Servicios de protección de datos en Alcalá de Henares

Compruébelo usted mismo, LLáMENOS 925 366 897

¿CÓMO REALIZAR UNA BUENA GESTIÓN DE LAS COPIAS DE SEGURIDAD?

9. PROCEDIMIENTOS DE COPIAS DE SEGURIDAD

Los datos de los sistemas de información de la empresa pueden sufrir incidencias que supongan la pérdida de datos, robo, modificación por usuarios no autorizados, alteración con errores producidos por los usuarios autorizados y otras.

Resulta necesario tener copias de respaldo de los ficheros, para que, en caso de que se produzca alguna de estas incidencias se puedan recuperar. La empresa necesita activar un protocolo para la realización de copias de seguridad, así como para su restauración en caso necesario.

Se debe definir una estrategia que permita garantizar la existencia de copias que den coberturas a las necesidades de disponibilidad de los datos, tanto en relación a la prestación de los servicios de la empresa, como en relación a su gestión interna. Por tanto, habrá ficheros con un valor más alto que otro, que necesiten de copias más frecuentes, y otros que contengan datos de mayor sensibilidad y deban tener copias con mayor grado de seguridad respecto a la dimensión de la confidencialidad.

A continuación, se recomiendan una serie de medidas técnicas y organizativas para la gestión de copias de seguridad que habrá que aplicar según las necesidades de la empresa.

9.1 Realizar copias desde el servidor.
9.2 Realizar copias sobre los equipos.
9.3 Realizar copias de seguridad sobre los dispositivos móviles.
9.4 Realizar copias de seguridad de todos los ficheros automatizados.
9.5 Copias imagen del sistema.
9.6 Periodicidad de las copias.
9.7 Copias en soportes externos offline.
9.8 Copias en la nube.
9.9 Copias de seguridad de aplicaciones cloud.
9.10 Cifrado de las copias.
9.11 Disponer de varias copias de respaldo.
9.12 Almacenar copias fuera de los locales donde se localizan los datos.
9.13 Registro e inventario de copias.
9.14 Comprobación de las copias.
9.15 Herramientas para la gestión de copias.

9.1 Realizar copias desde el servidor

Como norma general las empresas que dispongan de una red con recursos compartidos, deben almacenar todos los ficheros en el servidor, y se debe comunicar a los trabajadores que todos los archivos que traten en sus equipos deben guardarse en el directorio de red que les hayan sido asignados. Lógicamente con carácter previo se habrá tenido en cuenta el cumplimiento del manual de procedimiento de gestión de usuarios y control de acceso, y concretamente la creación de perfiles de usuarios garantizando que los usuarios sólo accedan a los recursos que necesiten.

Como todos los ficheros se almacenan en el servidor, será en este equipo donde ejecuten las copias de respaldo.

9.2 Realizar copias sobre los equipos

Si en la empresa no existe un servidor, o bien, no se almacenan todos los datos en el mismo, se deberán realizar copias de seguridad en cada uno de los equipos informáticos que guarde información en sus discos duros.

9.3 Realizar copias de seguridad sobre los dispositivos móviles

Los ordenadores portátiles, así como los teléfonos móviles, smartphones y tablets, podrían contener datos de carácter personal que no estuvieran en ningún otro equipo, y habría que realizar copias de cada uno de estos dispositivos con las herramientas que haya previsto la empresa.

Para conocer cómo realizar copias de seguridad de dispositivos con sistemas operativos Android pulse aquí.

Para conocer cómo realizar copias de seguridad en dispositivos con sistemas operativos IOS pulse aquí.

9.4 Realizar copias de seguridad de todos los ficheros automatizados

Se deben realizan copias de seguridad de todos los ficheros que contengan datos de carácter personal:

  • De todos los ficheros tratados por los programas informáticos. Tanto de gestión interna como los necesarios para la prestación de los servicios de la empresa. No debe olvidarse hacer copias de los ficheros tratados en programas a los que se accede de manera esporádica, como el registro de la jornada laboral. A veces, se suele olvidar hacer copias de seguridad de este registro, sin dar importancia a la necesidad de cumplir con la obligación de mantenerlo durante 4 años a disposición de la administración pública laboral.
  • De los archivos ofimáticos.
  • De los buzones de las cuentas de correo electrónico.

9.5 Copias imagen del sistema

Las copias de imagen del sistema o de recuperación de desastres consisten en copiar toda la información del equipo, incluidos los sistemas operativos, aplicaciones, programas informáticos y todos los datos de los usuarios. Se recomienda hacer una copia cada vez que se realicen actualizaciones importantes en el sistema operativo, así como las aplicaciones y programas informáticos indispensables.

