Please Go to Settings and Configure Slideshow

06 Dic 2016

Articulo

 

Principales errores en Seguridad y conceptos errados sobre Recuperación ante Desastres

 

 

Lilac Schoenbeck

VP de Marketing en iLand


Schoenbeck tiene casi 20 años de experiencia en gestión de productos, marketing, estrategia, desarrollo de negocios e ingeniería de software en los dominios grid, virtualization y cloud. Antes de su papel en iLand, lideró el marketing de cloud computing y automatización para BMC Software y ha trabajado para IBM, Fortisphere, Innosight y Globus Alliance. Schoenbeck tiene un MBA de MIT Sloan School of Management y un grado de informática de la Universidad Luterana del Pacífico.

Por fin, las iniciativas de recuperación ante desastres no están más condenadas a pasar a segundo plano como problemas de TI, pues los directores de negocios están comenzando a considerar la importancia de las iniciativas de continuidad del negocio.

Ha sido una batalla muy difícil para muchos equipos de TI, pero los directores sencillamente no pueden ignorar los innumerables titulares que señalan los daños ocasionados por amenazas omnipresentes, como: cortes de energía, ciberataques, errores humanos, fallas en la infraestructura, y desastres naturales. Poner en riesgo el tiempo de inactividad y la pérdida de data no es una opción, particularmente porque el impacto al negocio se mide en millones de dólares por minuto. No se necesita nada más que analizar los recientes apagones que afectaron a las compañías Delta y Southwest Airlines para hacer un caso de implementación de un plan de recuperación ante desastres demostrado y probado.

¿El resultado? Más compañías están explorando Servicios de recuperación ante desastres y copias de seguridad basadas en la nube (DRaaS, por sus siglas en inglés) como una opción rápida y económicamente eficiente para proteger sus negocios.

En su nuevo informe del 2016, en “El cuadrante mágico para la Recuperación ante Desastres como servicio”, Gartner señala que: en años recientes, la recuperación ante desastres de TI como un todo y el servicio DRaaS específicamente han ganado fuerza entre las pequeñas y medianas empresas (pymes) debido a las mejoras en funcionalidad y asequibilidad. Además, durante el año pasado, el interés por el servicio DRaaS ha crecido significativamente entre un gran número de organizaciones, pues según Gartner, ha habido un crecimiento del 77% en consultas por parte de las pymes durante el 2015.

Pero con el afán de implementar rápidamente dicho plan, muchos equipos han tenido dificultades para navegar entre las opciones y evaluar una solución para garantizar su funcionamiento cuando más lo necesiten. Quizás, y aunque esto sorprenda a algunos, la seguridad es un área a menudo recortada, incomprendida, y erróneamente ejecutada.

Las organizaciones deberían estar al tanto de estos principales obstáculos:

 

«No nos sucederá…y definitivamente no pasará de nuevo»

La recuperación ante desastres es una de las más desafortunadas hipérboles que existen en el espacio tecnológico, porque desata imágenes de huracanes, tornados e incendios devastadores que muchos creen nunca les afectará. En la realidad, un simple error humano puede ocasionar un desastre para la organización, y el reconocerlo como un posible hecho ha llevado a muchos a dar el primer paso en adoptar una solución para la recuperación ante desastres.

Aún, sin embargo, la mentalidad «No nos sucederá» sale a relucir cuando se trata de ciberataques. Mientras que los equipos adoptan servicios DRaaS para garantizar cualquier tipo de falla en caso de un problema, usualmente ignoran la seguridad de la nube a la que se están pasando. Ello significa que, aunque hayan impedido el desastre inicial, sus trabajos aún están en riesgo porque la nube en la que confían podría ser vulnerable ante ataques maliciosos.

En ese sentido, es importante que los equipos entiendan la función de seguridad del servicio DRaaS basada en la nube. Después de todo, quizás estén en la plataforma por días, semanas, e incluso meses. Los servicios varían tremendamente en términos de características de seguridad implementadas, cobertura, y soporte.

 

Confianza ciega

De acuerdo con un estudio reciente por los analistas de Enterprise Management Associates (EMA), demasiadas estrategias de seguridad en la nube descansan en la confianza ciega. El estudio examinó la experiencia de la infraestructura en la nube y clientes DRaaS de toda América del Norte y reveló que un 47 por ciento del personal de seguridad "simplemente confían en" que sus proveedores de nube están cumpliendo con los acuerdos de seguridad, en lugar de corroborar de forma independiente o a través de un tercero.

Esta es una práctica de riesgo no sólo porque potencialmente deja una empresa abierta a las amenazas informáticas, sino también porque complica los esfuerzos de cumplimiento cuando llega el momento de probar las medidas de seguridad adecuadas estaban en su lugar. Las empresas deben confiar, pero verificar, las reclamaciones de la utilización de DRaaS. No caiga demasiado en la comercialización y una variedad de logotipos o marcas de cumplimiento.

 

Herramientas sólo son tan buenas como su capacidad para gestionarlos

Muchos equipos intentan abordar la seguridad lanzando la tecnología al problema. De hecho, la misma encuesta EMA encontró que más del 48 por ciento de las tecnologías de seguridad están desplegadas en la nube y no en las instalaciones. A primera vista, la cifra es prometedora, ya que implica que las empresas reconocen los riesgos de seguridad y están tratando de hacer algo al respecto. Sin embargo, a pesar de esta superabundancia de la tecnología, las empresas continúan luchando con seguridad debido a la escasez de personal y sus competencias. En general, los encuestados pidieron más ayuda de los proveedores de nube cuando se trata de la integración de la tecnología de seguridad (52 por ciento), la mejora de la presentación de informes de seguridad (49 por ciento) y la mejora de análisis de seguridad (44 por ciento).

