PROTECCIÓN DE DATOS                         LAS CINCO MEJORES  EXTERNALIZADA                         PRÁCTICAS PARA PROTEG...
01   AsignAr                                              02 EvAluAr El riEsgo DE     rEsPonsAbiliDAD                     ...
03 DEsArrollAr un   ProgrAmA DE ProtECCión   DE lA informACión   ADOPTAR UN MéTODO DE SEGURIDAD                    REALIZA...
Aunque este método no tiene la ventaja de            Cuando los soportes hayan quedado obsoletosverificación tratada en el...
– custodiA en mAletines.                            Asegúrate de que el proveedor que ofrece  Con la custodia en maletines...
04 ComuniCAr los                                    05 EjECutAr y ProbAr   ProCEsos DE                                    ...
se tardan 19 díasen volver a escribir20 mb de datosperdidos.fUENTE: rEAlty timEsCada 15 segundosse rompe undisco duro.fUEN...
LA INfORMACIÓN TIENE VIDA PROPIA.TE AyUDAMOS A GESTIONARLA.Podemos ayudarte a gestionar tu información durante todo el cic...
Upcoming SlideShare
Loading in...5
×

Iron mountain 5 mejores prácticas para proteger tus copias de seguridad

2,055

Published on

Descubre por qué externalizar la gestión documental
¿Has pensado en el riesgo de no proteger tus copias de seguridad de forma adecuada? Recomendaciones de un experto para proteger tus copias de seguridad

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,055
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
35
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Iron mountain 5 mejores prácticas para proteger tus copias de seguridad"

  1. 1. PROTECCIÓN DE DATOS LAS CINCO MEJORES EXTERNALIZADA PRÁCTICAS PARA PROTEGER TUS COPIAS DE SEGURIDAD El cifrado de backup debe formar parte de la estrategia de seguridad. En muchos entornos, el almacenamiento se ha realizado fuera de la supervisión de los responsables de seguridad, ya que éstos se suelen centrar en áreas como la seguridad perimetral, la detección y prevención de intrusiones y la protección de sistemas. Como resultado, es probable que la infraestructura de almacenamiento (el almacenamiento principal y, especialmente, las copias del mismo) represente un talón de Aquiles en lo que se refiere a seguridad. Así, las políticas de seguridad de datos se convierten en un problema corporativo cuando deberían ser un elemento fundamental de la estrategia de seguridad de una empresa. Estas políticas pueden dar lugar a acciones tácticas y operativas mediante el esfuerzo conjunto de las organizaciones de seguridad y de almacenamiento. Para ello, el almacenamiento debe convertirse en una parte integral de la estrategia de seguridad de la empresa. Para lograr estos objetivos, la empresa debe crear una práctica alrededor de cinco áreas fundamentales: 01 Asignar responsabilidad y autoridad 02 Evaluar riesgos 03 Desarrollar un programa de protección de la información 04 Comunicar el proceso 05 Ejecutar y probar el proceso 900 22 23 24 www.ironmountain.es
  2. 2. 01 AsignAr 02 EvAluAr El riEsgo DE rEsPonsAbiliDAD AlmACEnAmiEnto yA y AutoriDAD quE éstE sE APliCA Convierte la seguridad del almacenamiento en A lA sEguriDAD DE lA una función dentro de la arquitectura y las políticas globales de seguridad de la información. informACión incluso, aunque la empresa decida que la seguridad de las copias o del almacenamiento REALIZAR UN ANÁLISIS DE RIESGOS DE deben asignarse al equipo de almacenamiento, TODO EL PROCESO DE bACkUP éstas deben integrar cualquier medida de los responsables deben examinar todos los pasos seguridad de almacenamiento y backup con en la metodología para la realización de backups las que proteger el resto de la infraestructura. en busca de vulnerabilidades en la seguridad. la integración de medidas de seguridad en la ¿Podría un administrador crear de forma secreta custodia y el backup ayuda a crear una copias de seguridad? ¿se dejan abiertas las cajas protección más eficaz. con soportes magnéticos? ¿Existe una estricta cadena de custodia de los backup? si el backup Divide las obligaciones cuando los datos sean y transporte de datos se realiza sin cifrar, puede especialmente confidenciales. Es importante originar que los datos críticos estén en riesgo. asegurar que la persona que autoriza el acceso no sea la misma persona