La seguridad de la información se evalúa desde varias dimensiones, habitualmente 3 son las más destacadas, la confidencialidad de la información, la integridad de la misma y la disponibilidad. La confidencialidad pretende que el acceso a la información solo lo tenga quién debe. La integridad pretende que la información se mantenga sin modificaciones no voluntarias. La disponibilidad por su parte pretende que podamos hacer uso de la información en el momento y lugar que lo necesitemos. Tanto para recuperar la integridad de la información que ha sido modificada por error, como para restaurar la disponibilidad de la información que hemos perdido, una de los controles o procedimientos esenciales es el de la realización de copias de seguridad.
Este artículo indica una serie de consejos a valorar en el establecimiento de procedimientos de copias de seguridad para particulares y organizaciones pequeñas o medianas.
El R.D.1720/07 de desarrollo de la Ley Orgánica de Protección de Datos, establece en su artículo 94, 100 y 102 los requisitos para un procedimiento de copias de seguridad conforme a la normativa. Entre otros puntos establece lo siguiente:
– Deberán establecerse procedimientos de actuación para la realización de copias de seguridad como mínimo semanalmente.
– Los procedimientos deben asegurar la reconstrucción en el estado en que se encontraban cuando se perdieron los datos.
– El procedimiento debe ser revisado al menos cada 6 meses.
– Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos
En caso de manejar datos sensibles (nivel alto):
– Deberá conservarse una copia y de los procedimientos de recuperación en un lugar diferente de aquel en que se encuentren los equipos informáticos Si las copias se realizan en soportes externos la distribución se realizará cifrando dichos datos.
Estos son los mínimos que establece la legislación, pero un buen procedimiento de copias de seguridad ha de tener en cuenta otras cuestiones.
Las amenazas que pueden afectar a la integridad o disponibilidad de nuestros datos son muchas, desde los propios usuarios que eliminan o modifican información de forma accidental, incidencias informáticas que impiden el acceso a la información o virus que secuestran nuestros datos cifrándolos y pidiendo un rescate por su restauración. Esto quiere decir que nuestros procedimientos deben tener esto en cuenta de cara a cómo montar un procedimiento de copias. Aquí van unos cuantos consejos.
1. No esperes a que sea demasiado tarde. Si no tienes copia hazla ahora mismo. No termines ni de leer este artículo. Luego vuelve y revisa el resto de puntos. Una vez perdida la información ya es tarde.
2. ¿Cada cuánto tiempo? La periodicidad depende de la cantidad de información que se genera en tu organización en un día. Piensa que si haces una copia semanal cada viernes, si un virus cifra todo tu servidor el jueves, habrás perdido una semana de información. ¿Es mucho? ¿poco?, probablemente sólo lo puedes valorar tú. Yo creo que, aunque el mínimo legal es de una semana, al menos habría que hacer una copia diaria.
3.- ¿Qué copio? Todos los archivos con datos personales, y aquellos que creas que pueden ser importantes para ti o tu organización. Dedica un buen rato a sentarte, estructurar y encontrar toda la información de la que necesitas hacer copia. Si trabajas en modelo cliente/servidor, probablemente la principal información esté en el servidor, pero no olvides que también puedes tener información en tu equipo local, tu escritorio, tu correo electrónico, la información de tu Smartphone, etc.
4.- ¿Cómo lo hago? Olvídate de las copias manuales. Si lo haces manualmente tarde o temprano olvidarás hacerlo. Usa un software automático de copia de seguridad. Hay muchas opciones en el mercado. Una de ellas y que considero muy aconsejable es Cobian Backup. Puedes ver ésta y otras la Oficina de Seguridad del Internauta. Si dispones de un sistema establecido con permisos por usuarios y grupos, establece que el usuario que ejecuta la copia de seguridad sea distinto al resto de usuarios y que la ubicación de destino sólo sea accesible por ese usuario. De esta forma un usuario normal no podría acceder a las copias y no podría modificarlas o borrarlas. Tampoco un virus que se ejecutara con sus permisos.
5.- Mantén un histórico. Imagina que un virus cifra parte de tus datos y al final del día estos son respaldados automáticamente sin que hayas sido consciente de nada. Al día siguiente descubres que tienes un problema y al tirar de la copia compruebas que también está cifrada. Imagina, si no, que se desee recuperar un fichero en el estado que estaba hace 3 días. Si solo tengo una copia diaria no podría solucionar ninguno de estos incidentes. Por ello es recomendable mantener un histórico. Por ejemplo puedes mantener una copia completa mensual del último año, una semanal del último mes, y una diaria de la última semana. La diaria podría ser una copia incremental o diferencial respecto a la última semanal, es decir que solo guarde los cambios desde la última copia completa, evitando ocupar demasiado espacio.Todo depende de las capacidades de alojamiento de las que dispongas.
6. Mantén copias en diferentes lugares. No pongas todos los huevos en la misma cesta. Si te da un problema ese software de copias, o el proveedor del servicio, etc… cómo lo solucionarías. Mejor mantener una copia en un lugar distinto, por ejemplo las copias mensuales comentadas anteriormente podrían hacerse en un dispositivo externo y cifrado que me llevaría a instalaciones distintas de las que tratan la información principal.
7. Revisa tu procedimiento de copia de seguridad. La primera vez, ante cambios importantes, y al menos cada 6 meses, es obligatorio hacer una revisión completa del procedimiento de copias de seguridad para asegurar que cubre nuestras necesidades. El hecho de haberlo automatizado puede hacer que no nos enteremos de posibles fallos en el proceso, y el día que necesitemos la copia, podría no ser adecuada. En la revisión deberíamos restaurar algún archivo al azar para asegurarnos que sabemos cómo se hace.