Los equipos deben ser conscientes de sí mismos, la identificación de áreas en las que necesitan ayuda y evaluar en consecuencia. Tener una comprensión clara del nivel de soporte que está incluido. ¿Es fácil para generar un informe de seguridad? ¿Qué nivel de automatización está disponible? ¿Las alertas son e incluyen la reparación recomendada?

 

El cumplimiento no se aplica

El estudio de EMA también descubrió una brecha significativa en la comprensión de TI de los requisitos de cumplimiento y las cargas de trabajo relacionadas. Mientras que el 96 por ciento de los profesionales de la seguridad reconoce que sus organizaciones tienen cargas de trabajo relacionadas con el cumplimiento en la nube, sólo el 69 por ciento de los equipos de TI identificaron lo mismo. La realidad es que la mayoría de las organizaciones tienen cargas de trabajo sujetas al cumplimiento corporativo y / o de la industria.

Las ideas erróneas acerca del cumplimiento podrían convertirse en exposición si la TI fallara sobre las cargas de trabajo vinculadas al cumplimiento a un proveedor de la nube no compatible. Entonces, ¿cuál es la lección? Una vez más, no ponga toda su fe en los logos de cumplimiento lanzados en un sitio web. Verifique las fechas de los certificados para asegurarse de que siguen siendo válidos y pregunte si puede hablar con el equipo de cumplimiento del proveedor. Consulte el documento de auditoría de cumplimiento del proveedor de la nube. Una pequeña validación inicial puede evitar una experiencia de auditoría muy desagradable más adelante.

 

El cumplimiento no significa seguridad

Por otro lado, la industria de la salud, la financiera, y otras industrias reguladas realizan un enorme énfasis en el cumplimiento, y con razón. Las normas y reglamentos están diseñados para desempeñar un papel importante en la protección de una empresa y sus clientes. Sin embargo, las organizaciones siguen equiparando incorrectamente el cumplimiento con la seguridad. ¿Por qué no? Muchas de las auditorías de cumplimiento de hoy en día son extremadamente rigurosas, requiriendo que los evaluadores tercerizados tengan evidencias tangibles específicas - no las investigaciones "parque la casilla" del pasado.

El dolor de cabeza de una de esas auditorías parece que debería ser suficiente, sin embargo, la realidad es que los estándares de la industria sólo proporcionan una base para la protección. Las empresas deben construirse sobre esa base para abordar un conjunto único de requisitos, desde la infraestructura hasta las prácticas empresariales. Es casi imposible para los directivos de un grupo económico anticipar todas las variables que podrían generar riesgos a cada una de las empresas. Depende de las organizaciones de manera individual evaluar completamente las vulnerabilidades y no conformarse solo con el cumplimiento.

 

"Era su responsabilidad”

Para las actividades de TI del día a día, compartir la responsabilidad es común – incluso necesaria. Pero cuando se trata de seguridad, los equipos deben saber exactamente "quien tiene el balón" para asegurarse de que nada se caiga. Esto se aplica a la comprensión de las responsabilidades internamente y con DRaaS.

La matriz de responsabilidad comienza con la configuración y la implementación y se mueve hasta declarar un desastre. Algunos con mucho gusto activarán la conmutación por error por ti, mientras que otros son ni se involucran, incluso cuando estás en medio de la lucha. Pero, cuando se levantan alarmas de seguridad, es importante aclarar quién tiene la pelota.

Algunas tecnologías de seguridad se activan en problemas de centros de datos o de nivel de nube, como el análisis de vulnerabilidades o la seguridad física. Otros ocurren dentro de una máquina virtual, como antivirus o antimalware. Algunos han automatizado reparación y cuarentena. Otros requieren atención y decisión.

Aclarar quién tiene la pelota con diferentes tipos de alertas, eventos, e incluso de información es clave para una buena experiencia en la nube, ya sea en un desastre o durante las operaciones normales.

 

Recuperación ante Desastres tiene que ver con respuesta, no con prevención

En este punto, la mayoría de los equipos que trabajan en iniciativas de recuperación de desastres reconocen la importancia de las pruebas para asegurarse de que todo funcionará sin problemas si tienen que activar una conmutación por error en respuesta a un problema. Sin embargo, más compañías están empezando a aprovechar DRaaS para probar de forma proactiva las vulnerabilidades de seguridad para salir adelante de las amenazas informáticas.

Mediante la realización de conmutaciones por error en una nube con características de seguridad integradas, como antivirus y protección contra programas maliciosos, análisis de vulnerabilidades, detección y prevención de intrusiones y presentar supervisión de la integridad, los equipos pueden investigar las debilidades e identificar posibles puntos ciegos - no intrusiva de una copia aislada, exacta de sus sistemas.

Al final, la velocidad de recuperación es irrelevante si una empresa se abre a riesgos adicionales debido a la falta de seguridad. Mientras que el negocio y TI han hecho grandes avances en la priorización de DR y abordar las cuestiones de seguridad, hay trabajo por hacer. A la vista de la escasez de personal, restricciones de recursos y los plazos de contracción, los equipos deben ser capaces de confiar en DRaaS para asumir más del trabajo pesado. Pero tienen que ser inteligente al respecto, resistiendo la tentación de confiar ciegamente y señalar con el dedo.