Existen varios conceptos que es necesario entender y reglas que debemos seguir para que nuestros backups sean efectivos.
La regla 3-2-1 se convirtió en un concepto conocido gracias a Peter Krogh, un reconocido fotógrafo que escribió que había dos tipos de personas: aquellos que ya habían sufrido un fallo en el almacenamiento y aquellos que lo iban a sufrir. En otras palabras, la regla 3-2-1 del backup implica que usted debería:
- Guarde al menos tres copias de sus datos.
- Almacene las copias en dos soportes distintos.
- Guarde una copia de backup offsite.
Estos puntos requieren un matiz muy importante: Las 3 copias no deben tener visibilidad entre ellas. De nada nos sirve tener muchas copias si en caso de que nuestra red se vez infectada por un Ransomware las copias pueden acabar infectadas. Para lograr esto, es necesario tener una política de usuarios y contraseñas adecuada, y específicamente diseñada para realizar backups. Además entornos del tipo Wasabi, Amazon S3 ó Jotelulu S3 ofrecen una seguridad adicional al ser solo accesibles desde una API: Es decir, se necesita un software específico, al que se asignan unas claves secretas y unos tokens que no están accesibles desde el sistema operativo que puede ser infectado.
Si cumplimos la regla 3-2-1 habremos respondido a los principales conceptos: Cuantas copias, en que soporte, y donde las guardaremos. Pero aun hay mucho más que debemos conocer para definir nuestro plan de contingencia.
La frecuencia de las copias depende de la capacidad de almacenamiento, de procesamiento y del tipo de dato que manejemos. Para las bases de datos SQL de TREE y a3ERP, suele ser suficiente realizar un backup diario, aunque es bastante sencillo realizar backups diferenciales automatizados cada x minutos que apenas suponen un poco más de espacio extra y procesamiento.
Otro concepto es el periodo de retención de las copias. Puede que la versión del archivo que queramos recuperar no sea la última, sino la de hace unos días. Debido a que los virus a veces están latentes en nuestras copias y tardan en manifestarse, es importante disponer del mayor número posible de copias. Por ejemplo, una buena política de copias sería guardar 7 copias diarias (podríamos recuperar cualquier día de la última semana) y 8 copias semanales (podríamos ir 2 meses hacia atrás).
Asociado al periodo de retención y la frecuencia de las copias está la definición de qué datos queremos salvaguardar. Por ejemplo, los datos SQL tendrán mucha más importancia que los archivos del sistema operativo o de los ejecutables de las aplicaciones que usemos. Por tanto, habrá datos que bastará con copiar una vez a la semana y en cambio otros será necesario guardarlos en nuestro backup cada 15 minutos por ejemplo.
Es importante además la encriptación de los ficheros, tanto de los almacenados en el repositorio de backup, como en el transporte de las copias (por ejemplo usando https para la copia externa). De esta manera, si un pirata se hace con nuestros datos no podrá utilizarlos. Normalmente esta encriptación (y desencriptación al restaurar) es realizada por el software de backup que utilicemos de forma totalmente transparente para nosotros.
En cuanto a la automatización, es totalmente necesaria. Las copias manuales nunca sobran, pero requerirán de mucho tiempo (caras) y será fácil equivocarnos u olvidar elementos. Por tanto:
- Las copias deben ser automáticas mediante una programación.
- El borrado de las copias que superan el periodo de retención debe ser también automático.
- Debemos obtener un email indicándonos el éxito o fracaso de cada copia realizada.
También es necesario la comprobación periódica de la calidad de la copia, restaurando los archivos y viendo que efectivamente son operativos. Esta operación la podemos realizar cada 3 meses por ejemplo.
Otro aspecto importante es que los soportes donde realicemos el backup sean inmutables, de tal manera que en caso de que nuestra instalación o la del proveedor del espacio de almacenamiento se vea atacada por un ransomware u otro tipo de virus, no sea capaz de modificar nuestros archivos. Los entornos como Wasabi, Amazon S3 o Jotelulu S3 facilitan este tipo de configuraciones.
Por último, está la responsabilidad. Podemos confiar nuestros datos a uno o varios proveedores de almacenamiento cloud, pero los ataques son cada vez más complejos, y aunque nuestro proveedor de almacenamiento tenga todo en orden y no cometa ninguna negligencia, eso no nos asegura que un pirata pueda llegar a acceder a nuestras copias, borrarlas, manipularlas o hacer un uso fraudulento de nuestros datos. Por ello, en el apartado de responsabilidad es necesario:
- Desconfiar de correos sospechosos, que nos puedan infectar. El correo es la principal puerta de entrada a nuestra red del malware.
- Usar siempre software legítimo. No descargar nunca software sospechoso.
- Disponer en nuestra red de las medidas adecuadas: Seguridad, firewall, antivirus, discos en raid en nuestros servidores, disco spare para el cambio automático en caso de rotura de un disco, sistema de alertas por email.
- Si es posible, ayuda también un sistema de monitorización de redes: Nos avisará de discos que superan un umbral de capacidad, o discos averiados, o servicios caídos, o fallos en nuestra red, o comunicaciones fuera de lugar.
- No podemos confiar ciegamente sólo en nuestro proveedor de almacenamiento cloud. Debemos tener acceso a nuestras copias sin necesidad de contactar con ellos: Por ejemplo, debemos tener acceso mediante un panel de descargas y realizar copias adicionales según lo descrito anteriormente.
- Para los archivos de ofimática (word, excel, pdf, imágenes,…) es recomendable usarlos desde una unidad OneDrive (de Microsoft), Google Drive, Dropbox o similar. Las versiones de pago de dichos sistemas incluyen un versionado que proporciona un nivel de seguridad adicional.
Para facilitar todas las operaciones de backup necesitaremos al menos de los siguientes componentes mínimos:
- Un software de backup que automatice las tareas. Podemos usar desde un simple archivo de proceso por lotes programado por nosotros hasta el más potente y moderno software de backup. Para las bases de datos SQL recomendamos SqlBackupAndFtp. Para los servidores recomendamos Altaro, VeemBackup, Acronis o similar. Para la ofimática recomendamos OneDrive, Google Drive o Dropbox.
- Un NAS en nuestra LAN para guardar nuestras copias locales. Puede ser desde un disco externo que solo pinchemos al hacer la copia, hasta una moderna cabina de backup que incluya almacenamiento raid y su propio software de backup y encriptación.
- Un almacenamiento offsite para guardar nuestras copias. Podemos usar desde una cuenta gratuita de Onedrive hasta almacenamiento específico para copias como Wasabi, Amazon S3 o Jotelulu S3.
Al igual que ocurre en los seguros, la mejor copia es la que nunca necesitarás restaurar.