Durante los últimos años, el Informe sobre tendencias de protección de datos ha publicado las opiniones imparciales de los líderes de TI que eran responsables de las estrategias de copia de seguridad y recuperación ante desastres (de TI) para sus organizaciones. El informe de 2024 encuestó a 1200 empresas y arrojó algunas conclusiones inquietantes para los líderes sénior responsables de la Continuidad del Negocio o la Gestión de Crisis de sus organizaciones, especialmente para los ejecutivos de nivel C que pueden haber delegado aspectos clave de sus estrategias de BC/CM o Resiliencia Organizacional a sus líderes de TI. 

¿Qué está provocando interrupciones en el sistema informático? 

¿Ransomware? Por supuesto, pero los datos de la encuesta revelan que, si las organizaciones han confundido excesivamente su preparación cibernética con su estrategia de recuperación ante desastres de TI es probable que no estén preparadas para la gran cantidad de crisis que siguen asolando a las organizaciones de todos los tamaños. Sí, por cuarto año consecutivo, la encuesta revela que el ransomware y los ciberataques no solo fueron la causa más común de interrupciones, sino también la causa de la interrupción más impactante de cada uno de los últimos cuatro años. Como planificadores de Resiliencia Organizacional, tenemos razón en estar siempre atentos a cómo garantizamos la resiliencia cibernética de nuestra organización. Sin embargo, los medios de comunicación, la comunidad de proveedores y muchos consultores/socios han rotado excesivamente. 

Según el informe de 2024: 

• Las fallas de componentes de TI, incluidos diversos tipos de hardware y software, continúan y apenas disminuyen año tras año. 
• Las interrupciones de los recursos alojados en la nube están aumentando con cada vez más frecuencia, ya que la mayoría de las organizaciones han adoptado una estrategia de «nube primero». De hecho, si se tienen en cuenta los problemas de conectividad con la nube junto con las interrupciones causadas dentro de la nube, esta preocupación supera a la mayoría de las demás áreas. 
• Por último, los desastres naturales, si bien no son tan “glamorosos” como los cibernéticos, continúan con la estacionalidad que muchos expertos en BC/DR con larga trayectoria siempre conocieron y para la cual hicieron planes. 

En otras palabras, mientras los ciberataques siguen ganando terreno, ninguno de los otros tipos de crisis que debilitan la TI y afectan los procesos de negocios está retrocediendo. La advertencia para los ejecutivos interesados ​​en BC/CM es: 

Si sólo le preocupan las inundaciones, 

Por lo que dedicas todos tus esfuerzos a garantizar la protección contra el agua 

-entonces estarás completamente mal preparado cuando se produzca un incendio. 

El ransomware es un «cuándo» y no un «si» 

Eso no significa que la destrucción y la calamidad absoluta sean un “cuándo” y no un “si” como cualquier otra crisis a gran escala. Dicho esto, a menos que se trate de desastres naturales, problemas en la cadena de suministro o la infinidad de otras crisis para las que los equipos de BC/CM tienen que prepararse, el ransomware no trae ninguna advertencia… más allá de la cobertura constante de los medios y artículos como este que le recuerdan su inevitabilidad. 

Según la misma investigación de 2024, el 25 % de las empresas no cree haber sufrido ningún ataque en los 12 meses anteriores, mientras que el 26 % reconoce haber sido atacada cuatro o más veces durante ese mismo período de tiempo. Dicho de otra manera: 

Más organizaciones experimentaron ciberataques trimestrales que las que no sufrieron ninguno. 

Y eso no es lo peor si tenemos en cuenta que los ciberdelincuentes suelen estar al acecho y navegando por el entorno hasta 200 días antes de que se los descubra o anuncie sus demandas. Por ello, muchos de los que creen que no han sido atacados sí lo han sido, pero no lo saben. 

Es importante tener en cuenta que los ataques repetidos no implican necesariamente múltiples infracciones. Como se explica más adelante en este artículo, muchas organizaciones simplemente no logran erradicar por completo el malware inicial. Meses después de que finalice el primer evento cibernético, el atacante simplemente verifica si alguna de sus tecnologías aún está presente en el entorno de la víctima. 

Si una vez le pagaste tu dinero del almuerzo al acosador de la escuela, 

Volverán la próxima vez que tengan hambre. 

En este caso, el Informe de tendencias de ransomware de 2024 revela que solo el 37 % de las organizaciones tienen la capacidad de poner en cuarentena o aislar una restauración programada a través de una “sala limpia” para asegurarse de no volver a infectar el entorno. Como sabe cualquier profesional experimentado en BC/DR, a menudo existe una gran presión para reanudar las operaciones lo antes posible. Sin la orquestación o planificación adecuadas, las víctimas podrían eliminar malware de sus sistemas y volver a infectarse inadvertidamente durante las restauraciones de datos. 

