Ciberseguridad: Copias de seguridad, la herramienta indispensable en cualquier eCommerce
Poner en marcha un portal o web dirigida a la venta de productos o servicios es un proceso que aunque no complicado, requiere invertir una gran cantidad de recursos humanos y económicos, y todo ello puede ir al traste en caso de no contar con correcta política de copias de seguridad.
Durante el trabajo diario en la administración de la tienda online pueden darse situaciones que comprometan su funcionamiento como errores humanos causados por un descuido o incluso por un incidente de seguridad. Ante estas situaciones no disponer de backups o respaldos que permitan restaurar la tienda a una versión plenamente operativa podría ocasionar graves pérdidas, tanto reputacionales como económicas.
Para asegurar la supervivencia del eCommerce, la política de copias de seguridad debe abarcar todo el gestor de contenidos o CMS, incluyendo ficheros de configuración, bases de datos, imágenes, etc., de este modo ante cualquier eventualidad será posible volver a poner online la tienda, en un periodo de tiempo razonablemente reducido. Como complemento en los casos que se cuente con un servidor administrado por la empresa, también se puede realizar una copia de seguridad de este. Dicho paso no es estrictamente necesario, ya que el software que permite el funcionamiento del CMS generalmente puede volver a instalarse y configurarse, pero así se reducirían los tiempos puesta en marcha aún más.
La política de copias de seguridad principalmente debe tener en cuenta tres factores:
- La periodicidad con que se realizarán las copias. Este dependerá de las necesidades particulares de cada empresa, ya que no es lo mismo disponer de un portal eCommerce cuya actualización de contenidos es muy alto a otro que no lo es. Una forma de determinar la periodicidad idónea para cada portal, es valorar la cantidad de recursos a invertir para realizar las copias frente los costos que tendría la perdida de la información. No tiene sentido realizar copias completas del sistema diariamente si la frecuencia de actualización o modificación es mensual, pero tampoco es conveniente esperar a realizar copias mensualmente si los cambios que sufre la tienda diariamente son habituales. Por ello, el equilibrio en la periodicidad de los backups lo debe determinar cada empresa en función de sus particularidades. En la ecuación de la periodicidad también entra en juego reglamentaciones legales, por ejemplo la LOPDGDD que obliga a cualquier empresa que trate datos de carácter personal a realizar copias de seguridad de estos cuya frecuencia dependerá de la sensibilidad de los datos gestionados.
- La información que se respaldará. Consistirá en determinar la información que entrará dentro del proceso de copia. Comúnmente los eCommerce forman parte de un CMS donde se encuentran todos los ficheros necesarios para el funcionamiento de la tienda, los elementos gráficos que la dotan de estilo y las imágenes de los diferentes productos o servicios a la venta. Además, cuentan con una base de datos que recoge multitud de información como los datos de los clientes, productos, facturación, etc. Ambos elementos deben estar contemplados en la política de copias ya que son la base sobre la que se sustenta la tienda. Toda esta información puede considerarse como crítica, su pérdida comprometería gravemente el funcionamiento del portal.
- El tipo de copia que se realizará. Hay que considerar el tipo de copia a realizar dado que existen diferentes modalidades, contando cada uno con ventajas e inconvenientes. El primer tipo de copia a contemplar es la completa, mediante este tipo, se realiza un backup de todo el contenido en cada iteración. Su principal ventaja es la rapidez en la restauración de la misma, en contra está la necesidad de almacenamiento, ventana de tiempo y cantidad de recursos necesarios que es superior a las otras modalidades. En las copias diferenciales primero se realiza una copia completa y en las sucesivas, se realizarán únicamente de los archivos que han sido modificados desde la copia inicial. Esta modalidad es más óptima que la completa y razonablemente ágil a la hora de restaurar, pero la cantidad de espacio necesario puede ser elevada. Por último está la copia incremental, la cual solamente guardará los archivos que han sido modificados desde la última copia realizada. La cantidad de espacio y tiempo es inferior a las otras modalidades, pero en contra está la mayor complejidad a la hora de restaurar el sistema.
Una estrategia de backups cuyos resultados son óptimos es la denominada 3 – 2 – 1. Esta estrategia consiste en tener 3 copias, el fichero original y dos copias de respaldo, utilizar 2 soportes de almacenamiento distintos debido a que en caso de fallo en uno de los soportes se contará con una alternativa y almacenar una copia en una ubicación fuera de la empresa siendo la principal alternativa la nube o servicio similar. Extrapolando esta estrategia a la tienda se podría realizar una copia completa de la tienda cada mes, una copia diferencial cada semana almacenándola en la nube y una copia incremental diaria. De esta forma se siguen los principios de la estrategia 3 – 2 – 1, la cual ofrece amplias garantías en cuanto a la recuperación de la información perdida.
Para la gran mayoría de gestores de contenido utilizados en los eCommerce, es posible instalar plugins y/o complementos que automatizan el proceso de copia de seguridad, lo que además de ser cómodo para los administradores elimina el factor humano y la posibilidad de olvidar realizar esta tarea.
Los proveedores de almacenamiento también suelen proporcionar herramientas de copia de seguridad que pueden ser configuradas de la misma forma que si el servidor fuera administrado por la propia empresa.
Las copias de seguridad son un elemento esencial que toda empresa debe tener en cuenta. Perder información de la tienda por no disponer de un backup, podría ocasionar graves perjuicios que serían fácilmente mitigados si se dispusiera de una política de copias.
Marcos Lozano, experto en ciberseguridad (INCIBE)
Ingeniero de software y Diplomado en tecnologías de la Informática por la Universidad SEK, Marco A. cuenta con una amplia carrera en el área de la ciberseguridad desempeñando tareas como asesor y consultor tecnológico desde hace más de 18 años en empresas de diversos ámbitos que discurren desde los medios de prensa hasta la Administración Pública. En la actualidad ejerce como Responsable de Servicios de Ciberseguridad para Empresas en el Instituto Nacional de Ciberseguridad (INCIBE), forma en diversos másteres de ciberseguridad y colabora con la Comisión Europea y diversos medios de comunicación. Cuenta con una amplia formación y certificaciones como CISM, GIAC, CCS-G, CCS-T, ITIL e ISO 27000 entre otras.