Guía de Implementación del Marco de Ciberseguridad 5.0

SO.6 Respaldar la información y realizar pruebas de restauración periódicas

Requisito SO.6Respaldar la información y realizar pruebas de restauración periódicas
ObjetivoPreservar la información de la organización o en poder de ésta y poder restaurarla en tiempo y forma en caso de necesidad.
Controles

Nivel 1

  • SO.6-1: se realizan respaldos periódicos de al menos los activos de información del centro de procesamiento de datos (aplicaciones, bases de datos, máquinas virtuales, etc.).

Nivel 2

  • SO.6-2: los respaldos se almacenan en lugares seguros y con acceso restringido.
  • SO.6-3: se establece el grado (completo, diferencial, etc.) y los requisitos de retención de los respaldos.
  • SO.6-4: los respaldos son probados regularmente.
  • SO.6-5: los respaldos se almacenan en medios inmutables o fuera de línea, para evitar posibles compromisos de ransomware.

Nivel 3

  • SO.6-6: se cuenta con soluciones automatizadas para asistir en la realización de los respaldos.
  • SO.6-7: existe una política de respaldos.
  • SO.6-8: existen procedimientos documentados de realización y prueba de recuperación de respaldos.

Nivel 4

  • SO.6-9: el procedimiento de respaldos se actualiza ante cambios de requerimientos del negocio o cambios de infraestructura o sistemas que requieran acciones de respaldo.
  • SO.6-10: la política y el procedimiento de respaldo se encuentran alineados al plan de contingencia y al plan de recuperación.
  • SO.6-11: la política y procedimiento de respaldos se revisan regularmente.
Guía de implementación

Política de respaldos
Se debe definir una política de respaldos donde se detalle claramente los requisitos que posee la organización con relación a las copias de la información y sistemas.

Plan de respaldos
Conjuntamente, debe elaborarse un plan de respaldos (con procedimientos asociados) que contemple al menos: frecuencia, grado (completo, diferencial, incremental), período de retención (teniendo en cuenta la normativa que pueda existir), almacenamiento de los medios (dentro y fuera de la organización), pruebas periódicas sobre los respaldos, cifrado de los respaldos (si la organización así lo define ante requerimientos de confidencialidad), herramienta utilizada para los respaldos.

Control de acceso a los respaldos
Se establecen al menos, mecanismos de control de acceso lógicos y físicos a los respaldos. Se deben realizar revisiones de los respaldos a intervalos regulares y dicha periodicidad debe verse reflejada en la política.

Pruebas periódicas a los respaldos
Los respaldos deben ser probados regularmente y los procedimientos de pruebas y sus resultados deben documentarse.

Registros
Asimismo, es necesario definir registros o bitácoras para registrar la realización de los respaldos y sus actividades de supervisión, así como las fallas o problemas detectados y sus acciones correctivas.

Revisiones periódicas
Ante cambios en requerimientos del negocio, se debe revisar la política, plan y procedimientos y actualizarlos si corresponde.

Protección de datos personales
Al momento de planificar los respaldos se debe contemplar lo indicado en la ley 18.331 “Protección de datos personales y acción de habeas data”, artículo 23 “Datos transferidos internacionalmente” donde se prohíbe la transferencia de datos personales de cualquier tipo con países u organismos internacionales que no proporcionen niveles de protección adecuados de acuerdo con los estándares del Derecho Internacional o Regional en la materia. Asimismo, en el punto A del mismo artículo se menciona que es posible realizar la transferencia internacional de datos si el interesado ha dado su consentimiento inequívocamente a la transferencia prevista.

La resolución 63/023 de la Unidad Reguladora y de Control de Datos Personales (URCDP) indica cuáles son los países adecuados: miembros de la Unión Europea y el Espacio Económico Europeo, Principado de Andorra, República Argentina, el sector privado de Canadá, Guernsey, Isla de Man, Islas Feroe, Estado de Israel, Japón, Jersey, Nueva Zelanda, Reino Unido de Gran Bretaña e Irlanda del Norte, y Confederación Suiza. Se declaran también como adecuadas las transferencias realizadas por entidades sujetas a la Ley de Protección de la Información Personal de la República de Corea, y las transferencias a organizaciones incluidas en el "Listado del Marco de Privacidad de Datos" publicado por el Departamento de Comercio de los estados Unidos de América.

La URCDP en dictamen 08/2014 de fecha 23/7/2014 dictaminó que el almacenamiento en una nube que no se encuentra en territorio nacional, se trata de una transferencia internacional de datos.

Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)Se cuenta con procedimientos y mecanismos de retención de datos conforme a lo estipulado por la normativa vigente.
Guía de evidencia para auditoría
  • Política de respaldos.
  • Plan de respaldos.
  • Registro (muestra) de los respaldos realizados para el período auditado.
  • Bitácora de la herramienta utilizada para los respaldos con detalle de respaldos realizados.
  • Listado de pruebas de restauración (muestra) realizadas en el período auditado.
  • Prueba de restauración de una muestra de archivos o carpetas seleccionadas.
  • Registros donde se documente las actividades de supervisión de los respaldos e inconvenientes o fallas encontradas.
Normativa asociadaLey N° 18.331: Protección de datos personales y acción de habeas data.
URCDP - Resoluciones 63/023 y 70/023
URCDP - Dictamen 08/2014 de fecha 23/7/2014
Otras que puedan establecer períodos de retención y otros requisitos asociados.

Etiquetas