Resiliencia de datos: un llamado a la realidad

Por años, muchas empresas han relegado la resiliencia de datos a un segundo plano, pero con el tiempo el aumento en los niveles de amenazas, las regulaciones y las mejores prácticas han hecho que hoy la resiliencia sea una prioridad. Sin embargo, la concientización es apenas la mitad de la batalla; la preparación es otra historia.

Ahora que los indicadores de la industria han mejorado, de forma que las organizaciones tienen una idea más precisa de qué buscar, se están dando cuenta de una realidad incómoda: no están tan preparadas como deberían. El informe Introducción al Modelo de Madurez de la Resiliencia de Datos (DRMM): un marco para el avance de la resiliencia de datos empresarial, de Veeam (en colaboración con McKinsey), reveló que aspectos clave de la resiliencia cibernética, incluso fundamentos tradicionales como “Personas y procesos”, se autodeclaraban con frecuencia como significativamente deficientes.

¿Cómo llegamos hasta aquí? Y más aún ¿cómo pueden las empresas corregir estas deficiencias? Para los líderes de negocio, la resiliencia quizá no sea la preocupación más emocionante ni la prioritaria para el negocio. Históricamente, se solía agrupar con la ciberseguridad general y se asumía que ya estaba implementada. Desafortunadamente, como ocurre con la mayoría de las contingencias, el verdadero valor de la resiliencia de datos no se aprecia hasta que las cosas salen mal. Salvo el CISO, los demás directores ejecutivos solían tratar los procesos de respaldo y recuperación como si fueran los airbags del auto: se olvidaban de ellos hasta que se veían involucrados en un incidente, y sólo entonces, de pronto, daban gracias a la buena suerte de haberlos implementado.

Ahora que las fuerzas de la ley están tomando medidas enérgicas contra algunos de los grupos de ransomware más destacados, incluidos BlackCat y LockBit, podría haberse asumido que los ciberataques en general tienden a disminuir; nada más alejado de la realidad: sólo el año pasado, de acuerdo con el informe mencionado arriba, el 69% de las empresas sufrieron un ataque en algún momento, pero un 74% del total todavía no cumplen con las mejores prácticas de resiliencia de datos. La amenaza está en evolución, con grupos más pequeños y los llamados atacantes “solitarios” que aprovechan la oportunidad. Y con una nueva subsección de atacantes, nace también un nuevo conjunto de métodos, con los ataques más rápidos de exfiltración de datos en pleno auge.

El futuro está a la vuelta de la esquina

El reporte de Veeam en colaboración con McKinsey reveló que el 74% de las organizaciones carecían de la madurez necesaria para recuperarse de una disrupción con rapidez y seguridad. Aunque las brechas de resiliencia cibernética suelen deberse a “no darse cuenta sino hasta que es demasiado tarde”, en este caso muchas de estas deficiencias fueron autodeclaradas. La pregunta es: si las empresas son conscientes de las brechas, ¿por qué no las han subsanado?

Para algunos, podría deberse simplemente a que acaban de darse cuenta. La reciente ola de regulaciones, como NIS2 y DORA, han puesto de relieve el problema al exigir a los negocios aumentar su resiliencia en todos los ámbitos. En el último año, antes de que se cumplieran los plazos de cumplimiento, las empresas tuvieron que evaluar críticamente la resiliencia total de sus datos (muchas por primera vez), lo que reveló una serie de puntos ciegos que antes desconocían.

Pero, sin importar cómo detectaron sus brechas, los negocios no se han ido quedando atrás de la noche a la mañana. Muchos se han rezagado gradualmente, pues sus estándares de resiliencia de datos no se han adaptado a la adopción de nuevas tecnologías y aplicaciones.

Mientras la mayoría de las empresas implementan la IA a voluntad para mantenerse vigentes ante la competencia y optimizar sus procesos de negocio, el impacto en sus perfiles de datos ha pasado prácticamente desapercibido. La enorme cantidad de datos que estas aplicaciones requieren y generan, ha dado lugar a perfiles de datos desmesurados que superan con creces las medidas de resiliencia de datos existentes.

Si a ello sumamos una comprensión insuficiente de la resiliencia de datos moderna, se crea la receta perfecta para el desastre. Con frecuencia, el tema es que “uno no sabe lo que no sabe”, lo que lleva a muchos negocios a compararse con criterios erróneos. En un ejercicio práctico estándar, esto es mejor que nada, pero la resiliencia de datos no se puede medir en papel. En teoría los procesos pueden funcionan, pero en la realidad la historia es otra.

Un paso en la dirección correcta

¿Qué sigue? En vez de esperar a que ocurra un incidente que ponga a la empresa a prueba, ésta debe aceptar la incomodidad; es decir, descubrir y abordar las brechas de forma proactiva, por muy incómodas que puedan resultar.

El primer paso para cualquier organización con una resiliencia de datos deficiente debería ser obtener una visión clara de su perfil de datos: qué tiene, dónde está almacenado y por qué lo necesita o no. Con esto, puede reducir al menos parte de la proliferación de datos filtrando cualquier dato obsoleto, redundante o trivial para centrarse en proteger los datos que realmente requiere. Después, necesita ocuparse de su protección.

Pero el trabajo no termina ahí. Una vez que la empresa tenga implementadas sus nuevas y brillantes medidas de resiliencia de datos, es hora de someterlas a pruebas de estrés. Y no sólo una vez; las medidas de resiliencia de datos deben probarse de forma constante y exhaustiva para llevarlas al límite, como en la realidad: los ciberatacantes no se detendrán cuando sus sistemas comiencen a fallar. Y no esperarán al momento perfecto.

Examine escenarios donde las partes interesadas clave estén de vacaciones o cuando los equipos de seguridad estén ocupados con otra cosa, para exponer todas las posibles brechas en sus medidas. Puede parecer excesivo, pero por lo demás, lo primero que oirá hablar de estas vulnerabilidades será durante o después de un ataque real.

Es un trabajo considerable, pero la resiliencia de datos vale cada centavo: el informe de Veeam y McKinsey citado antes indica que los ingresos de las empresas con capacidades avanzadas de resiliencia de datos crecen 10% más anualmente en comparación con las que se quedan atrás.

No es que una mayor resiliencia de datos aumente las cifras por arte de magia, pero elevar los estándares de resiliencia de datos inevitablemente tendrá un efecto dominó en los procesos en general. Como mínimo, puede estar seguro de que las ciberamenazas sólo se volverán más complejas y que la huella de datos no se reducirá a corto plazo. Es un problema que todas las organizaciones tendrán que afrontar, así que lo mejor es lanzarse ahora antes de que un ciberataque lo lleve al límite.