La guía definitiva para la protección de datos

La protección de datos es el proceso de proteger los datos contra pérdidas, corrupción o interrupción de servicios mediante el uso de copias de seguridad y arquitectura resistente a los datos. Desde copias de seguridad hasta recuperación y reutilización de datos, cubre todas las tecnologías y técnicas que una organización puede usar para mantener los datos seguros y altamente disponibles para sus productos, servicios y operaciones.

En esta guía, profundizaremos en las diversas tecnologías y técnicas a disposición del administrador del sistema para mantener seguros los datos.

Si bien el término protección de datos a menudo se usa indistintamente con la seguridad y privacidad de datos, existen diferencias sutiles entre los tres términos:

• La protección de datos a menudo se utiliza como un término general que incluye la seguridad y la privacidad de los datos. Sin embargo, en la industria, a menudo se refiere más específicamente a la prevención de la pérdida o corrupción de datos a través de la adaptación, redundancia y recuperación.
• La seguridad de los datos es más específica y se relaciona con la prevención del acceso, la manipulación o la corrupción no autorizados de los datos por parte de partes internas y externas a través de firewalls, cifrado y otras tecnologías.
• La privacidad de los datos se centra en controlar el acceso a los datos para evitar la exposición de datos e información sensibles. Incluye capacitación en seguridad, estrategias de autenticación y cumplimiento de las regulaciones de seguridad de la información, como el GDPR.

Querrá invertir en los tres si desea asegurarse de que los datos de su organización estén completamente protegidos. Para esta guía, nos enfocaremos principalmente en la protección de datos, aunque existe algo de superposición natural entre los tres dominios.

Durante mucho tiempo, la filosofía detrás de la protección de datos en la sala de servidores o el centro de datos ha sido una redundancia. No puede permitirse el lujo de que sus datos se pierdan, se dañen o se vean en peligro, por lo que siempre debe tener una copia de seguridad.

Por supuesto, en la práctica, hacer copias de seguridad de sus datos es lo mínimo e indispensable. Verdaderamente, la protección de datos es un ejercicio de gestión de los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO) para los servicios más esenciales en el desarrollo de su tecnología operativa. En otras palabras, es la rapidez con la que puede realizar copias de seguridad y restaurar sus datos para evitar la interrupción de las operaciones comerciales críticas.

Entonces, ¿qué son exactamente el RTO y el RPO?

• RTO: El tiempo máximo que su empresa puede permitirse para perder el acceso a los datos que impulsan sus aplicaciones y operaciones. Determina la rapidez con la que necesita que su sistema se recupere. 

• RPO: Se refiere a la cantidad máxima de datos que puede permitirse perder. Utilice esta información para determinar la frecuencia de las copias de seguridad.

El RTO y el RPO son los indicadores clave de rendimiento (KPI, Key Performance Indicators) que es recomendable tener en cuenta al crear su estrategia de recuperación ante desastres.

Descubra por qué con Ransomware , Restore es la nueva copia de seguridad

También conocida como copia de seguridad y recuperación ante desastres, la copia de seguridad y la restauración se refieren a la práctica de realizar una copia de seguridad de sus datos para que pueda restaurar los servicios y las operaciones comerciales en caso de un desastre. Los desastres pueden incluir desde desastres naturales y apagones hasta errores humanos y ciberataques. 

Planificación de copias de seguridad de datos

Dependiendo de las tecnologías y los recursos disponibles para su organización, es posible que deba emplear una o más de estas técnicas de copia de seguridad como parte de una estrategia de recuperación ante desastres de un centro de datos más grande:

• Copia de seguridad de imagen completa: Realiza una copia de seguridad de la imagen completa de los datos para crear un punto de restauración al que pueda regresar en un instante. Debido a que está realizando una copia de seguridad completa, esta técnica tarda más tiempo en almacenarse.
• Copia de seguridad diferencial: Realiza una copia de seguridad de todos los cambios desde la última copia de seguridad de imagen completa. La restauración solo requiere dos archivos: la última copia de seguridad de imagen completa, seguida de la copia de seguridad diferencial más reciente. 
• Copia de seguridad incremental: Realiza una copia de seguridad incremental de los cambios desde el último punto de restauración de imagen completa. Después de un número establecido de copias de seguridad incrementales, el ciclo se completa con una copia de seguridad de imagen completa. La restauración comienza con la última copia de seguridad de imagen completa, seguida de copias de seguridad incrementales para el RPO objetivo. 
• Copia de seguridad en tiempo real: También llamado copia de seguridad continua, este método implica copiar instantáneamente cada cambio en sus datos a un dispositivo de almacenamiento independiente. Proporciona la copia de seguridad más granular e integral.
• Recuperación instantánea: Una máquina virtual (VM, Virtual Machine) de producción mantiene continuamente actualizada una VM de copia de seguridad. Cuando se produce un error en la VM de producción, la copia de seguridad toma el control instantáneamente, lo que produce RTO cero y RPO cero.

