La guía definitiva para la protección de datos

La protección de datos es el proceso de proteger los datos frente a pérdidas, daños o interrupciones de los servicios mediante el uso de copias de seguridad y una arquitectura resistente a los datos. Desde las copias de seguridad hasta la recuperación y la reutilización de los datos, cubre todas las tecnologías y técnicas que una organización puede usar para mantener los datos seguros y muy disponibles para sus productos, servicios y operaciones.

En esta guía, profundizaremos en las diversas tecnologías y técnicas a disposición de un administrador del sistema para mantener los datos seguros.

Si bien el término protección de datos a menudo se utiliza indistintamente con la seguridad y la privacidad de los datos, existen diferencias sutiles entre los tres términos:

• La protección de datos suele usarse como un término general que incluye la seguridad y la privacidad de los datos. Sin embargo, en el sector, a menudo se refiere más específicamente a la prevención de la pérdida o la corrupción de datos a través de la resiliencia, la redundancia y la recuperación.
• La seguridad de los datos es más específica, relacionada con la prevención del acceso no autorizado, la manipulación o la corrupción de los datos por parte de partes internas y externas a través de cortafuegos, cifrado y otras tecnologías.
• La privacidad de los datos se centra en controlar el acceso a los datos para evitar la exposición de los datos y la información confidenciales. Incluye formación en materia de seguridad, estrategias de autenticación y cumplimiento de las normativas de seguridad de la información, como el RGPD.

Querrá invertir en los tres si quiere asegurarse de que los datos de su organización están totalmente protegidos. Para esta guía, nos centraremos principalmente en la protección de los datos, aunque existe cierta superposición natural entre los tres dominios.

Durante mucho tiempo la protección de datos en la sala de servidores o en el centro de datos se ha basado en la idea de redundancia. Como no puede permitirse el que sus datos se pierdan, se dañen o se vulneren, siempre debe tener una copia de seguridad de ellos.

Por supuesto, en la práctica, realizar copias de seguridad de sus datos es lo mínimo. En realidad, la protección de los datos es un ejercicio de gestión de los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO) para los servicios más críticos de su stack tecnológico operativo. En otras palabras, es lo rápido que puede hacer copias de seguridad y restaurar sus datos para evitar la interrupción de las operaciones críticas de la empresa.

Entonces, ¿qué son exactamente el RTO y el RPO?

• RTO: es el periodo de tiempo máximo que su empresa puede permitirse estar sin acceso a los datos necesarios para el funcionamiento de sus aplicaciones y operaciones. El RTO determina con qué rapidez tiene que recuperarse su sistema. 

• RPO: se refiere a la cantidad máxima de datos que puede permitirse perder. El RPO se utiliza para determinar la frecuencia con la que tiene que realizar las copias de seguridad.

El RTO y el RPO son los indicadores clave de rendimiento (KPI) que querrá tener en cuenta al desarrollar su estrategia de recuperación de desastres.

Descubra por qué con Ransomware la restauración es la nueva copia de seguridad

También conocido como copia de seguridad y recuperación de desastres, la copia de seguridad y la restauración se refieren a la práctica de realizar copias de seguridad de sus datos para que pueda restaurar los servicios y las operaciones empresariales en caso de desastre. Los desastres pueden incluir de todo, desde desastres naturales y apagones hasta errores humanos y ciberataques. 

Planificación de las copias de seguridad de los datos

Dependiendo de las tecnologías y los recursos disponibles para su organización, es posible que tenga que utilizar una o más de estas técnicas de copia de seguridad como parte de una estrategia de recuperación de desastres de centro de datos más grande:

• Copia de seguridad de imagen completa: se realiza una copia de seguridad de toda la imagen de sus datos, para crear un punto de restauración al que se puede retroceder inmediatamente. Como se trata de una copia de seguridad completa, esta técnica es la que necesita más tiempo de almacenamiento.
• La copia de seguridad diferencial: Realiza copias de seguridad de todos los cambios desde la última copia de seguridad completa de la imagen. La restauración solo requiere dos archivos: la última copia de seguridad completa de la imagen, seguida de la copia de seguridad diferencial más reciente. 
• La copia de seguridad incremental: Realiza copias de seguridad graduales de los cambios desde el último punto de restauración de imagen completa. Después de un número determinado de copias de seguridad incrementales, el ciclo se completa con una copia de seguridad de imagen completa. La restauración empieza con la última copia de seguridad completa de la imagen, seguida de copias de seguridad incrementales en el RPO de destino. 
• La copia de seguridad en tiempo real: también llamada copia de seguridad continua, este método consiste en copiar al instante cualquier cambio que se produzca en los datos en un dispositivo de almacenamiento separado. Proporciona las copias de seguridad más granulares y completas.
• Recuperación instantánea: Se mantiene una máquina virtual (VM) de backup actualizada continuamente para una máquina virtual de producción. Cuando la máquina virtual de producción falla, la copia de seguridad se hace cargo al instante, lo que genera cero RTO y cero RPO.

