🚀 Nuevas herramientas online y gratuitas de CiberseguridadDale un vistazo 👀 →
DivisionCero

Política de Backups y Recuperación

Respaldo y recuperación de información crítica del negocio

Política de Backups y Recuperación

Propósito

Asegurar que los datos, sistemas y configuraciones de software estén protegidos contra pérdidas, interrupciones o incidentes de seguridad, garantizando integridad y disponibilidad de la información crítica.

Alcance

Aplica a todos los sistemas, datos y configuraciones de software de la organización, incluyendo servidores, estaciones de trabajo, bases de datos, servicios en la nube, y al personal, proveedores y consultores que interactúan con ellos.

Objetivos

  • Respaldar datos, sistemas y configuraciones de forma regular y segura.
  • Proveer recuperación rápida ante pérdida o corrupción de datos.
  • Validar periódicamente la efectividad de los backups.
  • Revisar y actualizar regularmente los requisitos de ciberseguridad asociados.

Estándares

Respaldo de Datos

  • Identificar datos críticos con el Jefe de TI.
  • Almacenar respaldos en ubicaciones físicamente separadas (DR Site).
  • Determinar frecuencia de backups según criticidad: diaria, semanal o mensual.
  • Usar backups completos, incrementales o diferenciales según necesidades.
  • Almacenar en medios seguros, cifrados y protegidos, incluyendo nube.
  • Retener respaldos por al menos 35 días o más según criticidad.
  • Verificar respaldos al menos dos veces al año y realizar pruebas periódicas de recuperación.

Recuperación de Datos

  • Documentar procedimientos de respaldo y recuperación (tipos de backup, frecuencia, responsables, ubicaciones y técnicas de recuperación).
  • Realizar pruebas de restauración al menos trimestralmente.
  • Reportar resultados al Jefe de TI y Seguridad de la Información.

Almacenamiento Seguro

  • Proteger backups con controles físicos y electrónicos (cerraduras, ACS, biometría).
  • Mantener registros de acceso por al menos 30 días.
  • Implementar seguridad ambiental: detección y supresión de incendios, protección eléctrica, CCTV.

Pruebas de Backup

  • Definir alcance, desarrollar escenarios de desastre, ejecutar pruebas y analizar resultados.
  • Actualizar procedimientos según hallazgos y documentar aprendizajes.

Gestión de Almacenamiento

  • Transferir datos entre medios según costo y accesibilidad.
  • Asegurar que backups críticos se mantengan en dispositivos rápidos y confiables.

Continuidad del Negocio y Recuperación

  • Mantener un plan BCDRP documentado y probado, incluyendo:
    • Identificación de riesgos y funciones críticas.
    • Equipo de respuesta de emergencia.
    • Procedimientos de respaldo, sitios alternativos y protocolos de comunicación.
    • Pruebas regulares y actualizaciones basadas en lecciones aprendidas.

Retención de Datos

  • Datos corporativos: 1 año.
  • Datos de clientes: según requisitos regulatorios.
  • Datos de empleo: 1 año desde terminación.

Monitoreo y Revisión

  • Revisar la política al menos anualmente o tras cambios significativos en TI o seguridad.
  • Gerencia y Seguridad de la Información supervisan el programa, asegurando alineamiento con el Sistema de Gestión de Seguridad de la Información y regulaciones aplicables.

¿Te ha resultado útil esta página?

Última modificación: 24 de noviembre de 2025

Política de Servicios en la Nube

Uso seguro y gestión de servicios cloud y SaaS

Política de Registro y Monitoreo

Registro de eventos y monitoreo de seguridad de sistemas