Presidencia de la Nación

  1. Inicio
  2. Jefatura de Gabinete de Ministros
  3. Innovación, Ciencia y Tecnología
  4. Tecnologías de la Información y las Comunicaciones
  5. Ciberseguridad
  6. CERT.ar
  7. Recomendaciones mínimas para política de respaldo de información

Recomendaciones mínimas para política de respaldo de información

I. Antecedentes

Los diversos medios de almacenamiento con los que cuentan nuestros sistemas llevan el resguardo de uno de los activos mas importantes para cualquier organización: la información. Estos dispositivos, sin importar sus tecnologías, diariamente son expuestos a situaciones adversas donde puede verse involucrada dicha información, tales como robo, pérdida, fallas mecánicas, eléctricas y/o acciones humanas intencionales o no, malware o simplemente, falta de acceso a los medios, cuándo y cómo se los necesita para las operaciones diarias. Todos estos ejemplos atentan contra la disponibilidad de los datos, lo cual podría afectar directamente al funcionamiento de las infraestructuras críticas de información (en adelante ICI) para el Sector Público Nacional.

Por tales motivos es necesario contar con políticas de resguardo y recuperación, que abarquen a todas las infraestructuras antes mencionadas, bajo responsabilidad que quien las opera (en adelante, el operador), para lo cual se deberán tener en cuenta las siguientes recomendaciones.

II. Recomendaciones de carácter general

Se deben considerar como mínimo, la siguiente serie de pautas que orienten las políticas de respaldo y recuperación a desarrollar:

  • de qué debo realizar copias
  • el tipo de copia a realizar
  • el hardware, software y soporte de los mismos, a utilizar para realizar las copias
  • la periodicidad y vigencia de las copias
  • la ubicación física, y lógica del software asociado a la restauración de las copias
  • la prueba de las copias realizadas
  • la disponibilidad de los medios, si fuera necesario.

Para cumplir con dichas pautas es necesario realizar una serie de controles que ayuden a dimensionar las Infraestructuras Críticas de Información - ICI - que se verán alcanzadas por las políticas mencionadas, la seguridad en lo relativo al proceso de copia y restauración, el desarrollo de las políticas de resguardo, sus pruebas y mantenimiento. Si bien dichos controles dependerán de cada una de las infraestructuras, mínimamente deben ser contemplados los siguientes aspectos:

a. Identificación de los controles: medible en el esfuerzo necesario, funcionabilidad, aplicación, recursos involucrados, etc.
b. Alcance de los controles: procesos de incidencia, aplicación de recursos técnicos especializados, requerimiento de software específico, ambientes de operación afectados, etc.
c. Revisión de los controles: periodicidad, calidad, actualización y documentación de los mismos.

III. Recomendaciones de carácter administrativo

Es necesario para la creación de una buena política de respaldo de información, tomar a consideración una serie de puntos clave que garanticen su correcta gestión, ayudando además a detectar los focos esenciales para los que, el plan de acción para realizar o restaurar las copias, deberá tener mayor control. Entre los recomendados se encuentran:

  1. Inventario de activos de información: la dotación idónea a tal fin debe registrar e identificar toda la información abarcada por las ICI para garantizar las operaciones (incluyendo la detección delos responsables de la información contenida, la ubicación y su transporte), recuperar de forma total o parcial antes eventuales incidentes o pérdida de la misma, y permitir gestionar dichos activos.
  2. Clasificación de los activos de información: se debe implementar un sistema de clasificación de los activos de información que permita identificar de forma rápida y sencilla cuestiones como el nivel de protección requerido, el tipo de activo y su criticidad.
  3. Conocimiento y control de acceso: las copias de seguridad deben ser almacenadas y resguardadas en sitios correctamente identificados, sean estos lógicos o físicos, donde además se cuente con un control de acceso que lleve el registro de ingresos o egresos de los autorizados y/o de las copias, día y horario de dichos eventos, y cualquier otro dato que ayude a garantizar la seguridad de las mismas, incluyendo su trazabilidad.
  4. Roles y procedimientos: es necesario contar con una clara definición de los roles que cumplirán cada uno de los involucrados dentro de los procesos de copia o restauración de los respaldos de información. Del mismo modo, en los procesos documentados deben estar definidas las tareas y responsabilidades de cada uno, las acciones alternativas en caso de no poder cumplir alguna de ellas, así como registros e información útil para el complimiento del mismo. Los procedimientos deben ser revisados al menos una vez al año, cuando se detecte un cambio significativo de los activos de información, o se decida cambiar las tecnologías asociadas a las ICI afectadas.

