Si anteriormente recalcamos la necesidad de identificar los riesgos y amenazas que pueden provocar el caos en las organizaciones, ahora se plasman consejos útiles en función de los componentes de la infraestructura tecnológica.
En términos generales y de manera común al grueso de los sistemas de información resulta imprescindible -además de la doble toma de corriente y un buen SAI- conservar duplicada toda la documentación acerca de las configuraciones de los dispositivos, así como de las licencias, máxime cuando son resultado de colegas anteriores.
Además, el establecimiento de ágiles políticas de seguridad está fuera de dudas, es algo evidente para un director de informática, pero la ejecución de estas mismas políticas no ha de entorpecer nunca el proceso de recuperación en caso de desastre. En este mismo enfoque de soluciones de seguridad pura y dura, la encriptación está popularizándose cada vez más, pero hay que tomar ciertas precauciones. Las claves de llave pública deberían incorporarse en los procesos de back up, puesto que en caso de pérdida de la información, si no se realizó de este modo, es posible que no se puedan desencriptar los datos posteriormente.
Al mismo tiempo, otro aspecto crucial sobre el que no siempre se recapacita lo suficiente es en la sencillez que aporta una infraestructura homogénea y estándar en las labores de recuperación de la información, tanto a nivel de hardware como software y periféricos y sus respectivas configuraciones.
Por otro lado, las copias de respaldo o back up deberían convertirse en práctica generalizada en todos los ámbitos. En el ámbito de los PCs, estas copias pueden realizarse tanto de manera corporativa como a nivel individual, donde no están tan automatizados los procesos. Precisamente en este último nivel, el soporte puede ser desde diskettes, a cintas, memorias extraíbles, CDs y, cómo no, hacer uso de la propia red para almacenar en disco o cinta. En cualquier caso, cada vez con más frecuencia, los equipos incorporan su propia copia de respaldo de imagen de software, para poder reestablecer el funcionamiento en caso de caída del sistema.
A medida que se abre la horquilla en infraestructura tecnológica, mayores son las precauciones a tomar. De este modo, en el capítulo de los servidores, el mayor énfasis ha de realizarse en la fiabilidad y disponibilidad de los servicios de red que proporciona cada servidor. Los expertos recomiendan que los equipos que alojen funcionalidades de misión crítica, no ejecuten aplicaciones rutinarias o de menor importancia.
En el apartado del back up anteriormente citado, desde el punto de vista de servidor se puede realizar de varias maneras: total -consumo demasiado tiempo porque no discrimina información a la hora de replicar-, incremental -más funcional, duplicando sólo los ficheros nuevos o cambiados respecto al back up incremental anterior pero algo complejo en materia de recuperación-, y diferencial -se guardan todas las modificaciones de ficheros, o los nuevos, desde el último back up total-.
En realidad, las mejores prácticas recomiendan una combinación de estas tres modalidades de back up, empleando para ello el amplio espectro de técnicas de almacenamiento (mirroring, replicación de discos y, sobre todo, la virtualización en entornos SAN).
En lo que al apartado de las redes se refiere, tener a buen recaudo la documentación de configuración es vital en caso de una recuperación. Además, resulta imprescindible la identificación de los puntos únicos de fallo que pueden afectar a los sistemas y procesos de misión crítica. En este punto, no sólo hay que pensar en el plano lógico, sino también en el físico (incluyendo todo el cableado).
En cuanto a los accesos remotos, éstos pueden venir dados por simples conexiones dialup
Para las redes mayores (WAN), la redundancia es lo
que marca la contingencia cuando se habla de este tipo de
comunicaciones, tanto en los enlaces como en los proveedores y en los
dispositivos de conexión. Al mismo tiempo, la realización de contratos
de nivel de servicio (SLAs) con los proveedores de servicio son muy
aconsejables como medida preventiva, dadas las sanciones a que están
sujetos en caso de incumplimiento. Además, no hay que olvidar la que se
espera sea una realidad generalizada: los servicios de seguridad
gestionada (ver recuadro).
Por último, los sitios web cobran
protagonismo por derecho propio, puesto que son otra fuente de
información, tanto externa como interna, dado que la expansión de los
portales para políticas corporativas, recursos humanos, directorios,
etc. son muy habituales, por lo que el plan de contingencia ha de
contemplar este ámbito, más aún en el caso externo en el que la imagen
de la organización está en juego. Así, por citar un ejemplo, el
contenido presentado en imágenes dinámicas debería almacenarse en un
servidor aparte del propio servidor web, tras la protección de un
cortafuegos.
</em>
<br /><strong>Felipe Pastor, director de Seguridad de Ibdos</strong>. Tenemos que utilizar
un criterio simple que nos da la respuesta: si tenemos activos
informáticos por un determinado valor, ¿vamos a invertir más de lo que
cuesta en asegurarlo? Evidentemente no. Lo importante entonces es conocer
cuánto valen nuestros activos informáticos, no sólo los PCs, routers,
impresoras, y demás equipos, los cuales tienen un coste medible, sino
también todos los datos y la información que circula a través de ellos.
Los costes no deben medirse sólo en termino de dinero, ¿cuánto cuesta a la
imagen de una compañía que no pueda dar respuesta a sus clientes durante
dos días porque ‘se cayó el sistema’? Parece claro que dependerá del
sector en el que la empresa desempeña su actividad, ya que no es lo mismo
un banco que una pequeña empresa textil, aunque los conceptos son
idénticos.
Es necesario entender que la seguridad cien por
cien no existe y que sólo podemos aumentar o disminuir el riesgo. El 50 o
60 por ciento de los incidentes o ataques sufridos por empresas a nivel
informático son provocados voluntaria o involuntariamente desde la propia
organización, por lo que también es importantísimo educar a los usuarios.
En IBdos…la pregunta que nos hacen generalmente responsables de empresas o
gerentes de sistemas es ¿Cuánto de vulnerable soy? Para ello es importante
estudiar la red corporativa, determinar los riesgos reales (internos y
externos) y establecer una estrategia de seguridad, siempre alineada con
los objetivos del negocio.<br />