Obtenga información sobre las copias de seguridad por niveles y los búnkeres de datos para soluciones de copia de seguridad altamente disponibles a largo plazo.

Recuperación ante desastres del centro de datos

La implementación de un plan de copia de seguridad sólido es solo una parte de la ecuación de protección de datos. La segunda parte implica llegar a sus RTO. En otras palabras, ¿cómo vuelve a poner en funcionamiento sus sistemas empresariales tras un desastre? Un plan típico de recuperación ante desastres incluirá:

• Equipo de recuperación ante desastres: Designe un grupo de personas directamente responsables (DRI) para implementar el plan de recuperación ante desastres.
• Análisis de riesgos: Vale la pena estar preparado y consciente de lo que podría salir mal dentro de su organización. Identifique los riesgos y los planes de acción en caso de tiempo de inactividad no planificado o desastre.
• Cumplimiento: El hecho de que sea víctima de un ataque no significa que deje de cumplir con las reglamentaciones de cumplimiento de datos. Un oficial de cumplimiento puede asegurarse de que su organización siga las políticas de retención y eliminación y no realice copias de seguridad de datos confidenciales previamente programados para su eliminación por motivos de cumplimiento.
• Análisis del impacto en el negocio: Tras un desastre, necesita que alguien evalúe el impacto potencial en los servicios empresariales. Puede ser posible volver a poner en marcha los servicios más críticos antes. Identificar y documentar qué sistemas, aplicaciones, datos y activos son los más críticos para la continuidad del negocio puede ayudar a su equipo de recuperación ante desastres a tomar las medidas más eficientes necesarias para recuperarse.
• Copia de seguridad de datos: Dependiendo de las estrategias y tecnologías de copia de seguridad que utilice, puede reanudar las operaciones comerciales al volver a la copia de seguridad más reciente. Los RTO y RPO variarán según la copia de seguridad y los servicios afectados. 

Se trata de la protección continua de datos

En un mundo cada vez más digital, los clientes esperan que las empresas puedan prestar sus servicios las 24 horas del día, los 7 días de la semana, sin tiempo de inactividad ni interrupciones. La protección continua de datos (CDP), también conocida como copia de seguridad continua, es la práctica de respaldar el flujo continuo de datos necesarios para respaldar las operaciones comerciales modernas. Le brinda a las organizaciones la capacidad de restaurar un sistema a cualquier momento anterior. El objetivo de CDP es, en última instancia, minimizar los RTO y RPO en caso de desastre. Al aprovechar las copias de seguridad continuas en tiempo real e implementar una estrategia sólida de recuperación ante desastres, es posible mantener la continuidad del negocio a través de CDP.

Hasta ahora, hemos cubierto las cosas que generalmente puede hacer para proteger sus datos y mantener la continuidad del negocio ante un desastre. Pero hay un tipo de desastre que está en aumento y que vale la pena abordar por sí solo: ransomware.

Los ciberdelincuentes siempre han sido una amenaza, pero si bien los hacktivistas de ayer estaban motivados por creencias políticas, culturales y religiosas, los ciberdelincuentes actuales están en gran medida motivados por las ganancias financieras. Ransomware, en el que un hacker lo bloquea de sus datos a través de la encriptación hasta que paga un rescate, ahora es una industria multimillonaria. Y en un mundo en el que el tiempo de inactividad se traduce directamente en la pérdida de ingresos, nunca ha sido más tentador pagar ese rescate.

En las siguientes secciones, cubriremos las cosas que puede hacer para mitigar un ataque de ransomware.

Cómo prevenir un ataque de ransomware

La mejor manera de combatir el ransomware es evitar que ocurra en primer lugar. Se trata de obtener visibilidad de todo el sistema, practicar una buena higiene de datos y tener un plan implementado para lidiar con una amenaza una vez que lo haya identificado.