En caso de fallo del sistema o de una aplicación informática que paralice la actividad de la empresa o de un determinado servicio, la restauración de esta copia, permitirá que en un periodo de tiempo breve puede reanudarse con normalidad. Si no se dispusiera de esta copia de imagen del sistema, necesitaríamos invertir mucho más tiempo y más costes para volver a la actividad habitual, pues podría sería necesario volver a instalar desde inicio el sistema operativo, los controladores de los dispositivos y periféricos, las aplicaciones y programas informáticos, así como configurar las distintas políticas, como la de gestión de usuarios y de contraseñas.

9.6 Periodicidad de las copias

La periodicidad de las copias variará según el volumen de operaciones de tratamiento, aunque como mínimo se deben realizar semanalmente, excepto si no ha habido modificaciones de datos.

Si se dispone de herramientas para la programación de copias de seguridad de modo seguro se recomienda realizarlas de manera diaria, aunque si el volumen de operaciones es muy alto se puede reducir el periodo a horas. La programación automatizada de copias reducirá los errores siempre que se realicen controles de su correcta ejecución.

En el caso de que se realicen pruebas sobre el sistema de información o de los programas informáticos que puedan afectar a los ficheros con datos de carácter personal, se deberá realizar una copia de seguridad con anterioridad.

9.7 Copias en soportes externos offline

Se debe realizar al menos una copia de seguridad en soportes externos, teniendo la precaución de que se desconecten de la red una vez que se haya hecho la copia.

Se pueden utilizar discos duros portátiles que tienen mayor capacidad de almacenamiento que las memorias USB, el uso de éstas son menos recomendable, pues son dispositivos pequeños que son más fáciles de perder o de ser sustraídos.

9.8 Copias en la nube

Las copias de seguridad se pueden realizar en la nube, y se pueden contratar espacios de almacenamiento en servidores públicos o privados.
Si los datos de los que queremos hacer copias son sensibles, resulta recomendable contratar un servidor dedicado.

Tal y como señala el art. 28.1 del Reglamento General de Protección de Datos el Responsable deberá elegir un Encargado que ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas. La posesión de certificaciones es una cuestión fundamental para valorar la idoneidad de contratar a un proveedor que ofrece el servicio de copia de seguridad en la nube, debe exigirse el cumplimiento de la ISO/IEC 27017, basada en la norma ISO/IEC 27002 que proporciona los 37 controles de ésta última y otros 7 más relacionados con la nube.

Cuando se contrate un servicio de almacenamiento de copias de seguridad en la nube se debe formalizar un contrato con el prestador que garantice al menos lo siguiente:

  • Definir con qué periodicidad se realizan las copias.
  • Otorgar un acceso al cliente para acceder a la copia directamente.
  • Se debe especificar cuánto tiempo almacena cada una de las versiones de copias.
  • Especificar la ubicación donde se van a almacenar, no se deben guardar en centros de datos ubicados en países que no ofrecen un nivel adecuado de protección de datos, y si es en EEUU el prestador debe estar adherido al acuerdo Privacy Shield.
  • Exigir que el canal de comunicación por el cual se envían las copias a los servidores remotos se realiza a través de protocolos cifrados.
  • Exigir que las copias se almacenen cifradas.
  • Exigir que exista un registro de incidencias y que aquellas sean comunicadas a la empresa.
  • Exigir el establecimiento de medidas de seguridad informática contra ataques, así como garantizar la disponibilidad de las copias de seguridad, realizándose réplicas de las mismas en distintos servidores.

9.9 Copias de seguridad de aplicaciones cloud

Cuando se contrate una aplicación de un determinado servicio en la nube se debe definir en el contrato cómo se van a gestionar las copias de seguridad. Si éstas las realiza el prestador en sus propios sistemas de información, deberán cumplirse los requisitos señalados en el punto anterior, garantizando que puedan restaurarse adecuadamente, y además exigir la existencia de una copia imagen que permita la continuidad del servicio de una manera rápida en caso de fallos del sistema.

Si el usuario las va a realizar en sus propios soportes, la aplicación deberá tener una funcionalidad que le permita tanto la ejecución, como la restauración de la copia.

Otra opción es realizar las copias de seguridad en equipos cloud privados, como en servidores NAS, que permiten la ubicación en un lugar distinto a donde se almacenan los datos. Tiene la ventaja de ser un servidor propio, no compartido con terceros, pero tiene la desventaja de la empresa tiene que disponer de recursos humanos y tecnológicos para implementar, actualizar y monitorizar las medidas de seguridad.

