SO 6 Respaldar la información y realizar pruebas de restauración periódicas.
| Objetivo | Preservar la información de la organización o en poder de ésta y poder restaurarla en tiempo y forma en caso de necesidad. |
| Alcance | Cualquier organización |
| Referencia ISO 27001 | A.12.3.1 |
| Guía de implementación | Política de respaldos Se debe definir una política de respaldos donde se detalle claramente los requisitos que posee la organización con relación a las copias de la información y sistemas. Plan de respaldos Conjuntamente, debe elaborarse un plan de respaldos (con procedimientos asociados) que contemple al menos: frecuencia, grado (completo, diferencial, incremental), período de retención (teniendo en cuenta la normativa que pueda existir), almacenamiento de los medios (dentro y fuera de la organización), pruebas periódicas sobre los respaldos, cifrado de los respaldos (si la organización así lo define ante requerimientos de confidencialidad), herramienta utilizada para los respaldos. Control de acceso a los respaldos Se establecen al menos, mecanismos de control de acceso lógicos y físicos a los respaldos. Se deben realizar revisiones de los respaldos a intervalos regulares y dicha periodicidad debe verse reflejada en la política. Pruebas periódicas a los respaldos Los respaldos deben ser probados regularmente y los procedimientos de pruebas y sus resultados deben documentarse. Registros Asimismo, es necesario definir registros o bitácoras para registrar la realización de los respaldos y sus actividades de supervisión, así como las fallas o problemas detectados y sus acciones correctivas. Revisiones periódicas Ante cambios en requerimientos del negocio, se debe revisar la política, plan y procedimientos y actualizarlos si corresponde. |
| Administración Central | Al momento de planificar los respaldos, se debe cumplir con lo indicado en el decreto N° 92/014, artículo 3: “Los sistemas informáticos (art. 3° del Decreto N° 451/009 de 28 de setiembre de 2009) de la Administración Central deberán estar alojados en centros de datos seguros situados en territorio nacional, exceptuándose aquellos que no constituyan un riesgo para el organismo, de acuerdo con los "Lineamientos para la implementación y uso de centros de datos seguros", que se anexa y forma parte del presente Decreto (Anexo III).” |
| Instituciones de salud | Al momento de planificar los respaldos se debe contemplar lo indicado en la ley 18.331 “Protección de datos personales y acción de habeas data”, artículo 23 “Datos transferidos internacionalmente” donde se prohíbe la transferencia de datos personales de cualquier tipo con países u organismos internacionales que no proporcionen niveles de protección adecuados de acuerdo a los estándares del Derecho Internacional o Regional en la materia. Asimismo, en el punto A del mismo artículo se menciona que es posible realizar la transferencia internacional de datos si el interesado ha dado su consentimiento inequívocamente a la transferencia prevista. La resolución 17/009 de la URCDP, indica cuales son los países adecuados que básicamente son los que Europa reconoce como adecuados. En el caso de EEUU regía al momento de la creación de la resolución el Puerto Seguro en materia de protección de datos, calidad que se otorga por empresas. Para cada transferencia a EEUU se debería revisar a qué empresa se transfieren los datos (actualmente Privacy Shield). La URCDP en dictamen 08/2014 de fecha 23/7/2014 dictaminó que el almacenamiento en una nube que no se encuentra en territorio nacional, se trata de una transferencia internacional de datos. |
| Guía de evidencia para auditoría |
|
| Normativa asociada | Ley 18.331: Protección de datos personales y acción de habeas data. URCDP - Resolución 17/009 URCDP - Dictamen 08/2014 de fecha 23/7/2014 Otras que puedan establecer periodos de retención y otros requisitos asociados. |