La creciente dependencia de la mayoría de las organizaciones de sus sistemas de información pone de manifiesto la necesidad de contar con medios y técnicas que permitan almacenar la información de la manera más adecuada.
Una correcta gestión de este proceso permite mantener en todo momento la integridad, confidencialidad y disponibilidad de la información.
Las empresas necesitan infraestructuras de almacenamiento flexibles y soluciones que protejan y resguarden la información y se adapten a los rápidos cambios del negocio y las nuevas exigencias del mercado, garantizando el rápido retorno de la inversión efectuada.
Alineando las diferentes soluciones de almacenamiento con los requerimientos del negocio se consigue hacer un uso más correcto de las mismas.
Analizamos aquí en qué consiste esta gestión de soportes y cómo debe realizarse.
Indice
¿Qué es la gestión de soportes?
El término gestión de almacenamiento abarca las tecnologías y procesos que las organizaciones usan para maximizar o mejorar el rendimiento de sus recursos de almacenamiento de datos.
Es una categoría amplia que incluye virtualización, replicación, duplicación, seguridad, compresión, análisis de tráfico, automatización de procesos, aprovisionamiento de almacenamiento y técnicas relacionadas.
Según algunas estimaciones, la cantidad de información digital almacenada en los sistemas informáticos del mundo se duplica cada año.
Como resultado, las organizaciones sienten una presión constante para expandir su capacidad de almacenamiento. Sin embargo, duplicar la capacidad de almacenamiento de una empresa cada año es una propuesta costosa.
Para reducir algunos de esos costes y mejorar las capacidades y la seguridad de sus soluciones de almacenamiento, las organizaciones recurren a una variedad de soluciones de administración de almacenamiento.
La finalidad principal de la gestión de los dispositivos de almacenamiento es proteger la información que contienen.
Seguridad del almacenamiento de datos
Tradicionalmente, el almacenamiento y la seguridad han sido disciplinas separadas dentro de TI. Si bien los dos grupos tenían algunas preocupaciones superpuestas y trabajaron juntos en algunos proyectos, fueron muy distintos.
En estos días, ese modelo está cambiando. Las constantes noticias sobre violaciones de seguridad en compañías conocidas tienen a los líderes de TI empresariales muy preocupados por su propio riesgo.
La seguridad del almacenamiento de datos es un subconjunto del campo de seguridad de TI más amplio, y se centra específicamente en proteger los dispositivos y sistemas de almacenamiento.
La seguridad de almacenamiento es la aplicación de controles físicos, técnicos y administrativos para proteger los sistemas de almacenamiento y la infraestructura, así como los datos almacenados en ellos.
Se centra en proteger los datos (y su infraestructura de almacenamiento) contra la divulgación, modificación o destrucción no autorizadas, al tiempo que garantiza su disponibilidad para los usuarios autorizados.
Estos controles pueden ser de naturaleza preventiva, correctiva, disuasoria, de recuperación o compensatoria.
Para los administradores y gerentes de almacenamiento, garantizar la seguridad adecuada del almacenamiento de datos es un acto de equilibrio cuidadoso. Deben sopesar tres preocupaciones principales: confidencialidad, integridad y disponibilidad.
Deben mantener los datos confidenciales fuera del alcance de los usuarios no autorizados y deben asegurarse de que los datos en sus sistemas sean confiables, al tiempo que deben asegurarse de que los datos estén disponibles para todos en la organización que necesiten acceder a ellos.
Al mismo tiempo, deben ser muy conscientes del valor de sus datos. Nadie quiere terminar con sistemas de seguridad de almacenamiento de datos que son más caros que el valor de los datos que están protegiendo.
Sin embargo, las organizaciones también necesitan tener sistemas de seguridad lo suficientemente fuertes que violarlos requeriría que los atacantes potenciales gasten más tiempo y recursos de lo que los datos valdrían en última instancia.
Seguridad de datos vs protección de datos
La seguridad del almacenamiento y la seguridad de los datos están estrechamente relacionadas con la protección de datos.
La seguridad de los datos consiste principalmente en mantener la información privada fuera del alcance de cualquier persona no autorizada para verla. También incluye proteger los datos de otros tipos de ataques, como el ransomware que impide el acceso a la información o los ataques que alteran los datos, lo que los hace poco confiables.
La protección de datos se trata más de garantizar que los datos permanezcan disponibles después de incidentes menos nefastos, como fallos en los sistemas o componentes o incluso desastres naturales.
Pero las dos se superponen en su necesidad compartida de garantizar la fiabilidad y la disponibilidad de la información, así como en la necesidad de recuperarse de cualquier incidente que pueda amenazar los datos de una organización.
