Como dijo Bob Dylan de forma tan elocuente en su clásica canción de los años 60, “Times they are a-changin”, sesenta años después siguen siéndolo. La sociedad moderna se ha acostumbrado al cambio. Es el ritmo de este el que puede hacer que uno recupere el aliento a veces.  Al igual que la mayor parte de la música rock y country se crea a partir de la simplicidad de sólo tres acordes, no hace mucho tiempo las empresas eran tan simples como un único centro de datos on-prem. La complejidad de entonces podía consistir en añadir un par de ubicaciones conectadas a través de una VPN estática.

Hoy en día, la complejidad se ha redefinido por completo. Las empresas modernas de hoy en día suelen ser un conglomerado de múltiples nubes y ubicaciones de borde que conforman un vasto patrimonio de TI. Aunque las organizaciones han hecho un trabajo fenomenal al adaptarse a las estrategias de trabajo remoto en los últimos dos años, muchas se basan en estrategias de recuperación que no están diseñadas para las complejas empresas de hoy en día.

¿Qué es una recuperación de desastres?

Con una apertura como ésta, probablemente esté anticipando un artículo sobre la recuperación de desastres (DR).  Si es así, está parcialmente en lo cierto. Las estrategias de recuperación de desastres consisten en preservar la continuidad de las empresas.  Esto es esencial hoy en día porque el mundo espera que su red sea accesible en un mundo conectado globalmente las 24 horas del día. Las expectativas de los usuarios son otra cosa que ha cambiado. No puedes permitirte no estar conectado al mundo digital. La recuperación de desastres consiste en ampliar el alcance geográfico de su empresa. En caso de que un desastre natural destruya una de sus infraestructuras físicas, un sistema de recuperación de desastres puede poner en marcha automáticamente un conjunto de activos duplicados en otra ubicación para garantizar que el espectáculo continúe para su organización. Sin embargo, por muy importante que sea la recuperación de desastres, sólo es una parte de la ecuación.

La recuperación de desastres es una herramienta macro, no micro

Una estrategia de recuperación de desastres está diseñada para superar lo impensable. Un tornado, una inundación, una pérdida de energía regional o un corte de Internet son ejemplos clásicos. Aunque se trata de circunstancias para las que ciertamente hay que planificar, estos acontecimientos de tipo macro son, afortunadamente, poco frecuentes. Es mucho más probable que su empresa sufra un micro evento, como un fallo en el volumen de datos, la eliminación de un archivo crítico o un mal funcionamiento del servidor.  Este tipo de eventos se abordan de forma más eficiente mediante una solución de copia de seguridad localizada, ya que una estrategia de DR es completamente prohibitiva en cuanto a costes para los incidentes de nivel micro.  Restaurar los datos perdidos en un volumen de datos fallido con una estrategia de RD sería como eliminar un hormiguero con una bazuca.

¿Qué es un plan de recuperación cibernética?

Debido a las crecientes amenazas de los agentes externos, hoy en día se necesita otro tipo de recuperación. La recuperación de la ciberseguridad introduce los pasos adicionales de corrección de amenazas y confirmación de la seguridad antes de que comience el proceso de restauración. Los esfuerzos de restauración de datos son completamente inútiles si los actores de la amenaza siguen teniendo acceso al entorno digital, y los procesos de replicación y sincronización de DR simplemente propagarán la infección de malware a los puntos de recuperación, haciéndolos también inútiles. Además, la recuperación de la ciberseguridad implica tareas posteriores al incidente, como la recogida de pruebas y el análisis de la causa raíz, con el fin de obtener los conocimientos necesarios para protegerse contra amenazas similares en el futuro.

