'Los procedimientos de recuperación de las copias de seguridad', por Francisco Gordillo, asociado senior de Information Technology de ECIJA
El artículo 94 del Real Decreto 1720/2007 que desarrolla la LOPD establece la obligatoriedad de las copias de seguridad en toda organización.
Esta medida de seguridad goza de un amplio nivel de implantación ya que los responsables ofimáticos y de sistemas conocen de los beneficios de disponer de copias de seguridad. Aún así, la normativa impone una obligación adicional a estas copias de seguridad:
Artículo 94 Copias de respaldo y recuperación (…) 2. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
Aquí es donde se produce una situación habitual en las organizaciones donde el único procedimiento es la solicitud de restauración por parte de los usuarios. Es decir, se prueba si funcionan las copias cuando hay una necesidad del negocio. Por lo tanto, si las copias de seguridad fallan no se puede satisfacer una necesidad del negocio y consecuentemente hay un perjuicio para la organización. Otra situación habitual suele ser afirmar que las copias de seguridad funcionan ya que se revisan diariamente los logs. Esta revisión solo asegura que se cumple con la obligación de realizar las copias de seguridad, pero no permite “garantizar en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción”.
Este hecho es obviado en la mayoría de auditorías de protección de datos donde se acepta por bueno el tener una política de copias de seguridad, sin revisar si se hacen simulacros de restauración de las copias de seguridad. Esto constituye un grave error ya que no son pocas las empresas que se han encontrado con problemas de disponibilidad de sus copias de seguridad, lo que ha afectado a su día a día con la correspondiente pérdida económica.
Entonces, qué pueden hacer las organizaciones para asegurarse que las copias de respaldo funcionarán correctamente cuando se necesiten? Ni la citada normativa de protección de datos, ni tampoco el Esquema Nacional de Seguridad regulan qué procedimientos son válidos para la recuperación de los datos. Así, la práctica en sistemas recomienda lo siguiente:
-
Montar un servidor específico para restauración de copias de seguridad con un entorno lo más parecido posible al de producción.
-
Hacer pruebas de restauración cada seis meses.
-
Revisar que todos los servicios funcionan correctamente.
-
Con los errores detectados realizar modificaciones en las copias de seguridad.
Enlace al artículo: http://www.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=647