04 - Backups, el bastión Caído de la Seguridad Informática - 16/02/2002


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Existe un solo motivo por el cual se pierde información: la falta de backups.

La teoría nos dice:

"Un Plan de Contingencia de Seguridad Informática consiste en los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de reemplazos de dichos sistemas.

Se entiende por Recuperación, tanto la capacidad de seguir trabajando en un plazo mínimo después de que se haya producido el problema, como la posibilidad de volver a la situación anterior al mismo, habiendo reemplazado o recuperado el máximo posible de los recursos e información" (http://www.rediris.es/cert).

Así, la recuperación de la información se basa en el uso de una política de copias de seguridad (Backup) adecuada. La realidad indica que al no respetarse este enunciado, en la práctica, sólo existe un motivo por el que se pierde información: la falta de backups.

El Backup de archivos permite tener disponible e íntegra la información para cuando sucedan los accidentes. Sin un backup, simplemente, es imposible volver la información al estado anterior al desastre.

La falta de concientización de los usuarios en este sentido es muy alta. Más allá de lo que cabe esperar, y de lo que sería normal; un alto porcentaje de usuarios sabe lo que es un Backup o Copia de Seguridad pero nadie sabe como hacerlo, o peor aún: saben como hacerlo pero NADIE LO HACE.

Los motivos para esto son muy variados pero siempre podemos concluir que hacer una copia de seguridad es molesto, tedioso e involucra una pérdida de tiempo que nadie está dispuesto a afrontar.

Estos son motivos válidos, pero entonces el usuario pierde su disco y su preciada carpeta "mis documentos" y no la puede recuperar por lo pensamos que ya aprendió la lección. Pero no... no es así: el hombre es el único animal que comete el mismo error n veces.

Como indicaba más arriba los motivos por los cuales no hacer backup pueden ser muchos y muy variados pero nunca superarán al beneficio de tener un backup funcional en el momento de perder la información (cosa que siempre acurrirá, tarde o temprano... Ya lo decía nuestro amigo Murphy).

Observar que digo backup funcional; porque también es muy normal hacer backups en lugares en los cuales no estamos 100% seguros que podemos recuperarlos. Esto es:

  • hacer copias en disquetes o cintas que pueden estar dañados;
  • hacer copias en CD "más baratos". Recordar que lo barato sale caro.
  • hacer backups parciales porque "creo que eso ya lo copie";
  • hacer backup "cada 6 meses mas o menos";
  • hacer backup y guardarlo en "lugar seguro" más allá de lo que cualquiera entienda por lugar seguro.

Hacer backup no es una tarea trivial, e involucra recursos y costos que generalmente ni los usuarios finales ni las empresas consideran.

En el caso de los usuarios es relativamente fácil hacer backup, pero como ya mencioné lo difícil es crear una concientización adecuada.

Las posibilidades para realizar un backup son muchas, si bien unas mas adecuadas que otras según se considere el caso:

  • Se puede realizar una simple copia con el viejo, conocido y querido COPY/CP de DOS/UNIX.
  • Se puede grabar un CD.
  • Se puede grabar una cinta.
  • Se puede copiar la información a un disco removible/PC espejo del original.
  • Se puede subir la información a la web a hostings que cuenten con backups.

Aunque parezca obvio, todas estas posibilidades SIEMPRE deben contemplar que la copia se realizó correctamente y como requisito extra esta verificación debe realizarse cada cierto tiempo prudencial.

En lo que respecta a empresas las acciones a realizar son un poco más complejas pero el concepto es el mismo: hacer backup es ahorrar tiempo y dinero.

En este caso será necesario realizar un análisis costo/beneficio para determinar qué información será almacenada, los espacios de almacenamiento destinados a tal fin, la forma de realización, las estaciones de trabajo que cubrirá el backup, etc.

Para una correcta realización y seguridad de backups se deberán tener en cuenta estos puntos:

  1. Se debe contar con un procedimiento de respaldo de los sistemas operativos y de la información de los usuarios, para poder reinstalar fácilmente en caso de sufrir un accidente.
  2. Se debe determinar el medio y las herramientas correctas para realizar las copias, basándose en análisis de espacios, tiempos de lectura/escritura, tipo de backup a realizar, etc.
  3. El almacenamiento de los Backups debe realizarse en locales diferentes de donde reside la información primaria. De este modo se evita la pérdida si el desastre alcanza todo el edificio o local.
  4. Se debe verificar, periódicamente, la integridad de los respaldos que se están almacenando. No hay que esperar hasta el momento en que se necesitan para darse cuenta de que están incompletos, dañados, mal almacenados, etc.
  5. Se debe contar con un procedimiento para garantizar la integridad física de los respaldos, en previsión de robo o destrucción.
  6. Se debe contar con una política para garantizar la privacidad de la información que se respalda en medios de almacenamiento secundarios. Por ejemplo, la información se puede encriptar antes de respaldarse.
  7. Se debe contar con un procedimiento para borrar físicamente la información de los medios de almacenamiento, antes de desecharlos.
  8. Mantener equipos de hardware, de características similares a los utilizados para el proceso normal, en condiciones para comenzar a procesar en caso de desastres físicos.

Puede optarse por:

  • Modalidad Externa: otra organización tiene los equipos similares que brindan la seguridad de poder procesar la información, al ocurrir una contingencia, mientras se busca una solución definitiva al siniestro producido.
  • Modalidad Interna: se tiene más de un local, en donde uno es espejo del otro en cuanto a equipamiento, características técnicas y capacidades físicas. Ambos son susceptibles de ser usados como equipos de emergencia.

En todos los casos se debe asegurar reproducir toda la información necesaria para la posterior recuperación sin pasos secundarios ni operación que dificulte o imposibilite la recuperación.

OBSERVACIÓN: La palabra backup, en este documento aparece 25 veces... ¿Eso le indica algo?

Buenos Aires, 16 de febrero de 2002

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto