Política de Backup

Grupo 2 - ATI
Índice

1. Copias de seguridad
1.1 - Introducción
1.1.1 - Responsabilidades
1.2 - Objetivos
1.2.1 - Alcance
1.2.2 - Hardware y Software asignados
1.2.3 - Lugar de almacenamiento
1.2.4 - Consideraciones al realizar backups
1.3 - Frecuencia de las copias
1.3.1 - Vencimiento y renovación de copias
1.4 - Soporte de copias de seguridad
1.5 - Tipos de backup
1.6 - Plan de recuperación de datos
1.7 - Plan de destrucción de backups
1.7.1 - Método de destrucción de backups
2.
3. Referencias
1. Copias de seguridad

1.1 Introducción

Los medios de almacenamiento contienen uno de nuestros activos

más preciados: la información. Estos dispositivos pueden verse
afectados por diversas situaciones que pueden perjudicar el acceso
a nuestra información, y poner en peligro la continuidad de nuestro
negocio.

La empresa asignará a los responsables de realizar backups de

acuerdo a lo descrito en el presente documento.

1.1.1 Responsabilidades

1. se deberá de seleccionar un responsable de los backup.

2. Los discos externos donde se realizan los backups no pueden
abandonar el establecimiento.
3. Una vez hecho el backup, el disco deberá ser guardado en la
caja fuerte ignífuga asignada a cada empleado.
4. Está estrictamente prohibido compartir la información, los
métodos y tipos de backup con cualquier agente externo al de
nuestra organización.

1.2 Objetivos

El presente documento tiene por objetivo:

1. Definir las políticas de resguardo, los procedimientos de

resguardo y recuperación.
2. Verificar que se realizan copias de seguridad que garanticen
la continuidad del negocio.
3. Asignar a los responsables de llevar a cabo los backups.
4. Establecer una periodicidad de copias.
 5. Dar soporte de copias de seguridad.
6. Detallar los tipos de backups que llevaremos a cabo en la
organización.
7. Realizar un plan de recuperación de datos.

1.2.1 Alcance

Aplica a todos los datos alojados en servidores bajo resguardo

acorde a los objetivos de seguridad de los datos establecidos por el
área, y a los datos de usuarios que se incluyan (por mutuo acuerdo)
en algún plan de backups brindado por el área

1.2.2 Hardware y Software asignados

Software:
- Para calcular el estado de salud del disco, la cantidad de
veces que se encendió y el registro de horas de trabajo, se
utilizará el software de código abierto GSmartControl.
- Para llevar a cabo la destrucción de datos de los discos, se
utilizará el software de código abierto Eraser, utilizando el
método Gutmann de 35 pasos.
- Para el proceso de encriptación de los datos se utilizará el
software de código abierto YubiKey Full Disk Encryption y se
hashearán los datos con SHA-512.
- Para el proceso de recuperación de datos, se utilizará el
software de código abierto TestDisk.

Hardware:
- La empresa dispone de discos externos WD Obsidian con una
capacidad de 5 TB.

1.2.3 Lugar de almacenamiento

Para el almacenamiento de los dispositivos, cada empleado de la
organización dispondrá en su puesto de trabajo una caja fuerte
ignífuga donde podrá guardar sus discos.

1.2.3.a

1.2.4 Consideraciones al realizar backups

1. El empleado deberá desconectar su terminal de trabajo de la

red al momento de efectuar la copia de seguridad.

1.3 Frecuencia de copias

La frecuencia en la que se realizarán las copias dependerá de la

criticidad o sensibilidad de la información que se esté tratando. Una
buena práctica sería realizar esta actividad una vez por semana en
forma local mediante el uso de discos externos y de ser posible el
empleo de una cuenta externa que cuente con todas las medidas
de seguridad para el resguardo de la información. Dichas copias
deberán estar cifradas evitando así colocar la información en texto
plano.

