Melhores Práticas: Como proteger seus backups

A criptografia de backup deve ser parte de sua estratégia de segurança. Em muitos ambientes, armazenamento foi realizado fora da supervisão dos agentes de segurança, já que muitas vezes se concentrar em áreas como a segurança do perímetro, detecção de intrusão e prevenção e sistemas de proteção. Como resultado, é provável que a infraestrutura de armazenamento (a memória principal e especialmente cópias do mesmo) representa um calcanhar de Aquiles, quando se trata de segurança. Assim, as políticas de segurança de dados torna-se um problema corporativo quando deveria ser um elemento fundamental da estratégia de uma empresa de segurança. Estas políticas podem levar a ações táticas e operacionais através de esforços conjuntos da segurança e armazenamento organizações. Para isso, o armazenamento deve tornar-se uma parte integrante da estratégia da empresa de segurança.

Para atingir esses objetivos, a empresa deve criar uma prática em torno de cinco áreas-chave:

90% das empresas que sofrem grande perda de dados desaparecerem do mercado dentro de dois anos.

Fonte: London Chamber of Commerce

1 Para Atribuir Responsabilidade e Autoridade

Segurança de armazenamento transforma em uma função dentro da arquitetura e da política de segurança da informação em geral. Mesmo que a empresa decide que a segurança de cópia ou de armazenamento deve ser alocada para equipamentos de armazenamento, devem integrar qualquer armazenamento e backup de segurança para proteger o resto da infraestrutura. A integração de medidas de segurança na custódia e de backup ajuda a criar uma proteção mais eficaz.
Divida obrigações em que os dados são particularmente sensíveis. É importante garantir que a pessoa que autoriza o acesso não é a mesma pessoa responsável pela execução.

2 Avaliar risco de armazenamento como se aplica à segurança da informação

Realize uma análise de risco de todo o processo de backup

tomadores deve considerar todas as etapas da metodologia para a realização de backups de vulnerabilidades na segurança. Poderia um administrador secretamente criar backups? São caixas foram deixadas em aberto com a mídia magnética? Existe uma estrita cadeia de custódia do backup? Se os dados de backup e transporte são criptografados, pode causar dados críticos em risco.

Executar uma análise de custos e benefícios de criptografia de dados de backup

se uma análise de risco descobriu inúmeras vulnerabilidades, as organizações devem considerar seriamente se a criptografia está garantida. Este projeto deve ser abrangente e não apenas limitar-se ao custo exclusivo de licenciamento ou dispositivos de software, e incluem os custos de tarefas operacionais relacionadas com criptografia em incidentes de backup e recuperação possível, bem como o impacto da criptografia no tempo de recuperação. O custo total de criptografia deve ser comparado com os riscos potenciais e a probabilidade de uma violação de segurança para determinar se faz sentido, economicamente falando, a implementação de uma criptografia mais amplo ou mais restrito, ou não tem, em qualquer caso. Criptografia de fitas com dados sensíveis é um investimento rentável

Identificar dados sensíveis

saber quais arquivos, bancos de dados e colunas são considerados suficientemente sensíveis para as unidades de negócios para garantir o custo adicional de proteção. Você também precisa saber onde os dados estão localizados. Em muitos casos, os dados são duplicados em meio ambiente. É importante ter políticas e procedimentos para saber exatamente onde seus dados estão em todos os momentos. Por exemplo, as empresas têm informações sobre laptops, que também podem ser duplicados em uma unidade de rede ou um repositório de backup usado no PC.

