24 frente a 5: estas dos cifras resumen a la perfección el dilema del mundo tradicional de las copias de seguridad y la recuperación ante desastres. La dirección da por hecho que los sistemas y los datos volverán a estar operativos en un plazo máximo de cinco días. Pero eso era antes de que los ciberataques evolucionasen. Hoy, de media, se tarda 24 días. Esta enorme brecha no solo socava la confianza en las capacidades de TI, sino que también merma los ingresos, la confianza de los clientes y, a veces, incluso la propia existencia de la empresa.

Por eso, el Día Mundial del Backup debería convertirse en el Día Mundial de la Ciberresiliencia, porque las copias de seguridad y la recuperación ante desastres siguen siendo esenciales. Sin embargo, ambas disciplinas son solo el paso final de una compleja coreografía diseñada para mantener a las empresas funcionando después e incluso durante un ataque.

La razón principal: las empresas ya no pueden confiar en sus datos durante un incidente cibernético, ni siquiera en sus copias de seguridad. Las estadísticas actuales indican que los hackers permanecen en las redes de sus objetivos durante una media de más de 200 días, manipulando docenas de sistemas. Los sistemas de backup son un objetivo principal, ya que pueden hacer que un ataque de ransomware resulte ineficaz.

Cualquiera que se limite a restaurar datos desde las copias de seguridad sin limpiarlos y se ciña a sus objetivos deseados de RTO y RPO se ha perdido el objetivo principal de toda la operación. Las copias de seguridad sin controlar han reinstalado puertas traseras, código de malware y cuentas falsas, lo que permite a los hackers volver a entrar fácilmente en la red. Los sistemas vuelven a estar corruptos y los equipos de TI vuelven al punto de partida, obligados a decidir hasta qué punto en el tiempo hay que retroceder para encontrar una copia de seguridad limpia. Todo esto ocurre bajo una intensa presión de tiempo y estrés, y la reputación de la empresa se deteriora con cada día que se pierde.

¿Cuál es el enfoque correcto? Los equipos de seguridad y de infraestructura de TI deben trabajar en estrecha colaboración durante un ataque en curso para examinar la integridad de los datos antes de restaurarlos desde las copias de seguridad. Este proceso requiere que las empresas dispongan de datos de backup aislados físicamente —es decir, almacenados de forma invisible para el hacker— en una ubicación segura. Estos datos deben examinarse primero de forma sistemática en una sala limpia, buscarse rastros del ataque y, a continuación, limpiarse si es necesario, antes de restaurarse en el entorno aislado. Todo esto requiere tiempo y recursos.

Por lo tanto, debemos ir más allá del mero debate sobre el RTO y el RPO y considerar todo el proceso de ciberresiliencia. A este análisis y al tiempo medio para completar la recuperación lo llamamos «tiempo medio de recuperación limpia» (MTCR). Básicamente, el MTCR define el tiempo medio que tardan los equipos de seguridad y de infraestructura de TI en restaurar las aplicaciones críticas de negocio previamente definidas, así como los sistemas subyacentes, la infraestructura y los datos limpios y validados asociados tras un ciberataque. Abarca todo el proceso de principio a fin.

Quienes sigan este enfoque podrán medir con precisión la magnitud de la brecha de resiliencia y debatir escenarios realistas con la dirección, además de argumentar mejor por qué es necesario modernizar el entorno de backup existente para convertirlo en un verdadero entorno de ciberresiliencia.