En informática realizar una copia de seguridad o Backup (en inglés) es la operación que consiste en duplicar y asegurar datos e información contenida en un sistema informático.
Últimamente, la práctica de backup ha cobrado relevancia tanto en los hogares como a nivel corporativo, y esto tiene sentido si pensamos en el escenario actual de riesgos informáticos relacionados a la pérdida de información, así como la proliferación de nuevas amenazas de seguridad, con el ransomware a la cabeza.
Además, cuando se presenta un incidente o una interrupción que requiera la activación de un plan de recuperación o continuidad, generalmente, una de las actividades primordiales está relacionada con el uso de respaldos de información.
Por su parte, la norma ISO 27001 define el dominio Seguridad de las operaciones a través de distintos objetivos de control, uno de los cuales es el de Backup, que tiene como propósito proteger a las organizaciones contra la pérdida de información.
Mientras que ISO 27001 indica un control de aplicación general y las actividades para su implementación quedan completamente abiertas conforme a lo que convenga a las empresas, COBIT señala lo que debe realizarse con un mayor detalle, al agregar más elementos para la implementación, como los objetivos, métricas, actividades específicas y las prácticas de gobierno o gestión, todo ello englobado en procesos organizacionales.
En general, existen distintos frameworks enfocados en Tecnologías de Información, y otros de manera concreta en la seguridad de la información, consideran la aplicación de la práctica de respaldos como una medida para mantener, por un lado, la disponibilidad de la información, mientras que, por otro lado, se permita la continuidad de las operaciones en una organización.
¿Y COMO ES LA MEJOR MANERA DE PROTEGER LOS DATOS EN UN BACKUP?
El primer paso es identificar que datos son los que se deben asegurar, para ello la primera pregunta a la hora de diseñar una estrategia de backup es si se quieren copiar unidades de disco enteras o, en cambio, carpetas y archivos sueltos (por ejemplo, el historial de correos electrónicos, bases de datos o carpetas de trabajo). También se puede limitar la copia de seguridad a tipos concretos de datos o de registros. Los backups selectivos ahorran espacio de almacenamiento y ancho de banda en la red, pero los cambios han de tenerse en mente en todo momento para mantener la estrategia de backup siempre al día, de lo contrario puede que no se guarden todos los datos necesarios. Una estrategia selectiva requiere un conocimiento exacto de los lugares de almacenamiento importantes. Hay que tener claro, por ejemplo, dónde se archivan los correos electrónicos y dónde guarda el navegador los marcadores y los datos encriptados de acceso al gestor de contraseñas.
Por otro lado, en todas las variantes de backup es necesario establecer con qué frecuencia deben guardarse los datos. Además, deben integrarse todos los dispositivos involucrados: tanto los ordenadores de sobremesa como los portátiles, otros dispositivos móviles y los servidores. También deberían guardarse de forma redundante datos importantes ubicados en la nube. Si se modifican archivos de trabajo complejos de forma frecuente y permanente, también deberían hacerse copias de seguridad de las versiones intermedias con las que poder restaurar los archivos si fuera necesario. Una estrategia de backup a medida debería abarcar, en el mejor de los casos, todas las posibles emergencias.
Existen diferentes estrategias de backup completos, los diferenciales y los incrementales. El realizar la elección de un método u estrategia entre uno y otro o incluso de una combinación de ellos, depende de las condiciones de cada caso.
Los expertos recomiendan hacer copias completas a intervalos mas largos de tiempo y entre ellas backups incrementales y diferenciales.
La aplicación de la regla 3-2-1 con los soportes de almacenamiento adecuado, sobre todo si los datos sensibles no se guardaran ni en grandes cantidades, las soluciones mas practicas y de menor costo cumplen su función de protección contra perdidas de datos.
En un inicio un respaldo puede realizarse en un disco interno. Sin embargo, este método conlleva el riesgo de perder los backups junto con los datos originales si el disco en cuestión. Es por lo que las copias se deben hacer siempre en soportes externos. El riesgo de que varios dispositivos se averíen al mismo tiempo es, naturalmente, mucho menor. En resumidas cuentas: cuantas más copias, mejor. La regla3-2-1 ha demostrado ser muy segura:
- Tres copias de los datos, incluyendo los originales, dos de ellas en dos medios distintos y una fuera de casa o de la sede (en la nube, por ejemplo).
La nube y los soportes físicos como métodos de almacenamiento
- Soportes Ópticos de almacenamiento (CD, DVD y Blu-ray)
Tienen estructuras de datos fijas, lo cual es una ventaja ante las amenazas informáticas crecientes de hoy en día, especialmente el secuestro de datos o ransomware. Así, los troyanos de cifrado no pueden manipular los datos y se evitan desde el primer momento las posibles extorsiones de hackers que piden mucho dinero por desencriptar los datos robados.
