31 de Marzo, día mundial de las copias de seguridad

Sin entrar en valoraciones sobre los motivos por los que en los últimos tiempos se crean “días de…” para todo, quiero hacer una mención al pasado día 31 de Marzo, cuando se celebró el día mundial de las copias de seguridad.

Si nos remitimos a las diferentes normas y buenas prácticas relativas a la seguridad de la información, en todas existe un apartado específico de copias de seguridad, sirva el presente post para referenciar algunas de dichas recomendaciones/obligaciones y ver algunos de los controles que se deberán implementar para estar alineados con lo indicado en dichas normas.

Empecemos con algo que (casi) todos conocemos: la norma ISO 27001, cuyo objetivo de control A.12.3 Copias de Seguridad, hace referencia a que se debe evitar la pérdida de datos. En la descripción del control se cita que se deben realizar copias de seguridad de la información, del software y del sistema y se deben verificar periódicamente de acuerdo a la política de copias de seguridad acordada. Parece bastante lógico.

Pasemos a continuación con el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (RD1720/2007), en este caso en el Artículo 94 Copias de respaldo y recuperación, para ficheros de nivel básico establece que a) deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, b) se establecerán procedimientos para la recuperación de los datos, c) el responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos y d) si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.

Así mismo para los ficheros de nivel alto dicho reglamento establece en el Artículo 102. Copias de respaldo y recuperación, que “deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación”.

Quizá eso último sea algo farragoso, pero desde luego y al menos en este punto, no hacen falta inversiones faraónicas para cumplir con el reglamento.

Citemos a continuación el Esquema Nacional de Seguridad, donde en el Anexo II: Medidas de Seguridad -> Medidas de protección -> Medidas de protección de la información la medida mp.info.9 hace una referencia explícita a las Copias de seguridad (backup) y se establecen medidas a implantar para nivel medio y alto, tales como realizar copias de respaldo que permitan recuperar datos perdidos accidental o intencionadamente con una antigüedad determinada.

Las copias de respaldo disfrutarán de la misma seguridad que los datos originales en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se considerará la conveniencia o necesidad de que las copias de seguridad estén cifradas para garantizar la confidencialidad.

Las copias de respaldo deberán abarcar: a) Información de trabajo de la organización, b) Aplicaciones en explotación, incluyendo los sistemas operativos, c) Datos de configuración, servicios, aplicaciones, equipos, u otros de naturaleza análoga, y d) Claves utilizadas para preservar la confidencialidad de la información.

Existe otra normativa española, la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las Infraestructuras Críticas. Si bien no se cita explícitamente el término “copias de seguridad”, en el Artículo 18, Seguridad de los datos clasificados, se indica que “el operador crítico deberá garantizar la seguridad de los datos clasificados relativos a sus propias infraestructuras, mediante los medios de protección y los sistemas de información adecuados que reglamentariamente se determinen”. Es decir, copias de seguridad para empezar.

En países como Colombia nos podemos encontrar diversa normativa parecida. En este caso, “La guía de implementación de políticas del Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea”, establece en su apartado 5.5 “Sobre copias de seguridad” que “todas las entidades deben contar con mecanismos manuales o automatizados que permitan realizar copias de seguridad de la información considerada de alta importancia y a continuación establece entre otras cosas los tipos de copias que se deben realizar(completa, incremental o diferencial)“.

Por último, y aunque seguro que existen muchísimas más (casi que una por cada país), en Argentina se ha publicado la Política de Seguridad de la Información Modelo en la que en su apartado 12.3 Categoría: Resguardo (backup) establece los controles a implantar con respecto a las copias de seguridad. Invito a los lectores que si tienen conocimiento de alguna más los incluyan en los comentarios del post.

Como podemos comprobar todas estas normativas, tienen en común que:

  • Se debe hacer copias de seguridad.
  • Dichas copias deben estar debidamente custodiadas.
  • Deben existir procedimientos para poder restaurar dichas copias.

Bastante lógico todo, ¿no? No parece algo tan complicado, ¿verdad que no?