👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.12.1.1, A.12.3.1
ISO 27001 en su versión 2022: A.5.37, A.8.13
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir las acciones necesarias para asegurar la integridad y disponibilidad de la información contenida en los activos, sistemas, aplicaciones, procesos, TICs, etcétera que son alcanzados por el SGSI, por medio de la creación de copias de seguridad.
💡 Recuerda que los backups también son conocidos como respaldos o copias de seguridad de la información. Y además de ser un requisito normativo, son parte esencial de la aplicación de los planes de recuperación ante desastres y de continuidad del negocio.
¿Qué tengo que hacer? 🚀
Lo primero que te recomendamos hacer es validar los tipos de respaldos que se realizan en tus sistemas para saber si realmente cumplen con los requisitos normativos y/o si es necesario documentar alguna restricción o consideraciones importantes.
Ahora bien, para documentar este procedimiento te sugerimos considerar las siguientes actividades:
Planificación. Te recomendamos planificar con tiempo las actividades para ejecutar correctamente los respaldos de información. Puedes documentarlo como un cronograma o como te parezca más conveniente, lo importante es saber qué se hará, cuándo y quiénes son los responsables. Además, esto te ayudará a establecer la periodicidad con la que deben ejecutarse. ¡Recuerda que esta periodicidad debe estar alineada con tus métricas de RPO y RTO definidas en tu Plan de Recuperación ante Desastres y Plan de Continuidad!
Ejecución de backups. Con el paso anterior sabemos qué se hará, pero ahora debes definir cómo se realizará la ejecución correcta de los respaldos de información en cada uno de los sistemas y aplicaciones alcanzados, considerando las configuraciones y/o limitaciones de cada uno de ellos. Recomendamos ser muy claros en este paso, de manera que pueda servirles de guía a los responsables involucrados.
Registro. Llevar un registro de las acciones realizadas proporciona evidencia de cumplimiento y genera una base de conocimiento a la que puedes recurrir en caso de anomalías en el procedimiento.
Monitoreo y almacenamiento. Aquí recomendamos definir tanto las acciones para validar que los respaldos se realizaron correctamente, como las acciones a llevar a cabo en caso de presentar fallos, errores o anomalías. Adicionalmente, será importante indicar el tiempo de almacenamiento de los respaldos, considerando las necesidades de la empresa y de las regulaciones locales que, dependiendo el tipo de información (por ejemplo datos personales) pueden requerir un periodo de almacenamiento específico.
Aplicación de pruebas de restauración. Estas pruebas tienen como finalidad verificar que la información puede ser recuperada en tiempo y forma, si se presenta alguna situación de crisis o incidente de seguridad, donde se vea comprometida la información de la empresa y/o afectando directamente la eficiencia de sus operaciones.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Para la definición de la periodicidad con la que generarás los respaldos de información, considera todos los aspectos importantes; posibles restricciones y configuraciones de los sistemas, la continuidad del negocio (y sus métricas de RPO y RTO), las necesidades de la empresa y el cumplimiento normativo.
Asigna a responsables apropiados para llevar a cabo cada uno de los pasos antes mencionados.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.