Requisitos del NIST para copias de seguridad y recuperación

¿Qué es el NIST?

El NIST es el Instituto Nacional de Normas y Tecnología, una agencia gubernamental de Estados Unidos que depende del Departamento de Comercio. La agencia en cuestión tiene más de cien años, aunque fue conocida como Oficina Nacional de Normas desde 1901 hasta 1988.

Su principal objetivo es desarrollar nuevas normas técnicas y mejorar las existentes en diferentes campos: ciberseguridad, medición o cualquier cosa relacionada con la tecnología moderna.

Marco de ciberseguridad del NIST

La ciberseguridad es una de las esferas de interés más importantes del NIST, ya que la información es el activo más valioso de una persona o empresa en la actualidad. En este contexto, la protección integral de los datos es algo natural, y corresponde a organizaciones como el NIST intentar crear directrices accesibles y convenientes sobre la protección de la información frente a múltiples tipos de ciberataques.

Como tal, el Marco de Ciberseguridad del NIST (CSF, por sus siglas en inglés) se creó hace más de una década para proporcionar una asistencia integral a las empresas que buscan proteger su información mediante diversos métodos y estrategias. Se supone que la correcta aplicación del CSF mejorará en gran medida la ciberseguridad general de una organización.

El objetivo de este marco es fomentar una mirada más exhaustiva y detallada de la seguridad de una organización, haciendo que tareas como la evaluación de riesgos sean más comunes para las empresas y los negocios. De este modo, estas empresas podrán estar mucho más seguras de sus propios sistemas e infraestructuras de seguridad, o intentar solucionar los problemas que puedan haber aparecido en uno de estos sistemas con el paso del tiempo.

También hay que mencionar que el CSF del NIST no es una norma o estructura certificable; el NIST no ofrece ningún tipo de certificación por aprobar o suspender de algún modo el CSF. Lo que sí ofrece es una amplia red de programas de seguridad informática a los que las empresas pueden someterse para que sus productos sean probados -y validados por el NIST mediante documentación oficial.

El concepto original del CSF utiliza cinco elementos centrales para establecer su cobertura exhaustiva de los diferentes campos y temas de la ciberseguridad. Estos cinco campos se denominan Detectar, Identificar, Responder, Proteger y Recuperar.

Detectar gira principalmente en torno a la detección y supervisión de amenazas, abarcando funciones como la detección de intrusiones, el registro de eventos de seguridad y la detección de anomalías.

Identificar incluye funciones que proporcionan capacidades de gestión de riesgos e identificación de problemas. Facilita una mejor comprensión del panorama de datos actual de una organización, al tiempo que proporciona funciones como la gestión de activos y la evaluación de riesgos.

Responder es un campo relativamente autoexplicativo, que abarca una lista detallada de eventos y tareas que deben realizarse si una organización se enfrenta a un incidente de seguridad. Se trata de generar un plan de respuesta a incidentes, con varios esfuerzos de coordinación y comunicación incluidos en el campo.

Proteger es la base de la mayoría de los esfuerzos de seguridad que debe cubrir una organización. Puede incluir muchas actividades que van desde la encriptación de datos y el control de acceso hasta la formación de concienciación general para todos los empleados de la empresa.

Recuperar es todo lo que hace una organización para recuperarse de las consecuencias de un incidente de ciberseguridad. Este campo abarca no sólo las copias de seguridad y la recuperación, sino que también incluye las revisiones posteriores al incidente y las posibles mejoras del sistema existente basadas en dichas revisiones.

Ninguno de estos campos se excluye mutuamente; todos ellos deben utilizarse en tándem para crear el sistema de seguridad más resistente que pueda soportar todo tipo de amenazas y ataques.

NIST CSF 2.0 – Actualización 2024

La ciberseguridad es un campo muy dinámico que se desarrolla a gran velocidad desde hace varias décadas. En consecuencia, las recomendaciones y directrices sobre ciberseguridad también tienen que actualizarse.

Esto es precisamente lo que ha ocurrido con el Marco de Ciberseguridad del NIST, cuya versión 2.0 se publicó en febrero de 2024. Incluye un montón de adiciones y revisiones al contenido existente, al tiempo que añade un montón de nuevos elementos a la mezcla.

