Fixear

Políticas de Backup

Revisión del 16:27 29 may 2025 de Admin (discusión | contribs.) (Página creada con «Esta política tiene como finalidad establecer una estructura clara y completa para la protección, almacenamiento y recuperación de la información crítica de una organización. Implementar una política de backup eficaz es indispensable para garantizar la continuidad del negocio, proteger los datos sensibles y cumplir con las normativas vigentes en materia de seguridad informática. A continuación, se detallan los lineamientos principales para una correcta gesti…»)
(difs.) ← Revisión anterior | Revisión actual (difs.) | Revisión siguiente → (difs.)

Esta política tiene como finalidad establecer una estructura clara y completa para la protección, almacenamiento y recuperación de la información crítica de una organización. Implementar una política de backup eficaz es indispensable para garantizar la continuidad del negocio, proteger los datos sensibles y cumplir con las normativas vigentes en materia de seguridad informática. A continuación, se detallan los lineamientos principales para una correcta gestión de copias de seguridad.

1. Propósito

El propósito de esta política es asegurar que la información vital de la organización esté siempre protegida y disponible, incluso frente a incidentes como fallos de hardware, errores humanos o ataques informáticos. Se busca mantener la integridad, confidencialidad y disponibilidad de los datos, reduciendo al máximo los tiempos de recuperación (RTO) y la pérdida de datos (RPO). Además, se busca cumplir con las normativas legales y sectoriales que regulan el manejo de información, especialmente en sectores críticos como el de la salud.

2. Alcance

Esta política aplica a todos los sistemas y plataformas que procesan o almacenan información relevante para la organización. Incluye servidores físicos, servidores virtuales y entornos en la nube. Todos los entornos deben contar con mecanismos de respaldo adaptados a sus características técnicas, nivel de criticidad y exposición al riesgo. Esta cobertura integral asegura una respuesta unificada ante cualquier tipo de evento disruptivo.

3. Frecuencia y Retención de Backups

Las copias de seguridad deben realizarse de forma periódica según la criticidad de los datos, priorizando esquemas incrementales diarios y copias completas semanales. Se establecerá una ventana horaria que minimice el impacto operativo (por ejemplo, entre las 18:00 y las 00:30). La retención de backups debe contemplar múltiples generaciones, con un mínimo de tres versiones en sitio primario y cinco en almacenamiento externo. La eliminación de copias obsoletas se regirá por un esquema de retención previamente definido.

4. Regla 3-2-1 de Copias de Seguridad

La estrategia 3-2-1 es una práctica recomendada por organismos como el NIST. Consiste en mantener:

  • 3 copias de los datos (una principal y dos de respaldo).
  • 2 tipos de medios de almacenamiento diferentes (por ejemplo, disco duro y cinta).
  • 1 copia almacenada en una ubicación externa o fuera del sitio.

Esta diversificación reduce significativamente el riesgo de pérdida total de datos en situaciones críticas como desastres físicos o ciberataques.

5. Tipos de Copias de Seguridad

Se utilizará una combinación de copias completas e incrementales. Las copias completas se realizarán semanalmente e incluyen todos los datos del sistema. Por su parte, las copias incrementales se ejecutan a diario, almacenando únicamente los cambios realizados desde el último respaldo. Esta estrategia permite una restauración completa con mayor eficiencia en espacio y tiempo.

6. Medios de Almacenamiento

Los backups se almacenarán en diferentes tipos de medios para garantizar su seguridad y disponibilidad:

  • Discos duros externos cifrados, para acceso rápido y local.
  • Servidores de almacenamiento en red (NAS o SAN), que permiten centralizar y proteger los datos en entornos controlados.
  • Cintas magnéticas, ideales para almacenamiento a largo plazo por su durabilidad y bajo costo por GB.

La combinación de estos medios ofrece redundancia y resiliencia ante fallos o ataques.

7. Modos de Transporte

El traslado de datos, ya sea digital o físico, debe realizarse de forma segura para evitar accesos no autorizados o pérdidas. Se utilizarán protocolos seguros como SFTP o VPN para las transferencias electrónicas. Cuando se requiera transporte físico (por ejemplo, de discos o cintas), se aplicarán medidas de cifrado y embalaje adecuado para evitar manipulaciones o daños. Las conexiones dedicadas serán empleadas para transmisiones críticas con alta disponibilidad.

8. RPO y RTO

Se definen los siguientes parámetros clave:

  • RPO (Recovery Point Objective): determina cuánta información puede perderse en caso de incidente.
  • RTO (Recovery Time Objective): especifica el tiempo máximo permitido para restablecer la operación.

La tabla siguiente muestra los valores estándar según el nivel de criticidad de los datos:

Criticidad RPO Estándar RTO Estándar
Crítica 0 - 15 minutos Segundos - Minutos
Alta 1 - 4 horas 1 - 4 horas
Media 4 horas 4 horas
Baja 24 horas 24 horas

Además, se realizarán pruebas periódicas de restauración para asegurar la validez de los respaldos y la eficacia de los procedimientos de recuperación.

9. Actualización y Revisión de la Política

Esta política debe ser revisada y actualizada de forma regular para garantizar su adecuación frente a los cambios tecnológicos, nuevos riesgos de ciberseguridad y modificaciones en las normativas legales. La revisión periódica es clave para fortalecer la capacidad de respuesta de la organización ante cualquier contingencia.

Obtenido de «https://wiki.fixear.com.ar/mediawiki//index.php?title=Políticas_de_Backup&oldid=447»