• Registro y monitoreo: Las herramientas de registro y monitoreo de sistemas pueden brindarle una vista panorámica de sus sistemas y ayudarlo a comprender cómo es su infraestructura de TI cuando todo funciona sin problemas. Las técnicas de análisis rápidas en tiempo real pueden ayudarlo a detectar anomalías (p. ej., un pico en el tráfico de una dirección IP sospechosa) y otras actividades que pueden provocarle un posible ataque.
• Higiene de datos: Cuando los hackers plantan malware, buscan vulnerabilidades de seguridad, como sistemas operativos sin parches, herramientas de terceros mal seguras y administración de datos desordenada. La higiene de datos significa implementar una buena administración de parches, configuración del sistema y prácticas de desinfección de datos. Estas cosas no solo hacen que su organización funcione de manera más fluida, sino que también reducen en gran medida la superficie de ataque de un posible ataque informático.
• Seguridad operativa: Los humanos son una vulnerabilidad que a menudo se pasa por alto cuando se trata de ciberseguridad. La implementación de la autenticación multifactor, los controles administrativos y el nivelado de datos puede garantizar que los datos solo estén disponibles para las personas autorizadas que los necesitan. La capacitación de concientización sobre seguridad que cubre las técnicas de los hackers y los ataques de phishing puede ayudar a preparar a su organización para detectar intentos reales en la naturaleza.

Qué hacer durante un ataque de ransomware 

Los ciberataques no son tan evidentes en la vida real como lo son para los protagonistas de las películas. El ataque en sí puede durar solo de 30 a 40 minutos a medida que acceden a sus archivos y se mueven lateralmente a través de sus redes, encriptando archivos y eliminando copias de seguridad. Por otro lado, un atacante puede acechar su red mucho después de obtener acceso, monitoreando sus respuestas a las anomalías mientras planifica un ataque real. De cualquier manera, cuando reciba una nota de rescate para sus datos, el ataque ya se ha completado.

La única forma de detectar un ataque de ransomware mientras aún está sucediendo es notar los intentos de phishing frustrados a medida que ocurren (capacitando a sus empleados) o detectar actividad sospechosa en su red a través de SEIM y registros. Siempre que haya tomado estos pasos proactivos y tenga las herramientas necesarias, vale la pena tener un plan de respuesta a incidentes cibernéticos (CIR) para lidiar con la actividad anómala cuando la descubra. Documente todo y notifique al personal de TI relevante para aislar los sistemas afectados y mitigar los daños. Necesitará esos registros para cumplir con los requisitos de cumplimiento y ayudar a las fuerzas de seguridad con las investigaciones en caso de que esa actividad demuestre ser un ataque de ransomware real. Analizaremos los detalles de la creación de un plan de CIR más adelante en este artículo.

Recuperación ante desastres después de un ataque de ransomware

Por lo tanto, sus archivos han sido encriptados y acaba de recibir una nota de ransomware. ¿Cuáles son sus opciones?

Una opción es simplemente pagar el rescate, pero hacerlo podría arriesgarse a exponer a su organización a una mayor extorsión en el futuro.

Una mejor opción, siempre que haya seguido los pasos de mitigación proactiva de ransomware descritos en las secciones anteriores, es purgar, restaurar y responder:

• Purgue sus sistemas de las vulnerabilidades que permitieron a los atacantes acceder a sus datos. El hardware y el software comprometidos deben aislarse y desconectarse de la red de inmediato. Se debe realizar una auditoría del sistema y la red para garantizar que no queden puertas traseras u otro malware. Es importante desinfectar sus sistemas antes de restaurar los datos de sus copias de seguridad y ponerlos en marcha.
• Restaure los datos aprovechando su plan de copia de seguridad y recuperación. Esperamos que tenga algunas snapshots e infraestructura de recuperación ante desastres implementadas que le permitan recoger las cosas justo antes de que ocurriera el incidente cibernético. Su equipo de defensa debe realizar un análisis forense de sus datos de copia de seguridad dentro de un entorno virtual desinfectado para garantizar que los atacantes no dejen nada atrás. Está buscando un punto de recuperación sin problemas al que pueda volver a utilizar sus sistemas. 
• Respond aal ataque de manera adecuada tomando medidas para revisar registros, auditar sistemas y documentar la naturaleza del ataque. Para cumplir con las regulaciones, es posible que deba notificar a los clientes sobre una violación de datos y querrá que sus registros demuestren que su organización hizo todo lo posible para responder al ataque. La información obtenida del ataque puede aprovecharse para ayudar a las fuerzas de seguridad a rastrear a los perpetradores, así como ayudar a proteger sus propios sistemas contra futuros ataques.

