Puntos ciegos e ilusiones: por qué la resiliencia de los datos necesita ser revisada
- Opinión
Durante años, muchas organizaciones han dejado la resiliencia de datos en un segundo plano. Sin embargo, con el tiempo, el aumento del nivel de amenazas, las regulaciones y la mejora de las prácticas por parte de las empresas han elevado el estándar general. Hoy en día, la resiliencia está en el radar de las empresas.
Por Dave Russell, vicepresidente senior y jefe de estrategia en Veeam
Es hora de replantearse las cosas
La concienciación es solo la mitad del camino; la preparación ya es otra historia. Ahora que los estándares de la industria han mejorado y las organizaciones tienen una mejor idea de lo que deben buscar, se dan cuenta de un hecho incómodo: no están tan preparadas como deberían estarlo. El informe de Veeam sobre resiliencia de datos entre grandes empresas, en colaboración con McKinsey, revela qué aspectos clave de la ciberresiliencia, incluso algunas ideas ya conocidas como "personas y procesos”, tienen deficiencias significativas.
¿Cómo llegamos a este punto? ¿Y cómo pueden las organizaciones corregir estas deficiencias? Para los altos cargos ejecutivos, la resiliencia puede no parecer el tema más emocionante ni prioritario. A menudo, a lo largo de la historia se agrupaba con la ciberseguridad general y se asumió que ya estaba cubierta. Desafortunadamente, como la mayoría de los planes de contingencia, el verdadero valor de la resiliencia de datos solo se aprecia cuando algo sale mal. Excepto por el CISO, muchos ejecutivos olvidan los procesos de backup y recuperación hasta que tienen un incidente, y de repente agradecen contar con ellos.
Como las autoridades están tomando medidas contra algunos de los grupos más destacados, como BlackCat y LockBit, podría parecer que los ciberataques están disminuyendo. Pero la realidad es muy diferente. Solo en el último año, el 69% de las empresas sufrieron algún tipo de ataque, y aun así, el 74% no cumplía con las mejores prácticas para proteger sus datos. La amenaza está evolucionando, con grupos más pequeños y atacantes individuales ocupando ese espacio. Y con esta nueva generación de atacantes llegan también nuevos métodos, destacando un aumento cada vez más acelerado de técnicas de filtración de datos.
Las señales son evidentes
El mismo informe de Veeam, en colaboración con McKinsey, revela que el 74% de las empresas encuestadas no cuentan con la madurez necesaria para recuperarse de forma rápida y segura de una interrupción. Aunque las brechas en ciberresiliencia suelen ser “algo que no se nota hasta que es demasiado tarde”, en este caso se conocieron muchas de estas deficiencias. Pero si las organizaciones son conscientes, ¿por qué no han solventado estas brechas?
Para algunas, podría deberse simplemente a que acaban de darse cuenta. La reciente oleada de regulaciones centradas en la UE, como NIS2 y DORA, ha puesto el foco sobre este tema al exigir a las organizaciones que refuercen su resiliencia en todos los niveles. Muchas organizaciones han evaluado críticamente su resiliencia de datos por primera vez ante estos últimos plazos regulatorios, revelando puntos ciegos previamente desconocidos.
Sin embargo, independientemente de cómo descubrieron sus brechas, las organizaciones no se han quedado atrás de la noche a la mañana. Para muchas, ha sido un proceso gradual, en el que sus estándares de resiliencia de datos no han evolucionado al ritmo de la adopción de nuevas tecnologías y aplicaciones. Ante la adopción e implementación de la IA para mantenerse competitivas y optimizar procesos, el impacto en los perfiles de datos de la mayoría de las organizaciones ha pasado desapercibido. La enorme cantidad de datos necesarios y generados por estas aplicaciones ha dado como resultado su desbordamiento, superando las medidas de resiliencia existentes.
Combina esto con un entendimiento limitado de lo que implica la resiliencia moderna de datos y obtienes una receta para el desastre. Como resultado, muchas organizaciones se han medido en base a estándares incorrectos. Por ejemplo, los ejercicios de simulación: sí, son mejor que nada, pero la resiliencia de datos no se puede evaluar solo en el papel. En teoría, sus procesos pueden parecer que funcionan, pero en la práctica la realidad es distinta.
Dar el primer paso en la dirección correcta
Entonces, ¿qué sigue ahora? En lugar de esperar a que ocurra un incidente para poner a prueba sus sistemas, las organizaciones deben aprender a sentirse cómodas con lo incómodo. Eso significa descubrir y abordar proactivamente sus brechas, por desagradable que sea.
El primer paso para cualquier organización con resiliencia de datos por debajo del estándar es obtener una imagen clara de su perfil de datos. Saber qué tienen, dónde está almacenado, y por qué lo necesitan o no. Con esto, se puede reducir (al menos) parte de la sobrecarga de datos, eliminando los datos obsoletos, redundantes o triviales, para centrarse en proteger lo que realmente importa.
Pero el trabajo no termina ahí. Una vez que se tienen nuevas medidas de resiliencia implementadas, hay que ponerlas a prueba. Y no solo una vez. Las medidas de resiliencia deben ser evaluadas de forma constante y exhaustiva, llevándolas al límite, tal como sucedería en la vida real: los ciberatacantes no se detendrán cuando tus sistemas empiecen a fallar, ni esperarán el momento más conveniente.
Realiza simulacros en los que los responsables clave estén de vacaciones o el equipo de seguridad esté ocupado con otros temas, para exponer todos los posibles huecos en las medidas. Esto puede parecer excesivo, pero de lo contrario, la primera vez que sepas sobre esas vulnerabilidades será durante o después de un ataque real.
Es una tarea importante, pero la resiliencia de datos vale cada céntimo invertido. Según el informe de Veeam, en colaboración con McKinsey, las empresas con capacidades avanzadas de resiliencia de datos tienen un crecimiento anual de ingresos 10% mayor que aquellas con menor madurez.
Eso no quiere decir que mejorar la resiliencia de datos mágicamente incremente tus ingresos, pero elevar tus estándares tendrá, inevitablemente, un efecto positivo en todos los procesos. Al menos, puedes estar seguro de que las amenazas seguirán creciendo en complejidad, y que los perfiles de datos no van a reducirse pronto. Es un reto que toda organización tendrá que afrontar, así que mejor date prisa y actúa ahora, antes de que un ciberataque te lleve al límite.
