Desmontamos tres mitos sobre la protección de datos

  • Opinión
Víctor Pérez de Mingo

Aunque en otro tiempo pudo haber sido una idea tardía, la protección de datos es ahora una prioridad diaria para las empresas. Más allá de normativas como el RGPD (Reglamento General de Protección de Datos) y la próxima regulación NIS2, el coste medio global de una brecha de datos es de 4,45 millones de euros. El impacto financiero puede ser aún peor si los datos de producción se ven comprometidos, ya sea por una vulneración o por un error interno, lo que genera tiempos de inactividad. Para las empresas, el tiempo de inactividad cuesta más de un millón de euros por hora, llegando en algunos casos hasta 5 millones de euros por hora.

Un 37% de los servidores han experimentado al menos una interrupción inesperada en 2023, lo que se convierte en una lucha constante. Se necesita más educación, ya que las empresas pueden estar desprevenidas ante concepciones erróneas. He aquí tres mitos sobre la protección de datos de los que hay que despedirse en 2024.

 

Los proveedores de la nube hacen copias de seguridad de tus datos

Las empresas están acostumbradas a almacenar datos y cargas de trabajo en la nube. Un ejemplo: las brechas de seguridad en la nube han superado a las que se producen en los servidores locales. Esto no significa que uno sea más seguro que el otro, sino que muestra el cambio en el equilibrio de poder, o de datos, de la empresa actual.

A pesar de ello, sigue existiendo un malentendido generalizado sobre el modelo de responsabilidad compartida de la nube. Un estudio de 2023 reveló que el 43% de los gestores de datos informáticos creen erróneamente que los proveedores de la nube son responsables de proteger y recuperar los datos en la nube. Esto no es así. Aunque los proveedores de la nube garantizan un cierto nivel de resiliencia y redundancia para los datos que alojan, su responsabilidad principal es mantener la disponibilidad e integridad de su infraestructura.

Este concepto erróneo se debe a que la gente cree que los proveedores de la nube se ocupan de todo una vez que se migra. Antes se escuchaba que las infraestructuras on-premises eran como cocinar en casa, mientras que la nube era como cenar fuera. Esto era confuso, puesto que es más parecido a alquilar una cocina totalmente equipada: debes esperar que los fogones funcionen (y sean seguros), pero si se te quema la comida, es cosa tuya. 

La copia de seguridad de los datos y la recuperación en caso de catástrofe suelen ser responsabilidades compartidas. El proveedor de la nube ofrece las herramientas y capacidades, pero depende del cliente configurar y gestionar las copias de seguridad según sus necesidades. Si quieres descargar esas responsabilidades en un tercero, puedes hacerlo con Backup-as-a-Service (BaaS) y Platform-as-a-service (PaaS), pero no vienen de serie.

 

Pagar el rescate resuelve el problema

El ransomware sigue siendo la principal amenaza para las brechas de datos y las interrupciones del sistema. El Informe de Tendencias de Protección de Datos 2024 de Veeam descubrió que tres de cada cuatro organizaciones sufrieron al menos un ataque de ransomware el año pasado, y una cuarta parte fue atacada más de cuatro veces. Recuperarse del ransomware es una desafortunada realidad para los negocios actuales, aunque demasiadas organizaciones acaban pagando las extorsiones.  Una encuesta realizada a víctimas de ransomware reveló que el 81% de las organizaciones pagaron el rescate, mientras que sólo el 54% pudo recuperar sus datos y el 27% ni siquiera pudo hacerlo.

Sin embargo, sólo algunas personas entienden este proceso, sobre todo fuera de los especialistas en seguridad o IT. Pueden ocurrir varias cosas después de transferir fondos a Bitcoin y enviar el pago a los atacantes. No suele ocurrir nada al principio, el ransomware no es como abrir una cuenta de Netflix. No obtienes acceso instantáneo y sin problemas a aquello por lo que has pagado: tienes que esperar. En los casos más desafortunados, esa espera dura para siempre y nunca se proporcionan claves de descifrado. Lo más probable es que las claves acaben dándose, pero cabe señalar que incluso esto suele ser en vano. Según la misma encuesta, una de cada cuatro víctimas que pagaron seguía sin poder recuperar sus datos.

El principal error no es que pagar rescates no entrañe riesgos, sino el tiempo que se tarda en recuperarlos, aunque funcionen. No se trata de apuntar y hacer clic; el descifrado es una tarea bastante manual, en la que las claves de descifrado sólo desbloquean un pequeño número de archivos a la vez. No estás desbloqueando un candado gigante de tu almacenamiento. Estás desbloqueando cada cosa que hay dentro. Algunos grupos incluso te cobran más por llaves adicionales para que el proceso sea más rápido. No es de extrañar que, de media, la recuperación de un ataque de ransomware tarde algo más de tres semanas.

 

Con tener copias de seguridad, es suficiente

Los expertos en resiliencia frente al ransomware de todo el sector han hecho grandes esfuerzos para argumentar en contra de los pagos por ransomware y educar a las organizaciones sobre cómo la copia de seguridad de los datos y la recuperación del sistema es una forma mucho más segura, fiable y ética de recuperarse de los ataques de ransomware. Aunque prácticamente todas las organizaciones se toman en serio las copias de seguridad hoy en día (prácticamente el doble, ahora que normativas como la NIS2 de la UE las convierten en un requisito legal para muchas), estas están menos preparadas de lo que creen cuando se trata de utilizar copias de seguridad para recuperarse de un suceso como el ransomware.

Cuando se trata de la recuperación de un ataque de ransomware, hay algunos problemas comunes. El primero es que la copia de seguridad sea el objetivo y se vea comprometida durante el incidente. Los atacantes pueden afectar a los repositorios de copias de seguridad en tres de cada cuatro ataques. ¿Cómo evitarlo? Disponer de varias copias de seguridad, tener copias inmutables (no modificables) y mantener una versión sin conexión. Otro obstáculo con el que se encuentran las organizaciones es no tener un entorno preparado para recuperar los datos. A veces, las organizaciones no se dan cuenta hasta que es demasiado tarde de que el entorno de producción que alberga las cargas de trabajo, ya sea en la nube o en las instalaciones, a menudo no está disponible durante algún tiempo. Está en peligro o "acordonado" como una escena del crimen activa. Si tu cocina se ha quemado, no puedes reemplazarla hasta que el propio edificio haya sido revisado y asegurado.

Por lo tanto, necesitas un entorno de copia de seguridad para recuperar tus datos durante una interrupción. Si se trata de una nube, asegúrate de que tu equipo se siente técnicamente cómodo con el funcionamiento de esa nube específica: no querrás tener que refactorizar datos o aprender nuevas especificaciones de la nube en medio de una interrupción. 

Garantizar la protección y la resiliencia de los datos no tiene fin. Hay que adaptarse constantemente a las nuevas amenazas y tecnologías. Esto significa que debemos formarnos continuamente a nosotros mismos, a los especialistas responsables y a las partes interesadas, como dirección, finanzas y equipos regulatorios. Las ideas erróneas que son generalizadas pueden hacer que una organización sea vulnerable o más lenta a la hora de responder a las necesidades de protección de datos de la empresa. El conocimiento es poder, y la ignorancia es felicidad hasta que las cosas empiezan a ir mal.   

Por Víctor Pérez de Mingo, advisory system engineer de Veeam en España y Portugal