Una interesante guía sobre copias de seguridad (backups) que comparten desde el INCIBE para aplicar en pymes, pequeñas y medianas empresas. Es importante la salvaguarda de la información para evitar pérdidas de datos, ramsonware, etc.
Qué es una copia de seguridad
En el sentido más académico, una copia de seguridad es un proceso mediante el cual se duplica la información existente de un soporte a otro, con el fin de poder recuperarlos en caso de fallo del primer alojamiento de los datos.
Sin embargo, en el ámbito empresarial podríamos definir la copia de seguridad como la salvaguarda de nuestro negocio, una medida indispensable para garantizar su continuidad y conservar la confianza que nuestros clientes han depositado en nuestra organización. De lo contrario, podríamos proyectar una imagen negativa y generar desconfianza.
Toda empresa que proteja sus sistemas de información contará con un Plan Director de Seguridad, así como con un Plan de Contingencia y Continuidad de Negocio, en los que las copias de seguridad serán parte fundamental de ambas planificaciones.
El Plan Director de Seguridad marca las prioridades, los responsables y los recursos que se van a emplear para mejorar el nivel de seguridad y, por tanto, contemplará la política de copias de seguridad que se debe adoptar en nuestra organización.
Por otro lado, el Plan de Contingencia y Continuidad de Negocio nos dará las pautas para responder de manera rápida y eficaz ante un incidente de seguridad, de forma que podamos restablecer la actividad de la empresa lo antes posible, intentando reducir así el impacto. Ante la posibilidad de enfrentarnos a pérdidas de información, nuestro Plan de Contingencia definirá la información que debe incluirse en las copias de seguridad, qué tipo de soporte se utilizará, con qué periodicidad y en qué instalaciones físicas se alojarán. Asimismo, se deberían definir pruebas periódicas para verificar la integridad y la correcta recuperación de la información.
¿Por qué hacer copias de seguridad?
Lo más probable es que manejes información importante y confidencial y dependes de ella para que tu negocio siga adelante. La pérdida de esta información supondría la pérdida de horas de trabajo y de proyectos que tendría graves consecuencias para la continuidad del negocio.
Hay que tener en cuenta que los soportes donde recogemos esa información suelen tener una vida útil limitada (averías, desgastes…) y están sujetos a diversos riesgos y/o amenazas (accidentes, ataques…). Por estos motivos tenemos que implementar las medidas para proteger el mayor activo que almacenamos en dichos soportes, la información, así que empecemos a hacer copias de seguridad.
Determinar la información que se copiará.
Para determinar cuál es la información de la que se realizará copia de seguridad, debemos realizar un inventario de activos de información18y una clasificación de los mismos en base a su criticidad para el negocio. Los activos de información pueden estar en formato digital o en otros soportes (papel, película fotográfica, etc.). En formato digital pueden ser ficheros de todo tipo (texto, imagen, multimedia, bases de datos…), desde los programas y aplicaciones que los utilizan y gestionan hasta los equipos y sistemas que soportan estos servicios.
El objetivo de este procedimiento es tener un registro de todo el software y los datos imprescindibles para la organización, de manera que sirva para determinar la periodicidad de las copias y su contenido.
Criterios de clasificación de la información
Los criterios de clasificación que apliquemos a los activos de información deben estar relacionados con las medidas de seguridad que aplicaremos sobre nuestra información.
Algunos de estos criterios podrían ser:
»por el nivel de accesibilidad o confidencialidad:
→ Confidencial: accesible solo por la dirección o personal concreto.
→ Interna: accesible solo al personal de la empresa.
→ Pública: accesible públicamente.
»por su utilidad o funcionalidad:
→ Información de clientes y proveedores.
→ Información de compras y ventas.
→ Información de personal y gestión interna.
→ Información sobre pedidos y procesos de almacén.
»por el impacto en caso de robo, borrado o pérdida:
→ Daño de imagen.
→ Consecuencias legales.
→ Consecuencias económicas.
→ Paralización de la actividad.
Puedes descargar la guía de Copias de Seguridad del INCIBE en PDF aquí.