Se realizará una copia de seguridad por semana, el día _____ de

____ a ____ hs, llevada a cabo por __________.

1.3.1 - Vencimiento y renovación de copias

Las copias se almacenarán durante 30 días, luego se limpiarán los

discos con el software Eraser y se reutilizarán para realizar las
copias correspondientes al nuevo mes.

1.4 Soporte de copias de seguridad

Dependiendo del tamaño de la empresa, y por ende la cantidad de
información a resguardar, se utilizarán Discos externos o un Centro
de Datos, los cuales almacenarán toda la información de interés
para la organización.

1.5 Tipos de backup

Se realizará un backup completo, el cual consiste en hacer una

copia de todos los datos de nuestro sistema, en un disco externo.
Posteriormente se pasarán a realizar backups incrementales para
que solo se copien los datos que fueron variando desde la última
copia realizada.

El contenido del backup es de carácter confidencial, ya que la

información es especialmente sensible para la organización. Su
acceso está restringido únicamente a la dirección y a aquellos
empleados que necesiten conocerla para desempeñar sus
funciones.

Esta información debe ser marcada adecuadamente. Se deben

implementar todos los controles necesarios para limitar el acceso
únicamente a aquellos empleados que necesiten conocer la
información.

En caso de sacarla de las instalaciones de la empresa en formato

digital, esta debe estar cifrada

Para los de carácter personal, se deben tener en cuenta la

protección y garantías indicadas en la legislación sobre la materia.

1.6 Plan de recuperación de datos

1.7 Plan de destrucción de backups

Se llevará a cabo la destrucción de backups siempre y cuando:

a. El disco tenga en total un registro de actividad mayor a 20.000

horas.
b. El contador de encendido del disco supere las 30.000 veces.
c. El disco presenta fallas de lectura y escritura.
d. El software encargado de chequear la salud que el disco
refleja en su estado de salud: Bad.
e. Un empleado transporta algún disco rígido fuera del perímetro
de la organización.

1.7.1 Método de destrucción de backups

A continuación se detalla el procedimiento de destrucción de

backups y discos:

1. Completar el formulario con los datos del disco y el motivo a

destruir.
2. Presentar el documento a la dirección para su aprobación.
3. Una vez obtenida la aprobación, extraer si es posible todos los
datos del disco que se va a destruir.
4. Ejecutar el software Eraser y limpiar el disco con el método
Gutmann de 35 pasos.
5. Una vez finalizado el proceso, desconectar el disco y llevarlo
al departamento de destrucción para llevar a cabo la
destrucción del disco por el personal autorizado.

· Ámbito de aplicación: Se debe definir qué tipo de datos se van

a respaldar y qué niveles de seguridad integrará cada uno de
ellos. De esta manera, los datos se podrán clasificar de acuerdo
con su naturaleza y almacenarlos en segmentos con distintos
niveles de seguridad (datos de usuarios, datos de sistema y
datos de aplicaciones).
· Frecuencia de las copias de seguridad: Aquí hay que tener en
cuenta que es desde el último respaldo que se podrá
eventualmente realizar la recuperación de la información.

· Soporte de copias de seguridad: La seguridad TI de la

empresa debe contar con soportes sólidos y eficientes. Apoyarse
por ejemplo en servidores NAS es una de las opciones más
acertadas.

· Tipo de backup: La copia de seguridad se puede realizar

siguiendo distintas modalidades, se pueden emplear copias
completas, diferenciales e incrementales. En este caso sería
acertado a partir de una copia completa, seguir con copias
incrementales durante la semana, y cada fin de semana
programar otra copia completa.

· Almacenamiento de las copias de seguridad: En este caso

los servidores NAS deberán estar ubicados en un sitio seguro y
de acceso restringido.

Plan de recuperación de datos: Deberá definirse el proceso de

recuperación de datos. Debe establecer responsables y
responsabilidades para dicho proceso. De igual manera,
requiere de límites de tiempo establecidos para su puesta en
marcha y recuperación de los datos.