No empezaré justificando el por qué es importante respaldar la información. Si no lo crees relevante, dudo que leyendo un artículo cambies de opinión. Tampoco quisiera abordar el tema hablando de “el papel del respaldo en la corporación”, ya que el mensaje es simple: es importante respaldar la información institucional que vive en servidores y bases de datos con la frecuencia requerida y bajo la seguridad lógica y física que merece. La incapacidad de restaurar datos puede llevar a verdaderos problemas.
Por lo tanto en esta ocasión quisiera tocar un punto relativamente dejado de lado en varias organizaciones. Me refiero a los datos que residen en cada uno de los equipos personales de los usuarios. Por lo general se traslada la responsabilidad del “backup” a cada empleado y se les dice que ellos son los encargados de la información de su equipo corporativo.
Una de las razones suena bastante lógica: sería muy costoso armar toda una infraestructura de respaldo para los Gigas (¿Teras? ¿Petas? ¿Exas?) que generan los usuarios de una organización mediana/grande (aun quitando los MP3, MOV, WMV y JPG) en sus equipos de cómputo personales. Lo más común es crear cuentas a los empleados en servidores de archivos para que ahí pongan sus datos (y de nueva cuenta se les asignan algunos cuantos MB) o bien que cada quien se rasque con sus propias uñas usando los DVD o discos duros externos que mejor les parezca.
Ahora bien, como empleado corporativo y ante las carencias (no respaldo automático) y capacidades limitadas (espacios medidos en MB, no en GB), los usuarios se abren camino con diversas opciones. Por ejemplo, la nube ofrece servicios como DropBox para almacenar GB de datos con alta movilidad o Carbonite para llevar a cabo respaldos automáticos. En la empresa como ya se dijo, algunos usuarios optarán por contar con discos duros externos que entrarán y saldrán con información respaldada, así como varios DVD que viven por ahí con la etiqueta “respaldo 2011”. Y claro, el peor de los escenarios y tal vez el más común: no hay respaldo de ningún dato (ni manual ni automático). Ante un incidente, adiós información y se le dirá al empleado: “te lo dije, era tu responsabilidad”.
Como corporativo es importante no dejar al usuario desamparado diciéndole que es su problema y limitarse a darle sólo los tips necesarios para hacer respaldos. ¿Se vale mandar los datos a la nube? Si es así, cuál recomienda el área de TI? ¿Me van a proveer los DVD para el respaldo? ¿Hay ya una aplicación de fácil uso en mi equipo que pueda usar para respaldar? ¿Puedo usar mi disco duro externo y sacarlo de la empresa porque…bueno…es mío? ¿Los datos ya se están respaldando y no tengo que llevar a cabo alguna acción? Finalmente: ¿Cuál es la política corporativa respecto al respaldo de información en los equipos de los empleados?
Ahora bien, si de parte del área de TI no hay una solución concreta dependerá de nosotros poner el ejemplo (siempre y cuando sigamos las políticas corporativas). Bien, primero hablemos de la regla de Steve Gibson respecto al respaldo que dice:
· Tres copias de cada archivo.
· En dos diferentes medios (DVD y disco duro externo, por ejemplo).
· Una de las copias offsite (es decir, no dejar todos los huevos en una sola canasta y ponerlos en diferentes ubicaciones físicas). Aquí se tendría que cifrar la información que se extraerá de la empresa y claro, investigar la postura corporativa al respecto. Por cierto, la nube cuenta como copia “offsite”.
Los datos deben de estar protegidos por si accidental o intencionalmente caen en malas manos. Mantenerlos bajo llave y cifrarlos (con TrueCrypt, por ejemplo) será definitivamente una buena idea ya sea que se mantengan en la empresa o fuera de ella. Y recordar respaldar con frecuencia si es que el “backup” no se lleva a cabo de manera automática.
¿Y en tu empresa, cómo se hacen cargo de los respaldos de datos que residen en computadoras personales, laptops, smartphones o iPads?
Nos estamos tuiteando en @FaustoCepeda.
Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM. Es Maestro de Seguridad de la Información por la Universidad de Londres (Royal Holloway). Actualmente labora en la Oficina de Seguridad Informática del Banco de México. También cuenta con las certificaciones de seguridad CISSP, CISA, CISM y CEH.