Obtenga más información sobre las copias de seguridad por niveles y los búnkeres de datos para las soluciones de copia de seguridad a largo plazo y muy disponibles.

Recuperación de desastres en centros de datos

La implementación de un plan de backup sólido es solo una parte de la ecuación de protección de datos. La segunda parte consiste en llegar a sus RTO. En otras palabras, ¿cómo consigue que sus sistemas empresariales vuelvan a estar en funcionamiento tras un desastre? Un plan típico de recuperación de desastres incluirá:

• Equipo de recuperación de desastres: Designar a un grupo de personas directamente responsables (DRI) para implementar el plan de recuperación de desastres.
• Análisis de riesgos: Vale la pena estar preparado y ser consciente de lo que podría salir mal en su organización. Identificar los riesgos y los planes de acción en caso de tiempos de inactividad imprevistos o de desastre.
• Cumplimiento: El hecho de que sea víctima de un ataque no significa que deje de cumplir las normativas de cumplimiento normativo de los datos. Un responsable de cumplimiento puede garantizar que su organización sigue las políticas de conservación y eliminación y que no realiza copias de seguridad de los datos confidenciales previamente programados para su eliminación por motivos de cumplimiento.
• Análisis del impacto empresarial: Tras un desastre, necesita que alguien evalúe el impacto potencial en los servicios empresariales. Puede que sea posible volver a poner en marcha los servicios más críticos antes. Identificar y documentar qué sistemas, aplicaciones, datos y activos son más críticos para la continuidad operativa puede ayudar a su equipo de recuperación de desastres a tomar las medidas más eficientes necesarias para recuperarse.
• Copia de seguridad de los datos: Dependiendo de las estrategias y tecnologías de copia de seguridad que esté usando, puede reanudar las operaciones de la empresa volviendo a la copia de seguridad más reciente. Los RTO y RPO variarán en función de la copia de seguridad y los servicios afectados. 

Todo gira en torno a la protección continua de los datos

En un mundo cada vez más digital, los clientes esperan que las empresas puedan prestar sus servicios las 24 horas del día, los 7 días de la semana, sin interrupciones ni disrupciones. La protección de datos continua (CDP), también conocida como copia de seguridad continua, es la práctica de realizar copias de seguridad del flujo continuo de datos necesario para soportar las operaciones empresariales modernas. Proporciona a las organizaciones la capacidad de restaurar un sistema en cualquier momento anterior. El objetivo de la CDP es, en última instancia, minimizar los RTO y los RPO en caso de desastre. Gracias al uso de copias de seguridad continuas en tiempo real y a la implementación de una estrategia sólida de recuperación de desastres, es posible mantener la continuidad operativa a través de CDP.

Hasta ahora, hemos tratado las cosas que normalmente puede hacer para proteger sus datos y mantener la continuidad operativa ante un desastre. Pero hay un tipo de desastre que va en aumento y que vale la pena abordar por sí solo: el ransomware.

Los ciberdelincuentes siempre han sido una amenaza, pero aunque los hacktivistas de antaño estaban motivados por creencias políticas, culturales y religiosas, los ciberdelincuentes actuales están motivados en gran medida por los beneficios financieros. Ransomware, en el que un hacker le bloquea los datos mediante cifrado hasta que paga un rescate, es ahora un sector multimillonario. Y en un mundo en el que el tiempo de inactividad se traduce directamente en una pérdida de ingresos, nunca ha sido tan tentador pagar ese rescate.

En las siguientes secciones, trataremos las cosas que puede hacer para mitigar un ataque de ransomware.

Cómo prevenir un ataque de ransomware

La mejor manera de combatir el ransomware es evitar que ocurra en primer lugar. Se trata de obtener una visibilidad de todo el sistema, de practicar una buena higiene de datos y de tener un plan implementado para hacer frente a una amenaza una vez que la haya identificado.

