceso de custodia para la gestión de soportes
La cadena de custodia se refiere a la actuación,método, gestión, supervisión y control desoportes o información (normalmente soportesmagnéticos, aunque no siempre). El objetivoúltimo de una cadena de custodia correctaes conservar la integridad de los recursos.Los siguientes aspectos sobre la cadena decustodia deben tenerse en cuenta.
Se debe realizar un seguimiento de los soportesmediante códigos de barras y generar informesque detallen su ubicación actual. Una prácticarecomendada es realizar un informe diario delas copias de seguridad que se hayan enviadofuera y de las que hayan caducado, mandandoa destruir aquellas que ya no son necesarias.Deben existir procedimientos operativosestándar documentados para garantizarque se lleven a cabo estas medidas.Deben analizarse la seguridad y el acceso a lasinstalaciones externas. Los soportes debencolocarse en contenedores cerrados antes desacarlos del centro de datos. Asimismo, deberealizarse un seguimiento posterior de losmismos, mediante el análisis de códigos de barrascada vez que se traslada un contenedor, incluidoslos que se encuentran en el centro de datos y enubicaciones externas. Los contenedores desoportes deben estar sellados y no quedar nuncaexpuestos a que alguien pueda cogerlos.
Combina el inventario de soportes custodiadosde forma externa periódicamente (al menos unavez al mes) con cintas que puedan guardarseinternamente. Al final de cada mes, deberealizarse un control de inventario de todo loexternalizado y compararse con los registrosde la aplicación de backup/archivado con elobjetivo de descubrir posibles incoherencias.Si los soportes no están contabilizados se debentomar las medidas oportunas.
Cuando los soportes hayan quedado obsoletoso ya no pueda confiarse en su integridad,estos deberán destruirse de forma adecuada.La destrucción de los soportes magnéticos selogra normalmente mediante la aplicación deun proceso de destrucción del cartucho, ya seamediante la eliminación de los datos de la cintao la destrucción de la cinta en su conjunto,con lo que quedaría inutilizable. La destrucciónde datos puede realizarse en las propiasinstalaciones con un equipo de desmagnetizaciónadecuado, o a través de los servicios de untercero. (Si la destrucción de los datos tienelugar en tus instalaciones, asegúrate de que elequipo de desmagnetización está calibrado parael soporte correcto). La destrucción de datosse realiza de una forma más óptima a través deuna organización que proporcione un certificadode destrucción.
Conocer la cadena de custodia
Otro elemento crítico en la gestión segura desoportes es garantizar que los proveedoresde custodia externa sigan las prácticasrecomendadas. A continuación, se indicanalgunos elementos que deben tenerse en cuenta:
Tener en cuenta la custodia de datos digitales
Un aspecto a tener en cuenta es la custodia dedatos digitales y el transporte de informaciónde soportes físicos en un vehículo. Actualmente,existen diversas compañías que ofrecen a losprofesionales de IT la posibilidad de realizarcopias de seguridad de los datos a través deInternet. Los datos pueden cifrarse y trasladarsea través de Internet hasta una instalación dedatos de backup seguros. La custodia de datosdigitales puede no ser una solución práctica paratodos los datos de la empresa, pero sí puederesultar práctica para los datos distribuidosen servidores de archivos o en ordenadorespersonales. Los datos distribuidos puedenrepresentar el 60% de la información de unaempresa y resulta difícil para los encargadosde IT poder controlarlos en su totalidad.
Asegúrate de que el proveedor que ofreceestos servicios cifra los datos mientrasse transfieren y cuando están en espera.Además, habla con el proveedor sobre cómomantener disponible la información. ¿Se harealizado una copia de seguridad en un soportemagnético? ¿Se ha replicado en otro sitio?Asegúrate de que las prácticas de recuperaciónde datos ante posibles incidencias del proveedorcumplan un estándar excepcional. Habla con elproveedor sobre cómo mantener la informacióndisponible para su recuperación o la asistenciaen procesos judiciales.