Una de las adiciones más significativas al CSF es la inclusión de un campo completamente nuevo llamado Govern. Se utiliza para ampliar los cinco campos existentes, especialmente en lo que se refiere a las capacidades orientadas al «control»: medir el éxito, revisar, planificar, etc.

El campo Proteger también fue reelaborado en cierta medida, introduciendo dos nuevos subcampos: Seguridad de los datos y Resistencia de la infraestructura. Ambos se utilizan no sólo para reforzar la necesidad de la protección de datos en su conjunto, sino también para ampliar los métodos de seguridad menos convencionales, como las copias de seguridad inmutables y diversos métodos de resiliencia.

El campo Respuesta no recibió mucho contenido nuevo, pero la información existente se reestructuró en gran medida manteniendo el mensaje original de utilizar la información recopilada en diferentes campos para generar medidas de respuesta eficaces para diversas situaciones.

Se introdujeron muchos otros cambios y modificaciones en la versión anterior del LCR, pero la información anterior destaca los cambios más significativos en la estructura general. La versión completa del LCR 2.0 del NIST puede consultarse en el sitio web oficial.

Los retos de las tareas de copia de seguridad en el contexto de los MSP

Sería justo mencionar que el CSF está lejos de ser la única información que la agencia proporciona sobre el tema de la seguridad de los datos y otros temas similares. En este contexto, nos gustaría cubrir otro elemento del NIST que gira principalmente en torno al tema de las tareas de copia de seguridad y recuperación específicamente para los proveedores de servicios gestionados, lo que lo hace ligeramente más específico para un caso que el CSF.

Uno de los temas más específicos que aporta el artículo del NCCoE es el de los sistemas de copia de seguridad que se implantan pero no se prueban o planifican correctamente, lo que los hace prácticamente ineficaces. Un solo evento de pérdida de datos causa problemas de marca, pérdida de reputación, pérdida de productividad, pérdida de ingresos y mucho más. En este contexto, es primordial asegurarse de que los sistemas de copia de seguridad se configuran y se prueban correctamente.

Cómo abordar los requisitos del NIST en materia de copias de seguridad y recuperación

Las copias de seguridad de archivos como medio para reanudar el funcionamiento después de algún tipo de evento de ciberseguridad o violación de datos se refuerza en Informe Interagencias 7621 Rev. 1 del NIST, Seguridad de la información de pequeñas empresas. El objetivo principal de la investigación realizada por el Centro Nacional de Ciberseguridad de Excelencia es ayudar tanto a las empresas como a los MSP que trabajan con ellas a crear flujos de trabajo y operaciones de copia de seguridad adecuados.

Recomendaciones del NIST para las copias de seguridad

El artículo del NCCoE cubre tres pilares principales de las recomendaciones del NIST sobre copias de seguridad: Planificación, Implementación y Pruebas.

El pilar de la planificación

La planificación es el primer pilar de los tres; se trata de un proceso global que ayuda a la empresa a encontrar un equilibrio entre las necesidades operativas y los costes totales de funcionamiento. La mayoría de las recomendaciones de la parte «Planificación» de este artículo se basan en la Publicación Especial del NIST (SP) 800-53, Rev 4, que incluye elementos como:

• Determinar el tiempo de restauración correcto
• Determinar las dependencias entre sistemas y elementos de infraestructura
• Identificar qué archivos deben tener prioridad en el proceso de copia de seguridad
• Desarrollar procesos extensos para diferentes situaciones, incluyendo tanto elementos de respuesta como de recuperación
• No confiar en una única copia de seguridad del sistema (y utilizar en su lugar la estrategia de copia de seguridad 3-2-1)
• Evaluar el estado de sensibilidad general de todos los elementos de datos, ya que algunos de ellos tendrían que contar con medidas de seguridad adicionales por diversos marcos de cumplimiento y normativas

El pilar de la implementación

La implementación es un pilar algo menos sofisticado que gira en torno a la realización de acciones planificadas de antemano dentro de los límites de la infraestructura de una empresa. Este pilar en particular incluye acciones como:

• Evaluación de posibles ubicaciones de almacenamiento de copias de seguridad fuera de las instalaciones
• Integración de tecnologías modernas en el sistema de copia de seguridad y recuperación (las tecnologías exactas recomendadas por el NIST se van a mencionar en detalle más adelante)
• Implementar un sistema «Go Bag» para la recuperación de datos sensibles – una colección de datos críticos, como claves de seguridad y contraseñas, almacenados y protegidos en un lugar separado de la infraestructura general del sistema
• Preparar un conjunto de sistemas y elementos de infraestructura que puedan funcionar mientras están totalmente separados de la infraestructura empresarial original para ser utilizados únicamente en caso de emergencia

El pilar de las pruebas

Pruebas es el último pero no menos importante pilar de las recomendaciones del NIST (puede llamarse indistintamente Pruebas y Supervisión ya que incluye elementos de ambos procesos). Su objetivo principal se explica por sí mismo: probar y supervisar las tecnologías, los sistemas y los flujos de trabajo para garantizar que funcionan y que serían de ayuda en caso de desastre o ciberataque. Este pilar puede separarse en dos grupos:

• Pruebas
  • Realizar pruebas automatizadas
  • Verificar la integridad de la copia de seguridad
  • Evaluar el rendimiento de los procesos de recuperación
  • Extraer datos de las pruebas mencionadas para futuros ajustes
• Supervisión
  • Supervise los procesos de pruebas automatizados
  • Asegurarse de que las copias de seguridad se generan correctamente
  • Asegurarse de que las copias de seguridad pueden utilizarse para restaurar los datos a su forma original

Tecnologías útiles para las tareas de copia de seguridad

Para llevar a cabo todas las acciones y procesos mencionados, existen multitud de capacidades y tecnologías diferentes que el NIST recomienda utilizar en el marco de las copias de seguridad y la recuperación:

• La automatización del sistema de copia de seguridad es necesaria para realizar tareas de copia de seguridad en entornos completos que constan de diferentes tipos de almacenamiento: disco, cinta, NAS, VM, almacenamiento en la nube, etc..
• El almacenamiento de copias de seguridad basado en la nube funciona como una gran alternativa al almacenamiento local in situ para las copias de seguridad debido a su capacidad para mantenerse separado de otras opciones de almacenamiento; también puede ofrecer diferentes tipos de copias de seguridad, métodos de implementación, etc.
• Las diferentes tecnologías de almacenamiento local también pueden ofrecer ventajas únicas dependiendo del tipo de almacenamiento – incluyendo desde discos duros locales y medios extraíbles hasta almacenamiento en la nube, almacenamiento WORM y otros tipos de almacenamiento no convencionales
• La encriptación de datos suele ser una de las medidas de seguridad más importantes para los datos en tránsito y en reposo, ya que ofrece otra capa de protección contra acciones ilícitas aparte de los propios procesos de copia de seguridad.
• Las copias de seguridad para el almacenamiento basado en la nube son igual de necesarias para sus homólogos in situ, ya que garantizan que los propios datos sigan estando disponibles si el almacenamiento en la nube se desconecta por algún motivo; puede que no sea necesario en determinadas situaciones y casos de uso

Las siguientes publicaciones del NIST cubren estas tecnologías y sus procesos de implementación:

• NIST SP 1800-26, Detección y respuesta al ransomware y otros eventos destructivos
• NIST SP 1800-25, Identificación y protección de activos contra el ransomware y otros eventos destructivos
• NIST SP 1800-11, Integridad de los datos: Recuperación de ransomware y otros eventos destructivos

El NIST y su papel en un entorno de ciberseguridad moderno

El número de violaciones de datos e incidentes de ciberseguridad sigue creciendo con cada año que pasa, y las propias tecnologías mejoran a un ritmo extremadamente rápido. En este contexto, cualquier cosa que explique los diferentes elementos de un sistema eficaz de protección de la ciberseguridad es una adición bienvenida al esfuerzo general de la industria por mantenerse por delante del entorno cibercriminal. Prácticamente cualquier empresa que necesite mejorar sus actuales medidas de ciberseguridad puede aprovechar las recomendaciones del NIST para mejorar elementos específicos de la misma o toda una infraestructura en general.

