Muchos son los quebraderos de cabeza de los gerentes y responsables de informática en las empresas cuando, en un momento dado (y más de uno), pierden el servicio del sistema informático por interferencias, caídas, ataques, averías, o accidentes.
Existen muchos métodos de seguridad, respaldo y protección del sistema que son requeridos para mantener el control de riesgos, seguridad y mantenimiento de la integridad de la información. Sin embargo, generalmente, no se llevan a cabo todos los procesos ni recursos necesarios para reducir al máximo estos riesgos, ya sea por la falta de concienciación o por la inversión que conlleva. De esta manera se suele dejar en segundo plano todo lo que no esté directamente relacionado con el negocio.
Podemos hablar de los riesgos y la seguridad en muchos aspectos. Las amenazas pueden ser exteriores, desde internet, internas como averías o accidentes y catastróficas. Aunque el riesgo 0 no existe, sí se puede actuar para minimizar al máximo los posibles problemas, y organizar un plan de contingencia probado para casos extremos. Todo ello en pro de la seguridad, la integridad de la información y evitar la paralización del sistema.
Con el sistema cloud computing, muchos de estos riesgos quedarían casi anulados, derivando en Data Centers los procesos, gestión, backups, seguridad, con grandes inversiones en hardware, replicaciones geográficas, cumplimiento estricto de la LOPD y RGPD, etc. Pero, de momento, en España, aunque evolucionando mucho cada año, seguimos con los sistemas tradicionales y en mayor proporción entre las pymes.
No obstante, aunque son muchos los casos extremos que he vivido, me gustaría enumerar algunos de los problemas más importantes que he padecido por la falta de inversión en seguridad y contingencias.
3 ejemplos de pérdida de datos
Consecuencia de falta de copias de seguridad eficientes o en la nube.
- En una oficina con una gestión de más de 400 empleados, contabilidades, datos, etc.., una tarde de agosto, el aparato de aire acondicionado algo antiguo goteó por el efecto de la condensación, se produjo un corto circuito y, en consecuencia, un incendio que quemó la oficina, el sistema informático, incluido las copias de seguridad que tenían bajo un cajón.
- En una tienda de artículos de electrónica, se produjo un robo de gran preparación, ya que, aunque saltó la alarma con humo denso, pudieron llegar a extraer los artículos más valorados, y dañaron el sistema informático, así como extracción de la caja fuerte donde estaban las copias de seguridad.
- Se imaginan un gran Hotel de muy alto standing, con servicios de Spa y estética de muy alta calidad y premiado internacionalmente, con reservas procedentes de clientes de muchos países del mundo. Pues bien, una avería insalvable en el Servidor exclusivo para el software de reservas de estos servicios impide iniciarse y no existen Backups de este Servidor…
Pues sí, todo esto puede pasar, al no tener personal técnico informático cualificado en plantilla o, al menos, una empresa contratada para su mantenimiento, y solo dar avisos esporádicos para solucionar problemas informáticos puntuales a informáticos locales. Esto es la falta de inversión.
Ejemplo de falta de integridad de datos
Consecuencia de puertos del router abiertos sin seguridad ni cifrado. Falta de plan de contingencia.
- Desde hace más de 10 años, las empresas están amenazadas por el virus “ransomware”. Para mí, el más catastrófico y que produce más quebraderos de cabezas. Los primeros casos detectados en España los sufrimos en varias empresas. El “ransomware” es un ataque informático cibernético, que puede provenir desde un enlace de email a una entrada por puertos abiertos sin seguridad en el router, que hacen conseguir entrar al sistema por vulnerabilidades y ejecutan un proceso que cifran todos los archivos conectados en la red local, dispositivos y soportes conectados físicamente a los servidores y ordenadores. Todo ello perdiendo la posibilidad de operatividad del sistema y pérdida de datos en la práctica. El hacker pide un rescate para descifrar los datos con un pago en moneda cibernética.
- En una empresa productora de alimentación, el gerente decidió hacer el pago del rescate para evitar rehacer el sistema con un coste supuestamente superior. Se pagaron aproximadamente 250 bitcoins. En este caso, aunque sí se disponía de copias de seguridad, al no existir un plan de contingencia, rehacer todo el sistema en tiempo record lleva una gran inversión de tiempo y dinero. Y es que, al perder también ficheros del sistema operativo, enlaces, programaciones, etc.. todo ello lleva a la paralización del negocio hasta rehacer el sistema.
Ejemplo de robo de datos
Consecuencia de falta de seguridad antivirus, no cifrado de emails, y falta de concienciación ante los emails tipo phishing.
- En una gran asesoría con departamento de inmobiliaria, no se sabe con precisión si el hacker introdujo un troyano, a través de un enlace de email tipo phishing, o a través de lectura del tráfico de email sin cifrado. El caso es que consiguió la contraseña de un email de un gestor de compra-venta inmobiliario, y el hacker se hizo pasar por el gestor, leyendo los mensajes que recibía y enviando, en su nombre, mensajes al cliente. De tal forma que consiguió engañar al cliente para transferir con un número de referencia bancaria distinto, unos 200.000€ al supuesto hacker como beneficiario. Sin embargo, en el último momento el banco dio la voz de alarma, al detectar un país destinatario no concordante con el del beneficiario real y se pudo paralizar.
A los informáticos, nos gustaría que nunca sucedan estos casos extremos. No solo por la parte perjudicial que implica al cliente, sino también por la parte que nos toca de reparar o restablecer el sistema, siempre con un extra de estrés, ansiedad y presión por parte del cliente. Y es que, mientras esto sucede, está sufriendo una falta de producción en su empresa, o una falta de salida de sus mercancías. Además, algunas veces hacen responsables injustamente de la situación a los informáticos por no poder solucionarlo más rápido cuando, en la mayoría de los casos, los empresarios no han querido invertir lo recomendable para evitar estas situaciones.
Niveles de seguridad óptimos para evitar los riesgos, en sistemas locales y no clouding
Desde donde se enchufan los servidores hasta el último puesto se recomienda las siguientes coberturas de protección y minimización de riesgos, dependiendo también de la exigencia y la dependencia tecnológica en la producción de la empresa.
- Protección de los Servidores con SAIs (Sistema de Alimentación Ininterrumpida) de tipo online, para protección no solo de bajadas de corriente sino también oscilaciones bruscas y/o subidones de corriente. Sin esta protección, en caso de parada del Servidor o exceso de potencia eléctrica sin filtrar, podría provocar daños físicos en la electrónica de los Servidores, además de la interrupción de las tareas propias del sistema con consecuencias imprevisibles.
- Software de apagado asistido y desatendido, para casos de caída eléctrica prolongadas que haga gastar la batería del SAI y, en consecuencia, apagar bruscamente el Sistema.
- Servidores con tolerancia a fallos, es decir, en los componentes más susceptibles de averías, disponer de segunda opción. Doble fuente alimentación con cambio en caliente (hot plug), Raid de discos duros, autodiagnóstico contra averías o prevención de las mismas, como aviso por exceso de temperatura, Fans dañados, fallos en RAM, CPU, etc.
- Cabina de discos para compartir entre varios Servidores, para casos de caída del principal. Opcional para casos especiales debido al coste.
- Réplica de la Base de datos en otro Servidor. Para casos de caída del primero. El sistema automático de réplicas de los motores de bases de datos permite disponer de tolerancia a fallo completo de un Servidor.
- Clouster, o réplica online completa de uno o varios Servidores, para casos de caída del principal y necesidad de mantener todos los servicios de los Servidores y evitar paradas de sistemas que requieren activos 24h.
- Otra opción para caso de contingencias más económica es disponer de otro Servidor de características similares con sincronización de datos no online 100%.
- En el caso de virtualizar el Sistema, es decir, disponer de sistemas operativos máquinas virtuales sobre un Servidor físico “host”, es más económico y fácil, la réplica de los Servidores y servicio contingencia, conmutando online de uno a otro en caso de error.
- Sistema de copias de seguridad que reúna las siguientes condiciones. Soportes con copia actualizada fuera de sus instalaciones, reporte del resultado de la copia, copias cifradas, y aisladas. Mejor el sistema de backups online en la nube, que reúne estas condiciones. Muy importante, cada cierto tiempo, comprobar las copias de seguridad, certificando que lo que se está copiando es lo correcto y ejecutar un proceso de restauración de prueba. Varios sistemas en paralelo para que, en caso de fallo, se disponga de otro. Si hay Backups en la nube, en caso de fallar internet una noche en las copias o fallo del agente, problemas o actualizaciones en el Data Center, disponer de copias actualizadas con soportes locales, nos puede salvar en un momento, dado que requerimos los datos más actualizados posibles.
- Zona de alojamiento de los Servidores, protegidos contra posibles intrusiones no deseables, temperatura sin exceso para el mantenimiento confiable del hardware.
- Firewall físico/lógico para la protección perimetral de la red local de la empresa. Analiza todo el tráfico de internet y en caso de detección de malware es capaz de bloquearlo. También suelen disponer de servicios de seguridad adicionales como antispam, filtro de contenido para evitar acceso a webs no deseables, antiintrusismo, cifrado de los puertos abiertos, filtros anti botnet, sistema de bloqueo ante posible “rasomware”, altos niveles de cifrados de circuitos VPN, site to site o de clientes de acceso remoto móviles, etc.. En realidad, no muy costoso y dimensionado para cualquier empresa.