• Registro y supervisión: Las herramientas de registro y supervisión del sistema pueden proporcionarle una vista general de sus sistemas y ayudarle a entender cómo es su infraestructura de TI cuando todo funciona sin problemas. Las analíticas rápidas en tiempo real pueden ayudarle a detectar anomalías (por ejemplo, un pico de tráfico de una dirección IP sospechosa) y otras actividades que pueden llevarle a un posible ataque.
• Higiene de datos: Cuando los piratas informáticos plantan malware, buscan vulnerabilidades de seguridad, como sistemas operativos sin parches, herramientas de terceros mal protegidas y una gestión de datos desordenada. La higiene de los datos significa implementar unas buenas prácticas de gestión de los parches, configuración del sistema y desinfección de los datos. Estas cosas no solo hacen que su organización funcione mejor, sino que también reducen en gran medida la superficie de ataque de un posible ataque.
• Seguridad operativa: Los humanos son una vulnerabilidad que a menudo se pasa por alto cuando se trata de ciberseguridad. La implementación de la autenticación multifactorial, los controles administrativos y la estratificación de los datos puede garantizar que los datos solo estén disponibles para las personas autorizadas que los necesitan. La formación de concienciación sobre la seguridad que cubre las técnicas de los hackers y los ataques de phishing puede ayudar a su organización a prepararse para detectar intentos reales en la naturaleza.

Qué hacer durante un ataque de ransomware 

Los ciberataques no son tan evidentes en la vida real como lo son para los protagonistas de las películas. El ataque en sí mismo puede durar solo 30-40 minutos a medida que acceden a sus archivos y se mueven lateralmente a través de sus redes, cifrando archivos y borrando copias de seguridad. Por otro lado, un atacante puede acechar en su red mucho después de acceder, supervisando sus respuestas a las anomalías a medida que planifica un ataque real. En cualquier caso, cuando recibe una nota de rescate para sus datos, el ataque ya se ha completado.

La única manera de detectar un ataque de ransomware mientras sigue ocurriendo es notar los intentos de phishing fragmentados a medida que se producen (capacitando a sus empleados) o detectar actividades sospechosas en su red a través de SEIM y registros. Siempre que haya tomado estas medidas proactivas y tenga las herramientas necesarias, vale la pena tener un plan de respuesta a ciberincidentes (CIR) para hacer frente a la actividad anómala cuando la descubra. Documente todo y notifique al personal informático pertinente para aislar los sistemas afectados y mitigar los daños. Necesitará esos registros para cumplir los requisitos de cumplimiento normativo y ayudar a las fuerzas del orden público con las investigaciones si esa actividad demuestra ser un ataque de ransomware real. Veremos los detalles de la creación de un plan CIR más adelante en este artículo.

Recuperación tras un desastre tras un ataque de ransomware

Así que sus archivos se han cifrado y acaba de recibir una nota de ransomware. ¿Cuáles son sus opciones?

Una opción es pagar el rescate, pero hacerlo podría arriesgarse a exponer a su organización a una mayor extorsión en el futuro.

Una mejor opción, siempre que haya seguido los pasos proactivos de mitigación del ransomware descritos en las secciones anteriores, es purgar, restaurar y responder:

• Purgue sus sistemas de las vulnerabilidades que permitieron que los atacantes accedieran a sus datos. El hardware y el software comprometidos deben aislarse y desconectarse de la red inmediatamente. Se debe realizar una auditoría del sistema y de la red para garantizar que no quedan puertas traseras u otro malware. Es importante desinfectar sus sistemas antes de restaurar los datos de sus copias de seguridad y de ponerlos en marcha.
• Restaure los datos aprovechando su plan de copia de seguridad y recuperación. Esperamos que tenga unas copias instantáneas y una infraestructura de recuperación de desastres que le permitan recoger las cosas justo antes de que se produzca el incidente cibernético. Su equipo de defensa debe realizar un análisis forense de sus datos de respaldo en un entorno virtual desinfectado para garantizar que los atacantes no se queden nada atrás. Está buscando un punto de recuperación sin impedimentos al que pueda devolver sus sistemas. 
• Respond aadecuadamente al ataque adoptando medidas para revisar los registros, auditar los sistemas y documentar la naturaleza del ataque. Para cumplir las normativas, es posible que tenga que notificar a los clientes una vulneración de datos y que quiera que sus registros demuestren que su organización ha hecho todo lo posible para responder al ataque. La información obtenida del ataque puede aprovecharse para ayudar a las fuerzas del orden público a localizar a los autores, así como para ayudar a proteger sus propios sistemas frente a futuros ataques.

