Últimamente, la práctica de backup ha cobrado relevancia tanto en los hogares como a nivel corporativo, y esto tiene sentido si pensamos en el escenario actual de riesgos informáticos relacionados a la pérdida de información, así como la proliferación de nuevas amenazas de seguridad, con el ransomware a la cabeza.
Además, cuando se presenta un incidente o una interrupción que requiera la activación de un plan de recuperación o continuidad, generalmente, una de las actividades primordiales está relacionada con el uso de respaldos de información. En ese sentido, resulta de vital importancia en el contexto de la continuidad del negocio, que busca restaurar las actividades críticas en un tiempo prudente y regresar a la normalidad de las operaciones de manera progresiva.
Pero, ¿qué lineamientos existen para ponerlo en práctica? Para continuar con el tema, en esta ocasión conoceremos diferentes marcos de referencia que recomiendan la aplicación de procedimientos de respaldo, resaltando las características de los diferentes frameworks, junto con sus principales diferencias.
- COBIT y el respaldo de la información
En el documento para la seguridad de la información considerado en la versión 5 de los Objetivos de control para la información y tecnologías relacionadas (COBIT), se definen un conjunto de procesos y prácticas de gobierno y gestión para las Tecnologías de Información.
Uno de estos procesos se denomina Gestión de la Continuidad (con identificador DSS04), perteneciente al dominio de entrega, servicio y soporte (DSS por las siglas de Deliver, Service and Support). A diferencia de otros marcos de control, en COBIT se detallan más aspectos de las medidas de seguridad, por ejemplo, se incluyen objetivos, métricas, prácticas, actividades, entradas y salidas que retroalimentan otros procesos, con los cuales se tiene interacción.
Una de estas prácticas se relaciona con la Gestión de acuerdos de respaldo (DSS04.07), que tiene como propósito mantener la disponibilidad de la información crítica para el negocio. El identificador indica que se trata del cuarto proceso del dominio DSS y que a su vez, se trata de la séptima actividad definida en dicho proceso. Por lo tanto, en COBIT se considera qué debe realizarse en términos de procesos, lo que permite contar con mayor contexto de las prácticas y actividades de seguridad.
- Backup en ISO/IEC 27001
Por su parte, el estándar ISO 27001 define el dominio Seguridad de las operaciones (A.12) a través de distintos objetivos de control, uno de los cuales es el de Backup (A.12.3), que tiene como propósito proteger a las organizaciones contra la pérdida de información.
A su vez, el control considerado en esta sección es el Respaldo de información (A.12.3.1), que establece la creación y prueba regular de copias de seguridad que involucren a la información, software e imágenes de sistemas, todo en concordancia con una política de respaldo.
Mientras que ISO 27001 indica un control de aplicación general y las actividades para su implementación quedan completamente abiertas conforme a lo que convenga a las empresas, COBIT señala lo que debe realizarse con un mayor detalle, al agregar más elementos para la implementación, como los objetivos, métricas, actividades específicas y las prácticas de gobierno o gestión, todo ello englobado en procesos organizacionales.
- NIST y los controles de respaldo
En el caso del Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés) también se consideran distintos controles de seguridad en su publicación especial 800-43, una Guía para planes de contingencia enfocada en sistemas de información gubernamental, pero que bien puede ser adoptada por otras organizaciones.
De manera específica, para el dominio de Planes de Contingencia (CP) se han definido 13 controles, entre los cuales el noveno está relacionado con el Respaldo de los sistemas de información (CP-9). Estos mismos controles son retomados en la publicación especial 800-53, Controles de seguridad y privacidad para organizaciones y sistemas de información federal (revisión 4). En el apéndice F se detalla la información con mejoras aplicadas al control, guías suplementarias y la relación a otros controles de seguridad.
Por ejemplo, incluyen actividades relacionadas con el control (mejoras), como la prueba de confiabilidad e integridad de los respaldos, pruebas de restauración utilizando muestreos, almacenamiento separado para respaldos de información crítica, protección contra modificaciones no autorizadas, transferencia a un sitio de almacenamiento alternativo, sistemas redundantes de respaldo o la aplicación de doble autenticación para la eliminación de respaldos.
- Backup para la gestión de servicios
Por otro lado, en Information Technology Infrastructure Library (ITIL) también se consideran las prácticas de respaldo, específicamente en la fase de operación, que tiene como propósito la entrega efectiva de los servicios de TI.
Las actividades comunes de la operación del servicio (consideradas en el punto 5.2.3.1) incluyen conocer la información organizacional que debe ser protegida (es decir, la clasificada como crítica e incluye las copias de seguridad), así como el almacenamiento en ubicaciones remotas que permita su protección y uso en caso de que deba ser restaurada, debido a la pérdida, modificación no autorizada o por la aplicación de planes de continuidad, desde la perspectiva de los servicios de TI.
Define actividades concretas como la identificación de la información que deba ser respaldada y la frecuencia de esta práctica, el número de respaldos que deben ser retenidos (en función del tipo de información o del tipo de archivo). Considera el tipo de respaldo a realizar (total, parcial o incremental), ubicaciones utilizadas para el almacenamiento, métodos de transportación de respaldos, así como las pruebas y revisiones a realizar, como pueden ser pruebas de integridad o restauración.
Consideraciones generales sobre los respaldos
En general, hemos revisado que distintos frameworks enfocados en Tecnologías de Información, y otros de manera concreta en la seguridad de la información, consideran la aplicación de la práctica de respaldos como una medida para mantener, por un lado, la disponibilidad de la información, mientras que por otro lado, se permita la continuidad de las operaciones en una organización.
Desde las diferentes perspectivas, es posible observar que se tiene un objetivo común, por lo que las actividades de una empresa con relación a las prácticas de backup pueden ser consideradas y complementadas por lo que propone cada marco de referencia.
Pero como toda implementación, es importante resaltar que más allá de que se trata de una actividad relevante, el personal de la organización deberá definir cómo llevar a cabo esta práctica. Por lo tanto, además de adoptar los controles, prácticas o actividades, éstas deben adaptarse a las características, necesidades y recursos de cada organización, siempre considerando que si el costo de las medidas de protección sobrepasa el valor de activo, tal vez no sea tan conveniente aplicarlas.