miércoles, 25 de febrero de 2009

Reflexiones sobre la falta de concienciación: copias de seguridad

Continuando con las reflexiones de lo que son tópicos de la inseguridad, lo siguiente que toca son las copias de seguridad. Tengo la sensación de que muchas de las tareas que forman parte de las rutinas básicas de seguridad son realizadas por los administradores sin haber asimilado la importancia de las mismas y cual es el objetivo que debe lograrse.
Cuando se toman decisiones sobre proteger algo, cualquier medida de seguridad debe responder a un por qué. El supuesto que se intenta evitar puede ser más o menos frecuente, más o menos posible, pero en cualquier caso, toda salvaguarda tiene como misión básica evitar una vulnerabilidad, reducir un impacto o ambas cosas a la vez.

Las medidas de recuperación, como es el caso de las copias de seguridad, pretenden que la organización pueda volver a la normalidad una vez que se ha producido un daño en el menor tiempo posible. Son actuaciones a posteriori cuando la amenaza ya se ha materializado y se debe reparar un daño. En el caso de las copias de seguridad hay dos preguntas básicas que responder:

  • ¿Cuantos datos podemos perder? La respuesta condiciona la frecuencia con la que debemos hacer el backup.

  • ¿En cuanto tiempo debemos volver a la normalidad? La respuesta condiciona qué infraestructuras serán necesarias para cuando el incidente ocurra poder continuar dando servicio. Define la estrategia de recuperación de la organización y depende básicamente del intervalo de tiempo disponible que es tolerable antes de volver a la normalidad.


Cuando una organización se plantea el diseño de un Plan de Continuidad de Negocio debe resolver estas cuestiones en base a las necesidades de negocio y las consecuencias que tengan los diferentes periodos de corte de servicio que pueda tolerar.
En el caso de las Pymes, es normal encontrar siempre mecanismos de copia de seguridad basados en la copia a soportes de la información. No suelen requerir más complicaciones técnicas puesto que uno o varios días de inactividad pueden ser tolerados. Sin embargo, lo que no es tan normal es que dicho mecanismo se ajuste a las necesidades de negocio. De nuevo se hacen cosas "de seguridad" sin garantizar el "objetivo de seguridad" por el que se hacen.

A estas alturas os preguntaréis qué errores se suelen presentar respecto a las tareas de copia de seguridad. Voy a intentar recopilar los más habituales.

  • 1.- La estrategia de copias no se ajusta a las necesidades de negocio. La frecuencia con la que debe realizarse las copias de seguridad no es una decisión del departamento de informática. Es necesario saber cuánto de importante son los datos para cada departamento y qué consecuencias tienen las pérdidas de información en diferentes intervalos de tiempo: 1 hora, medio día, un día, una semana, dos semanas. Según la respuesta, la frecuencia de las copias deberá ajustarse pensando siempre en la peor de las situaciones. En algún caso he podido auditar que la decisión de la realización de las copias de forma semanal es tomada unilateralmente por el área técnica y resulta contraria a las necesidades de la organización respecto al respaldo de datos. Siempre hay que pensar en la peor de la situaciones respecto a la situación que podría causar una pérdida de datos. En el caso de una copia semanal que se realice todos los viernes, la peor de la situaciones es un incidente el día anterior a la realización de las copias por lo que la pérdida de datos asumida por la Organización llega a cuatro días. Sólo en los casos donde esto sea asumible o tolerable, las copias deberán tener dicha frecuencia.

  • 2.- Las copias de seguridad no protegen todos los escenarios de contingencia. Las copias de seguridad son una medida de reacción ante un incidente y por tanto, deben servir para poder garantizar la continuidad de negocio en el peor de los escenarios. Otro tópico habitual que siempre se repite al auditar es que los soportes de almacenamiento de las copias se encuentran siempre en el mismo lugar donde están los equipos informáticos donde están los datos que se copian. En esta situación, las copias de seguridad nos protegen de contingencias como averías del equipo, cortes de suministro, errores en el copiado de datos, etc. Pero estos escenarios suponen que sólo se superaría un incidente que afecte al equipo donde están los datos. ¿Qué ocurre si el incidente es fuego en la sala de servidores? Pues que para esta situación las copias de seguridad no estarían protegidas y se perderían tanto los servidores como los soportes con los datos. Por tanto, para una medida que tiene como misión garantizar la continuidad de negocio, es imprescindible que las copias no se encuentren en el mismo lugar en donde están los equipos que contienen los datos a proteger.

