Cinco preguntas que te debes hacer cuando hablas de backups

En este post te voy a dar cinco recomendaciones que debes tener en cuenta cuando desarrollas un plan de backup ya sea para una organización pequeña o mediana. 

• ¿A que le debo hacer backup?: la respuesta parece trivial y se puede responder de forma fácil como: a toda información que es necesaria y crítica para el desarrollo de la empresa, entre ellos están los archivos digitales o físicos, las bases de datos, información en la nube entre otros.
• ¿Dónde debo almacenar el backup?: las mejores prácticas recomiendan dos en sitio uno fuera de sitio este puede ser un datacenter alterno, una oficina alterna, la nube, un tercero capacitado para ello, todo esto siempre y cuando estén en una ciudad diferente.
• ¿Que tan frecuente debo hacer backup?: Tan frecuente como lo necesite, es decir, cuanto tiempo en datos estás dispuesto a perder en caso de que se presente un incidente.  Revisa el término RPO en el post anterior.
• ¿Que software debo utilizar?: en este punto te sugiero en la medida de las posibilidades que elijas un software propietario debido a las ventajas sobre el software gratuito como lo es el poder definir el tipo de backup (completo, incremental o diferencial), backup cifrado, múltiples usuarios entro otras.
• ¿Backup en la nube o en sitio?: actualmente el costo del backup en la nube se ha reducido a tal punto que es viable económicamente el contemplar esta alternativa. Te recomiendo el tener las dos opciones, en sitio y en la nube, no está de más el tener redundancia con la información vital de la organización. 

Ten en cuenta que los backups siempre deben estar cifrados, esto evitará que personas no autorizadas se hagan con la información de la empresa, adicionalmente guarda en un lugar seguro las contraseñas de acceso a todos los backups especialmente las copias históricas.

En los próximos posts trataremos temas como los tipos de backups, frecuencia, retención y seguridad.  

Cinco tips claves de un plan de recuperación de desastres.

En este post te voy a enseñar cinco tips que debes tener en cuenta cuando desarrollas un plan de recuperación de desastres. 

1. RPO es el tiempo entre el último backup y la ocurrencia del desastre, es decir, el tiempo expresado en datos que estás dispuesto a perder. Cuando el valor de esta variable es muy bajo, deberás de ejecutar copias de respaldo con mayor frecuencia pudiendo incluso llegar a almacenar en duplicado los datos. 
2. MTD, corresponde al tiempo de inactividad máxima tolerable para un proceso. Entre menor sea esta variable, más rápido debes garantizar la recuperación del servicio lo cual va a elevar los costos de recuperación, ya que puedes llegar a contemplar el uso de un datacenter alterno.  
3. RPO y MTD van a influenciar en la tecnología y ubicación que selecciones para recuperar la operación. A mejor tecnología y mejor ubicación más rápida la recuperación. Con la tecnología actual puedes llegar a tener un datacenter alterno en la nube.
4. Debes tener especial cuidado en sí la tecnología donde se va a restaurar los datos es temporal o permanente, nueva u obsoleta, ya que de ello puede llegar a depender la estabilidad del servicio restaurado. 
5. Entre menos datos estés dispuesto a perder y más rápido quieras el servicio en operación más costoso va a ser el proceso de recuperación.

Ten a la mano estos tips cuando estés desarrollando en proceso de recuperación, ya que ellos te van a aportar conocimiento para que tomes buenas decisiones. 

Conoce cuatro variables que debes tener en cuenta cuando te preparas para un desastre tecnológico.

Puedo afirmarte que nadie está exento de un desastre en cuanto a tecnología se refiere, ya sea la pérdida de un equipo, el daño de un disco duro, la inundación de un datacenter y muchos otros casos que se pueden catalogar como desastre. En este post aprenderás acerca de cuatro de las principales variables que debes tener en cuenta cuando atiendes un desastre tecnológico. (DRP: Disaster Recovery Plan).

Para este punto ya debes tener en operación un plan de copias de respaldo, donde periódicamente haces backup de los principales datos de la organización. Ahora, la primera variable corresponde al tiempo que transcurre entre el desastre y la última copia de respaldo y se conoce como:

RPO Recovery Point Objetive: Cuantos son los datos en tiempo que estás dispuesto a perder, datos de unas horas, datos de unos días, esto también define la periodicidad del backup, pero esto será tema de otro post.

RTO Recovery Time Objetive: Cuanto tiempo te va a tomar el poner de nuevo los servicios afectados en operación. 

WRT Working Recovery Time: Es el tiempo necesario par verificar que todo funciona adecuadamente antes de entrar a producción. Verificación de bases de datos, aplicaciones y conexiones. 

MTD Maximum Tolerable Downtime: Tiempo de inactividad máxima tolerable. Tiempo que puede interrumpirse la operación sin causar mayores problemas. MTD = RTO + WRT.

En la anterior ilustración puedes verificar gráficamente donde esta cada una de las variables que te he explicado, ten en cuenta algo adicional, el tiempo que está entre el último backup hasta la reanudación de la operación, no se tiene contemplado realizar backups automatizados por lo que deberás buscar una alternativa viable. 

Entre mas cortos sean los tiempos mas costosa puede llegar a ser las soluciones que implementes, en contraprestación menos perdida de datos vas a tener por ende tu usuario final va a estar mas feliz.

Estas cuatro variables están inmersas dentro del desarrollo de un análisis de impacto del negocio en cual es un insumo necesario para el desarrollo de un Plan de Recuperación de Desastres. 

Conozca que tiene por dentro un Plan de Recuperación de Desastres DRP.