9.10 Cifrado de las copias

Resulta conveniente que todas las copias de seguridad sean cifradas, siendo obligatorio si éstas se almacenan fuera de los locales de la organización, además se deberá utilizar un algoritmo de cifrado seguro. Los ficheros se podrán cifrar de varias formas:

  • Mediante la aplicación de cifrado que tengan los programas de gestión de los distintos servicios, siempre y cuando dispongan de ella, y serán aplicables a los ficheros que traten estos programas.
  • Mediante la utilización de un programa de gestión de copias de seguridad que tenga la posibilidad de cifrar los ficheros. La ventaja de esta opción es que podemos cifrar todos los ficheros sobre los que se va realizar la copia de seguridad.
  • Mediante programas de cifrados incluidos en los soportes como las memorias ironkey, e incluso mediante programas del propio sistema operativo del equipo, como Bitlocker para Windows, o File Vault para Mac.

Para conocer más sobre cifrado de soportes pulse aquí.

9.11 Disponer de varias copias de respaldo

Se pueden realizar copias internas dentro de la misma red, por ejemplo, en un disco duro o en una partición del mismo en un equipo o en un servidor. Esta copia puede ayudar a recuperar datos de manera rápida en ciertos casos, por ejemplo, cuando se rompe la unidad de almacenamiento. En cambio, puede que este sistema no sea válido si el problema de la pérdida de datos es ocasionado por el cifrado de un malware, pues puede que la unidad de copia también se haya podido ver afectada.

Para evitar que las copias de seguridad se vean comprometidas por malware, deben realizarse externas y no deben permanecer conectadas. Sin embargo, también puede ocurrir que justo antes de realizar la copia se produzca la infección, en cuyo caso las copia también se verá afectada. Es muy importante cifrar estas copias porque son más fáciles de robar, o de perder puesto que convienen almacenarse fuera de los locales donde se encentran los datos, y durante su transporte se pueden producir estas incidencias.

Los servidores cloud también sufren ataques que pueden afectar a los ficheros de las copias de la empresa, e incluso también podría subirse la copia a la nube ya infectada, sobre todo si el backup en la nube está configurado para sincronizarse de manera permanente.

Para minimizar estos riesgos se recomienda realizar las copias en varios soportes. Por ejemplo, podrían programarse copias internas en unidades de la red diariamente, y también en la nube, privada o pública, sin perjuicio de realizar otra copia adicional externa offline cada varios días o bien semanal. Con este sistema se tendría la ventaja de tener la posibilidad de realizar una restauración rápida desde la unidad de red, y si ésta se ha visto afectada se podría recurrir a la copia externa, y si ésta tampoco está disponible, por ejemplo, porque ha sido robada, se podría recurrir a la copia de la nube.

Otra posible solución puede ser realizar copias externas en dos discos duros externos, diariamente y de manera alternativa, un día se realizaría en uno de ellos y al día siguiente en el otro, custodiándose al menos uno fuera de las instalaciones.

Una buena práctica para la realización de copias de seguridad es la regla 3-2-1, que consiste realizar 2 copias, además de los archivos originales, que se almacenen en tipos de soportes diferentes, y que una de ellas esté localizada fuera del lugar donde se crean y del lugar donde se almacena la otra.

9.12 Almacenar copias fuera de los locales donde se localizan los datos

Se debe custodiar la última copia de seguridad en edificios distintos de las ubicaciones de los CPD´s, a ser posible en locales externos, con el objetivo de salvaguardarlas de ciertas amenazas, como los posibles robos, incendios o inundaciones que se puedan producir en el centro donde se almacenan. Este lugar puede ser, otro centro de trabajo o bien en la nube, pero en todo caso se deberá cumplir con las medidas de seguridad de almacenamiento físico, como armarios ignífugos dotados de mecanismos de apertura con llave. En el apartado _________________________, puede consultar las medidas de seguridad físicas. Estas copias siempre deberán cifrarse.

En el caso de que se almacenen en el domicilio de un usuario se deberá suscribir una autorización al efecto, y si se almacena en los locales de una empresa de prestación de servicios se deberá hacer constar en el contrato de cesión de datos por cuenta de terceros.

9.13 Registro e inventario de copias

Se deberá mantener un registro que incluya el contenido de las copias, así como como la fecha y hora de su realización. Esta medida resulta obligatoria para las entidades del sector público, así como a las entidades privadas que trabajen para éste y estén sometidas al ENS.

Los soportes deberán etiquetarse y estar inventariados, además se registrarán las entradas y salidas de los soportes que almacenen las copias. La entrada y salida de estos soportes deberá ser autorizada previamente.

