Según una encuesta realizada por la empresa Kepler, un 62% de las personas dice que ha perdido información o conoce a alguien que ha pasado por este doloroso episodio. Entonces, la pregunta no debiese ser si necesitamos respaldar, más bien, cómo debemos respaldar, de una forma segura, eficiente y eficaz. Tomando en cuenta, además, que las pequeñas y medianas empresas se ven enfrentadas a una desventaja enorme cuando evaluamos el costo de una pérdida de información.
De acuerdo a estudios realizados por el Ponemon Institute el año 2019, para una organización con más de 25 mil empleados, el costo de fuga de información es en promedio de US$204 por empleado, mientras que para una de menor tama- ño es de US$3.533 por empleado, lo que concluye que una gran empresa no solo tiene espaldas financieras capaces de soportar una pérdida o fuga de datos, sino que también para esta la pérdida por empleado es menor.
En el competitivo ambiente en que se desenvuelven las empresas hoy, la digitalización es un factor clave para poder adaptarse rápidamente a los cambios, agilizar las estructuras, pero también nos hace más vulnerables a una pérdida de información. Para una Pyme, la pérdida total de la data puede significar su cierre en seis meses.
De “3-2-1” a hoy
Una de las principales amenazas hoy en día para cualquier organización es la ciberdelincuencia, la cual debiese estar incluida en la matriz de riesgo de la empresa y ser tema obligado en directorios. Pedir un especialista en una de estas “sillas” no es un sueño, es una necesidad, si tomamos en cuenta que es el directorio el responsable de evaluar los riesgos y entregar los recursos para maximizar el triple impacto de una compañía.
Después de la concientización en ciberseguridad, que no es más que el entrenamiento periódico de nuestros funcionarios acerca de los peligros en Internet, cómo detectarlos, cómo denunciarlos y en que se deben fijar para no ser engañados (red flags), el respaldo de datos es el método más efectivo para combatir amenazas como el ransomware -cifrado de datos por parte de un delincuente o banda criminal para pedir, a cambio de la llave para desencriptar, un monto en dinero-, ataque del cual cada 14 segundos una compañía está siendo víctima, pero también nos protege del borrado accidental de datos, sobre escritura de archivos por error, fallas de hardware y problemas lógicos, entre otros.
Desde los confines de la historia informática, existe la simple regla de respaldo “3-2-1”, recomendada en publicaciones US-CERT de Estados Unidos, 2012, que se refiere a tres copias (la información en producción, más dos respaldos), en dos medios diferentes (o dispositivos) y uno de estas, lejos del lugar donde se encuentran las otras dos (offsite). Este lugar remoto era contratado a empresas de almacenamiento de documentos y ha mutado a storage cloud, dado los mejores tiempos de respuesta y confiabilidad de la integridad de los datos.
Hoy, según el valor de la información que manejemos, el “3-2-1” puede quedarse corto, existiendo alternativas plausibles, más eficientes que antaño, debido a la mejora y reducción de costos de las nuevas tecnologías. Pero si hablamos de un computador personal, laptop o desktop, tener los datos en este dispositivo, además de un respaldo local de fácil acceso, y un respaldo remoto en línea, disminuye a un mínimo las pérdidas de información por borrado accidental, problemas de hardware, software o ataques informáticos como ransomware.
Este respaldo debe ser automatizado, focalizado en los datos de valor dentro del equipo, de manera de hacerlo lo más eficiente posible, para que trabaje tanto cuando se encuentre en la oficina o casa (redes de confianza), como cuando esté fuera de estos lugares, a través de comunicaciones cifradas desde el origen. Así se evita cualquier fuga de información. Queremos respaldos al día, sincronizados minuto a minuto cuando estamos en la oficina, pero también, si estamos en un viaje de negocios o placer, que todo lo que trabajemos en el avión se respalde cuando lleguemos al hotel. En caso de un robo de laptop en el aeropuerto, solo derramaremos una pequeña lágrima por los fierros, sabiendo que nuestra información la podremos rescatar en cuanto bajemos nuestro “salvador” respaldo (un laptop es robado cada 53 segundos, de acuerdo a un estudio de Gartner, y 12 mil laptops se pierden semanalmente en los aeropuertos de EEUU, según Ponemon Institute).
Una última línea de defensa
Si no contamos con respaldos, una pérdida de información se transforma en un episodio traumático, estresante y costoso. La recuperación de datos desde dispositivos digitales es la última línea de defensa frente a una pérdida de información.
El equipo debe ser llevado a un laboratorio especializado, donde se realiza un diagnóstico o evaluación para determinar si es posible “intentar” el procedimiento de recuperación de datos. Muy similar a un enfermo que llega a urgencias, la misma enfermedad en distintos pacientes puede tener resultados diferentes frente a un mismo procedimiento.
La recuperación de datos no nos entrega un resultado asegurado, es posible que, a pesar de todo el conocimiento, esfuerzo e investigación y desarrollo de la empresa utilizados y orientados a la recuperación de un caso, finalmente no se pueda recuperar la información.
Afortunadamente, este es un pequeño porcentaje de los casos, pero la calidad de los ingenieros, el correcto apego a los procedimientos y el nivel de desarrollo tecnológico de la empresa de recuperación de datos hará la diferencia entre recuperar los datos o hacerlos permanentemente irrecuperables. En muchos casos no existirá una segunda oportunidad, dado que los procedimientos son en sí, mayoritariamente, muy invasivos. Se trata de que, a través de ingeniería inversa, se pueda entender el funcionamiento de los dispositivos, comprender la falla y reparar momentáneamente el problema, con el fin de poder rápidamente hacer disponible los datos para rescatar la información, almacenarla y entregarla nuevamente a sus preocupados dueños.
Esta empresa, además, debe tener los correctos cuidados con el trato de la información, ya que esta es sensible, confidencial y valiosa. Una fuga de información puede significar un costo varias veces superior a la pérdida de los datos si existe propiedad intelectual o base de datos con información de terceros. Por eso conocer las políticas de confidencialidad de la empresa con la que trabajaremos y su registro (récord) en la industria, es sumamente relevante.
La información es el nuevo petróleo de la economía digital, por lo que es importante tratarla con cuidado y cautela desde que se crea; cuando se utiliza, con reglas adecuadas de uso (cómo se comparte, quién tiene acceso y dónde se puede almacenar), cifrando la información más sensible para evitar fugas por brechas internas y externas; hasta que se elimina con un borrado seguro de datos.
Un mantra que repito diariamente es que, “un disco duro, como una ampolleta, es hecho por el ser humano y como tal, algún día dejará de funcionar”. Espero que ese día, mi información ya esté disponible en otro dispositivo.