La gran mayoría de las empresas no realizan copias de seguridad de sus datos de forma periódica. Se trata de un proceso costoso y, normalmente, las entidades deciden concentrar los recursos en otros proyectos. Sin embargo, en caso de sufrir un ciberataque, no tener una copia de seguridad actualizada puede provocar graves problemas.
Tabla de contenidos
El 80% de las empresas no realizan copias de seguridad con periodicidad
En caso de sufrir una violación de datos, la gran mayoría de entidades podrían perder una gran cantidad de datos confidenciales, que difícilmente podrían recuperar de manera inmediata. Del mismo modo, se debe tener en cuenta que nunca podemos saber cuándo sufriremos un ciberataque y es importante contar con toda la protección posible.
Las copias de seguridad son una de las defensas más valiosas ante los ciberataques, pues, en el caso de una caída de sistemas, sería el único modo de recuperar la normalidad. No se debe percibir como un procedimiento puramente de datos, sino como una estrategia de seguridad. Además, como es normal, la empresa trata datos confidenciales y el negocio depende de ellos (datos de clientes, analíticas de datos, etc.).
¿Debo proteger absolutamente toda la información?
No es necesario proteger todos los datos que almacenan los trabajadores y trabajadoras en los sistemas de información. Normalmente, se suele crear un criterio para escoger cuáles son los datos que necesitan una mayor protección. Primeramente, se debe hacer un inventario de información, tanto en formato digital como en otros soportes. De este modo, conseguimos un registro de todos los datos de la organización. Una vez tenemos toda la información ordenada, deberemos establecer un criterio de clasificación.
Según el Instituto Nacional de Ciberseguridad (INCIBE), los criterios de clasificación que aplicamos deben estar relacionados con las medidas de seguridad que aplicaremos a la información. Los criterios que propone son:
- Nivel de accesibilidad o confidencialidad
- Confidencial: datos exclusivamente accesibles para dirección.
- Utilidad o funcionalidad
- Información de clientes o proveedores.
- Información de compra/venta.
- Información de personal
- Información sobre el almacenamiento (comandas, etc.)
- Impacto en caso de robo, eliminación o pérdida
- Daños de imagen.
- Consecuencias legales.
- Consecuencias económicas.
- Paralización de la actividad.
La extraordinaria estrategia 3-2-1
El objetivo de la estrategia 3-2-1 es diversificar las copias de seguridad para garantizar, al menos, una opción recuperable. Es una opción intuitiva, pues, no podemos permitirnos guardar los datos en solamente un espacio. Por ello, surge esta estrategia, que cuenta con distintas claves de actuación:
- Mantener 3 copias de cualquier archivo, es decir, el archivo original y dos copias suyas.
- Almacenar las copias en 2 soportes distintos. Se evita sufrir un mismo error de funcionamiento que pueda afectar a todas las copias realizadas.
- Almacenar 1 copia de seguridad fuera de la empresa, como puede ser una copia de seguridad en la nube.
¿Cuál es el periodo de conservación?
El mantenimiento de las copias dependerá de cada organización, así como de los requerimientos legales que debe cumplir. El Instituto Nacional de Ciberseguridad tiene en cuenta las siguientes consideraciones:
- La información almacenada está en vigor o es de utilidad: debes tener en cuenta que la ley define el periodo de conservación de documentación contable y los datos personales hasta que finaliza la prestación del servicio. Todos aquellos datos que no cumplen con la utilidad ni deben ser almacenadas por ley, se deben eliminar.
- La vida útil del soporte donde se almacenan los datos: el soporte se debe renovar, pues, es posible que pueda sufrir cualquier incidente y deje de funcionar. Es muy común en los discos duros.
- Conservación de las copias anteriores a la última hecha: esto dependerá de la organización y de su frecuencia en hacer copias de seguridad.
Más información aquí.
Seguro de Ciberriesgos
Realizar copias de seguridad no evitará que sufras un ciberataque, ni garantiza un control absoluto de los datos. Hay diferentes tipos de ciberataques que pueden provocar una filtración de tu base de datos, entre otros. Si se hiciera pública, deberás responder legalmente ante cualquier consecuencia. Por esto motivo, es indispensable contar con un seguro de Ciberriesgos.
En Serpreco, correduría de seguros del Grupo La Mutua de los Ingenieros ofrecemos un seguro contra ataques cibernéticos que incluye una amplia variedad de coberturas económicas y de servicios para hacer frente a las amenazas específicas que pueden afectar directamente a los sistemas de información propios o de nuestros clientes.
Este seguro aporta una mayor seguridad y defensa ante los ciberdelincuentes mediante la cobertura de Responsabilidad Civil derivada de la responsabilidad que comporta la manipulación y privacidad de datos, gastos asociados a la privacidad y seguridad, entre otros.