  5. Periodicidad de las copias: se debe estipular y fijar la frecuencia con la cual se realizarán las copias de seguridad, teniendo en cuenta factores tales como:

    a. La cantidad y tiempo de variación estimada de los datos a guardar
    b. Del costo del almacenamiento
    c. Servicios e infraestructuras afectadas
    d. Las obligaciones legales

  6. Tipo de copias apropiadas: se debe decidir el tipo de copia adecuada para cada una de las ICI afectadas en la política, estimando cuestiones como los recursos y tiempos necesarios para llevarlas a cabo.
    De forma genérica, existen 3 tipos de copias:

    a. Completa: se copian el total de los datos.
    b. Incremental: solo se guardan los datos modificados desde la última copia.
    c. Diferencial: se guardan todos los datos modificados desde la última copia completa.

  7. Caducidad de las copias: se debe decidir el tiempo adecuado para conservar las copias de seguridad en función a la vigencia de información resguardada, la vida útil del soporte utilizado, la necesidad de conservar copias históricas a la última completa realizada y resultado de pruebas.

  8. Comprobación de las copias de seguridad: es necesario fijar un período para realizar pruebas de restauración de las copias de seguridad, corroborar la buena salud de los distintos medios utilizados y la efectividad de los procesos destinados a tal fin.
  9. Destrucción de las copias de seguridad: debe contarse con procesos que garanticen la correcta eliminación de los datos ya sea para la reutilización del medio que los almacena, se haya comprobado la caducidad de los mismos, o incluso cuando su integridad se encuentre afectada. Para tales procesos deberán tomarse en cuenta técnicas como el formateo a bajo nivel, ciclos de sobre-escritura y técnicas de llenado de ceros.
  10. Control del soporte de copias: los mismos deben estar etiquetados, de forma física y/o lógica, a modo tal de poder ubicar en forma rápida y sencilla la información a guardar o restaurar. Así mismo, debe llevarse un registro completo y detallado que brinde información útil para identificar los contenidos resguardados.
  11. Destrucción del soporte de copias: cuando sea necesario la destrucción del soporte que almacenó alguna de las copias de seguridad, esta debe realizarse de forma segura, con un procedimiento que garantice que la información que contuvo no pueda volver a ser accesible.

IV. Buenas prácticas para realizar copias de respaldo - backup -

Para cumplir con las buenas prácticas de backup se deben contemplar algunos pasos, que nos pueden brindar ayuda sostenible a lo largo del tiempo y evitar retrasos a nuestras tareas operativas ante alguna adversidad en los equipos/ sistemas:

  • Optar por soportes para las copias adecuadas.
  • Evitar accesos no autorizados.
  • Una copia fuera de la organización ayudará a mejorar la eficacia.
  • Realizar backups con frecuencia.
  • Mantener las copias de seguridad cifradas.
  • Actualización constante de la información que se utiliza diariamente.
  • Contar con la mayor parte de la información necesaria para continuar con las actividades rutinarias y evitar la pérdida generalizada de datos.
  • Elaborar un plan detallado que contemple los sistemas, aplicaciones y datos que se integrarán con la solución de respaldo y que ayudarán a mejorar la eficiencia, la organización y, en última instancia, la productividad.
  • Tener en cuenta que el respaldo no es únicamente tener copias de datos, sino que su verdadero objetivo es la recuperación ante desastres. Si las copias de seguridad se realizan con regularidad, se reducirán los tiempos de recuperación en caso de un incidente, ya que será más fácil localizar exactamente qué copia de seguridad tratará el incidente de pérdida de datos.

Una de las técnicas más conocidas es la regla 3-2-1 de las copias de seguridad (tener al menos tres copias de tus datos; dos de ellas deben estar almacenadas en diferentes tipos de medios, y al menos una debe estar almacenada fuera de la organización).
Para poder implementar una mejor protección de copias de seguridad se debe:

a. Asignar responsabilidad y autoridad.
b. Evaluar el riesgo de almacenamiento ya que este se aplica a la seguridad de la información.
c. Desarrollar un proceso de protección de la información.
d. Comunicar los procesos de protección de la información y seguridad.

Activar: 
0
Scroll hacia arriba