responsable de la EJECUTAR UN ANÁLISIS DE COSTES ejecución. y bENEfICIOS DEL CIfRADO DE DATOS DE bACkUP si un análisis de riesgos descubre numerosas vulnerabilidades, las organizaciones deben considerar seriamente si el cifrado está garantizado. Este proyecto debería ser más exhaustivo y no ceñirse únicamente al coste exclusivo de las licencias de software o dispositivos, e incluir los costes de tareas operativas relacionadas con el cifrado en procesos de backup y recuperación ante posibles incidencias, así como el impacto del cifrado en el El 90% tiempo de recuperación. El coste total del cifrado debería compararse con los riesgos potenciales y la probabilidad de una infracción de seguridad para determinar si tiene sentido, económicamente de las empresas que hablando, la implementación de un cifrado más amplio o más reducido, o no lo tiene en ningún sufren una pérdida caso. El cifrado de cintas con datos confidenciales es una inversión que merece la pena. de datos importante IDENTIfICAR LOS DATOS SENSIbLES Conoce qué archivos, bases de datos y columnas desaparece del se consideran suficientemente confidenciales por las unidades de negocio para garantizar el coste mercado en dos años. adicional de la protección. Asimismo, debes saber dónde se encuentran los datos. En muchas ocasiones, los datos se encuentran duplicados en el entorno. Es importante disponer de políticas y fUENTE: CámArA DE ComErCio DE lonDrEs procedimientos que permitan saber exactamente dónde se encuentran los datos en todo momento. Por ejemplo, las empresas tienen información en portátiles que también puede estar duplicada en un disco de red o en un repositorio de backup utilizado en el PC.
  3. 3. 03 DEsArrollAr un ProgrAmA DE ProtECCión DE lA informACión ADOPTAR UN MéTODO DE SEGURIDAD REALIZAR COPIAS DE LAS CINTAS DE MULTICAPA bACkUP Adopta un método multicapa de protección de Depender de una única copia de los datos no datos mediante la aplicación de las mejores es nunca una buena idea. A pesar de que los prácticas para la red de datos de la red de soportes pueden tener una vida útil larga, son almacenamiento, mientras que se añaden capas susceptibles de daños ambientales y físicos. "a medida" del tipo de datos a custodiar. Entre la práctica recomendada consiste en realizar éstas se incluyen las áreas de: las copias de seguridad en soportes magnéticos y enviar dicha copia a un lugar externo. El método – AutenticAción. Aplicación de técnicas de recomendado para los soportes de backup es autenticación y anti-sproofing. escribir una cinta nueva mediante la lectura de – AutorizAción. Aplicación de privilegios en la original. Este método tiene la ventaja de base a las funciones y responsabilidades en verificar que los datos del backup se puedan leer lugar de dar acceso administrativo completo. eliminando en la medida de lo posible el punto Cuando estén disponibles, uso de capacidades único de fallo de la cinta de backup. administrativas basadas en funciones de aplicaciones de gestión del almacenamiento, la razón más frecuente por la cual no se cuenta especialmente backup. con una política de duplicación de copias de – cifrAdo. Todos los datos confidenciales seguridad es la falta de tiempo. Desde un punto de deben estar cifrados cuando se almacenen vista práctico, la realización de copias de o copien. Además, todos los datos de interfaz seguridad conlleva mucho tiempo, lo que dificulta de gestión transmitidos a través de cualquier la duplicación de datos de forma puntual. Existen red que no sea privada deben estar cifrados. varios métodos para hacer frente a este problema. Los datos confidenciales se definen como la El primer método comienza con la optimización información que contiene datos personales o del sistema de backup para reducir el tiempo secretos comerciales. empleado en realizar el backup original. A continuación, pueden usarse varias unidades de – AuditoríA. Deben mantenerse los registros cinta de alta velocidad para crear la segunda copia de las operaciones administrativas de con fines de almacenamiento externo. Otro cualquier usuario para garantizar la método consiste en usar la capacidad de algunos rastreabilidad y responsabilidad. paquetes de software de backup para crear simultáneamente un original y una copia.