9.14 Comprobación de las copias

Las copias de seguridad también están sometidas a amenazas, pueden que no se estén realizando íntegramente, que no se realicen con la periodicidad establecida, pueden haber sido afectadas por un malware… Para conocer que el procedimiento de copia funciona adecuadamente se deben establecer algunas comprobaciones que debe realizar el responsable de la gestión de copias de seguridad:

  • Verificar la existencia de la copia, bien de forma manual o bien de manera automatizada. Si el procedimiento de realización de copias está automatizado, se debe utilizar un software que permita generar avisos de verificación de copias automáticos y se deberá tener activado de manera permanente. Además, se deberá registrar si la copia se ha ejecutado o ha fallado. Estas comprobaciones se realizarán cada vez que se haya realizado la copia.
  • Verificación de la eficacia de todos los protocolos de gestión de copias: Incluyendo la comprobación de que se realizan copias de todos los ficheros que se definieron inicialmente, añadiendo aquellos otros que hubieran sido aprobados por la dirección de la empresa. Se deberá comprobar también que se realizan con la periodicidad adecuada y que se almacenan en los soportes correctos y que éstos no están dañados. Se recomienda realizar comprobaciones al menos con una periodicidad mínima de 6 meses, siendo obligatorio el cumplimiento de este plazo para las entidades del sector público, y de aquéllas que sean sus Encargadas de Tratamiento y que deban cumplir el Esquema Nacional de Seguridad.
  • Verificar el contenido de la copia. Se debe seleccionar al azar uno de los archivos copiados y ejecutará su restauración en otra unidad de almacenamiento para comprobar que es correcto, procediendo a su destrucción posterior en el caso de que no hubiera ninguna incidencia. Se recomienda realizar comprobaciones al menos con una periodicidad mínima de 6 meses, siendo obligatorio el cumplimiento de este plazo para las entidades del sector público, y de aquéllas que sean sus Encargadas de Tratamiento y que deban cumplir el Esquema Nacional de Seguridad.
  • Comprobación de la restauración de las copias. Se deben realizar pruebas de restauración de las copias de seguridad de todos los ficheros. Se recomienda realizar comprobaciones al menos con una periodicidad mínima de 1 año, siendo obligatorio el cumplimiento de este plazo para las entidades del sector público, y de aquéllas que sean sus Encargadas de Tratamiento y que deban cumplir el Esquema Nacional de Seguridad.

9.15 Herramientas para la gestión de copias

Acronis es una empresa que tiene un conjunto de soluciones informáticas especializadas en la gestión de copias de seguridad tanto en soportes como en la nube. Permite el cifrado en origen con el protocolo seguro AES-256 y enviar la copia a los servidores remotos mediante canales seguro que utilizan el certificado SSL. Además, los datos se almacenan en Alemania por lo que no existen transferencias internacionales de datos a países con un nivel inadecuado de protección de datos. Los centros de datos tienen la certificación SSAE-18 y las copias de se almacenan de forma redundante, es decir que si la copia falla se cambia automáticamente por otra.

Veeam backup. https://www.veeam.com/es

Esta solución de copias de seguridad líder en el mercado, ofrece soluciones gratuitas y de pago.

A continuación, se relacionan un conjunto de procedimientos de seguridad que contienen medidas que se pueden desarrollar, ampliar o reducir según las necesidades de la empresa. Se pueden tomar como referencia para proteger los ficheros y así poder cumplir con lo señalado en el art. 32 de Reglamento General de Protección de datos (RGPD), que versa sobre la seguridad del tratamiento de datos. Pulse en cada una de ellas para obtener más información.

Procedimientos de Seguridad. Introducción

  1. Procedimientos de gestión de usuarios y control de acceso.
  2. Procedimientos de gestión de contraseñas.
  3. Procedimientos de gestión de soportes.
  4. Procedimientos de seguridad en locales, departamentos y dispositivos físicos.
  5. Procedimientos de ficheros temporales y copias de trabajo de documentos.
  6. Procedimientos de gestión de telecomunicaciones.
  7. Procedimientos de trabajo fuera de los locales.
  8. Procedimientos de protección en equipos, redes y aplicaciones informáticas.
  9. Procedimientos de gestión de copias de seguridad.
  10. Procedimientos de gestión de incidencias.
Alcalá de Henares es una ciudad localizada al Este de la provincia de Madrid con una población de 195649 habitantes según datos del INE del año 2019.

Alcalá de Henares tiene más de 45 polígonos industriales y varios parques empresariales, entre los que se encuentran:

Polígono Industrial El Encín
Polígono Industrial Antigua Carretera de Ajalvir
Polígono Industrial La Garena
Polígono Industrial Casarrubios
Polígono Industrial Mapfre
Polígono Industrial Santa Rosa
Polígono Industrial Pesados
Polígono Industrial El Pilar
Polígono Industrial Av. Daganzo


Protección de Datos en Alcalá de Henares
Reglamento General de Protección de Datos (RGPD)
Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD).

error: ¡El contenido está protegido!