Los profesionales del almacenamiento a menudo se enfrentan a problemas de seguridad y protección de datos al mismo tiempo, y algunas de las mismas mejores prácticas pueden ayudar a resolver ambas preocupaciones.
Tipos de dispositivos de almacenamiento
Los principales tipos de dispositivos de almacenamiento son:
Dispositivos de almacenamiento magnético
Uno de los tipos de almacenamiento más populares utilizados. Pueden ser:
- Disquete flexible: un disco normal de 3 ½ pulgadas puede almacenar 1,44 MB de datos.
- Disco duro : un disco duro interno es el principal dispositivo de almacenamiento en una computadora. Un disco duro externo también se conoce como disco duro extraíble. Se utiliza para almacenar datos portátiles y copias de seguridad.
- Banda magnética: la unidad de cinta magnética almacena vídeo y audio usando cinta magnética, como cintas y grabadoras de vídeo.
- Super disco : una unidad de disco y un disquete que pueden contener 120 MB y 240 MB de datos.
- Cinta de cassette : dispositivo de almacenamiento magnético utilizado para la grabación y reproducción de audio.
- Disquete Zip : como un disquete flexible pero más avanzado.
Dispositivos de almacenamiento óptico
Utiliza láseres y luces como modo de guardar y recuperar datos. Dentro de estos están:
- Blu-ray : un dispositivo de almacenamiento óptico digital destinado a reemplazar el formato DVD.
- CD-ROM : dispositivo de almacenamiento óptico de solo lectura o que no se puede modificar ni eliminar.
- CD-R y CD-RW : el CD-R es un disco grabable en el que se puede escribir una vez, mientras que el CD-RW es un disco regrabable que se puede escribir en varias veces.
- DVD-R, DVD + R, DVD-RW y DVD + RW : DVD-R y DVD + R son discos grabables que pueden grabarse una vez, mientras que DVD-RW y DVD + RW son discos regrabables que pueden grabarse en varias veces. La diferencia entre + y – está en el formato y la compatibilidad.
Dispositivos de memoria flash
Ahora está reemplazando el dispositivo de almacenamiento magnético, ya que es económico, más funcional y confiable. Aquí, podemos distinguir:
- Tarjeta de memoria : un dispositivo de memoria flash electrónico que se usa para almacenar información digital y se usa comúnmente en dispositivos electrónicos móviles.
- Lápiz de memoria – una tarjeta de memoria que se puede quitar.
- SSD – Unidad de estado sólido : un dispositivo de memoria flash que utiliza conjuntos de circuitos integrados para guardar datos de manera constante.
- Unidad flash USB, unidad de salto o memoria USB : un dispositivo de almacenamiento pequeño y portátil conectado a través del puerto USB.
Dispositivos en línea y en la nube
Ahora se está generalizando a medida que las personas acceden a datos desde diferentes dispositivos. Dentro de estos están:
- Almacenamiento en la nube : los datos se administran de forma remota y están disponibles a través de una red. Las funciones básicas son de uso gratuito, pero la versión actualizada se paga mensualmente como una tasa de consumo.
- Medios de red : audio, vídeo, imágenes o texto que se utilizan en una red informática. Una comunidad de personas crea y usa el contenido compartido en Internet.
Almacenamiento de papel
Método utilizado por los primeros ordenadores para guardar información. Aquí podemos distinguir:
- OMR (siglas en inglés de Optical Mark Recognition): un proceso de captura de datos marcados de humanos a partir de formas como encuestas y pruebas. Se utiliza para leer cuestionarios con múltiples opciones sombreadas.
- Tarjeta perforada : un pedazo de papel duro que se utiliza para contener información digital proveniente de los agujeros perforados. La presencia o ausencia de agujeros en posiciones predeterminadas definen los datos.
Elementos clave para la seguridad del almacenamiento de datos
Varias tendencias recientes están aumentando el interés empresarial en la seguridad de los datos. Dentro de estas están:
Crecimiento de datos
La cantidad de datos almacenados en los sistemas informáticos del mundo se duplica aproximadamente cada dos años.
Para las empresas, eso significa constantemente la necesidad de agregar nuevo almacenamiento para mantenerse al día con las necesidades comerciales. Y a medida que crecen los volúmenes de almacenamiento, se vuelven más valiosos como objetivos y más difíciles de proteger.
Crecimiento de los ciberataques
En 2018 se produjeron más de 2.200 incidentes de violación de datos, y eso es solo una fracción de los eventos reales experimentados por las organizaciones. Y un informe reciente de una agencia del gobierno del Reino Unido encontró que 2017 tuvo más ataques cibernéticos que cualquier otro año registrado.
Los nuevos ataques parecen estar en las noticias casi todos los días, y eso tiene a las empresas preocupadas por su postura de seguridad.
