Hace unos días INTECO (Instituto Nacional de Tecnologías de la Comunicación) se puso en contacto conmigo para que diera repecursión a través de mi blog de la importancia de realizar copias de seguridad de toda la información denuestras empresas.
La información que manejamos en nuestra organización se ha convertido en nuestro activo más valioso, debido a que todo nuestro negocio gira en torno a ella (cartera de clientes, ofertas, planes estratégicos). Por ello cada vez más centramos nuestros esfuerzos en mantenerla lo más protegida posible, sin embargo, existe la posibilidad de que ante un incidente inesperado, éstas medidas de seguridad fallen y se vea afectada.
Existen
diversas amenazas a las que nuestra organización está expuesta, que pueden
derivar en un deterioro o pérdida de la información: desastres naturales,
robos, incendio, inundaciones, fallos eléctricos, fallos en el hardware o el
software, borrado accidental de los datos, etc. De ahí que cobre tanta importancia realizar copias de seguridad,
porque en el caso de que se materialicen algunas de estas amenazas, seremos
capaces de recuperar la información y volver a la normalidad. Las copias de
seguridad tienen tanta transcendencia e importancia que incluso tienen un día
dedicado a ellas. (31 de Marzo).
El
disponer de un sistema de copias de
seguridad nos garantizará la continuidad de nuestro negocio y la recuperación
de los datos en caso de que nuestra organización sufra algún incidente;
pero es importante que las realicemos de una manera correcta, estableciendo un
sistema de copias acorde a nuestras necesidades.
Hoy,
día Internacional de las copias de seguridad, vamos a dejar claros algunos de
los pasos que hay que seguir cuando queramos implantar un sistema de copias.
Para ello debemos plantearnos el Qué, el Cómo, el Cuándo y el Dónde; cuatro
preguntas que resultan esenciales y nos ayudarán a establecer correctamente el
sistema.
Dicho
de otra manera ¿Qué copiamos?, ¿Cómo lo vamos a copiar?, ¿Cuándo queremos hacerlas?
Y ¿Dónde las vamos a almacenar?
Qué
Lo
primero que tenemos que saber es qué información queremos salvaguardar, para
ello debemos realizar un análisis de toda la información de nuestra
organización. Esto nos ayudará a diferenciar qué tipo de información se puede considerar crítica para el negocio, ya
que no toda la que manejamos en nuestra empresa tiene la misma importancia, ni
resulta vital para su continuidad.
Cómo
Tras
identificar la información que consideramos sensible, es importante establecer la forma de realizar la copia, si la vamos
a hacer completa (copia total de todos los datos), incremental (copia de los
datos a partir de la última copia), ó diferencial (copia de los datos desde la
última copia completa).
Cuándo
Una
vez tengamos claro el qué vamos a proteger y el cómo lo vamos a hacer, debemos especificar
cada cuánto tiempo la vamos a
realizar, el número de versiones que almacenaremos y sobre todo, el tiempo que queremos
conservarla. Esto variará en función de las necesidades del negocio y de la
capacidad de almacenamiento que dispongamos.
Dónde
Por
último y cuando ya tengamos claras todas las anteriores, nos quedará determinar el medio en el que vamos a
salvaguardar esa información. Existen distintos tipos de soporte que pueden
utilizarse con este fin, cintas, cabina de discos, DVD o CD, USBs y discos
duros portátiles, o incluso también podemos utilizar alguna plataforma de almacenamiento
de información «en la nube»: almacenamiento cloud.
A la
hora de elegir un soporte para realizar las copias, es conveniente tener
presente el sistema que vayamos a usar, la inversión que queramos hacer y la
fiabilidad que consideremos necesaria. Para esto último, podemos basarnos en
las especificaciones de los fabricantes en cuanto a las recomendaciones de
almacenamiento y durabilidad se refiere; esto nos ayudará a decantarnos en
función de lo que realmente necesitemos.
Además
de determinar el soporte sobre el que vamos a realizar las copias, hay que tener
en cuenta el lugar donde guardaremos las copias; una buena práctica para
proteger adecuadamente la información es almacenarla en una ubicación distinta
a la principal. En el caso de que se produzca en nuestra organización un
incendio, si las copias las guardamos en el mismo lugar, éstas se verán
afectadas y no podremos recuperar la información, por lo que realizar copias de
seguridad no nos serviría de nada.
Esto
además, en caso de que tratemos datos de nivel alto, se convierte en un
requerimiento exigido por la LOPD. Debido al tipo de información que tratemos y
la forma en la que la almacenemos, es posible que nos sean de aplicación
distintas normativas o leyes (LOPD, ENS) que nos obliguen a establecer una
serie de medidas de seguridad concretas, como por ejemplo cifrar la copia de
seguridad que se almacena fuera de las instalaciones principales.
Debemos
prestar especial atención a las condiciones y requisitos exigidos por las leyes
y en concreto por la LOPD en el caso de que utilicemos el cloud como lugar de almacenamiento de las copias. Ésta es una solución
que podemos considerar práctica y eficiente, sin embargo el acceso a la
información reside en un tercero; por lo que es muy importante elegir un
proveedor de servicios que incluya en sus condiciones, todas las exigencias establecidas
por la ley.
Pero
por mucho que pongamos especial esfuerzo en realizar copias de seguridad, éstas
por sí mismas no nos garantizarán que podamos recuperar la información en caso
de desastre si antes no hemos probado que se pueden restaurar correctamente. Los
sistemas de copia o los soportes que hemos utilizado pueden fallar y puede que,
llegado el momento en que sea necesario restaurar una copia, nos encontremos con
que nos resulta imposible.
Por
ello es de suma importancia realizar pruebas
periódicas de restauración de las copias, de esta forma minimizaremos la
probabilidad de que en caso de necesitarla, no seamos capaces de recuperar la
información. Además, debemos destacar la importancia de que todo el proceso de
realización y restauración de copias de seguridad esté debidamente documentado y procedimentado. Esto nos permitirá
ante una contingencia real o ausencia del personal habitual, disponer de una guía
que nos indique qué pasos debemos seguir para ejecutar la acción de generación
o restauración de copia con éxito.