Con motivo de la celebración del Día Internacional del Backup, el próximo 31 de marzo, compartimos unas reflexiones sobre la importancia de los sistemas de respaldo en las organizaciones.

Las copias de seguridad son, en todos los estándares y normas relacionadas con la seguridad y la privacidad, una de las primeras medidas que se exige para proteger la información: Esquema Nacional de Seguridad, ISO 27001, el Reglamento UE 2026/679 General de Protección de Datos, las Directivas NIS, entre otras muchas normas y estándares. Algunas de ellas (p.e. la normativa de protección de datos) contemplan sanciones por no haber adoptado las medidas de seguridad exigibles pudiendo llegar a imponerse multas cuantiosas por el mero hecho de no haber contemplado las copias de respaldo y sistemas de recuperación de la información.

Las copias de seguridad han sufrido una evolución en no muchos años. El conocido incendio del edificio Windsor en Madrid hace casi veinte años marcó un hito en la necesidad de las organizaciones de disponer de una copia de toda la información para poder seguir trabajando sin problemas, a pesar de los posibles siniestros y contar con planes de contingencia. En aquella época muchas pymes carecían de las mismas. Lo que parecía que nunca podría pasar, sucedió y toda la información de despachos y consultoras desaparecieron. Sólo gracias a las copias de seguridad, las organizaciones pudieron hacer frente a esta contingencia no sin serias dificultades. En la actualidad es una medida extendida, pero mejorable en muchos aspectos.
 
En un momento social y económico en el que, más que nunca, la información es uno de los activos más valiosos, también es el más expuesto y vulnerable a todo tipo de amenazas. Sustracciones intencionadas o negligentes, ataques, errores humanos, fallos en los sistemas, entre otras muchas, son habituales en el seno de organizaciones y empresas, pequeñas y grandes y el origen de la pérdida de información y de serios problemas de operativa interna, si no se puede disponer de la información comprometida.

¿Qué requisitos mínimos deben cumplir las copias de seguridad?

  • Establecer la periodicidad y el alcance que cada organización determine. Dependerá de la información tratada, de los medios disponibles y en definitiva de la capacidad de previsión de cada organización para hacer frente a una posible pérdida de la misma por las diferentes causas expuestas. También deberá establecerse el tiempo de conservación de las copias.
  • Ubicación: Las copias (puede ser más de una y a través de medios distintos) deben estar en lugar distinto a donde se encuentra la información principal.
  • Cifrado: deben almacenarse de forma cifrada y con medidas de seguridad.
  • Deben revisarse de forma periódica (para testar su capacidad de cumplir la función prevista).
  • Internas o externas o incluso ambas. Hay organizaciones que prefieren gestionarse sus propias copias y otras que confían esta importante tarea en proveedores de confianza.
  • Además, deberá preverse dentro de los planes de contingencia el tiempo estimado de recuperación de la información, los procedimientos para hacerlo así como cualquier otro aspecto necesario para poner en marcha las copias de seguridad.

Por último, recuerda, cualquier incidencia que detectes, ya sea relacionada con las copias o con otras medidas de seguridad, debes comunicarla de inmediato por los canales habilitados.