  4. 4. Aunque este método no tiene la ventaja de Cuando los soportes hayan quedado obsoletosverificación tratada en el párrafo anterior, o ya no pueda confiarse en su integridad,ahorra el tiempo necesario para realizar copias, y estos deberán destruirse de forma adecuada.cualquier tipo de copia es mejor que no disponer la destrucción de los soportes magnéticos sede ninguna. independientemente del tamaño del logra normalmente mediante la aplicación deentorno, una combinación de dispositivos de un proceso de destrucción del cartucho, ya seacinta de alta velocidad, bibliotecas de cintas mediante la eliminación de los datos de la cintavirtuales y servicios profesionales pueden o la destrucción de la cinta en su conjunto,ayudar a satisfacer este importante requisito. con lo que quedaría inutilizable. La destrucción de datos puede realizarse en las propiasIMPLEMENTAR UNA CADENA ESTRICTA instalaciones con un equipo de desmagnetizaciónE INTEGRAL DEL PROCESO DE CUSTODIA adecuado, o a través de los servicios de unPARA LA GESTIÓN DE SOPORTES tercero. (si la destrucción de los datos tieneLa cadena de custodia se refiere a la actuación, lugar en tus instalaciones, asegúrate de que elmétodo, gestión, supervisión y control de equipo de desmagnetización está calibrado parasoportes o información (normalmente soportes el soporte correcto). la destrucción de datosmagnéticos, aunque no siempre). El objetivo se realiza de una forma más óptima a través deúltimo de una cadena de custodia correcta una organización que proporcione un certificadoes conservar la integridad de los recursos. de destrucción.los siguientes aspectos sobre la cadena decustodia deben tenerse en cuenta. CONOCER LA CADENA DE CUSTODIA Otro elemento crítico en la gestión segura dese debe realizar un seguimiento de los soportes soportes es garantizar que los proveedoresmediante códigos de barras y generar informes de custodia externa sigan las prácticasque detallen su ubicación actual. una práctica recomendadas. A continuación, se indicanrecomendada es realizar un informe diario de algunos elementos que deben tenerse en cuenta:las copias de seguridad que se hayan enviado – VulnerAbilidAd.fuera y de las que hayan caducado, mandando no dejes las cintas en un contenedor abierto,a destruir aquellas que ya no son necesarias. por ejemplo, una caja de cartón en elDeben existir procedimientos operativos mostrador de recepción a la espera de serestándar documentados para garantizar recogida. la recogida debe seguir unque se lleven a cabo estas medidas. procedimiento operativo estándar en el que unDeben analizarse la seguridad y el acceso a las responsable del departamento de informáticainstalaciones externas. los soportes deben entregue y reciba la firma de un representantecolocarse en contenedores cerrados antes de conocido e identificado del proveedor.sacarlos del centro de datos. Asimismo, deberealizarse un seguimiento posterior de los – Proceso de selección.mismos, mediante el análisis de códigos de barras Cuando una empresa externa custodia loscada vez que se traslada un contenedor, incluidos datos críticos de tu compañía, debes estarlos que se encuentran en el centro de datos y en seguro de que el proveedor realiza unubicaciones externas. los contenedores de minucioso proceso de selección de su personal.soportes deben estar sellados y no quedar nunca – lA emPresA debe seguir un Procesoexpuestos a que alguien pueda cogerlos. comPleto de lA cAdenA de custodiA. tu proveedor debe explicarte todo el procesoCombina el inventario de soportes custodiados relacionado con la gestión de los soportes dede forma externa periódicamente (al menos una principio a fin. Haz hincapié en la seguridadvez al mes) con cintas que puedan guardarse física, junto con mecanismos de auditoríainternamente. Al final de cada mes, debe y control para garantizar que se sigue elrealizarse un control de inventario de todo lo proceso. resulta poco aconsejable trasladarexternalizado y compararse con los registros datos confidenciales en vehículos que puedande la aplicación de backup/archivado con el identificarse fácilmente.objetivo de descubrir posibles incoherencias.si los soportes no están contabilizados se debentomar las medidas oportunas.
