¿Cuál es vuestro sistema de copias de seguridad? 

Hoy quería hablaros de un aspecto que me ha llamado mucho la atención en mi trabajo.

Como consultora de protección de datos, he visitado de muchas empresas; grandes, medianas, pequeñas, con mucho, poco personal, tecnologías o tradicionales y en todas ellas, en nuestra labor de consultoría, le hacemos la misma pregunta: ¿Cuál es vuestro sistema de copias de seguridad? Y lo sorprendente es que muchas veces, nuestra persona de contacto que acuta como interlocutor o interlocutora, no lo sabe.

Por ello, he elegido este tema para escribir esta entrada en el blog para que las empresas entiendan lo importante que es tener un buen sistema de Back Up en una empresa y más hoy en día que vivimos en la era tecnológica y las copias de seguridad son un punto fundamental dentro de ámbito de la empresa, dado que debemos partir de la idea, que la base de datos de una empresa es uno de sus principales activos, en muchas empresas la continuidad del negocio depende de un programa de gestión que está ubicado en la nube y las copias de seguridad también las proporciona el mismo proveedor. Es decir, si la empresa no tiene una copia de seguridad, adicional, en el momento que el servicio proporcionado por el proveedor falle, la empresa se queda sin poder funcionar, lo que tendría unas consecuencias desastrosas para la entidad a varios niveles, entre ellos desde el punto de vista de protección de datos, puesto que estaríamos ante una brecha de seguridad que podría tener diversos grados de envergadura, por ello, algunas normativas, sobre todo las referentes a sistemas de gestión, como por ejemplo, la ISO 27001 de seguridad informática y de seguridad o  exigen tener un sistema regular de copias de seguridad y además, que se compruebe que las copias de seguridad son efectivas y correctas.

¿Qué es una copia de seguridad?

De acuerdo con la definición que nos proporciona Incibe (Instituto Nacional de Ciberseguridad), una copia de seguridad es “un proceso mediante el cual se duplica la información existente de un soporte a otro” esta sería la definición desde el punto de vista académico, sin embargo, desde el punto de vista empresarial, sería la salvaguarda del negocio, esto es, en caso de que empresa sufra algún tipo de incidencia  o perdida de datos, la copia de seguridad es la única forma de recuperar los datos

Copias de seguridad y protección de datos

El artículo 32 del Reglamento General de Protección de Datos referente a la Seguridad del tratamiento, establece que tanto el encargado como el responsable de tratamiento, establecerán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que, en su caso, incluya como mínimo,

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

A la hora de configurar el sistema de copias de seguridad, hay que tener en cuenta el sector en el cual opera la empresa, es decir, no es lo mismo hacer copia de seguridad de una empresa que solamente almacena datos identificativos y de contacto que en una empresa que está tratando datos de categorías protegidas o especialmente protegidas.

El Reglamento General de Protección de Datos no establece cuáles son las medidas de seguridad que tiene que adaptar la empresa para hacer un correcto tratamiento de datos personales, debe ser la misma empresa la que, en función de sus posibilidad y recursos, establezca las medias de seguridad que sea lógicas y suficientes para proteger correctamente los datos de sus interesados.

Formas de hacer copias de seguridad

Evidentemente hay muchas formas de hacer copias de seguridad y, además, cada empresa, debe tener en cuenta sus necesidades y posibilidades, se pueden hacer de forma:

  •  Automatizada: Se programa a fecha y la hora en la que se debe hacer la copia de seguridad y en momento de realizarla, el sistema envía un correo electrónico a la empresa para confirmar que la copia se ha realizado correctamente,
  • Manual: Asignar esta tarea a una persona dentro de la empresa para que sea la encargada de hacer las copias con la frecuencia establecida.
  • Externalizado: en este caso, se trataría tener la copia de seguridad fuera de las instalaciones de la empresa, por ejemplo, en la nube
  • Múltiples dispositivos: la copia de seguridad se puede hacer en una gran variedad de dispositivos; discos duros, pen drives, almacenamiento en la nube, etc. En caso de utilizar dispositivos portátiles, dichos dispositivos deben estar cifrados.

Actualmente, muchas empresas optan por externalizar este servicio mediante la contratación de una empresa especializada en ello, pero hay que tener en cuenta que en esos casos nos aseguremos que estábamos contratado a una empresa que pueda ofrecer las medias de seguridad suficientes para poder asegurar el correcto tratamiento de datos, no olvidemos, que el artículo 32 del Reglamento establecía que dicha obligación de establecer correctas medias de seguridad reside tanto en el responsable del tratamiento (Empresa propietaria de los datos) como del encargado de tratamiento (Tercero contratado por la empresa responsable para prestar un determinado servicio en el cual , se pueden realizar tratamiento de datos personales).

Frecuencia de las copias de seguridad

Las copias de seguridad se deben realizar con una periodicidad al menos semanal, salvo que en dicho periodo no se hubiera producido ninguna actualización de datos. Es cierto, que a la hora de definir la frecuencia de las copias de seguridad hay que tener en cuenta el tipo de datos que contenemos, cuanto más tráfico que haya, las copias de seguridad tendrán que ser más frecuentes y además, no es lo mismo tener una BBDD con datos de contacto que los historiales clínicos de los pacientes, una de las metodologías seguidas para establecer el sistema de copias de seguridad es la «Estrategia 3-2-1».

Estrategia 3-2-1

Es una de las metodologías de continuidad de negocio más utilizadas para asegurar que las copias de seguridad van a funcionar correctamente cuando sea necesario. Esta metodología consiste en lo siguiente:

  • 3: Mantener 3 copias de cualquier fichero importante: 1 principal y 2 backups.
  • 2: Mantener los ficheros en 2 tipos distintos de almacenamiento para protegerlos ante distintos riesgos.
  • 1: Almacenar 1 copia de seguridad fuera de nuestra casa u oficina.

En Legitec, como especialistas tanto en protección de datos como en ciberseguridad, os podemos ayudar en todo lo referente a este pilar fundamental en el correcto funcionamiento de las empresas, para cualquier duda o consulta relacionada con este tema, estaremos a vuestra disposición para poder resolverlas.  ,

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

LEGITEC moderará sus comentarios y podrá o no dar respuesta a los mismos. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico info@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.