Recomendaciones para hacer copias de seguridad en la nube

Fecha de publicación 18/06/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

Infecciones por malware como es el caso del ransomware, modificaciones o borrados accidentales de información o simplemente, por cuestiones legales,  son solo algunos ejemplos de por qué  las copias de seguridad son imprescindibles para cualquier empresa.

Las copias de seguridad se pueden llevar a cabo en distintos soportes. En el artículo de hoy, vamos a centrarnos en copias de seguridad basadas en la nube.

Ventajas e inconvenientes de las copias de seguridad en la nube

Las copias de seguridad en la nube con respecto a las convencionales que se almacenan en un dispositivo accesible físicamente, cuentan con una serie de ventajas e inconvenientes que se deben tener en cuenta antes de decantarse por alguna:

Ventajas

Algunas de las ventajas de las copias de seguridad en la nube son:

  • Reducción de costes, ya que no será necesario invertir en hardware y software específico, mantenimiento o luz;
  • disponibilidad, desde cualquier ubicación que tenga acceso a Internet;
  • suelen contar con mejores medidas de seguridad que las que se podrían tener en la propia empresa;
  • mayor capacidad de reacción contra infecciones como el ransomware.

Inconvenientes

A pesar de contar con grandes ventajas, también hay que valorar los inconvenientes asociados a este servicio:

  • Disponibilidad, únicamente, con acceso a Internet. Esto implica que ante una caída del servicio, será imposible acceder a la información almacenada en la nube;
  • posible exposición de la información, ya que se envía a un sistema desde un medio como es Internet,  en el que no tenemos un control absoluto;
  • dependencia de un tercero, ante un cese del servicio, la información almacenada podría ser inaccesible.

¿Qué servicio de la nube debo elegir?

Este será el primer paso y uno de los más importantes. Elegir, adecuadamente, el servicio de almacenamiento en la nube puede marcar la diferencia en cuanto a seguridad y disponibilidad de la información.

Una forma de comenzar con esta elección, es utilizar los sellos de confianza referentes a los servicios de cloud computing. Este tipo de distintivos identificarán aquellos proveedores que realicen análisis de seguridad periódicos y cumplan con la normativa vigente. Los sellos de confianza cuentan con un listado de todas las empresas que cumplen los estándares de seguridad como el ofrecido por la organización CSA Cloud Security Alliance. Esta organización, sin ánimo de lucro, otorga a los servicios cloud diferentes niveles de certificación, cuanto mayor sea esta más controles de seguridad y  transparencia en las auditorias, habrá.

Niveles de seguridad y controles aplicados por el sello de confianza CSA Cloud Security Alliance

  • Nivel 1: proceso de autoevaluación continua que consiste en seguir varios controles de seguridad específicos del sector, incluido el cumplimiento del RGPD. Posteriormente esa información se hace pública para que cualquiera pueda consultarla.
  • Nivel 2: proceso de evaluación siguiendo los criterios AICPA y del estándar ISO 27001:2017 realizado por una tercero independiente. También, se comprueba que se cumplan los requisitos indicados en el RGPD.
  • Nivel 3: nivel más alto que ofrece el sello de calidad, llevándose a cabo un proceso de auditoria continúa por un tercero cualificado y con transparencia total en los controles de seguridad implementados.

Además, para mayor nivel de garantía se puede descargar un informe de cada servicio cloud con los controles de seguridad llevados a cabo y si los cumplen o no.

Una vez identificado el servicio que más se ajusta a tus necesidades es recomendable que te hagas estas 12 preguntas antes de contratar el servicio.

Acuerdos a nivel de servicio

Para evitar situaciones inesperadas, es recomendable definir claramente la relación con el proveedor mediante los Acuerdos a Nivel de Servicio o ANS. De esta manera, se establecerán garantías en la prestación del servicio por ambas partes. Los aspectos más relevantes que cabe destacar, en este aspecto, son:

  • las responsabilidades de cada una de las partes,
  • duración del acuerdo,
  • detallar el nivel de servicio ofrecido como:
    • tasas de error permitidas,
    • disponibilidad horaria,
    • tiempos de respuesta y resolución,
    • etc.
  • sanciones en caso de incumplimiento.

Cifrado de la copia

Antes de subir cualquier copia de seguridad a la nube, será de gran importancia cifrar la información. Cuando la copia de seguridad se almacena cifrada en la nube se reduce en gran medida que ante un acceso no autorizado, la privacidad de esta pueda verse comprometida.

El cifrado de la información debe realizarse utilizando métodos criptográficos públicos considerados seguros, evitando aquellos cuya robustez no esté contrastada. Pero también conviene recordar que un método que, actualmente, sea considerado robusto, puede que en un futuro no lo sea, por lo que se deberá estar atento ante posibles fallos de seguridad descubiertos en el algoritmo criptográfico elegido.

¿Copia de seguridad en la nube o en local?

Posiblemente, esta sea la pregunta que más os hagáis muchos de vosotros. La verdad es que no existe un sistema que sea mejor respecto al otro, siendo lo ideal utilizar una combinación de ambos. De esta forma, se obtiene lo mejor de ambos sistemas de copia de seguridad, al mismo que tiempo que se reducen, considerablemente, todas las consecuencias negativas.

Utilizando ambos métodos se consigue, además, seguir la estrategia 3-2-1, cuya base es la diversificación de las copias para garantizar que siempre haya una disponible.

Estrategia 3, 2, 1 de copias de seguridad.

Utilizar un sistema de copias de seguridad basado en la nube puede marcar la diferencia entre recuperar la información de la empresa si se sufre un incidente de seguridad o si, simplemente, hemos borrado ese fichero importantísimo. Pero no se debe confiar, únicamente, en un sistema que no dependa de uno mismo, por lo que siempre se ha de tener un «plan B» haciendo uso de otro sistema, ya sea en local o en un servidor ubicado fuera de la empresa. Combinando estas formas de hacer copias, conseguiremos proteger nuestra información y contar con una pyme segura.

Etiquetas