Una vez definido el proceso para garantizarque los datos confidenciales estánprotegidos y gestionados de formaadecuada, es importante asegurar que laspersonas responsables de la seguridadestén bien informadas y hayan recibido laformación adecuada. Las políticas deseguridad representan el aspecto másimportante de la asignación deresponsabilidad y autoridad.
Informar a los directores empresariales de los riesgos, las contramedidas y los costes
La pérdida de datos y el robo de propiedadintelectual son un problema de la empresa,no del departamento de informática. Comotal, el Responsable de la Seguridad de laInformación (CISO , por sus siglas en inglés)debería comenzar a aplicar la seguridad de losdatos mediante formación a los ejecutivos dela empresa en lo que se refiere a los riesgos,amenazas y posibles pérdidas debidas ainfracciones de seguridad, más el coste decontramedidas de seguridad. De esta forma,los directores corporativos pueden tomardecisiones fundadas sobre el coste y lasventajas de las inversiones en seguridad dedatos.
Valorar los riesgos y formar al personalLos datos procedentes de estudios deseguridad demuestran que "más valeprevenir que curar". Es más probable quelas organizaciones que se dedican a valorarlos riesgos apliquen políticas, procedimientosy tecnologías de seguridad que protegenlos activos vitales. Por otro lado, unainfraestructura vulnerable y un personal sinformación representan un problema enpotencia: indican una retribución real porrealizar el “trabajo repetitivo y agotador”de la seguridad.
La protección de datos seguros no se basaen la tecnología, sino que representa todoun proceso. Ése es el motivo por el que esimportante validar el proceso. A medidaque una empresa crece, la protección de lainformación y los datos necesitan cambiar,por lo que las prácticas de seguridad dela información deben adaptarse. Una vezdesarrollado y definido el plan integral,y tras informar de él a las personasapropiadas, es hora de llevarlo a la práctica.Asegúrate de contar con las herramientas,tecnologías y metodologías que necesitaspara la clasificación de la información.
Prueba el proceso una vez implementado.Recuerda, la prueba debe incluir los procesosde backup y recuperación. Intenta incluir enel proceso una amenaza, incluida la pérdidade un servidor y de un soporte, problemas dered, problemas con un dispositivo, problemasde clasificación de datos y cualquier otroescenario que pudiera afectar al negocio.Realiza pruebas con el personal que pudieraestar menos familiarizado con el proceso. Estetest ayuda a garantizar que el proceso resultafácil de seguir y que puede ejecutarse inclusosi el responsable no está en la oficina.
Independientemente del tamaño de la empresa o el sector, ofrecemos servicio especializado basado en estosprincipios clave:
Confianza
Durante 60 años, hemos sidoconfiables socios de trabajo decompañías pequeñas ycorporaciones globales,proporcionando solucionespersonalizadas en más de 1000oficinas instaladas globalmente.
Seguridad
Contamos con instalaciones de altaseguridad, equipos de profesionalescalificados y procesos optimizados,que aseguran que su información -y la información de sus clientes -siempre se encuentre en lasmejores manos.
Experiencia
Nuestra experiencia de trabajo yconocimientos, se manifiesta através de nuestra gente, nuestrosprocesos, y nuestras tecnologías.
En Iron Mountain, comprendemoslas regulaciones vigentes y losdesafíos de su correctocumplimiento en las diversasindustrias y geografías. Esto nospermite ayudar a su empresa aobtener el máximo beneficio desu información, reducir suscostos y minimizar los riesgosasociados.
Enfoque en el Cliente
Nuestro firme compromiso con laexcelencia en el servicio, le ofrece asu empresa atención durante las 24horas del día todos los días del año –a través de nuestro portal en línea onuestro Centro de Ayuda al Cliente.
Desarrollo Sustentable
Al ayudar a su empresa a reducirla cantidad de información quenecesita retener y al implementaruna política de reciclaje paratodos los documentos destruidos,contribuimos a que su compañíacumpla con sus compromisosecológicos.
¡Obtenga una consulta gratis hoy!