En el blog de Grupo Atico34 ya os hemos hablado de la importancia de hacer copias de seguridad para cualquier empresa, no solo como una medida de protección de datos, sino también como una herramienta esencial para proteger los activos de información de la empresa y poder recuperarlos en caso de un incidente de seguridad u otra naturaleza. Pero para poder realizar copias de seguridad de una forma eficaz y útil, hay que hacerlo de forma organizada y es aquí dónde entra la política de copias de seguridad.
En este artículo explicamos cómo hacer una política de copias de seguridad para empresas.
En este artículo hablamos de:
¿Qué es una política de copias de seguridad (backups)?
La política de copias de seguridad (backups) es el plan en el que se establece qué datos se deben copiar, dónde y cuándo hacer cada copia de seguridad, con qué frecuencia, las medidas de seguridad que deben aplicarse para garantizar la confidencialidad, integridad y disponibilidad de las copias de seguridad y cómo se pondrá en marcha el plan de recuperación de la información.
Así, la política de copias de seguridad de una empresa sirve para organizar este proceso fundamental para evitar pérdidas de activos de información, así como para garantizar la continuidad del negocio.
Además, la política de copias de seguridad es, también, una de las medidas técnicas y organizativas de seguridad que deben adoptar las empresas si quieren proteger sus principales activos de información y asegurar la continuidad del negocio ante un incidente de seguridad, sea este de carácter informático o de otra índole.
¿Cómo hacer una política de copias de seguridad?
Hacer una política de copias de seguridad para la empresa no se diferencia mucho de elaborar cualquier otro plan de acción o gestión. Se trata de seguir una serie de pasos (o checklist, si se quiere llamar así), que nos ayudarán a elaborar este documento de manera organizada y sin dejarnos nada fuera.
Cabe señalar que la política de copias de seguridad forma parte del plan de recuperación ante desastres y el plan de continuidad del negocio, de hecho es una parte esencial del mismo, porque determina, entre otros aspectos, y cómo ya hemos dicho, de qué activos de información se deben realizar copias de seguridad y la forma en que estás se llevarán a cabo.
Así, estos son los pasos a seguir para elaborar una política de copias de seguridad para la empresa:
- Realizar un inventario: Se debe hacer un inventario de los activos de información de la empresa y de en qué soportes se encuentran (ordenadores, discos duros externos, pendrives…), clasificarlos según su importancia, es decir, cuáles de ellos son más o menos críticos para la continuidad del negocio, además de aquellos que sea necesario replicar en una copia de seguridad por ser un requisito legal (las copias de seguridad son una de las medidas de seguridad para datos personales contempladas en la normativa de protección de datos).
- Asignar personal responsable y limitar el acceso a las copias de seguridad: La política de copias de seguridad debe asignar la elaboración, mantenimiento y supervisión de las mismas a una o varias personas, que, además, serán las únicas autorizadas para acceder a ellas, para lo que se deberá determinar e implementar un sistema de control de acceso a las mismas. Dependiendo del tamaño de la empresa, esta tarea puede recaer en el departamento de IT.
- Determinar la frecuencia con las que se harán las copias de seguridad: En función de la importancia de la información, se debe fijar un punto para realizar el respaldo de seguridad. Puede ser un día, una semana o incluso horas, dependerá de lo crítica que pueda ser la información para la empresa, de si puede o no permitirse perder parte de ella y de la capacidad de almacenamiento del soporte elegido.
- Elegir el tipo de copia de seguridad y el soporte: Existen diferentes tipos de copias de seguridad (completa, incremental, diferencial, etc.), por lo que en función de la importancia de la información y del volumen de la misma, se debe elegir el tipo de copia de seguridad que llevará a cabo la empresa (se puede incluso emplear diferentes tipos de copias de seguridad según el activo que se quiera respaldar). Así mismo, también se debe escoger el soporte (unidades externas de almacenamiento, centro de respaldo, en la nube, etc.), ya que determinará la velocidad con la que hacen las copias, pero, más importante, con la que se pueden restaurar.
- Decidir su ubicación: Se trata de determinar en qué localización se almacenarán las copias de seguridad, si en el centro de trabajo, en otro lugar o en la nube. Lo habitual en este punto es recurrir a la regla 3-2-1, que nos dice que hay que tener tres copias de seguridad en al menos dos soportes diferentes y uno de ellos localizado fuera de la empresa.
- Determinar el tiempo de conservación de las copias de seguridad: Debemos tener en cuenta que las copias de seguridad tienen «fecha de caducidad», algo que se determina en función de la vigencia de la información para la empresa (incluida aquella que debe conservarse por motivos legales), la durabilidad del soporte escogido y la necesidad de conservar varias copias anteriores a la última hecha.
- Cifrar la información: Es fundamental garantizar la confidencialidad de la información replicada en las copias de seguridad, para ello debemos cifrar dicha información o el propio soporte en la que será copiada. En caso de realizar las copias de seguridad en la nube, la información deberá cifrarse antes de ser subida.
- Realizar un plan de restauración y testarlo: De nada nos sirve tener copias de seguridad, si no elaboramos un plan a seguir para restaurarlas de manera ordenada y segura. Tener este plan, que serán una serie de pasos a seguir para recuperar la información de las copias de seguridad, ayudará a que el proceso de restauración sea más rápido y eficiente. Así mismo, es necesario testear dicho plan, para asegurarnos de que las copias de seguridad se pueden restaurar sin problemas y errores.
- Destrucción de copias de seguridad: La política también debe contemplar el procedimiento para la destrucción de las copias de seguridad, tanto si se trata de eliminarlas de los soportes, a través de un borrado seguro, como si es necesario destruir el soporte.
- Documentar el proceso: Todo el procedimiento para la realización de copias de seguridad y su restauración debe quedar documentado. Así mismo, se recomienda etiquetar las copias de seguridad, de manera que sea fácil localizar información concreta que sea necesario restaurar.
Estos pasos son de aplicación tanto para copias de seguridad hechas con medios de la empresa, como para aquellas que se realicen contratando los servicios de un proveedor de copias de seguridad en la nube.
Ejemplo de política de copias de seguridad
Para ilustrar el contenido de este artículo, os dejamos un ejemplo de política de copias de seguridad de una pyme (se trata de un ejemplo orientativo para haceros una idea de cómo puede ser este tipo de política):
Política de copias de seguridad
| Inventario de activos de información |
|
| Control de acceso | Usuario y contraseña |
| Personal responsable | Administración |
| Copias de seguridad de información crítica |
|
| Periodicidad | Semanal – Viernes antes de cierre |
| Tipo de copia de seguridad |
|
| Conservación | Al menos un año |
| Ubicación |
|
| Procedimiento de copia y restauración | Seguir pasos en Anexo X (esta información debe ser detallada y, por tanto, recogerse en su propio documento, que formará parte de la política) |
| Soporte |
|
| Destrucción de soportes de copia | Seguir pasos en Anexo Y (detallar el proceso en un documento propio) |
| Cifrado de la información | Usado cifrado X |
¿Por qué tener una política de copias de seguridad en la empresa?
Tener una política de seguridad facilitará y agilizará todo el proceso de realización de las propias copias de respaldo y su restauración, de manera que pueda hacerse de manera organizada, evitando posibles problemas o descuidos.
A través de la política de seguridad se categoriza y gradúa la importancia de los activos de información de la empresa, por lo que se puede priorizar la copia de seguridad de aquellos que resultan críticos para la continuidad del negocio. Así mismo, establece mecanismos de prueba para asegurar que las copias de seguridad podrán usarse y restaurarse de manera adecuada y sin errores que conduzcan a la pérdida de información.
Además, y cómo ya adelantamos, la política de copias de seguridad es parte esencial de cualquier plan de recuperación ante desastres y de continuidad de negocio, por lo que cualquier empresa que quiera implementar estos planes, debe, a su vez, elaborar la política de copias de seguridad. Que, cómo ya dijimos, también es una medida de seguridad a aplicar para cumplir con la normativa de protección de datos personales, así como otras leyes que establecen períodos obligatorios para la conservación de determinada información.
En definitiva, la política de copias de seguridad debe ser una más de las medidas de seguridad de la información adoptadas en tu empresa.