- Sticks USB y tarjetas de memoria
Actualmente, los soportes ópticos están siendo desbancados, cada vez más, por los sticks USB y las tarjetas de memoria. Sin embargo, estos dispositivos de almacenamiento regrabables susceptibles de ser infectados con malware y pueden, luego, infectar también los equipos a los que se conectan, por lo que pueden ser un peligro en las redes de empresa.
Estos medios funcionan especialmente bien para guardar de forma redundante datos del día a día en cantidades moderadas, de forma rápida y por poco tiempo. Si, en cambio, se guardan en ellos datos sensibles, deberían aplicarse siempre métodos efectivos de encriptado y contraseñas seguras para acceder a los datos.
- Discos externos
Los discos externos son económicos, fáciles de transportar y disponen de mucho más espacio de almacenamiento que los sticks USB y los DVD, por ejemplo. Se trata de soportes muy convenientes para el uso personal, para autónomos y pequeñas empresas. Además, los llamados sistemas RAID 1 ofrecen una función muy eficiente que crea copias espejo o simétricas de los datos, ubicando dos discos duros bajo una misma carcasa y guardando así los datos por duplicado.
Por desgracia, los discos externos también son un blanco para el malware. A medida que pasa el tiempo, además, es más probable que se averíen, por no mencionar que pueden caer al suelo por accidente. Tienen un tiempo de vida limitado, que sin embargo se puede supervisar fácilmente con las herramientas de análisis correspondientes (tecnologíaSMART).
- Cintas Magnéticas
Las cintas magnéticas son un medio muy antiguo para almacenar datos que data de la era de los primeros ordenadores. Si bien, en general, ya se han convertido más bien en una antigüedad, en el ámbito de la seguridad de los datos aún son utilizadas por empresas y negocios.
Teniendo en cuenta las limitaciones de su disponibilidad, sin embargo, no se puede esperar a poder acceder a los Backups constantemente ni con flexibilidad. Este inconveniente es, a la vez, una ventaja: en las bandas magnéticas, los linear backups y los backups en frío, con su difícil acceso, garantizan la máxima seguridad contra hackers y virus.
- Almacenamiento en la nube
En los últimos años, las soluciones de almacenamiento en la nube se han vuelto cada vez más populares. Estos métodos de almacenamiento en la red son fáciles de utilizar y ponen una infraestructura profesional a disposición del usuario, con una capacidad de almacenamiento casi ilimitada. Esta tecnología permite hacer copias de datos desde cualquier dispositivo digital conectado a la red, desde cualquier lugar del mundo y en cualquier momento. Por si fuera poco, ofrecen una función de sincronización que aplica los cambios realizados desde un dispositivo (en las carpetas configuradas a este efecto) de forma automática y regular a todas las otras copias redundantes ubicadas en otros dispositivos conectados a la red.
Los servicios cloud son perfectos para estrategias de backup profesionales que han de almacenar en lugares seguros datos sensibles y en grandes cantidades, tanto de los clientes, como de la empresa. Son soluciones flexibles, escalables a cualquier nivel y accesibles desde cualquier lugar. De esta forma, los usuarios ya no tienen que crear ellos mismos copias redundantes de los datos. Los proveedores más fiables encriptan además los datos que se transfieren a través de la red, protegiéndolos así ante el acceso por parte de terceros.
Vale la pena especialmente hacer frente a los costes del almacenamiento en la nube si se requiere un alto nivel de seguridad que resultaría demasiado caro o costoso por medios internos de la empresa. Gracias a la flexibilidad de las tarifas y los precios, las soluciones en la nube también son asequibles para empresas pequeñas y autónomos, para los cuales también es muy importante la seguridad de los datos.
Algo a tener especialmente en cuenta cuando se trabaja con datos sensibles es que, para realizar backups en la nube, deben elegirse siempre proveedores certificados que declaren de forma transparente y exhaustiva sus normas de protección de datos. Si se transfieren regularmente datos personales, se recomienda escoger un proveedor que indique explícitamente que sus servicios se ajustan a las estipulaciones del Reglamento General de Protección de datos (RGPD) de la Unión Europea. El proveedor también debería disponer de una base técnica adecuada para las soluciones en línea. Para que los procesos rutinarios de seguridad de cierta complejidad puedan llevarse a cabo sin problemas, hay que tener una conexión a la red con suficiente ancho de banda.
Referencias
UNC, Guía de Backups o Copias de Seguridad, Facultad de Ciencias Económicas, Unidad de Informática y Comunicaciones, recuperado: http://www.fce.unal.edu.co/docs/administrativos/Guia_para_copias_de_seguridad.pdf
Eset, Backup en empresas: enfoque normativo de los respaldos de información, welivesecurity 2015, recuperado: https://www.welivesecurity.com/la-es/2015/04/09/backup-empresas-enfoque-normativo/
IONOS, ¿Qué es un backup y cual es la mejor manera de proteger los datos?, Digital Guide IONOS 2020, ionos.mx, recuperado: https://www.ionos.mx/digitalguide/servidores/seguridad/que-es-un-backup/