Existe un matiz desafortunado en la recuperación de ransomware a gran escala, incluso si se cuenta con un programa de recuperación ante desastres de TI maduro y bien orquestado. En caso de incendio o inundación, los datos secundarios son válidos hasta que los sistemas originales se vuelven inestables o se mojan. El mandato de los equipos de TI es simplemente reubicar y habilitar los sistemas secundarios lo más rápido posible. Desafortunadamente, los datos secundarios de minutos antes del evento de ransomware probablemente estén tan infectados como las instancias de producción, por lo que incluso la clasificación de los sistemas afectados se convierte en una demora no lineal y no predecible antes de que la remediación pueda comenzar en serio. 

También existe la alarmante realidad: los ciberdelincuentes atacan sus repositorios de respaldo en el 96 % de los casos y tienen éxito en el 76 % de los ataques para obstaculizar o eliminar la capacidad de sus equipos de TI de recuperar sus datos, lo que aumenta la probabilidad de que tenga que pagar el rescate

Los equipos de TI están probando menos la recuperación ante desastres 

Con tanta publicidad como el ransomware ha generado en los medios, así como diversos mandatos regulatorios para la ciberresiliencia y directivas a nivel de directorio, uno podría asumir que las pruebas de recuperación de los sistemas de TI a escala estarían en aumento. Desafortunadamente, las estadísticas de 2024 no lo muestran. Muchos equipos de BC/CM vieron esfuerzos adicionales de pruebas y desarrollo de planes en los años inmediatamente posteriores a COVID, en función del ancho de banda de los equipos y un reconocimiento inherente de la dependencia de la organización de los sistemas de TI, incluso cuando algunos de esos sistemas de TI evolucionaron desde centrados en centros de datos a nuevas arquitecturas en apoyo de fuerzas de trabajo remotas. 

Un estudio de 2024 revela que los equipos de TI solo están probando la recuperación a escala (por ejemplo, la recuperación ante desastres de TI) cada ocho meses, lo que es menos que «cada seis meses» en 2023 o «cada cinco meses» en 2022. Cuando se les preguntó a los líderes de TI qué porcentaje de sus sistemas de producción era recuperable dentro de los SLA previstos durante su última prueba de IT-DR, solo el 58 % de los sistemas se pusieron en línea dentro de su plazo. Si bien es probable que otros simplemente se reanudaran más lentamente, se debe suponer que un porcentaje no fue recuperable en absoluto. 

Los SLA de IT-DR no cumplen con las expectativas 

Como profesionales de la resiliencia, sabemos que el secreto del éxito de cualquier plan de resiliencia radica en la coherencia con la que se puede ejecutar (salvo que se produzcan variaciones en circunstancias imprevistas). Sorprendentemente, solo el 37 % de los equipos de TI utilizan flujos de trabajo orquestados como parte de los procesos de recuperación de sus sistemas. Alrededor del 37 % puede probar su «receta» para la recuperación de servidores y aplicaciones, examinar qué pasos del flujo de trabajo expusieron errores y luego optimizar el flujo de trabajo para lograr una mayor confiabilidad en el futuro. El otro 63 % realiza pasos de recuperación manuales por carga de trabajo; el cumplimiento de cada SLA variará según la prueba, con poca o ninguna oportunidad de mejorar la agilidad potencial en ejercicios futuros o eventos reales. 

De hecho, cuando se preguntó a los líderes de TI empresariales cuánto tiempo anticiparían la recuperación de TI-DR de un entorno relativamente simple de 50 servidores (lo cual no es mucho en un entorno empresarial), solo el 32% creyó que podrían recuperar esos 50 servidores en una sola semana laboral. 

Conclusiones y recomendaciones 

En la investigación citada anteriormente, se incluyen más estadísticas relacionadas con el potencial de los equipos de TI para cumplir con las expectativas de restauración durante recuperaciones ante desastres “típicas”, así como eventos de ransomware, incluidas (tendencias de protección de datos) y (tendencias de ransomware). Mientras tanto, como líderes de Resiliencia Organizacional, aquí hay algunas preguntas para discutir con tus integrantes de DR en TI: 

1. ¿Cómo podemos garantizar que nuestras copias de seguridad no se vean afectadas cuando un ransomware ataca nuestros sistemas de producción? 
2. ¿Cuándo fue la última vez que realizamos pruebas a escala (por ejemplo, 50 servidores o más)? 
3. ¿Qué porcentaje de la recuperación por carga de trabajo se orquesta con flujos de trabajo que se pueden evaluar y optimizar? 
4. ¿Contamos con una “sala limpia” u otra capacidad de restauración por etapas para reducir el riesgo de reinfección durante la restauración de un ciberataque? 
5. ¿Cuándo se auditaron externamente por última vez estas capacidades de TI-DR en relación con nuestros SLA y planes de recuperación esperados? 

Este último debería hacer que los otros cuatro sean mucho más instructivos.