La seguridad de los datos no se toma vacaciones
Por Martín Colombo, Country Manager de Veeam Argentina
Durante el período vacacional, los niveles de personal suelen reducirse, ya que muchos empleados tienen que ponerse al día con sus vacaciones y recortar las horas extras. Por desgracia, esto no se aplica a los servicios y a la necesidad de proteger los datos empresariales importantes. Vivimos en una economía 24 horas al día, 7 días a la semana, impulsada por modelos de negocio centrados en las aplicaciones e infraestructuras multi-nube.
Por lo tanto, las organizaciones necesitan estar equipadas para prestar servicios digitales, garantizar la continuidad del negocio y mitigar el riesgo, al mismo tiempo que satisfacen las expectativas de sus clientes. Además, las áreas de IT deben abordar tres cuestiones clave, de cara al año:
¿Cómo nos preparamos para una extensión de la pandemia?
Sea o no obligatorio, sea o no certificado: las empresas deben responder a las resoluciones del Estado nacional y adaptar su organización y sus IT a ellas. También deben poner a prueba las soluciones transitorias y alternativas que se han establecido en el marco de un entorno de trabajo cada vez más híbrido, en el que los datos son el centro de atención, no las ubicaciones ni los dispositivos finales.
La ampliación de los perímetros de la empresa impone mayores exigencias a la seguridad de los datos. No basta con confiar en la nube. No es un almacenamiento de seguridad y, por tanto, no garantiza la seguridad de los datos: esta responsabilidad sigue siendo del propietario de los mismos. Por lo tanto, se necesitan estrategias y tecnologías que hagan back up de los datos de forma automática y los mantengan preparados para emergencias, como una póliza de seguro que se paga y se espera no tener que activar nunca.
Los administradores de IT también deben revisar los datos que residen en los puntos finales de los usuarios y realizar una evaluación de riesgos para todos y cada uno de ellos. Siempre que sea posible, debe utilizarse el cifrado de extremo a extremo. Si no se ha hecho ya, es obligatorio configurar la autenticación multifactor de extremo a extremo. Lo más deseable: una arquitectura de seguridad de confianza cero, que compruebe cada conexión de datos individualmente en lugar de afirmar su confianza una vez para todas las transmisiones a cada dispositivo final.
¿Cómo es una estrategia de protección de datos automatizada?
Una vez que se han sentado las bases técnicas para la seguridad de los datos en el día a día de la empresa, se necesita una estrategia bien pensada para asegurar los datos -independientemente de dónde se encuentren- de forma que puedan volver a utilizarse en cuestión de minutos en caso de emergencia. Los fallos ocurren más a menudo de lo que se cree. En la mayoría de los casos, se trata de fallos de hardware o ataques de ransomware. Hoy, las soluciones modernas de protección de datos deben ser capaces de hacer frente a una variedad de nubes y medios de almacenamiento. Deben ser neutrales en cuanto a la tecnología y agnósticas en cuanto al hardware. Desde la perspectiva de Veeam, la regla general más importante del backup hoy en día es: 3-2-1-1-0.
En tiempos de graves ataques de ransomware, es eminentemente importante mantener también los datos fuera de línea, por si acaso. Esto significa que siempre debe haber al menos 3 copias, de las cuales los datos críticos deben guardarse en al menos 2 tipos diferentes de almacenamiento y al menos 1 copia de seguridad debe guardarse fuera de las instalaciones, en una ubicación diferente. Además, al menos 1 soporte debe mantenerse aislado de la red e Internet y programado como «inmutable». Por último, todas las copias de seguridad deben ser probadas para que contengan cero errores. Sólo así es posible una restauración rápida y sin problemas.
¿Cómo creamos una cultura de higiene digital en la empresa?
Por supuesto, las organizaciones deben formar constantemente a sus empleados que trabajan en la oficina y en casa y familiarizarlos con los principios de la ciberseguridad, por ejemplo, en el manejo de los datos de la empresa, las contraseñas y el uso seguro de las WLAN, los correos electrónicos y la descarga de activos digitales. Sin embargo, la situación de las amenazas se ha vuelto tan compleja que esto solo no es suficiente. Lo que se necesita es una pauta de seguridad corporativa ejemplar que combine los espacios físicos y digitales, y un departamento de IT que aproveche todas las posibilidades de automatización para crear el espacio necesario para su actividad principal: mantener el negocio en marcha, las veinticuatro horas del día, en los buenos y en los malos tiempos.