- En el caso de que la empresa no deba parar por falta de internet o falta de acceso a la red local, doble switch gestionable y doble router de internet preferiblemente de fuentes distintas, por ejemplo uno por fibra óptica y otro por 4 o 5G.
- Sistema de protección ciberseguridad, basado en antivirus y antimalware en general, tanto a nivel perimetral como local para cada dispositivo, analizando cada mensaje de correo, fichero que se ejecuta o datos que se mueven por la red local e internet.
- Cada cierto tiempo, visita de informático para análisis de riesgos, y protección en su caso, para minimizar problemas de seguridad.
- Alto nivel de protección del correo electrónico corporativo. Recomendación de doble sistema de autenticación de los correos electrónicos.
- Formación y explicaciones al personal para ayudar a reducir los riesgos de seguridad, sobre todo en lo relativo al correo electrónico, donde cada vez hay más casos y más sofisticación de intento de engaño y phishing en los mensajes de correo electrónico, evitar accesos a webs no cifradas (http://), etc..
- Acostumbrarse a generar contraseñas para acceso de los usuarios o portales a recursos, seguras, de dificultad alta de descifrado, como más de 8 caracteres, mezcla de caracteres alfabéticos, numéricos y signos.
- Seguir las normas vigentes según la LOPD y la RGPD.
Adopción cloud en España
Seguramente muchos gerentes o responsables de informática, después de leer estos casos reales descritos de desastres y la inversión para seguir la recomendación de reducir estos riesgos, estarían más convencidos de usar su software a través del sistema cloud completo o híbrido.
Los argumentos más habituales que he recibido para no usar el cloud completamente para su sistema, en general, ciertos y no ciertos, son los siguientes:
- Falta de confianza y privacidad de los datos, al alojarlo y alquilarlo a terceros.
- Dependencia absoluta del sistema y funcionalidad a terceros.
- Miedo de bloqueo o falta de control o robo de datos.
- Miedo a faltar acceso a su información en el momento preciso debido a fallo en el acceso a internet.
- Susceptibles de más ataques informáticos al tratar con gran cantidad de clientes e información.
- En algunos casos, acceso a internet de muy baja calidad.
- Excesivo coste continuo en comparación con una instalación simple local.
- Desconfianza de respuesta de rendimiento con los recursos contratados y exceso de coste en la redimensión.
- Desconfianza del tiempo de respuesta en caso de problemas y falta de control del soporte técnico de 3º.
- Falta de cultura del alquiler y más de la propiedad. (Parecidas conciencias con la vivienda).
- Desconfianza de compañías multinacionales que hacen pensar al cliente que no podrían ejercer presión ante posibles problemas, tratándose de un número más.
Normalmente, la mayoría de los usuarios que no confían con el cloud, son empresas tradicionales y no de reciente creación. Aun siendo España uno de los países de la Unión Europea con menos adopción del cloud, la evolución ha sido rápida en los últimos 5 años.
Según Eurostat, con datos consolidados hasta 2021, la adopción del cloud computing en empresas en España, ha pasado del 18 % en 2016 al 31 % en 2021. Sin embargo, en 2021, el porcentaje de empresas españolas que usan la computación en la nube aún está lejos del índice de adopción cloud de otros países como Suecia (75 %), Finlandia (75 %) y Países Bajos (65 %).
Y estos porcentajes en España, son más bajos aún en la pyme española, que en la media de empresas en general. La mayoría de las empresas que usan el sistema cloud computing, lo usan sobre todo para el almacenamiento de datos y el email.
Está claro que la tendencia pasa por el sistema Cloud Computing, ya sea híbrido o completo, y viene para quedarse. Progresivamente será un camino de cambio de mentalidad y de estrategias globales que sigan compañías de software, para obligar a trabajar con servicios profesionales, cloud. Mientras tanto, esteremos preparados para trabajar con el cliente en ambos sistemas.
Francisco López
Responsable del departamento de Sistemas
La seguridad se ha convertido en uno de los desafíos más importantes para las pymes. Y es que, no solo se han incrementado el número y el tipo de ataques, sino también su precisión. Además, ahora los hackers también atacan a empresas, organizaciones públicas, organismos gubernamentales, etc. ¿Quieres proteger los datos de tu negocio? ¡Rellena el formulario y buscaremos la solución más adecuada para ti!
Deja tu comentario