Más información: Guía del hacker para la mitigación y recuperación Ransomware

Un plan de respuesta a incidentes cibernéticos es un documento formal que describe los detalles que el personal debe seguir en caso de un ataque cibernético. También es un requisito del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Los planes de respuesta a incidentes cibernéticos generalmente están compuestos por seis fases distintas: 

1. Preparación

Esta fase describe los pasos, roles y procedimientos que deben seguirse en caso de un incidente cibernético. Prepare un equipo de personas con roles y responsabilidades claramente definidos para responder a un incidente cibernético. También cubre la prueba de estos roles y procedimientos a través de la capacitación de los empleados con escenarios de simulacros, como simulacros de filtración de datos. 

2. Identificación

Esta fase implica la detección y el análisis forense de eventos cibernéticos anómalos para determinar si se ha producido una violación y la gravedad del incidente. 

• ¿Qué datos se expusieron? 
• ¿Cómo se descubrió? 
• ¿Quién descubrió el incidente?
• ¿A quién afecta?

El alcance y la gravedad del incidente deben documentarse y analizarse antes de que pueda abordarse de manera efectiva. Los registros del sistema y la red pueden ser la clave para responder de inmediato a una violación y determinar los detalles críticos de un incidente de seguridad después de que haya ocurrido.

Más información: Ha sido golpeado por Ransomware ¿Y ahora qué?

3. Contención

En caso de un incidente cibernético, la fase de contención especifica las medidas que se toman para evitar daños adicionales y mitigar los riesgos. Por lo general, la contención implica pasos para desconectar y desactivar los dispositivos afectados de Internet.

4. Erradicación

Una vez que se ha contenido una amenaza, puede ser analizada por un profesional de seguridad para determinar la causa raíz del incidente y eliminar cualquier amenaza. La eliminación de malware, los parches de seguridad y otras medidas deben describirse en la fase de erradicación. 

5. Recuperación

La fase de recuperación implica pasos y procedimientos para restaurar los sistemas y dispositivos afectados a la producción. Se pueden implementar copias de seguridad redundantes, snapshots y un plan de recuperación ante desastres para restaurar los servicios de misión crítica en caso de una violación. También debe tener un entorno de recuperación por etapas que pueda darle una forma “prediseñada” de volver a estar en línea inmediatamente después de un evento. 

6. Lecciones aprendidas

La seguridad cibernética es un proceso continuo. Es importante recopilar la información recopilada y las lecciones aprendidas de un incidente cibernético y aplicarlas para mejorar los protocolos de seguridad y el propio plan de respuesta a incidentes.
 

Obtenga un plan detallado 6-Point para “durante” una filtración de datos

En esta guía, analizamos las diversas herramientas, estrategias y tecnologías disponibles para proteger sus datos y mantener la continuidad del negocio en caso de un desastre. Al final del día, sus datos son tan seguros como la infraestructura que utiliza para administrarlos. 

Es por eso que los productos de Pure Storage ® están diseñados desde cero con la protección de datos moderna en mente. Entre los ejemplos de soluciones modernas de protección de datos desarrolladas por Pure se incluyen los siguientes:

• Restauración rápida de FlashBlade ®: Ofrece 270TBh de rendimiento de recuperación de datos para entornos de producción y prueba/desarrollo. 
• ActiveDR™: Incorporado en Purity , ActiveDR le ofrece RPO casi cero a través de una replicación asincrónica robusta que cubre tanto nuevas escrituras como sus snapshots asociadas y programas de protección. 
• Purity ActiveCluster: La replicación sincrónica para RPO cero se combina con la conmutación por error transparente para RTO cero en este verdadero metroclúster extendido bidireccional active-active. 
• Instantáneas de SafeMode: Las snapshots de SafeMode son una solución de protección contra ransomware incorporada en FlashArray yFlashBlade. Las snapshots son inmutables, lo que permite que su equipo recupere datos en caso de un ataque de ransomware.

Las amenazas de datos modernas requieren soluciones de protección de datos modernas. Almacenar sus datos con Pure Storage es la mejor manera de garantizar el rendimiento, la confiabilidad y la seguridad para su organización.