Coste de las violaciones de datos
Recuperarse de una violación de datos es increíblemente costoso. Las empresas que experimentan violaciones se gastan una media de 3,80 millones de euros, o alrededor de 160 euros por registro perdido, para recuperarse de los incidentes.
Esos gastos pueden ser un estímulo poderoso para mejorar la seguridad de los datos.
Aumento del valor de los datos
Gracias al aumento del análisis a través del Big data, las organizaciones están más conscientes que nunca del valor de sus datos.
El mercado de análisis de big data creció hasta un 70% en los últimos años, y para 2020, las empresas probablemente gastarán más de 23 mil millones de euros en herramientas para ayudarlas a descubrir información valiosa en sus datos.
Pero para que los análisis resulten útiles, las empresas deben poder garantizar la veracidad de sus datos, y eso significa invertir en seguridad.
Redes sin bordes
Gracias a las nuevas tecnologías como la computación en la nube y el Internet de las cosas (IoT), las empresas ahora tienen datos distribuidos en más lugares que nunca.
Las redes corporativas ya no tienen una ventaja que las organizaciones pueden definir y proteger con firewalls. En cambio, deben confiar más en la defensa en profundidad, incluida la seguridad del almacenamiento, para proteger su información.
Regulación
Los gobiernos están cada vez más interesados en la seguridad de los datos y, como resultado, aprueban leyes más estrictas.
El Reglamento General de Protección de Datos (RGPD) de la UE , que entró en vigor el 25 de mayo de 2018, está obligando a las empresas de todo el mundo a tomar medidas más fuertes para proteger la privacidad del cliente, y eso también afectará la seguridad del almacenamiento.
Necesidad de continuidad del negocio
Tanto los desastres naturales como los ataques informáticos destacan la necesidad de la continuidad del negocio y las capacidades de recuperación ante desastres.
Esto está impulsando la demanda de copias de seguridad seguras y otras tecnologías de seguridad de almacenamiento.
Enfoques de DevSecOps
Un 63 por ciento de las organizaciones ya han implementado DevOps, y otro 27 por ciento está planeando hacerlo.
A medida que DevOps crece, más empresas se interesan en DevSecOps, que integra la seguridad en el enfoque y extiende la responsabilidad de la seguridad en toda la organización, incluido el equipo de almacenamiento de datos.
Vulnerabilidades del almacenamiento
Otro gran impulsor del interés en la seguridad del almacenamiento de datos son las vulnerabilidades inherentes a los sistemas de almacenamiento.
Dentro de esas vulnerabilidades están:
Falta de cifrado
Aunque algunos dispositivos NAS y SAN de gama alta incluyen cifrado automático, muchos productos en el mercado no incluyen estas capacidades. Eso significa que las organizaciones necesitan instalar un software separado o un dispositivo de cifrado para asegurarse de que sus datos estén cifrados.
Almacenamiento en la nube
Un número creciente de empresas está optando por almacenar algunos o todos sus datos en la nube.
Aunque algunos sostienen que el almacenamiento en la nube es más seguro que el almacenamiento local, la nube agrega complejidad a los entornos de almacenamiento y a menudo requiere que el personal de almacenamiento aprenda nuevas herramientas e implemente nuevos procedimientos para garantizar que los datos estén adecuadamente protegidos.
Destrucción de datos incompleta
Cuando los datos se eliminan de un disco duro u otro medio de almacenamiento, pueden dejar rastros que podrían permitir que personas no autorizadas recuperen esa información.
Depende de los administradores y gerentes de almacenamiento garantizar que los datos borrados del almacenamiento se sobrescriban para que no se puedan recuperar.
Falta de seguridad física
Algunas organizaciones no prestan suficiente atención a la seguridad física de sus dispositivos de almacenamiento.
En algunos casos, no consideran que una persona con información privilegiada, como un empleado o un miembro de un equipo de limpieza, pueda acceder a dispositivos de almacenamiento físico y extraer datos, evitando todas las medidas de seguridad cuidadosamente planificadas basadas en la red.
Buenas prácticas para proteger los dispositivos de almacenamiento
Para responder a estas tendencias tecnológicas y abordar las vulnerabilidades de seguridad inherentes en sus sistemas de almacenamiento, los expertos recomiendan que las organizaciones implementen las siguientes mejores prácticas de seguridad de datos:
1. Políticas de seguridad de almacenamiento de datos
Las empresas deben tener políticas escritas que especifiquen los niveles de seguridad apropiados para los diferentes tipos de datos que tienen.
Obviamente, los datos públicos necesitan mucha menos seguridad que los datos restringidos o confidenciales. La organización necesita contar con modelos, procedimientos y herramientas de seguridad para aplicar las protecciones adecuadas.