Conclusión

En el mundo actual en el que aumenta el riesgo de ciberataque, la ciberseguridad ocupa un lugar destacado en la conciencia de los líderes tecnológicos de todo tipo de organizaciones. El NIST es una gran institución que abarca muchas áreas de aplicación, siendo su marco de ciberseguridad uno de sus elementos más importantes. El NIST ofrece diferentes normas y recomendaciones relativas a la ciberseguridad en su conjunto. Algunas de estas recomendaciones se utilizan en un sentido general, mientras que otras son algo más específicas para cada caso, como el artículo anterior del NCCoE sobre las copias de seguridad de los MSP y sus pruebas.

Aunque las recomendaciones del NIST sólo son obligatorias para un rango concreto de empresas y negocios (incluyendo cualquier agencia del gobierno federal de EE.UU. y prácticamente cualquier empresa que vaya a hacer negocios con el gobierno de EE.UU. en su conjunto), aún pueden utilizarse como consideraciones generales para la configuración general de la ciberseguridad y las copias de seguridad. Muchas de estas recomendaciones son muy detalladas en su naturaleza, lo que facilita que muchas empresas diferentes puedan aplicarlas y mejorar su situación de ciberseguridad.

Bacula Enterprise y compatibilidad con el NIST

Existen algunas soluciones de copia de seguridad y recuperación que ya están creadas y gestionadas teniendo en cuenta todos los requisitos del NIST. Sin embargo, algunas soluciones van más allá que otras y, para las organizaciones preocupadas por la seguridad, Bacula Enterprise es probablemente el mejor ejemplo de ello, ya que ofrece una completa plataforma de copia de seguridad y recuperación con niveles de seguridad especialmente altos que cumple y supera todos los requisitos de auditoría del NIST.

Bacula puede ofrecer una multitud de características y capacidades que lo hacen mucho mejor para garantizar el cumplimiento de una organización que la mayoría de sus competidores, incluyendo:

• Cifrado de copias de seguridad sin importar dónde se almacenen.
• Comprobaciones periódicas de la integridad de los datos.
• Capacidades detalladas de elaboración de informes.
• Vastas capacidades de registro.
• Soporte para políticas de protección de datos automatizadas y centralizadas.
• Características avanzadas de inmutabilidad de datos.
• Flexibilidad en términos de partición de datos.
• Muchas capacidades de integración con soluciones de supervisión externas.
• Soporte para muchos tipos de almacenamiento diferentes.
• Amplia gama de tipos de inmutabilidad y compatibilidad.
• Extremadamente alta resistencia de la infraestructura en comparación con otros proveedores de copias de seguridad y recuperación.
• Capacidades de generación de informes amplias y granulares

Bacula Enterprise no sólo puede cubrir fácilmente los seis pilares del NIST (Proteger, Identificar, Detectar, Responder, Recuperar y Gobernar), sino que también es compatible con FIPS 140-2 y admite muchos otros marcos normativos, como GDPR, CCPA, FISMA, etc. Puede encontrar más información sobre las capacidades de cumplimiento normativo de Bacula Enterprise aquí.

Preguntas frecuentes

¿Cómo está relacionado el NIST con la industria de la ciberseguridad?

La ciberseguridad es uno de los pilares más esenciales del NIST, que actúa como desarrollador y distribuidor de marcos de seguridad para ayudar a las empresas a combatir todo tipo de ciberamenazas.

¿Cómo puede ayudar el NIST a las empresas en cuestiones de ciberseguridad?

El NIST no sólo ofrece todo un Marco de Ciberseguridad como base para sus recomendaciones de seguridad, sino que también hay muchas otras recomendaciones y documentos más específicos, como el artículo del NCCoE sobre las pruebas de seguridad para los MSP que hemos mencionado antes.

¿Cuáles son las recomendaciones del NIST en lo que respecta a las copias de seguridad de los datos?

El NIST ofrece muchas opciones diferentes para mejorar el marco de copias de seguridad existente. Muchas de ellas son específicas para cada caso, pero algunas de las recomendaciones más comunes incluyen la adhesión a la estrategia 3-2-1, el cifrado de datos, la inmutabilidad de las copias de seguridad y mucho más.