Copias de seguridad – Guía para pymes
Por qué las Copias de Seguridad son una obligación de seguridad
El RGPD (art. 32) exige implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, entre ellas, la capacidad de restaurar la disponibilidad y el acceso a los datos personales en tiempo apropiado.
No tener copias o no poder restaurarlas constituye un riesgo legal, económico y reputacional para la pyme.
.
Principios clave que debe aplicar tu empresa
Disponibilidad y recuperación:
Capacidad de restaurar datos en el tiempo objetivo tolerable para nuestra organización (RTO) y recuperar la última versión válida en el tiempo máximo de inactividad tolerable (RPO).
Confidencialidad:
Cifrado de las copias y control de acceso estricto a los repositorios.
Integridad:
Mecanismos para verificar que los respaldos no han sido alterados (hashes, firmas, registro de cambios).
Minimización y retención:
Conservar solo lo necesario, siguiendo la finalidad y los plazos legales.
Responsabilidad y documentación:
Políticas, registros de pruebas y contrato con proveedores (DPA) que contemplen transferencias internacionales si aplica.
¿Qué es lo primero que deberías revisar?
Antes de entrar en materia, es necesario saber en que punto de madurez está tu política de copias de seguridad, para ello, te detallamos los pasos que debes dar antes de propornerte otros pasos:
- Verificar que existen copias recientes de los sistemas críticos y que están cifradas
- Comprobar permisos de acceso al repositorio de backupn (eliminar cuentas no usadas)
- Hacer una restauración de prueba de un archivo o carpeta crítica y anotar tiempos
- Revisar contratos con proveedores de backup y confirmar existencia de un DPA y ubicación de datos.
.
Reglas prácticas para las copias de seguridad
Mostramos a continuación, las medidas técnicas básicas para garantizar la disponibilidad, integridad, confidencialidad y recuperación de las copias de seguridad frente a fallos, ciberataques o errores humanos:
Regla 3-2-1 de respaldo:
Mantén al menos 3 copias de los datos; 2 medios distintos para hacerlas (ej. NAS y nube); 1 copia fuera del centro de trabajo (ej. servidor en la nube).
Protección contra ransomware:
Implanta la copia del tipo inmutable (WORM) o snapshots con retención protegida para mitigar ransomware.
Cifrado y gestión de claves:
Usa cifrado en tránsito (TLS) y en reposo (AES-256 o equivalente).
Gestiona claves con controles de acceso y auditoría.
Prevención de borrado accidental:
Protégete frente a eliminación accidental mediante separación de cuentas administrativas y permisos mínimos (principio de menor privilegio).
.
Auditoría de las copias de seguridad para una pyme
A continuación mostramos un listado de pasos esenciales que toda pyme debería verificar que cumple su negocio, estableciendo una base mínima conforme al RGPD y a las buenas prácticas que conforman el Plan de continuidad de negocio:
Inventario de activos críticos:
Registrar activos que contengan datos personales o información en general y los sistemas críticos de la pyme.
Definición de objetivos de recuperación:
Definir RTO / RPO por tipo de dato y servicio.
Política de copias de seguridad:
Establecer una política de copias con la frecuencia y tipo (completa/incremental/diferencial, retención).
Método y ubicación del respaldo:
Elegir el método, por ejemplo en local + offsite (nube o ubicación física) y comprobar cumplimiento contractual de los servicios prestados por proveedores (DPA + SLA o Acuerdo de Nivel de Servicio).
Seguridad de las copias:
Configurar cifrado y control de accesos a repositorios de backup.
Supervisión continua:
Implementar monitorización de fallos y alertas por incidencias de backup.
Verificación y pruebas de restauración:
Probar restauraciones periódicas (registro de pruebas) y revisar tiempos y consistencia.
Documentación y evidencias:
Documentar procesos y evidencias para auditoría y obligaciones ante la AEPD.
.
Plan de verificación y respuesta
No basta con hacer backups, hay que verificar que se realizan correctamente y que puedes recuperar la información alojada en las copias, cuando quieras y en un tiempo aceptable.
Programa pruebas de restauración trimestrales (o según criticidad) y registra los resultados. Si se detecta una pérdida o alteración de datos personales, activa el plan de respuesta a incidentes y evalúa la necesidad de notificar la brecha a la AEPD y a las personas afectadas, según el RGPD.
.
Frecuencias recomendadas
Te detallamos a continuación la frecuencia de copias según la criticidad de la información:
Datos de facturación y contabilidad:
Copia diaria + retención 6 años (según normativa fiscal).
Bases de datos operativas:
Copia incremental diaria, completa semanal.
Archivos compartidos y documentos:
Copia diaria o según ritmo de cambios.
Máquinas virtuales/servicios críticos:
Snapshots frecuentes y copia fuera de línea semanal.
.
Aspectos concretos en materia de protección de datos
Si tus copias contienen datos personales, debes aplicar lo siguiente:
- Asegúrate de que el tratamiento se adecua a la finalidad y a la base jurídica (consentimiento, contrato, obligación legal, etc.).
- Si contratas a proveedores en la nube, firma con estos un Data Processing Agreement (DPA) que detalle las medidas de seguridad y la jurisdicción/transferencias internacionales, así como solicitarle que te presente su Acuerdo de Nivel de Servicio (SLA).
- Deberás aplicar el principio de limitación de conservación que defina períodos de retención compatibles con la normativa sectorial y con la política interna.
- Registra las características de seguridad en el Registro de Actividades (si aplica) y documenta las evaluaciones de riesgo.
.
Business Adapter® a tu servicio
Si eres cliente y necesitas ayuda para elaborar tus políticas u otras acciones a realizar sobre tus copias de seguridad, contacta con tu consultor para recibir documentación e instrucciones al respecto.
Si aún no eres cliente y necesitas nuestra ayuda, contáctanos en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario: