Características de una buena copia de seguridad para la organización
Copias de seguridad
Denominamos copia de seguridad al proceso por el cual se duplica la información que tenemos a otro soporte con la finalidad de poder recuperarlos en el caso de perderlos. Es decir mediante la copia de seguridad salvaguardamos la información de nuestro negocio para que nos permita garantizar la continuidad y garantizar la confianza de nuestros clientes.
Para ello, la empresa debe contar con un Plan Director de Seguridad y un Plan de Continuidad de negocio, además contará con una política de copias de seguridad. De esta forma la organización se asegura poder responder con el menor tiempo posible y de forma eficaz ante un incidente de seguridad, reduciendo así su impacto.
Debemos tener en cuenta que la pérdida de información en una organización supondría pérdidas de horas de trabajo y de proyectos que tendrían graves consecuencias para la continuidad del negocio.
Características para una buena copia de seguridad
Establecer la ubicación de las copias de seguridad
Para estar seguros que la copias de seguridad se encuentran en un lugar seguro hay que cumplir unos criterios:
- Proteger una copia de seguridad fuera de la organización.
- Evaluar si fuese necesario por motivos de seguridad física la contratación de servicios de guarda y custodia.
Control de soportes
Con el paso del tiempo los dispositivos de almacenamiento se deterioran y por lo tanto son susceptibles a fallos mecánicos, además otros factores están presentes como, sufrir otras consecuencias ajenas que puedan darse como pueden ser inundaciones, incendios, etc., ser objetos de errores humanos o quedarse obsoleto el propio soporte.
Por estos motivos, una buena práctica es salvaguardar la información almacenada en dos tipos de soportes, así como en una ubicación fuera de las instalaciones, evitando así que nuestro Plan de Contingencia y Continuidad de Negocio falle.
Para asegurar la conservación de los soportes debemos de:
- Chequear la vida útil de los soportes de almacenamiento
- Realizar un mantenimiento de hardware y software regular, así evitaremos posibles fallos mecánicos, vulnerabilidades e infecciones que puedan darse por la falta de actualización del software.
- Confirmar que las condiciones de climatización del lugar son idóneas.
Periodo de conservación
Según cada organización la conservación de las copias de seguridad cambian conforme las necesidades de cada organización, así como los requerimientos legales a los que la empresa está sujeta.
Por lo tanto, debemos realizar las siguientes consideraciones para decidir cuánto tiempo mantenerlas:
- La información es de utilidad y sigue vigente para nuestro negocio.
- La vida útil del soporte que utilizamos.
- Necesidad de guardar varias copias anteriores a la última realizada.
Restauración de las copias de seguridad
Para garantizar que el Plan de Contingencia y la Continuidad de Negocio funcione correctamente debemos asegurar que las copias de seguridad realizadas puedan restaurarse correctamente. Por lo tanto, no debemos asumir que por haber realizado el proceso de copia no hay nada más que hacer, por lo que debemos programar periódicamente pruebas de restauración para que las personas responsables conozcan todos los procesos.
Para asegurar que la recuperación de los datos en caso de necesitarla sea un proceso dinámico y breve, habrá que elaborar un plan el cual especifique cómo hacer las copias y cómo restaurarlas, así dispondremos de una guía que nos indique los pasos a seguir para restaurar una copia con éxito.
Conceptos que debemos tener en cuenta:
- Tiempo de recuperación o RTO (Recovery Time Objective): Tiempo máximo que debe transcurrir para alcanzar el servicio mínimo tras la caída del servicio.
- Tiempo máximo tolerable de caída o MTD: establece el tiempo que puede estar caído el sistema antes de que repercuta en la continuidad de negocio.
- Niveles mínimos de recuperación de servicio o ROL (Revised Operating Level): Nivel mínimo de recuperación que debe tener una actividad para ser considerada recuperada.
- Grados de dependencia de la actualidad de los datos o RPO (Recovery Point Objective): Es el periodo máximo establecido en el que la empresa asume la pérdida de datos. Por lo tanto, debemos realizar copias de seguridad cada menos tiempo del establecido para poder recuperar la información antes de agotar el tiempo.
Control de copias de seguridad
Para un correcto control debemos etiquetar e identificar los soportes en los cuales se ha almacenado la información, y qué tipo de información. Esto nos facilitará el proceso en caso de tener que recuperar una información concreta.
Podemos coger como ejemplo este diseño de una hoja de registro:
- Identificador de soporte: código por el cual se identifica el soporte en el que se ha realizado.
- Tipo de copia: copia total, incremental…
- Fecha y hora: cuándo se llevó a cabo la copia
- Lugar de almacenamiento: dónde se ubica la copia
- Personal a cargo de la copia: responsable de la realización y conservación de la copia.
Borrado seguro y gestión de soportes
Es de vital importancia asegurarnos que la información que ya no necesitamos no vuelva a ser accesible para evitar problemas posteriores. Por lo tanto, en el caso de subcontratar la destrucción de la misma a una tercera persona o empresa, tendremos que elegir la destrucción certificada, así a través de contrato nos garantizan las máximas garantías de seguridad y confidencialidad.
Software ISOTools
El Software ISOTools tiene la capacidad necesaria para automatizar un Sistema de Gestión de Seguridad de la Información que cuente con los requisitos necesarios para evitar cualquier acceso indeseado o cualquier deterioro o daño que ponga en peligro la información que una organización maneja. Además de gestionar de forma más dinámica y sencilla un proceso de seguridad de nuestra organización.