Las políticas también deben incluir detalles sobre las medidas de seguridad que deben implementarse en los dispositivos de almacenamiento utilizados por la organización.
2. Control de acceso
El control de acceso basado en roles es imprescindible para un sistema de almacenamiento de datos seguro y, en algunos casos, la autenticación multifactor puede ser adecuada.
Los administradores también deben asegurarse de cambiar las contraseñas predeterminadas en sus dispositivos de almacenamiento y de forzar el uso de contraseñas seguras por parte de los usuarios.
3. Cifrado
Los datos deben cifrarse tanto en tránsito como en reposo en los sistemas de almacenamiento.
Los administradores de almacenamiento también deben tener un sistema seguro de administración de claves para rastrear sus claves de cifrado.
4. Prevención de pérdida de datos
Muchos expertos dicen que el cifrado por sí solo no es suficiente para proporcionar seguridad de datos completa.
Recomiendan que las organizaciones también implementen soluciones de prevención de pérdida de datos (DLP) que pueden ayudar a encontrar y detener cualquier ataque en curso.
5. Seguridad de red sólida
Los sistemas de almacenamiento no existen en el vacío; deben estar rodeados de sistemas de seguridad de red sólidos, como:
- firewalls,
- protección antimalware,
- puertas de enlace de seguridad,
- sistemas de detección de intrusos y
- soluciones avanzadas de seguridad basadas en análisis y aprendizaje automático.
Estas medidas deberían evitar que la mayoría de los ciberatacantes tengan acceso a los dispositivos de almacenamiento.
6. Seguridad de punto final fuerte
De manera similar, las organizaciones también deben asegurarse de tener medidas de seguridad apropiadas en los PC, teléfonos inteligentes y otros dispositivos que accederán a los datos almacenados.
Estos puntos finales, en particular los dispositivos móviles, pueden ser un punto débil en las ciberdefensas de una organización.
7. Redundancia
El almacenamiento redundante, incluida la tecnología RAID , no solo ayuda a mejorar la disponibilidad y el rendimiento. En algunos casos, también puede ayudar a las organizaciones a mitigar los incidentes de seguridad.
8. Copia de seguridad y recuperación
Algunos ataques exitosos de malware o ransomware comprometen las redes corporativas de manera tan completa que la única forma de recuperarse es restaurar desde copias de seguridad.
Los administradores de almacenamiento deben asegurarse de que sus sistemas y procesos de respaldo sean adecuados para este tipo de eventos, así como para fines de recuperación ante desastres. Además, deben asegurarse de que los sistemas de respaldo tengan el mismo nivel de seguridad de datos que los sistemas primarios.
9. Autenticación, Autorización y Responsabilidad
La autenticación y autorización de usuarios es una de las debilidades más comunes en las redes, y las redes de área de almacenamiento no son diferentes. Estos son conceptos importantes en la seguridad de la red.
La autenticación se refiere al proceso mediante el cual se verifica que alguien es quien dice ser. Esto tradicionalmente implica un nombre de usuario y una contraseña, pero puede incluir cualquier otro método para demostrar identidad, como una tarjeta inteligente, datos biométricos, reconocimiento de voz, huellas digitales, etc. La seguridad de autenticación se controla mediante políticas y protocolos.
La autorización se refiere al proceso de determinar si un usuario, una vez identificado y autenticado, puede tener acceso a un recurso en particular.
Esto generalmente se determina al averiguar si esa persona es parte de un grupo en particular que proporciona los permisos correctos, los derechos o el nivel requerido de autorización de seguridad para acceder a un recurso.
La responsabilidad se refiere a los mecanismos de seguimiento utilizados para mantener un registro de eventos en un sistema.
Una herramienta utilizada a menudo para este propósito se conoce como auditoría. La auditoría es el proceso de monitorizar las actuaciones y mantener un registro de lo que ocurrió en un sistema. Depende en gran medida del administrador qué tipos de eventos deben rastrearse y cuáles no. Al rastrear eventos en un sistema, se espera que los intentos de acceder a la red o comprometer los datos se registren y eviten.
10. Confidencialidad e Integridad
En cualquier estrategia de seguridad, se necesitan protocolos para evitar que los intrusos lean los datos (confidencialidad) y otros para determinar si los datos han sido alterados durante el tránsito (integridad).
Para evitar que se lean los datos, se utiliza el cifrado. El cifrado toma datos sin procesar y los codifica de tal manera que no se puede leer sin la clave. Si la clave correcta no está disponible, los datos robados mantienen su confidencialidad.
Todos los protocolos de cifrado están diseñados para hacer que los datos interceptados sean ilegibles para garantizar la confidencialidad.
La integridad se refiere a la verificación de datos para garantizar que los datos no hayan sido alterados o modificados de ninguna manera.