  • 3.- Las copias no se prueban. La tecnología no es infalible y los soportes se pueden estropear, o bien accidentalmente o bien por el uso. Por tanto, es importante garantizar que las copias de seguridad estarán utilizables para cuando hagan falta. Por tanto no es lógico que nos demos cuenta de que las copias han estado fallando precisamente cuando hemos perdido los datos originales y sin las copias lo habremos perdido todo. Es de sentido común pero como sabéis no es el común de los sentidos. Hay mil anécdotas de pérdidas de datos por este motivo.

  • 4.- Cuando se intenta volver a la normalidad descubrimos que no disponemos de todo lo necesario. Todo plan o procedimiento debe estar documentado para que sea posible saber todo lo que hay que hacer en caso de necesitarlo. En general, la responsabilidad de las copias cae sobre el administrador del sistema que es personal técnico. Sin embargo, si las copias deben protegernos de toda posible contingencia es importante suponer que el día que las copias vayan a ser utilizadas es posible que el administrador de sistemas puede no estar disponible. Además, es necesario tener claro qué necesitamos para volver a la normalidad y sólo cuando hacemos simulacros es cuando descubrimos si tenemos o no todo bajo control. Ultimamente me estoy encontrando cosas como copias cifradas donde no se ha pensado que lo primero que es necesario es disponer del mecanismo de descifrado para utilizar la copia. Hay casos donde el método es simplemente cifrado simétrico pero esa clave sólo es conocida por el administrador y no está ni guardada ni escrita en ningún sitio. Por tanto, ya tenemos una situación potencial para la que no estaríamos protegidos que es un incidente donde el administrador sea también víctima del suceso y no se encuentre operativo. Otra situación puede ser la baja laboral de dicha persona que hace que la información histórica esté inaccesible también. De nuevo por seguridad (al cifrar los datos) se introduce una inseguridad (al no contemplar la nueva situación en los planes de recuperación).
    Es también demasiado frecuente que la documentación técnica que describe el proceso se encuentre en formato electrónico dentro de los servidores que supuestamente hay que recuperar y por tanto, en caso de incidente no estará consultable. Por tanto es necesario que en caso de incidente no haya ningún tipo de dependencia de uso de los equipos que habría que recuperar. De nuevo vuelve a ser básico que las instrucciones técnicas necesarias se puedan consultar y que estén disponibles. Para ello lo más lógico es que se encuentren junto a los soportes en un lugar diferente de la ubicación donde está la información a proteger.


Todo lo anterior no es que sea un gran esfuerzo o cosas demasiado complicadas. Son simplemente las cosas necesarias para que todo funcione. Sin embargo en el entorno Pyme es raro encontrar un sistema de copias consistente que realmente nos proteja de forma correcta de todas las situaciones que se pueden plantear, es decir, que cumpla correctamente el objetivo por el cual es necesaria.

Y después de todos estos comentarios, además hay que añadir que encima casi todas estas cosas son obligatorias cuando hablamos de datos de carácter personal en sistemas de información. En concreto, los artículos 94 y 102 del R.D. 1720/2007.
Tiene gracia que sea una ley la que obliga a las empresas a proteger su propia información pero es todavía más curioso que la única motivación que parece existir por parte de algunas organizaciones sea "esa fastidiosa ley de datos de carácter personal".

2 comentarios:

Anónimo dijo...

Hay dos tipos de personas: las que han perdido datos y las que los perderán.

Juan Ignacio M. dijo...

Muy buenas entradas (con retraso, pues eran largas y las marqué en el lector RSS para cogerlas con tiempo, pero las voy leyendo) esta y la de las contraseñas.

 
;