La necesidad de un plan de ciber recuperación

La recuperación de desastres es sólo una pieza del rompecabezas de la recuperación. Las empresas deben protegerse contra una multiplicidad de eventos perturbadores, por lo que deben emplear también un plan de ciber recuperación además de la RD.  Mientras que la RD consiste en restaurar los servicios de un lugar determinado, la ciber recuperación consiste en restaurar un sistema o un entorno de datos a un punto en el tiempo. Este punto anterior podría ser un estado anterior al borrado de un archivo de base de datos o al cifrado malicioso de un directorio de archivos. Mientras que la RD consiste en recuperar las operaciones mediante el cambio a una nueva ubicación, la ciber recuperación consiste en restaurar los activos que residen en el entorno de producción primario. El objetivo final es restaurar los datos con éxito, con un coste y un esfuerzo mínimos, y volver a poner las cosas en marcha lo antes posible.

Asegurar su repositorio de ciber recuperación

Cuando se trata de ataques de ransomware y otros tipos de malware, a menudo hay una escaramuza que ocurre antes de la batalla real. La escaramuza tiene que ver con el repositorio de copias de seguridad de una organización objetivo.  Esto se debe a que las copias de seguridad son la última línea de defensa de las empresas hoy en día, por lo que los actores de las amenazas se centran en ellas para el ataque inicial. Si se eliminan las copias de seguridad, la organización queda a merced de una banda de ransomware.  Las bandas de ransomware y los actores de amenazas externas, en general, están muy instruidos en la tecnología de los sistemas de copia de seguridad. De hecho, pueden incluso entender el sistema de copias de seguridad mejor que las organizaciones a las que se dirigen.

Asegurar las copias de seguridad es una parte esencial de una red de confianza cero.  Como mínimo, el sistema de copia de seguridad debe estar separado del entorno de producción. Preferiblemente, debería residir en su propia zona de cortafuegos donde pueda ser protegido por políticas de cortafuegos, depuradores de malware y sistemas de protección contra intrusiones (ISP).  Aunque sus copias de seguridad primarias deberían residir en las instalaciones para acelerar y simplificar sus esfuerzos de recuperación, también debería crear copias de seguridad secundarias y almacenarlas en un entorno seguro en la nube.

No virtualice sus servidores de copia de seguridad

Hoy en día es instintivo crear un servidor virtual para cada necesidad de servidor, por lo que los actores externos apuntan a la infraestructura de virtualización. Ahí es donde están los servidores. Por ejemplo, si un atacante consigue eliminar el servidor vCenter y englobar los servidores ESX de su entorno VMware, su servidor de copia de seguridad también estará fuera de servicio.  Por eso necesita un servidor físico o un dispositivo de copia de seguridad para alojar su sistema de copia de seguridad y proteger los datos, aplicaciones y servicios alojados en sus servidores virtuales.  Además de sus copias de seguridad, también necesita documentar las contraseñas raíz de sus servidores ESX y otros dispositivos de infraestructura.

La necesidad de un plan de ciber recuperación dinámico

¿Recuerda la inferencia anterior de este artículo sobre cómo las cosas cambian constantemente hoy en día? La tecnología cambia constantemente, al igual que las metodologías de ciberataque. Debe asegurarse de que su estrategia de ciber recuperación es lo suficientemente ágil como para adaptarse a los inevitables cambios que se producirán en su empresa. Al igual que la ciberseguridad es un objetivo en movimiento, su estrategia de ciber recuperación debe actualizarse cuando sea necesario para adaptarse a las nuevas tecnologías y protegerse de las nuevas amenazas emergentes.

Conclusión

Aunque la recuperación de desastres y la ciber recuperación tienen propósitos diferentes y utilizan metodologías y sistemas distintos, ambas forman parte de un objetivo de seguridad más amplio. Se trata de garantizar la confidencialidad, integridad y disponibilidad de los sistemas y activos de datos de su empresa. Nadie piensa mucho en las copias de seguridad, hasta el momento en que las necesita.  Las copias de seguridad sirven para reducir su exposición al riesgo. Asegúrese de tener todos los componentes en su lugar para protegerse de los riesgos conocidos para su organización y recuperarse de sus secuelas.