Realizar una copia de seguridad consiste en duplicar la información existente de un soporte a otro para poder recuperarla en caso de que falle el primer alojamiento de los datos. En el ámbito empresarial, se trata de una medida indispensable para garantizar la continuidad del negocio y conservar la imagen positiva y la confianza que los clientes depositan en las entidades.
En este post vamos a destacar los aspectos más relevantes que hay que saber sobre la realización de las copias de seguridad, tomando como base una de las guías publicadas por el Instituto Nacional de Ciberseguridad (INCIBE) para comprender la importancia de su implantación en las empresas. (ver “Copias de seguridad: una guía de aproximación para el empresario”)
¿Qué información se debe copiar?
Para establecer cuál es la información de la que se realizará la copia de seguridad, se debe realizar un inventario de activos de información y una clasificación de los mismos en base a su criticidad para el negocio.
Los criterios para realizar esta clasificación deben estar relacionados con las medidas de seguridad aplicables sobre la información, como por ejemplo por el nivel de accesibilidad o confidencialidad, por su utilidad o funcionalidad y/o por el impacto en caso de robo, borrado o pérdida.
Frecuencia y tipo de copias
Para saber cada cuanto tiempo se deben realizar las copias de seguridad, será necesario atender a los siguientes factores:
– el número de datos o archivos generados y/o modificados
– el coste de almacenamiento;
– las obligaciones legales que apliquen. En este sentido cabe señalar que el propio Reglamento Europeo de Protección de Datos (RGPD) prevé que responsables y encargados del tratamiento apliquen las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
Teniendo en cuenta estos elementos hay que elegir el tipo de copia de seguridad, siendo las siguientes las más comunes:
Copia de seguridad en espejo o RAID 1
Mientras se trabaja con la información se crea una copia espejo en una ubicación alternativa, creándose una copia exacta de los datos en tiempo real.
Su mayor desventaja es que, si borramos un archivo accidentalmente también se borra de la copia de seguridad.
Copia de seguridad completa
Consiste en hacer una copia de todos los datos de nuestro sistema en otro soporte, proporcionando una fácil restauración de los datos.
Sin embargo, se necesita mucho espacio de almacenamiento, puesto que se copian todos los ficheros del sistema, e implica tener información redundante.
Copia de seguridad diferencial
Cada vez que se vuelve a lanzar, se copian los datos que se han modificado desde la última copia completa realizada. Por tanto, con el tiempo, estos tipos de copia se van haciendo más grandes hasta que se vuelve a realizar la copia completa. No es tampoco la solución más óptima en cuanto a espacio.
Copia de seguridad incremental
Solo copia los datos que han variado desde la última copia de respaldo realizada, tanto si ha sido incremental, diferencial o completa. Sus principales ventajas son que se necesita mucho menos espacio que el que requiere una copia completa, y que el tiempo de realización de la copia es mucho más corto. El inconveniente de este tipo de copias es la recuperación de los datos puesto que, no almacena todos los ficheros sino solo los que han sido modificados desde la última copia realizada
Atendiendo a todo lo anterior, se recomienda que las empresas realicen copias de seguridad completas cada cierto tiempo (por ejemplo, una vez a la semana o al mes) y que se combine con copias incrementales o diferenciales.
¿Dónde almacenar la copia?
El soporte que se elija para realizar la copia dependerá de la cantidad de información que se necesite salvaguardar, del sistema de copia seleccionado y de la inversión que se quiera hacer.
Existen diferentes dispositivos de almacenamiento para guardar las copias de seguridad tales como las cintas magnéticas, dispositivos NAS, discos ópticos, o la nube.
En caso de que el almacenamiento elegido sea la nube, habrá que exigir las garantías de seguridad pertinentes a la empresa que se encargue de prestarnos el servicio y, además, se recomienda cifrar las copias para evitar una fuga de información.
La Guía de INCIBE propone como buena práctica a la hora de realizar copias de seguridad, consistente en adoptar la estrategia 3-2-1, que consiste en diversificar las copias de seguridad para garantizar que siempre haya alguna recuperable, siendo sus claves de actuación las siguientes:
3: Mantener 3 copias de cualquier fichero importante: el archivo original y 2 backups.
2: Almacenar las copias en 2 soportes distintos de almacenamiento para protegerlas ante distintos riesgos.
1: Almacenar una copia de seguridad fuera de nuestra empresa (conocido como “backup offsite”)
Protección de las copias
Para garantizar la conservación e integridad de los datos, es necesario:
– Buscar un lugar adecuado para guardar las copias, asegurando las condiciones de climatización de dicho lugar.
– Contar con al menos una copia fuera de la entidad.
– Valorar contratar servicios de guarda y custodia por motivos de seguridad física, en caso de ser necesario.
– Llevar un control de la vida útil de los soportes físicos de copia y así evitar que afecte cualquier posible deterioro.
– Realizar un mantenimiento de hardware y software periódico de los soportes de almacenamiento.
– Probar que las copias de seguridad pueden restaurarse correctamente y así garantizar que la información se pueda recuperar. Para minimizar el tiempo necesario de recuperación, se recomienda elaborar y aplicar procedimientos que describan cómo hacer las copias y cómo restaurarlas.
– Tener en cuenta que si, además, utilizamos herramientas de cifrado que protejan la información almacenada en las copias de seguridad, estaremos protegiendo los datos en caso de robo de información o accesos no autorizados.
El periodo de conservación de las copias variará dependiendo de las necesidades de cada organización, así como de la diferente normativa a la que nuestra empresa deba estar sujeta.
Un ejemplo de buena práctica a la hora de realizar y conservar copias de seguridad en una empresa es el siguiente:
– Copias incrementales diarias.
– Copias totales una vez a la semana.
– Conservación de las copias totales un mes.
– Almacenamiento de la última copia del mes durante un año.
Por último, cuando llega la hora de destruir los soportes que han sido utilizados para realizar copias de seguridad, hay que asegurarse de que se hace de forma segura para evitar posibles accesos malintencionados. A la hora de elegir el mejor método, nos encontramos también con varias opciones:
– Para eliminar la información de soportes no electrónicos y soportes magnéticos (documentos impresos, CD, DVD, cintas magnéticas, radiografías, etc.) debemos utilizar la opción de triturado.
– Para reutilizar soportes electrónicos que contienen datos, se debe utilizar la opción de sobreescritura para garantizar un borrado total de la información. Para hacerlo se pueden utilizar dispositivos regrabables siempre que no estén dañados.
– Si se dispone de algún soporte de almacenamiento que ya no funcione correctamente o se ha quedado obsoleto, se deben utilizar métodos de desmagnetización o destrucción física para imposibilitar la reutilización del dispositivo garantizando que la información no pueda ser recuperada.
– Otra posibilidad consiste en subcontratar la destrucción certificada de la información y de los soportes si se trata de datos personales o confidenciales. De esta forma nos estaremos asegurando de que la destrucción se lleva a cabo con las máximas garantías de seguridad y confidencialidad desde la recogida del material hasta su destrucción/eliminación. Tras la destrucción, la empresa emite un certificado que garantiza la validez de todo el proceso.
En nuestras siguientes publicaciones, seguiremos analizando otras Guías publicadas por INCIBE orientadas a mejorar la seguridad digital en las empresas.