Más información: Guía del Hacker para la Mitigación y la Recuperación del Ransomware

Un plan de respuesta a incidentes cibernéticos es un documento formal que describe los detalles que el personal debe seguir en caso de un ciberataque. También es un requisito del Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS). Los planes de respuesta a incidentes cibernéticos suelen estar compuestos por seis fases distintas: 

1. Preparación

Esta fase describe los pasos, las funciones y los procedimientos que deben seguirse en caso de incidente cibernético. Preparar a un equipo de personas con funciones y responsabilidades claramente definidas para responder a un incidente cibernético. También cubre la prueba de estos roles y procedimientos mediante la formación de los empleados con escenarios de simulacros, como las vulneraciones de datos simulados. 

2. Identificación

Esta fase implica la detección y el análisis forense de cibereventos anómalos para determinar si se ha producido una vulneración y la gravedad del incidente. 

• ¿Qué datos se han expuesto? 
• ¿Cómo se descubrió? 
• ¿Quién descubrió el incidente?
• ¿A quién afecta?

El alcance y la gravedad del incidente deben documentarse y analizarse antes de poder abordarlo de manera efectiva. Los registros del sistema y de la red pueden ser la clave para responder inmediatamente a una vulneración y determinar los detalles críticos de un incidente de seguridad después de que se haya producido.

Más información: Ha sido golpeado por Ransomware. ¿Ahora qué?

3. Contención

En caso de incidente cibernético, la fase de contención especifica las medidas adoptadas para prevenir más daños y mitigar los riesgos. La contención suele implicar pasos para desconectar y desactivar los dispositivos afectados de Internet.

4. Erradicación

Una vez que se ha contenido una amenaza, un profesional de la seguridad puede analizarla para determinar la causa raíz del incidente y eliminar cualquier amenaza. La eliminación del malware, los parches de seguridad y otras medidas deben describirse en la fase de erradicación. 

5. Recuperación

La fase de recuperación incluye pasos y procedimientos para restaurar los sistemas y dispositivos afectados a la producción. Pueden implementarse copias de seguridad redundantes, copias instantáneas y un plan de recuperación de desastres para restaurar los servicios de misión crítica en caso de una vulneración. También debería tener un entorno de recuperación por etapas que le proporcione una manera “preconstruida” de volver a estar en línea inmediatamente después de un evento. 

6. Lecciones aprendidas

La ciberseguridad es un proceso continuo. Es importante recopilar la información recogida y las lecciones aprendidas de un ciberincidente y aplicarlas para mejorar los protocolos de seguridad y el propio plan de respuesta a los incidentes.
 

Consiga un plan detallado 6-Point para la «durante» una vulneración de la seguridad de los datos

En esta guía, analizamos las diversas herramientas, estrategias y tecnologías disponibles para proteger sus datos y mantener la continuidad operativa en caso de desastre. Al final del día, sus datos son tan seguros como la infraestructura que utiliza para administrarlos. 

Por ello, los productos de Pure Storage ® se han diseñado desde abajo, pensando en la protección de datos moderna. Algunos ejemplos de soluciones de protección de datos modernas desarrolladas por Pure son:

• Restauración rápida de FlashBlade®: Proporciona 270TBh de rendimiento de recuperación de datos a los entornos de producción y prueba/desarrollo. 
• ActiveDR™: Integrado en Purity , ActiveDR le proporciona un RPO casi nulo gracias a una replicación asíncrona robusta que cubre tanto las nuevas escrituras como sus copias instantáneas y programas de protección asociados. 
• Purity ActiveCluster ™: La replicación síncrona para RPO cero se une a la conmutación por error transparente para RTO cero en este verdadero clúster extendido metro activo-activo bidireccional. 
• Copias instantáneas de SafeMode: Las copias instantáneas SafeMode son una solución de protección frente al ransomware integrada en FlashArray ™ y FlashBlade . Las copias instantáneas son inmutables, lo que permite que su equipo recupere los datos en caso de un ataque de ransomware.

Las amenazas a los datos modernos requieren soluciones de protección de datos modernas. El almacenamiento de sus datos con Pure Storage es la mejor manera de garantizar el rendimiento, la fiabilidad y la seguridad de su organización.