Política de copias de seguridad y restauración

La Política de copias de seguridad y restauración (P15) establece los requisitos obligatorios de la organización para la copia de seguridad y la restauración de datos, sistemas y aplicaciones. Su propósito principal es salvaguardar la resiliencia operativa y la integridad de los datos de la organización, apoyando la continuidad del negocio incluso durante interrupciones importantes como fallos de sistemas, ciberataques o eliminaciones accidentales. En esencia, la política articula un enfoque estandarizado para las operaciones de copia de seguridad y garantiza parámetros claros de recuperación, en particular mediante la definición de expectativas de RTO (Recovery Time Objective) y RPO (Recovery Point Objective). Estos requisitos están estrechamente alineados con la implantación del marco del SGSI y los planes de continuidad del negocio, garantizando el cumplimiento legal, reglamentario y operativo. El alcance de la política es integral: afecta a todos los sistemas críticos para el negocio y sistemas operativos cubiertos por el alcance del SGSI, incluidos datos estructurados y datos no estructurados como bases de datos, archivos, correos electrónicos y ajustes de configuración. Se extiende a todos los tipos de entornos operativos (en las instalaciones, híbrido, nube), medios de copia de seguridad (físicos, virtuales, fuera de las instalaciones) y al personal que supervisa o ejecuta los procesos de copia de seguridad. En particular, los sistemas que deban excluirse de las operaciones de copia de seguridad deben someterse a evaluación de riesgos, documentarse y aprobarse formalmente, lo que subraya el énfasis de la política en la gestión de riesgos y la rendición de cuentas. Dentro de sus objetivos, la política especifica que todos los activos críticos deben respaldarse con la frecuencia adecuada, redundancia y cifrado, documentando todos los procedimientos, calendarios de conservación y roles designados. Los mecanismos de restauración deben cumplir los umbrales de RTO y RPO predefinidos en función del impacto en el negocio. La integridad y la eficacia del entorno de copia de seguridad se validan mediante pruebas regulares de restauración y el mantenimiento de la pista de auditoría. Para la alineación normativa, la política aplica directamente controles de ISO/IEC 27001:2022 (incluida la continuidad operativa y la eliminación segura), ISO/IEC 27002:2022 (como integridad y planificación de la restauración), así como requisitos derivados de NIST SP 800-53, GDPR, EU NIS2 y DORA. Los contratos con proveedores terceros de servicios de copia de seguridad deben reflejar las expectativas de la organización sobre cifrado, eliminación, notificación de incidentes y evidencia de auditoría de pruebas. Los roles y responsabilidades se detallan explícitamente, asignando la supervisión estratégica a la Dirección ejecutiva y al Director de Seguridad de la Información (CISO), la ejecución operativa a TI y Operaciones, y la gobernanza especializada al DPO, a los propietarios de aplicaciones empresariales y a los proveedores pertinentes. La política exige un calendario maestro de copias de seguridad, ciclos de revisión regulares, cifrado robusto, entornos de copia de seguridad separados y controles rigurosos de gestión de cambios. Una gobernanza estricta garantiza que se mantengan los registros de auditoría, que las excepciones se controlen cuidadosamente y se sometan a análisis de riesgos, y que las capacidades de restauración se prueben en intervalos establecidos. Además, el incumplimiento activa medidas disciplinarias para el personal interno y penalizaciones o escalado para los proveedores, y la revisión regular de archivos de registro, calendarios y documentación relacionada forma parte de los procesos de auditoría y aseguramiento. Por último, la política se revisa al menos anualmente, garantizando que las actualizaciones reflejen cambios estratégicos, legales o tecnológicos, con comunicación a todas las partes afectadas. Enlazada con un conjunto de documentos de gobernanza (Gestión de riesgos, Gestión de activos, Clasificación de datos, Política de conservación de datos, enmascaramiento de datos y Respuesta a incidentes), esta política está integrada en el enfoque integral de la organización para la seguridad de los datos, la continuidad y el cumplimiento normativo.