Respaldo y recuperación: estrategia de backup en ISO 27001
Los datos son el activo más valioso de la mayoría de las organizaciones, y su pérdida puede ser catastrófica. El control A.8.13 de ISO 27001:2022 ("Copia de seguridad de la información") exige que la organización mantenga copias de respaldo de la información, el software y los sistemas, y que las pruebe regularmente.
Esta guía explica cómo diseñar e implementar una estrategia de backup robusta que cumpla con ISO 27001. Revisa también los controles de seguridad de redes y prevención de pérdida de datos.
El control A.8.13: qué exige ISO 27001
El control A.8.13 establece que deben hacerse y probarse regularmente copias de seguridad de la información, software e imágenes del sistema, de acuerdo con una política acordada de respaldo. Los elementos clave son: política de respaldo documentada, pruebas regulares de restauración (no solo de creación) y alineación con los requisitos de disponibilidad del negocio.
La regla 3-2-1: el estándar de oro del backup
- 3 copias de los datos (la original más dos copias de respaldo)
- 2 tipos de medios diferentes (p.ej., disco local + cinta o cloud)
- 1 copia offsite (fuera de las instalaciones principales)
Una variante moderna es la regla 3-2-1-1-0: tres copias, dos medios, una offsite, una copia inmutable y cero errores verificados en las pruebas de restauración. La copia inmutable protege frente a ransomware que intenta cifrar o eliminar los backups.
Tipos de backup y sus características
| Tipo | Qué guarda | Velocidad de backup | Velocidad de restauración | Almacenamiento |
|---|---|---|---|---|
| Completo (Full) | Todos los datos | Lenta | Rápida | Alto |
| Incremental | Cambios desde el último backup | Rápida | Lenta (requiere cadena) | Bajo |
| Diferencial | Cambios desde el último backup completo | Media | Media | Medio |
| Snapshot | Estado del sistema en un momento dado | Muy rápida | Muy rápida | Variable |
Definición de RTO y RPO
- RPO (Recovery Point Objective): Máxima pérdida de datos tolerable. Si el RPO es de 4 horas, el backup debe realizarse como mínimo cada 4 horas.
- RTO (Recovery Time Objective): Tiempo máximo para restaurar el servicio. Si el RTO es de 2 horas, la infraestructura y los procesos de recuperación deben permitir restaurar en 2 horas o menos.
| Tipo de sistema | RPO típico | RTO típico | Estrategia recomendada |
|---|---|---|---|
| Sistema crítico de negocio (ERP, CRM) | 1–4 horas | 1–4 horas | Replicación + snapshot + backup a cloud |
| Sistema importante (correo, intranet) | 4–24 horas | 4–8 horas | Backup diario incremental + full semanal |
| Sistema de soporte | 24 horas | 24 horas | Backup diario a destino offsite |
| Sistema de desarrollo/pruebas | 48–72 horas | 24–48 horas | Backup semanal |
Pruebas de restauración: el paso que todos omiten
Tener backups sin probarlos es como tener un extintor sin revisar si está cargado. ISO 27001 específicamente exige pruebas de restauración regulares que verifiquen que el backup se completó sin errores, que los datos restaurados son íntegros y utilizables, que el proceso cumple con el RTO definido, y que el personal sabe ejecutar la recuperación.
Tipos de prueba de restauración
- Restauración de archivos individuales: Mensual, verifica integridad básica
- Restauración de sistema completo en entorno aislado: Semestral, verifica el proceso completo
- Ejercicio de DRP completo: Anual, simula un desastre real con todos los equipos involucrados
Gestiona el cumplimiento de backups en GRC360
GRC360 te permite registrar la política de backup, documentar las pruebas de restauración, vincular el control A.8.13 con las evidencias de cumplimiento y generar el informe para la auditoría ISO 27001.
Comenzar GratisConsulta también los controles de seguridad de redes, prevención de pérdida de datos y gestión de accesos.
¿Necesitas gestionar tu compliance?
GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.
Crear Cuenta Gratis