Cómo realizar un plan de backups

Autor:
Ricardo Naranjo Faccini
Fecha de publicación:
Monday 26 June 2023
Tema:
Seguridad de la información, seguridad informática y cibernética
Revisado por :
Ricardo Naranjo Faccini
(Monday 26 June 2023)

Resumen

En un mundo cada vez más dependiente de la información digital, la protección y disponibilidad de los datos se ha vuelto una prioridad fundamental para las organizaciones. La pérdida o la corrupción de datos pueden tener consecuencias devastadoras, tanto desde una perspectiva operativa como legal. Es por eso que la implementación de un sólido plan de backups se ha convertido en una práctica indispensable en el ámbito de la seguridad informática.

Este artículo explora la importancia de la gestión de backups como una medida clave para garantizar la continuidad y seguridad de los datos. El respaldo adecuado de la información crítica es esencial para mitigar el riesgo de pérdida de datos y para facilitar su rápida recuperación en caso de incidentes o desastres.

Los aspectos fundamentales de los backups abarcan desde la identificación de los datos a respaldar hasta la importancia de encontrar el equilibrio adecuado entre la frecuencia y retención de las copias de seguridad. También se discute el diseño de un plan de recuperación efectivo, considerando la prioridad de los servicios y las dependencias entre sistemas.

Además, se analiza la relevancia de la seguridad en la ubicación física de los respaldos y se examinan los aspectos legales y regulatorios que deben tenerse en cuenta en la gestión de los datos respaldados. Asimismo, se destaca la importancia de realizar pruebas periódicas del plan de recuperación para evaluar su eficacia y realizar mejoras continuas.

A lo largo de este artículo, se presentarán estrategias y buenas prácticas para optimizar la gestión de backups, así como consejos para abordar los desafíos y riesgos asociados a la protección de datos en un entorno tecnológico en constante evolución.


1 La importancia de los backups

Los backups, también conocidos como copias de seguridad, son la creación de duplicados de los datos y archivos importantes almacenados en un sistema informático. Estas copias de seguridad se realizan con el propósito de proteger los datos contra la pérdida o el acceso no autorizado, y proporcionar la capacidad de restaurarlos en caso de fallos del sistema, errores humanos, ataques cibernéticos, desastres naturales u otros eventos adversos.

Su importancia radica en que los datos son uno de los activos más valiosos para cualquier individuo, empresa u organización. La pérdida de datos puede tener consecuencias graves, como interrupción de operaciones comerciales o de producción, pérdida de información confidencial, impacto en la reputación, pérdida de ingresos o incluso incumplimiento de regulaciones legales.

Al tener copias de seguridad actualizadas y almacenadas en un lugar seguro, se garantiza la capacidad de recuperar los datos y restaurar el sistema a un estado funcional en caso de cualquier eventualidad. Algunos de los beneficios y la importancia de los backups son:

  1. Recuperación de datos: Los backups permiten restaurar los datos y archivos perdidos o dañados, minimizando el tiempo de inactividad y la pérdida de información crítica.

  2. Continuidad del negocio: Al contar con copias de seguridad, las organizaciones pueden mantener la continuidad de sus operaciones incluso después de un evento adverso. Esto asegura que los servicios y las actividades puedan reanudarse de manera más rápida y eficiente.

  3. Protección contra amenazas cibernéticas: Los backups son una defensa crucial contra ataques de malware, ransomware o cualquier otra forma de ataque cibernético. Si los datos se ven comprometidos, se pueden restaurar desde las copias de seguridad sin tener que ceder a las demandas de los ciberdelincuentes.

  4. Recuperación de desastres: En caso de desastres naturales, incendios, inundaciones u otros eventos que puedan dañar los sistemas informáticos, los backups permiten recuperar los datos y restaurar el entorno tecnológico lo más rápido posible.

  5. Protección contra errores humanos: Los errores humanos son comunes y pueden conducir a la pérdida accidental o el borrado de datos importantes. Los backups brindan una salvaguarda contra tales errores, ya que se pueden restaurar versiones anteriores o copias de seguridad actualizadas.

  6. Cumplimiento de regulaciones y leyes: Muchas industrias tienen requisitos legales y regulaciones específicas sobre la retención y protección de datos. Los backups ayudan a cumplir con estas obligaciones y garantizan que los datos se mantengan seguros y disponibles según sea necesario.

