Tomada de ESET welivesecurity
Si se acepta lo que plantea la llamada ley de Murphy, la información está en peligro todo el tiempo. Según este adagio popular: “Si algo puede salir mal, saldrá mal”. Esta visión pesimista sobre la posibilidad de la ocurrencia de eventos que pueden incidir negativamente sobre la integridad de un proceso, llama la atención sobre la necesidad de la operación segura en el uso de la información.
Si bien esta “ley” no está basada en la ciencia, abre la puerta a pensar que la ocurrencia de un error o un contratiempo puede desencadenar un desastre. Por ello, se considera esencial brindar un conjunto de pautas que permitan proteger la información personal para prevenir pérdidas irreparables.
El proceso parte de la planificación y preparación que significa anticipar posibles fallos y vulnerabilidades que consideren todos los escenarios posibles de la ocurrencia de un incidente. Esto es sinónimo de un análisis de riesgos.
En la pérdida de información los errores humanos son una de las causas principales de brechas de seguridad. Siempre existe la posibilidad de que se cometa un error que comprometa la información. Son ejemplos de ello la apertura de un mensaje electrónico malicioso y el uso de contraseñas débiles, por ello debe prevenirse esta situación y para ello el respaldo de la información es vital.
Otro problema que puede ocurrir es la falla de los sistemas tecnológicos, lo que puede ocurrir en un momento crítico del procesamiento de la información. Esto incluye servidores caídos, fallos en el software o problemas con las actualizaciones, por eso la preparación para la contingencia es muy importante.
Una causa habitual es la baja percepción del riesgo por la subestimación de la probabilidad y el impacto potencial de los incidentes de seguridad. Esto se conjuga con un bajo nivel de conciencia y preparación del capital humano a los temas de ciberseguridad. La capacitación para la actuación segura en el manejo de las TIC es un imperativo para todos.
Es un error la confianza excesiva en la tecnología. Al no tomar en consideración las limitaciones de las TIC pueden generarse serios problemas. Debe considerarse la posibilidad de que un sistema falle o sea comprometido y que vea afectada la información alojada en el mismo.
La respuesta ante un incidente, cuando ocurre, requiere de un adecuado tratamiento. Si no hay una estrategia clara o no hay preparación para una respuesta rápida y adecuada, puede provocar un empeoramiento de la situación.
El proceso de respaldo de la información, con independencia de los aspectos de orden técnico sobre el tipo de salva a utilizar ( completo, incremental o diferencial) y las forma en que esta se desarrolla, requiere de la atención a algunos aspectos clave.
El primer aspecto a considera es la frecuencia con que se realiza la operación para garantizar que no exista pérdida de datos. Este requerimiento depende de cuan crítico resulta la pérdida de la información. En una época donde el fluido eléctrico falla y los respaldos eléctricos están deprimidos es conveniente considerar la realización de copias de seguridad muy frecuentes.
Un momento importante es la elección del lugar para almacenar de forma segura las copias de seguridad, que puede incluir almacenamiento en la nube, dispositivos externos o servidores dedicados. Debe atenderse el espacio en los dispositivos para alojar la salva.
Puede ser valorada la opción de la redundancia, que implica mantener múltiples copias, en diferentes ubicaciones físicas o medios que se realice de forma automática para protegerse contra desastres locales. Un mecanismo puede ser la llamada copia de espejo.
Se puede implementar el cifrado de los datos para proteger la información sensible. Pero sobre todo es esencial, la realización de pruebas periódicas de restauración de la información, o sea, la comprobación de que la información contenida en la salva, está en buen estado.
Es siempre un requisito documentar el contenido de la salva dado los volúmenes de información que pueden manipularse. En el caso de la información personal tal vez este requisito puede pasarse por alto, como también puede ocurrir con la automatización de procesos de respaldo, aunque sigue siendo una opción para evitar fallas humanas.
Es importante atender el hecho de que para las organizaciones la realización de copias de seguridad es una obligación establecida por normas jurídicas (decreto 360/2019. artículos 62 al 64), cuestión esta que no es aplicable a la información personal, pero si es esencial que se esté capacitado para la realización de una copia de seguridad para evitar errores que sean costosos.
Es importante significar, que el enfoque de esta publicación, se puede aplicar a una institución, pero se ha diseñado para que las personas naturales comprenda que su información personal también es valiosa para el cumplimiento de sus funciones o para alcanzar metas, porque la información es un bien social irrepetible resultado de la creación humana y por ello debe ser protegida y más si se trata de un resultado científico o de un material para enseñar.