  5. 5. – custodiA en mAletines. Asegúrate de que el proveedor que ofrece Con la custodia en maletines se realiza estos servicios cifra los datos mientras el seguimiento de cubos o cajas, pero no se transfieren y cuando están en espera. de su contenido. La mayoría de los Además, habla con el proveedor sobre cómo proveedores admiten este tipo de custodia. mantener disponible la información. ¿se ha realizado una copia de seguridad en un soporte– controles de seguridAd físicos. magnético? ¿se ha replicado en otro sitio? las instalaciones deben protegerse de forma Asegúrate de que las prácticas de recuperación adecuada. ninguna persona no autorizada de datos ante posibles incidencias del proveedor debe tener acceso al área de seguridad. cumplan un estándar excepcional. Habla con el proveedor sobre cómo mantener la información– controles medioAmbientAles. disponible para su recuperación o la asistencia las cintas y otros soportes no deben en procesos judiciales. almacenarse nunca en el maletero de un vehículo ni en ninguna otra ubicación con un entorno no controlado. Para la custodia de soportes magnéticos, el entorno debe controlarse de forma estricta, incluyendo la temperatura, la humedad y el control estático. El polvo es el peor enemigo para la mayoría de soportes y dispositivos de grabación. El entorno de backup y custodia debe permanecer limpio y libre de polvo. Debes utilizar un trapo suave y antiestático para limpiar el exterior de los cartuchos, y eliminar el polvo de las ranuras de una biblioteca utilizando aire comprimido de un pulverizador. las cintas deberán transportarse en un soporte electrostático y no apilarse en un cubo o una caja de cartón. Aunque parezcan bastante duraderas, las cintas pueden dañarse fácilmente si se manipulan de forma incorrecta. Cuando una empresa externa custodia laTENER EN CUENTA LA CUSTODIA DEDATOS DIGITALESun aspecto a tener en cuenta es la custodia de información crítica dedatos digitales y el transporte de informaciónde soportes físicos en un vehículo. Actualmente, tu compañía, debesexisten diversas compañías que ofrecen a losprofesionales de it la posibilidad de realizar asegurarte de quecopias de seguridad de los datos a través deinternet. los datos pueden cifrarse y trasladarse realiza un minuciosoa través de internet hasta una instalación dedatos de backup seguros. la custodia de datos proceso de seleccióndigitales puede no ser una solución práctica paratodos los datos de la empresa, pero sí puede de sus empleados.resultar práctica para los datos distribuidosen servidores de archivos o en ordenadorespersonales. los datos distribuidos puedenrepresentar el 60% de la información de unaempresa y resulta difícil para los encargadosde it poder controlarlos en su totalidad.