Son esenciales para proteger los datos críticos y garantizar la continuidad del negocio. Proporcionan la capacidad de recuperar información valiosa en caso de pérdida o daño, brindando tranquilidad y seguridad a los usuarios y las organizaciones en un entorno digital cada vez más complejo y vulnerable.

2 Plan de backups

El plan de backups es un conjunto de actividades que involucran diversos aspectos para garantizar la protección y recuperación efectiva de los datos de una organización que contempla las siguientes actividades:

  1. Identificación de archivos o datos a respaldar: Esta actividad implica determinar qué archivos y datos son críticos y necesitan ser respaldados. Se realiza un inventario de los sistemas, aplicaciones y bases de datos para identificar los elementos que deben incluirse en el proceso de respaldo.

  2. Clasificación y segmentación de la información: En esta etapa, se organiza y segmenta la información en conjuntos lógicos para evitar la generación de archivos extremadamente grandes o difíciles de manejar. Esto ayuda a optimizar el proceso de respaldo y recuperación.

  3. Medir y conocer los tiempos de generación y recuperación de los backups: Se lleva un registro y seguimiento de los tiempos requeridos tanto para generar los backups como para recuperar los datos. Esto ayuda a evaluar el desempeño del proceso y realizar mejoras continuas. Se calcula el tiempo que se requiere para generar las copias, tiempo en el cual, en muchos sistemas de información, se requiere una interrupción en el trabajo de los usuario. Mediante pruebas se estima el tiempo promedio para restaurar los datos en caso de una pérdida o incidente. Esto implica evaluar el impacto de tiempo de inactividad, establecer metas realistas para minimizar interrupciones en las operaciones y permite diseñar el orden en que se van a recuperar los backups.

  4. Determinar el balance entre frecuencia y retención: Aquí se establece la frecuencia con la que se realizarán los backups y el tiempo durante el cual se retendrán las copias de seguridad. Se tiene en cuenta la importancia de los datos, los recursos de almacenamiento disponibles y los objetivos de tiempo de recuperación y punto de recuperación. Este tema se profundizará en el siguiente capítulo.

  5. Determinar la antigüedad aceptable de los respaldos: Se define el período de tiempo máximo hasta el cual se considera aceptable recuperar datos de los respaldos. Esto se basa en los requisitos operativos, legales y regulatorios de la organización.

  6. Diseñar el plan de recuperación: Se desarrolla un plan detallado que define los procedimientos y pasos necesarios para restaurar los datos respaldados. Se consideran la prioridad de los servicios y las dependencias entre sistemas, lo que puede influir en el orden de restauración de los respaldos.

  7. Desarrollar procesos y procedimientos de respuesta y recuperación: Se definen los procesos y procedimientos detallados para llevar a cabo la recuperación de los datos en caso de una pérdida. Esto incluye la asignación de roles y responsabilidades, la documentación de los pasos a seguir y la capacitación del personal.

  8. Identificar los requerimientos de seguridad de los respaldos: Se establecen los criterios de seguridad para la ubicación física de las copias de seguridad. Se busca evitar que los respaldos se almacenen en el mismo dispositivo o ubicación que los datos originales. Se considera la posibilidad de ubicarlos en un lugar geográficamente distante, en otro continente o placa tectónica, dependiendo del tamaño y las necesidades de la organización.

  9. Identificar requerimientos regulatorios y legales: Se consideran los requisitos legales y regulatorios que afectan el respaldo y la recuperación de datos, asegurando el cumplimiento de las normativas pertinentes, como la protección de datos personales, la confidencialidad y otros requisitos específicos de la industria.

  10. Probar el plan de recuperación: Se realizan pruebas periódicas del plan de recuperación para verificar su efectividad y realizar ajustes necesarios. Estas pruebas pueden involucrar simulaciones de situaciones de pérdida de datos y la ejecución de los procedimientos de recuperación para evaluar su funcionamiento.

El plan de backups es una parte fundamental de la estrategia de gestión de datos de una organización, y su implementación adecuada ayuda a garantizar la disponibilidad y protección de la información crítica.

3 Balance entre frecuencia y retención

Uno de los aspectos críticos al hablar de backups es encontrar un equilibrio adecuado entre la frecuencia con la que se realizan los backups y el período de tiempo durante el cual se retienen las copias de seguridad.