En este post aprenderás acerca de lo que es un Plan de Recuperación de Desastres, las fases que involucra y el contenido de cada una de ellas. Por sus siglas en ingles: Disaster Recovery Plan DRP.

La materialización de un incidente de ciberseguridad puede desencadenar un desastre, por lo que debes saber como atenderlo de forma organizada para evitar o reducir al mínimo el tiempo de inactividad de los sistemas prioritarios de tu organización. 

Un Plan de Recuperación de Desastres se limita a los procesos e infraestructura de TI, y se define como el programa que se debe seguir para que, en el caso de que se presente un desastre, se puedan restablecer las operaciones primarias en el menor tiempo posible.

Estas son las principales fases que contiene un DRP:

1. Identificar los sistemas críticos: En esta fase debes identificar los sistemas y aplicaciones críticas de tu organización. 
2. Realizar una evaluación de riesgos: Debes llevar a cabo una evaluación de riesgos que permita identificar, analizar y evaluar amenazas especialmente aquellas que puedan llegar a ocasionar un desastre.
3. Ejecutar un análisis de impacto de negocio: Conocido también como BIA, es un proceso que te permite determinar tiempos como RPO, RTO, WRT y MTD los cuales son variables que te ayudarán a determinar cosas como: cuál es el tiempo máximo que puedes permanecer sin datos digitales o cuál es el tiempo máximo que te puede tomar el restablecer las operaciones.
4. Desarrollar medidas para recuperación: Como es que piensas recuperar la operación lo antes posible. Aquí entra en operación términos como centro de datos alterno, equipos de respaldo, servicios en la nube, copias de respaldo, entre otros, todo depende las necesidades y presupuesto de cada organización.  
5. Realizar pruebas: Debes asegurarte que las medidas que has tomado son las adecuadas y que van a funcionar en el momento que sean requeridas, para ello, debes realizar pruebas de operación para los controles que has seleccionado. Te recomiendo prueba completadas dos veces por año.
6. Actualizar y mejorar el plan: De acuerdo con el resultado de las pruebas, puedes mejorar los puntos débiles del DRP y mantente atento a la aparición de nuevas amenazas para actualizarlo. 
7. Capacitar, concienciar y difundir el plan: Mantén capacitado a todo el personal involucrado, esto te garantizará conocimiento para saber qué hacer en el caso de un desastre.

Estas siete fases te pueden guiar acerca de lo que debes hacer o como debes atender un posible desastre dentro de tu organización, asegúrate de mantenerlo actualizado y que todas las personas involucradas estén capacitadas y concientizadas acerca de su rol y tareas asignadas. 

Tener planeado que hacer te da la ventaja competitiva.

 

Diez cosas que debes tener en cuenta si quieres proteger los datos de tu organización.

En este post aprenderás acerca de los diez principales temas que ponen en riesgo la seguridad de los datos digitales, ten en cuenta que pueden variar dependiendo del tipo, mercado y riesgo al cual está expuesta tu organización. 

Sin más preámbulos, estos son diez temas para proteger tus datos digitales: 

1. Inventario inexacto: debes saber cuáles son tus puntos débiles, por donde puedan ingresar los atacantes. Conozca la superficie de ataque expuesta de tu organización, contemple TODO el hardware o software autorizado o no autorizado. 

2. Problemas de contraseña: Las contraseñas débiles, duplicadas, por defecto, en texto plano o compartidas son un punto fuerte a contemplar. Ponga en marcha un programa de gestión de contraseñas. 

3. Sistemas sin parchear: Lamentablemente no existe el software perfecto, todos necesitan mantenimiento, es por ello que los fabricantes liberan periódicamente parches para corregir problemas detectados en su software. Pon en operación un programa de aplicación de parches de seguridad para el software de tu organización. 

4. Phishing y ransomware: Mantén capacitado al personal, que sepan que es el Phishing, el ransomware y como se puede detectar y prevenir. Usa software apropiado para detectar y prevenir esta clase de amenazas. 

5. Denegación de servicio: Los equipos, redes y servicios no están diseñados de facto para resistir estos ataques, investigua si son susceptibles de ataques y establece un plan de mitigación. Si no sabes como hacerlo, asesórate de un consultor especializado. 

6. Gestión de Identidad y Control de acceso: Aplica el principio del menor privilegio posible, el cual consiste en ir reduciendo los privilegios de las cuentas de usuario al mínimo necesario para el desempeño de sus tareas autorizadas. 

7. Cifrado de información: o encriptar la información, es mantener el acceso a los datos solo a las personas autorizadas. Revisa cuál es esa información que debe transmitirse o almacenarse de forma cifrada y propende por la utilización de software que maneje el acceso autorizado. 

8. Configuraciones por defecto: muchas vulnerabilidades vienen por defecto debido a que el fabricante debía garantizar que el dispositivo operará fácil y rápido, en los tiempos actuales deben funcionar fácil rápido y seguro. Reviza los servidores y dispositivos instalados en búsqueda de configuraciones por defecto. Usa el principio de “si no se necesita no debe estar operando” para servicios y equipos. 

9. Redes planas: Una red plana es cuando un equipo puede ver todos los servicios y equipos de la red sin restricciones. Utiliza firewalls internos, segmenta la red, separa usuarios de servidores y equipos de comunicaciones. Esto puede ser tan complejo como sea la arquitectura de red. 

10. Personal interno malicioso: El mayor número de ataques que sufre una organización es de tipo interno, y es perpetrado por personal camuflado, mal intencionado, no a gusto, no capacitado, no calificado, susceptible de ser manipulado, etc. Protege la información tanto de ataques externos como de ataques internos. 

Si sigues estas recomendaciones, lograrás aumentar la protección de la información. Recuerda que el dato digital es el activo más valioso de toda organización.