3 Desenvolver um Programa Para Proteção de Informações

Adotar uma abordagem de segurança em camadas adota um método de proteção de dados, aplicando as melhores práticas para rede de armazenamento de dados da rede, enquanto que as camadas são adicionados "custom" tipo de dados a guarda. Entre estas áreas incluem:

  • Autenticação. Aplicação de técnicas de autenticação e anti-sproofing.
  • Autorização. Aplicação de privilégios com base em funções e responsabilidades, em vez de dar acesso administrativo completo. Quando disponível, usar recursos de gerenciamento baseados em funções de aplicativos de gerenciamento de armazenamento, especialmente backup.
  • Criptografia. Todos os dados confidenciais devem ser criptografados quando armazenado ou copiado. Além disso, toda interface de gerenciamento de dados transmitidos através de qualquer rede que não seja privado devem ser criptografados. Os dados sensíveis são definidos como informações que contém informações pessoais ou segredos comerciais.
  • Auditoria. os registros das operações administrativas de qualquer usuário devem ser mantidos para garantir a rastreabilidade e responsabilidade.

Fazendo Fitas de Backup
dependência de uma única cópia dos dados nunca é uma boa ideia. Embora os substratos possam ter uma longa vida útil, estão sujeitos a riscos ambientais ou de saúde. A prática recomendada é executar backups em mídia magnética e enviar a cópia para um local externo. O método de backup de mídia recomendada é escrever uma nova fita através da leitura do original. Este método tem a vantagem de se verificar que os dados de segurança pode ser lido por eliminar, tanto quanto possível único ponto de falha da fita de cópia de segurança.
A razão mais comum pela qual você não tem uma política de backup de duplicação é a falta de tempo. De um ponto de vista prático, o backup leva um longo tempo, o que torna difícil para duplicar os dados em tempo hábil. Existem vários métodos para resolver este problema. O primeiro método inicia-se com a optimização do sistema de cópia de segurança para reduzir o tempo necessário para efetuar a cópia de segurança original. Então mais unidades de fita de alta velocidade podem ser usadas para criar a segunda cópia para fins de armazenamento externo. Outro método é usar a capacidade de alguns pacotes de software de backup para criar um original e uma cópia.
Embora este método tem a vantagem de verificação não tratada no parágrafo anterior, poupa o tempo necessário para trás, e qualquer cópia é melhor que não ter qualquer. Independentemente do tamanho do ambiente, uma combinação de fita de alta velocidade, bibliotecas de fitas virtuais, e serviços profissionais pode ajudar a cumprir este requisito importante.

Programar Uma Cadeia Rigorosa e Abrangente de Processo de Custódia Para o Gerenciamento de Mídia

cadeia de custódia se refere à ação, método, gestão, acompanhamento e controle dos meios de comunicação ou de informação (mídia magnética geralmente, mas nem sempre). O objetivo final de uma cadeia de custódia é correta para preservar a integridade dos recursos. Os seguintes aspectos da cadeia de custódia deve ser considerada.
Você deve manter o controle dos suportes usando códigos de barras e gerar relatórios que detalham sua localização atual. A melhor prática é fazer um relatório diário dos backups que foram enviadas para fora o expirado, o envio de destruir aqueles que não são mais necessários. Devem existir procedimentos operacionais padrão documentados para assegurar que estas medidas são realizadas. Devem ser analisados de Segurança e acesso a instalações externas. Os suportes devem ser colocados em recipientes fechados antes de removê-los do centro de dados. Além disso, o acompanhamento posterior do mesmo deve ser feito por meio da análise de código de barras de cada vez que um recipiente, incluindo aqueles encontrados no centro de dados e mudou-se fora do local. Os recipientes devem ser selados mídia e nunca ser exposto a qualquer um para pegá-los.

Ele combina portadores de inventário guardados externamente regularmente (pelo menos uma vez por mês), com fitas que podem ser armazenados internamente. No final de cada mês, controle de inventário de todos os terceirizados deve ser realizado e comparado com os registros do backup/arquivamento, a fim de descobrir possíveis inconsistências. Se os colchetes não são contados a tomar medidas adequadas.
Quando os suportes são obsoletos ou já não pode confiar em sua integridade, eles devem ser destruídos corretamente. A destruição dos suportes magnéticos é normalmente conseguida através da aplicação de um processo de destruição do cartucho, quer por remoção dos dados a partir da fita ou a fita de destruir um todo, o que seria inutilizável. Destruição de dados pode ser feita no local com uma equipe de desmagnetização adequada, ou através dos serviços de um terceiro. (Se a destruição de dados ocorre em sua instalação, verifique se o equipamento de desmagnetização é calibrado para o apoio correto). Destruição de dados é feita de uma forma optimizada por uma organização para fornecer um certificado de destruição.

Conheça a Cadeia de Custódia

Outro elemento fundamental na gestão segura de mídia é garantir que os fornecedores de IPI seguir as melhores práticas. Aqui estão alguns fatores a serem levados em conta são os seguintes:

  • Vulnerabilidade
    Não deixe as fitas de forma aberta, por exemplo, uma caixa de papelão na recepção esperando para ser colhido recipiente. A coleção deve seguir um procedimento operacional padrão em um departamento de TI responsável entregar e receber a assinatura de um representante conhecido identificou o fornecedor.
  • Processo de seleção.
    Quando uma empresa externa mantiver os dados críticos de sua empresa, você deve ter certeza de que o provedor realiza um processo seletivo rigoroso para seus funcionários.
  • A empresa deve seguir uma cadeia de processo completo de custódia.
    Seu provedor deve explicar todo o processo relacionado ao gerenciamento de mídia do início ao fim. Enfatizar a segurança física, juntamente com mecanismos de auditoria e de controlo para garantir que o processo é seguido. Não é prudente para mover dados sensíveis de serem veículos facilmente identificáveis.
  • Maleta custódia.
    Com rastreamento pastas custódia é feita baldes ou caixas, mas não o seu conteúdo. A maioria dos provedores suporta este tipo de custódia.
  • Controles de segurança física.
    As instalações devem ser protegidas de forma adequada. Nenhuma pessoa não autorizada terá acesso à área segura.
  • Controles ambientais.
    As fitas e outros suportes nunca devem ser armazenados no porta-malas de um veículo ou qualquer outro local com um ambiente não controlado. Para a custódia de meios magnéticos, o ambiente deve ser acompanhado de perto, incluindo temperatura, umidade e controle estático. A poeira é o pior inimigo para a maioria dos meios de comunicação e dispositivos de gravação. O ambiente de backup e custódia deve permanecer limpo e livre de poeira. Você deve usar um pano antiestético macio para limpar a parte externa do cartucho e remover o pó das ranhuras de uma biblioteca utilizando um pulverizador de ar comprimido. As fitas devem ser transportadas em um veículo eletrostático e não ser empilhados em um balde ou uma caixa de papelão. Embora pareçam bastante durável, as fitas podem ser facilmente danificados se manuseados incorretamente.

Considere a Custódia de Dados Digitais

Um aspecto a considerar é a guarda de dados digitais e meios de transporte de informações sobre um veículo. Atualmente, existem várias empresas que oferecem os profissionais de TI a capacidade de fazer backup de dados através da Internet. Os dados podem ser criptografados e transferidos através da Internet para um backup de dados instalação segura. Manter os dados digitais pode não ser uma solução prática para todos os dados da empresa, mas pode ser prático para os dados distribuídos em servidores de arquivos ou computadores pessoais. Dados distribuídos podem ser responsáveis por 60% das informações de uma empresa e é difícil para os gestores de TI para controlá-los totalmente.

Certifique-se de que o provedor oferece a estas figuras serviços durante a transferência de dados como eles estão esperando. Além disso, converse com seu fornecedor sobre como manter a informação disponível. Já backup em mídia magnética? Ele já foi replicado em outros lugares? Verifique suas práticas contra possíveis incidências, provedor de recuperação de dados atenderem aos padrões excepcionais. Fale com o fornecedor sobre como manter as informações disponíveis para recuperação ou assistência em processos judiciais.

Quando uma empresa externa custódia informações críticas de sua empresa, você deve se certificar de que você faça um cuidadoso processo de seleção de funcionários.

4 Comunicação De Processos De Proteção E Segurança Da Informação

Uma vez definido o processo para garantir que os dados sensíveis são protegidos e geridos de forma adequada, é importante para garantir que os responsáveis pela segurança estão bem informados e receberam formação adequada. As políticas de segurança são o aspecto mais importante da atribuição de responsabilidade e autoridade.

Informar Os Gestores De Negócios Dos Riscos, Medidas Preventivas E Os Custos

de perda de dados e roubo de propriedade intelectual é um problema de negócios, e não o departamento. Como tal, o Chefe de Segurança da Informação (CISO, por sua sigla em Inglês) devem começar a programar a segurança dos dados através da formação de executivos da empresa no que diz respeito aos riscos, ameaças e perdas potenciais devido a falhas de segurança, além de o custo de contramedidas de segurança. Assim, os gerentes corporativos podem tomar decisões informadas sobre os custos e benefícios dos investimentos em segurança de dados.

Avaliar os riscos e treinar pessoal de dados de estudos de segurança mostram que "é melhor prevenir do que remediar". É mais provável que as organizações que avaliam os riscos envolvidos na implementação de políticas, procedimentos e tecnologias de segurança que protegem os ativos vitais. Além disso, a infraestrutura vulnerável e inexperiente representam um potencial problema: dada uma recompensa real para fazer o "trabalho repetitivo e cansativo" para a segurança.

5 Executar e Testar o Plano de Segurança Para a Proteção de Informações

A proteção de dados seguro não é baseada na tecnologia, mas representa um processo. É por isso que é importante para validar o processo. Conforme a empresa cresce, a proteção de informações e dados que eles precisam para mudar, então as práticas de segurança da informação devem se adaptar. Uma vez desenvolvido e definido o plano global, e depois de denunciar às pessoas adequadas, é hora de implementá-lo. Verifique se você tem as ferramentas, tecnologias e metodologias que você precisa para classificar as informações.

Experimente o processo, uma vez programado. Lembre-se, o teste deve incluir backup e recuperação. Tentem incluir uma ameaça no processo, incluindo a perda de um servidor de rede e um suporte problemas, problemas com um dispositivo, dados os problemas de classificação e qualquer outro cenário que poderia afetar a atividade. Executa teste pessoal que podem estar menos familiarizados com o processo. Este teste ajuda a assegurar que o processo é fácil de seguir e pode ser realizada mesmo que a pessoa não está no escritório.


A informação tem vida própria. Nós ajudá-lo a gerenciá-lo.

Um parceiro em quem confiar

Independentemente do tamanho da empresa ou indústria, oferecemos serviços especializados com base nestes princípios fundamentais:

Confiança
Por 60 anos, temos sido parceiros de confiança das pequenas empresas e corporações globais, oferecendo personalização a mais de 1000 escritórios soluções globalmente instalados.

Segurança
Instalações de alta segurança, equipamentos e profissionais qualificados de processos simplificados, garantindo que as suas informações - e as informações de seus clientes - sempre está nas melhores mãos.

Experimente
Nossa experiência e trabalho do conhecimento se manifestam através de nosso povo, os nossos processos e nossas tecnologias.

No Iron Mountain, entendemos os regulamentos atuais e desafios cumprimento adequado de todos os setores e geografias. Isto permite nos ajudar a sua empresa a obter o máximo de suas informações, reduzir custos e minimizar os riscos.

Foco no Cliente
O nosso compromisso inabalável com a excelência no atendimento, oferece seus cuidados de negócios 24 horas por dia todos os dias do ano - através de nosso portal on-line ou o nosso Centro de Suporte ao Cliente.

Desenvolvimento Sustentável
Para ajudar sua empresa a reduzir a quantidade de informação que você precisa para manter e programar uma política de reciclagem para todos os documentos destruídos ajudamos a sua empresa a cumprir seus compromissos ambientais.