La frecuencia de los backups se refiere a la regularidad con la que se crean nuevas copias de seguridad. Por ejemplo, un backup diario significa que se realiza una copia de seguridad todos los días, mientras que un backup semanal implica que se realiza una copia de seguridad una vez a la semana. La frecuencia debe determinarse en función de la cantidad de cambios de datos que se producen y la importancia de esos cambios. Cuanto mayor sea la frecuencia, menor será la cantidad de datos que se pueden perder en caso de un problema o falla.

La retención de los backups se refiere al período de tiempo durante el cual se conservan las copias de seguridad antes de ser reemplazadas o eliminadas. Esto implica definir durante cuánto tiempo se almacenan las copias de seguridad, lo que puede depender de los requisitos legales o regulatorios, la política de la empresa y la importancia de los datos respaldados. Es importante asegurarse de que se retengan suficientes copias de seguridad para abordar diferentes escenarios de pérdida de datos, como la corrupción de archivos o el descubrimiento tardío de una brecha de seguridad.

El balance entre frecuencia y retención implica encontrar un punto óptimo que garantice la protección adecuada de los datos respaldados sin incurrir en costos o recursos excesivos. Una frecuencia de backup demasiado alta puede requerir más recursos de almacenamiento y tiempo de respaldo, mientras que una frecuencia demasiado baja puede aumentar el riesgo de pérdida de datos significativos. Del mismo modo, una retención excesiva de backups puede ocupar espacio de almacenamiento innecesario, mientras que una retención insuficiente puede dejar a la organización sin acceso a versiones anteriores de los datos en caso de necesitar recuperar información histórica.

El equilibrio adecuado entre frecuencia y retención puede variar según las necesidades y requerimientos específicos de cada organización, y es importante evaluar regularmente esta configuración para asegurarse de que siga siendo apropiada y eficiente en función de los cambios en los datos y las circunstancias operativas.

4 Simulacros y pruebas

Para prevenir la generación de backups irrecuperables y garantizar la efectividad del plan de recuperación, es crucial realizar pruebas y simulacros periódicos. A continuación se presenta una guía para desarrollar un plan de pruebas y simulacros de recuperación de backups:

  1. Definir los objetivos: Establecer los objetivos específicos de las pruebas y simulacros. Esto puede incluir evaluar la integridad de los backups, comprobar la efectividad del plan de recuperación, identificar posibles brechas o errores en los procedimientos, y mejorar la capacidad de respuesta ante incidentes.

  2. Identificar los escenarios de prueba: Determinar los escenarios realistas que se simularán durante las pruebas. Estos pueden incluir la pérdida total de datos, la corrupción de archivos, el fallo del sistema, el borrado accidental de información crítica, entre otros.

  3. Planificar los recursos y el alcance: Asignar los recursos necesarios para llevar a cabo las pruebas y definir el alcance de las mismas. Esto puede incluir personal, tiempo, equipos de respaldo y sistemas de prueba separados del entorno de producción.

  4. Establecer un programa de pruebas: Definir la frecuencia y el calendario de las pruebas y simulacros. Puede ser mensual, trimestral o anual, dependiendo de la criticidad de los datos y las necesidades de la organización.

  5. Documentar los procedimientos: Documentar de manera clara y detallada los pasos a seguir durante las pruebas y simulacros. Esto incluye los procesos de restauración de backups, la verificación de la integridad de los datos, y la comprobación de la funcionalidad de los sistemas restaurados.

  6. Establecer métricas y criterios de éxito: Definir métricas y criterios de éxito para evaluar el rendimiento y la efectividad de las pruebas. Estas métricas pueden incluir el tiempo de recuperación, la integridad de los datos restaurados y la capacidad de respuesta del equipo encargado de la recuperación.

  7. Evaluar los resultados y realizar mejoras: Analizar los resultados de las pruebas y simulacros, identificar posibles áreas de mejora y llevar a cabo las acciones correctivas necesarias. Esto puede implicar ajustes en los procedimientos, actualizaciones en la infraestructura de respaldo, capacitación adicional del personal, entre otros.

  8. Actualizar el plan de recuperación: Utilizar los resultados de las pruebas y simulacros para mejorar y actualizar el plan de recuperación. Asegurarse de que el plan refleje los hallazgos y lecciones aprendidas durante las pruebas, y que esté alineado con las necesidades cambiantes de la organización.

Las pruebas y simulacros de recuperación de backups son un proceso continuo. Es esencial realizar estas actividades de forma regular para garantizar la eficacia y fiabilidad de los backups, y para asegurar la capacidad de recuperación de los datos en caso de incidentes o desastres.