  6. 6. 04 ComuniCAr los 05 EjECutAr y ProbAr ProCEsos DE El PlAn DE sEguriDAD ProtECCión DE DE ProtECCión DE lA lA informACión informACión y sEguriDAD la protección de datos seguros no se basa en la tecnología, sino que representa todo una vez definido el proceso para garantizar un proceso. ése es el motivo por el que es que los datos confidenciales están importante validar el proceso. A medida protegidos y gestionados de forma que una empresa crece, la protección de la adecuada, es importante asegurar que las información y los datos necesitan cambiar, personas responsables de la seguridad por lo que las prácticas de seguridad de estén bien informadas y hayan recibido la la información deben adaptarse. una vez formación adecuada. Las políticas de desarrollado y definido el plan integral, seguridad representan el aspecto más y tras informar de él a las personas importante de la asignación de apropiadas, es hora de llevarlo a la práctica. responsabilidad y autoridad. Asegúrate de contar con las herramientas, tecnologías y metodologías que necesitas INfORMAR A LOS DIRECTORES para la clasificación de la información. EMPRESARIALES DE LOS RIESGOS, LAS CONTRAMEDIDAS y LOS COSTES Prueba el proceso una vez implementado. la pérdida de datos y el robo de propiedad recuerda, la prueba debe incluir los procesos intelectual son un problema de la empresa, de backup y recuperación. intenta incluir en no del departamento de informática. Como el proceso una amenaza, incluida la pérdida tal, el responsable de la seguridad de la de un servidor y de un soporte, problemas de información (Ciso, por sus siglas en inglés) red, problemas con un dispositivo, problemas debería comenzar a aplicar la seguridad de los de clasificación de datos y cualquier otro datos mediante formación a los ejecutivos de escenario que pudiera afectar al negocio. la empresa en lo que se refiere a los riesgos, realiza pruebas con el personal que pudiera amenazas y posibles pérdidas debidas a estar menos familiarizado con el proceso. Este infracciones de seguridad, más el coste de test ayuda a garantizar que el proceso resulta contramedidas de seguridad. De esta forma, fácil de seguir y que puede ejecutarse incluso los directores corporativos pueden tomar si el responsable no está en la oficina. decisiones fundadas sobre el coste y las ventajas de las inversiones en seguridad de datos. VALORAR LOS RIESGOS y fORMAR AL PERSONAL los datos procedentes de estudios de seguridad demuestran que "más vale prevenir que curar". Es más probable que las organizaciones que se dedican a valorar los riesgos apliquen políticas, procedimientos y tecnologías de seguridad que protegen los activos vitales. Por otro lado, una infraestructura vulnerable y un personal sin formación representan un problema en potencia: indican una retribución real por realizar el “trabajo repetitivo y agotador” de la seguridad.
  7. 7. se tardan 19 díasen volver a escribir20 mb de datosperdidos.fUENTE: rEAlty timEsCada 15 segundosse rompe undisco duro.fUENTE: HArris inTErAcTivE2.000 portátilesse roban o se pierdencada día.fUENTE: HArris inTErAcTivE
  8. 8. LA INfORMACIÓN TIENE VIDA PROPIA.TE AyUDAMOS A GESTIONARLA.Podemos ayudarte a gestionar tu información durante todo el ciclo de vida, reducir costesy mejorar la eficiencia.ANÁLISIS Y ALMACENAMIENTO DIGITALIZACIÓN ACCESO DESTRUCCIÓNORIENTACIÓN Y PROTECCIÓN FLEXIBLE SEGURAUN SOCIO EN EL QUE CONfIARindependientemente del tamaño de la empresa o el sector, ofrecemos servicio especializado basado en estosprincipios clave:CONfIANZA EXPERIENCIA ORIENTACIÓN AL CLIENTEDurante casi 60 años hemos sido el nuestro amplio y profundo nuestro compromiso con unsocio de confianza de empresas de conocimiento se basa en servicio de máxima calidadtodos los tamaños. trabajamos nuestro personal, procesos y ofrece asistencia 24 horas al día,desde más de 1.000 instalaciones tecnologías. La comprensión todos los días.de todo el mundo. de los requerimientos relacionados con la normativa legal nos permite SOSTENIbILIDADSEGURIDAD colaborar con los clientes para Al ayudarte a reducir lagracias a nuestras instalaciones que puedan sacar mayor partido información que necesitasseguras, los equipos y los procesos a su información, al mismo tiempo mantener y reciclar lo queoptimizados, tu información que reducen los costes. no se necesita, ayudamos asiempre estará en buenas manos. las empresas a cumplir con los compromisos de sostenibilidad.LLÁMANOSPara obtener más información y asesoramiento sobre cómoiron mountain puede ayudarte con la gestión de la información,visita www.ironmountain.es o llama al 900 22 23 24. © 2010 iron mountain incorporated. reservados todos los derechos. iron mountain y el logotipo de la montaña son marcas registradas de iron mountain incorporated. todas las demás marcas pertenecen a sus respectivos propietarios. uK-osDP-02-0610-01-En

×