La resiliencia cibernética no consiste en tomar medidas parciales para detectar y, con suerte, prevenir los ciberataques, el ransomware y otras intrusiones. Se trata de contar con una estrategia integral y un proceso sólido para garantizar la seguridad de los datos y las aplicaciones.
Desgraciadamente, los datos muestran que muchas organizaciones están lejos de estar preparadas y, en consecuencia, son vulnerables. Según el Global Data Protection Index 2020 Snapshot de Dell Technologies[1] el 69% de las organizaciones de todo el mundo no tienen confianza en la recuperación fiable de todos los datos críticos para el negocio en caso de ciberataque.
A continuación, Wellington Menegasso, Director de Ventas, Soluciones de Protección de Datos de Dell Technologies, presenta 10 pasos que pueden ayudarle a conseguir una estrategia de copia de seguridad ciberresistente que permita a su organización confiar en las copias de seguridad para que cumplan su función, incluso frente a ciberataques cada vez más sofisticados.
- Cámbiese a una solución de copia de seguridad basada en disco: Los sistemas de copia de seguridad en cinta se diseñaron originalmente para hacer frente a escenarios de recuperación de desastres utilizando medios externos. Las copias de seguridad basadas en disco se introdujeron hace más de una década para superar las limitaciones de la cinta. Proporcionan una recuperación más rápida y mayores garantías de recuperación
- Realice una copia de seguridad de todo lo que necesita para recuperar la organización en sistemas gestionados de forma independiente: Considere las aplicaciones que soportan los procesos empresariales importantes, incluidos los servicios de gestión y los datos almacenados en la nube pública. Estos datos deben respaldarse en entornos separados que sean independientes de los sistemas de origen y del entorno de la nube que se está protegiendo. Además, el entorno de copia de seguridad debe ser gestionado por un equipo separado para imponer una clara separación de funciones entre los sistemas primarios y los de copia de seguridad.
- Defiéndase contra los ciberataques latentes mediante la retención de datos: Mantenga copias de seguridad durante al menos 60 días o más para asegurarse de que hay margen para recuperarse de los ciberataques latentes. El objetivo de un ataque latente es esperar a que las copias de seguridad limpias caduquen antes de ejecutar la fase final del ataque. Al retener las copias durante más tiempo se obliga a los atacantes a aumentar su tiempo de permanencia, lo que hace más difícil que permanezcan en la red sin ser advertidos.
- Sea inteligente con las contraseñas: No almacene las contraseñas de los sistemas de copia de seguridad en la misma bóveda de contraseñas que los sistemas que protegen. Mejor aún, no las almacene en línea. Considere también que la frecuencia de reemplazo debe ser más corta que la retención de la copia de seguridad más corta. Adoptar esta política puede ayudar a frustrar la fase final de un ataque latente. Implemente la autenticación de múltiples pasos y/o de múltiples factores para las funciones administrativas en el entorno de las copias de seguridad. Esto evitará que personas internas anulen la política y borren los sistemas de copia de seguridad. El acceso a los comandos destructivos privilegiados debería requerir un rol adicional de oficial de seguridad que impida que un solo individuo ejecute comandos de destrucción masiva de datos.
- Siga el principio de mínimo privilegio cuando se trata de asegurar el entorno de copia de seguridad: Esto hará más difícil que los adversarios comprometan el software y los sistemas de control.
- Auditar y analizar para atrapar a los atacantes en el acto: Asegúrese de que todas las acciones llevadas a cabo en los sistemas de copia de seguridad sean auditables y que los registros se envíen a un sistema central de gestión de información y eventos de seguridad (SIEM). El SIEM debe proporcionar inspección, correlación y detección de comportamientos anómalos en los intentos de acceso, las operaciones de copia de seguridad y los cambios de configuración, para ayudar a identificar comportamientos inusuales.
- Active los datos inmutables: Si el sistema de copia de seguridad puede imponer la inmutabilidad de las copias de seguridad, active esta función. Estas garantizan que los datos no puedan ser eliminados antes de su vencimiento, según lo definido por las políticas de retención. Los distintos sistemas admiten diferentes niveles de inmutabilidad. Considere utilizar un sistema que admita el nivel más alto de inmutabilidad en el modo de cumplimiento, que impide incluso a los administradores revertir una configuración o eliminar datos antes de que caduquen.
- Verifique que las características de inmutabilidad no puedan ser fácilmente eludidas: Asegúrese de que la característica de inmutabilidad de los sistemas de copia de seguridad no pueda ser eludida cambiando el reloj del sistema. Los atacantes sofisticados pueden explotar los servidores NTP para adelantar los relojes. Esto puede superar la función de inmutabilidad de un sistema de copia de seguridad. Los sistemas de copia de seguridad deben proporcionar defensas que impidan que el reloj del sistema se desplace demasiado pronto.
- Pruebe su sistema de copia de seguridad: La presencia de una copia de seguridad no asegura la recuperación: pueden estar incompletas o haber sido comprometidas desde su creación. Pruebe y valide los datos de las copias de seguridad con frecuencia, utilizando un enfoque sistemático. Si un ransomware se infiltra en un entorno es muy probable que los datos encriptados se hayan copiado y se encuentren en el sistema de copia de seguridad. Si se realizan pruebas con regularidad y de forma proactiva, se pueden identificar y resolver los problemas antes de tiempo. Lo que se quiere evitar es descubrir que las copias de seguridad no son buenas durante un incidente. Esta es otra razón por la que las copias de seguridad en cinta nunca son una buena opción. El coste humano asociado a las pruebas de restauración y validación a partir de la cinta simplemente no es escalable y proporciona una falsa sensación de recuperabilidad.
- Proteja los datos críticos en una bóveda cibernética protegida por un muro de aire: Una bóveda de recuperación cibernética apoya la creación de copias independientes, aisladas, inmutables y verificables de las copias de seguridad (es decir, la copia de seguridad de la copia de seguridad). Los controles que implementan un espacio aéreo garantizan que la bóveda permanezca desconectada de las miradas indiscretas la mayor parte del tiempo. La bóveda aprovecha el software y los procesos automatizados que verifican positivamente la validez de las copias de la bóveda, de modo que puedan utilizarse para recuperarse de un ataque, sin temor a la reinfección, o a esperar a que se limpien los datos post ataque. Si se produce un ataque cibernético, los usuarios pueden identificar rápidamente una copia limpia de los datos, recuperar los sistemas críticos y hacer que el negocio vuelva a estar operativo[2]. La bóveda no sustituye al entorno de copia de seguridad, sino que proporciona una capa adicional de protección.