5 Problemas asociados con la protección de datos personales

Si se produce una solicitud para remover información personal de un ciudadano, amparado en leyes de protección de datos personales como la Ley 1581 en Colombia o el Reglamento General de Protección de Datos (RGPD) en la Unión Europea, y esa información no se removió correctamente en el backup, podría haber problemas legales debido a un error procedimental.

En este caso, es importante tener en cuenta lo siguiente:

  1. Cumplimiento normativo: Las leyes de protección de datos personales establecen obligaciones claras para garantizar la privacidad y seguridad de los datos personales. Si se produce una infracción a estas leyes, puede haber consecuencias legales y sanciones. Cualquier ciudadano puede solicitar la remoción de sus datos de los sistemas de información corporativos y si no se remueven de los backups, por lo menos debe prevenirse su accidental recuperación al restaurarlos.

  2. Evaluación del impacto: Es necesario evaluar el impacto de la falta de remoción de los datos personales en el backup. Esto implica determinar si los datos expuestos pueden afectar la privacidad y derechos de los individuos, y si existen riesgos significativos para su seguridad.

  3. Notificación y mitigación: En caso de que se identifique una violación de la protección de datos, se deben seguir los procedimientos adecuados según la normativa aplicable. Esto puede implicar notificar a la autoridad de protección de datos correspondiente, así como informar a los individuos cuyos datos puedan estar comprometidos.

  4. Investigación y análisis: Es importante llevar a cabo una investigación interna para determinar cómo ocurrió el error procedimental y qué medidas correctivas deben implementarse para evitar que vuelva a suceder. Esto puede implicar revisar los procesos de respaldo y recuperación de datos, así como fortalecer las medidas de seguridad y privacidad.

  5. Asesoramiento legal: Ante un error procedimental que pueda tener implicaciones legales, es recomendable buscar asesoramiento legal para evaluar el alcance de la situación y determinar los pasos a seguir. Un abogado especializado en protección de datos puede brindar orientación sobre las acciones legales y las medidas de mitigación apropiadas.

Es importante tener en cuenta que la respuesta a este escenario específico puede variar según las leyes y regulaciones aplicables en cada jurisdicción. Por lo tanto, es fundamental buscar asesoramiento legal especializado en el ámbito de protección de datos para abordar adecuadamente este tipo de situaciones.

6 Créditos y descargo de responsabilidad

Este artículo se ha producido con apoyo de la información proporcionada por ChatGPT, un modelo de lenguaje desarrollado por OpenAI la cual ha sido solicitada, consolidada, verificada y corregida por el autor.

7 Licencia

 
Cómo realizar un plan de backups está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional.

Ricardo Naranjo Faccini

Ricardo Naranjo Faccini Desarrollador WWW

Nació en Barranquilla, Atl, Colombia el 14 de enero de 1971

  • Magíster en Ingeniería de Sistemas y Computación de la Universidad de Los Andes 1998
  • Ingeniero Civil de la Universidad de Los Andes 1995
  • Diplomado en docencia en Ingeniería de la Pontificia Universidad Javeriana 2008
  • Gerente de la firma Skina IT Solutions, su gestión ha llevado a la empresa al nivel de exportación de software. Experto en calidad en el desarrollo de software con énfasis en el uso de herramientas libres orientadas hacia WWW.
  • CTO de AuthorsGlobe, empresa participante en el MIT 100K, elegida como parte del "TOP 10" entre 300 proyectos presentados en este concurso del Massachussets Institute of Technology MIT.
  • Durante el periodo 2004-2005 se desempeñó como Gerente de desarrollo de negocios NOVELL en Nexsys de Colombia.
  • Ejerce docencia como catedrático en la Universidad Javeriana, al igual que lo ha realizado en la Universidad de Los Andes, Universidad de Manizales y Universidad autónoma de Bucaramanga.
  • Comprometido con la divulgación del software libre y su aplicación en Colombia, ha dictado más de 60 conferencias en todo el país, co-fundador de LinuxCol, la primera comunidad de usuarios de Linux en Colombia.
  • Colaborador del grupo ACIS-Linux.

Calle 95 #47-33 int 8

Calle 95 #47-33 int 8, Bogotá, Colombia

Tel: +57 300 214 6210

ventas@skinait.com

Condiciones de uso del sitio web

Aviso de privacidad y tratamiento de datos personales

Desarrollado por Skina IT Solutions