Estimados amigos de Inseguros !!!
Hoy quiero hablaros de un tema que todo el mundo dice tener controlado, hasta que llega el día en el que hay que demostrarlo: las copias de seguridad y, sobre todo, la restauración.
Porque una cosa es tener backups configurados en algún sitio, con una herramienta más o menos decente, y otra muy distinta es saber si esos backups van a servir para recuperar un sistema crítico cuando la empresa se ha caído, cuando alguien ha borrado información importante, cuando una actualización ha roto una aplicación o cuando un ransomware ha dejado media organización temblando.
En muchas auditorías me encuentro siempre con la misma respuesta inicial: “sí, tenemos copias”. Y eso está muy bien, pero no es suficiente. La pregunta no es solo si tienes copias. La pregunta de verdad es: ¿de qué sistemas tienes copia?, ¿cada cuánto se hacen?, ¿dónde están almacenadas?, ¿quién puede acceder a ellas?, ¿están cifradas?, ¿son inmutables?, ¿se han probado?, ¿cuánto se tardó realmente en restaurar?, ¿el negocio puede asumir ese tiempo?, ¿se validó que los datos recuperados eran correctos?, ¿se comprobó que la aplicación funcionaba después de restaurarla?
Ahí es donde muchas veces empiezan los problemas. No porque la empresa no tenga nada, sino porque tiene piezas sueltas. Tiene una herramienta de backup, tiene alguna política, tiene alguna copia, tiene algún proveedor, tiene algún procedimiento medio conocido por alguien del equipo técnico… pero no tiene una visión clara por cada sistema de información.
Y para mí esa es la clave.
No se trata de revisar “las copias de seguridad” en abstracto. Se trata de revisar cada activo, cada aplicación, cada servidor, cada sistema crítico, y entender cómo se está gestionando su backup y su recuperación. Porque no es lo mismo recuperar un servidor secundario que una aplicación de facturación, un ERP, un Active Directory, una base de datos crítica o una plataforma que da servicio directo a clientes.
Por eso hemos preparado un ebook gratuito con una plantilla editable de revisión de backup y recuperación. La idea no es que rellenes una tabla para guardarla en una carpeta y decir “ya hemos documentado esto”. La idea es justo la contraria: que la plantilla te obligue a pensar, a hacer preguntas incómodas y a detectar mejoras reales.
La plantilla permite revisar, sistema por sistema, aspectos como el propietario del activo, su criticidad para el negocio, el RTO, el RPO, el análisis de impacto en el negocio, la frecuencia de respaldo, la ubicación de las copias, el sistema de backup utilizado, el cifrado, la existencia de copias off-site o cloud, la redundancia geográfica, la copia inmutable, los controles de acceso, las pruebas de restauración, la validación de integridad, la documentación del procedimiento, el personal entrenado, la protección anti-ransomware, la retención, las alertas, la monitorización y la relación con los planes de continuidad y recuperación ante desastres.
Y esto es importante porque, cuando una empresa rellena este tipo de checklist con calma, empiezan a aparecer cosas que no siempre se ven en el día a día. Por ejemplo, que se hacen copias pero nadie revisa las alertas. Que existe una copia, pero no se ha probado una restauración completa. Que el proveedor sabe recuperar, pero internamente nadie tiene claro el procedimiento. Que el RTO definido no coincide con lo que el negocio espera. Que los backups están demasiado accesibles desde la red. Que no hay copia inmutable. Que se puede recuperar un fichero, pero no un sistema completo. Que no se ha probado una pérdida total. O que el plan de recuperación depende de una persona concreta que justo puede no estar disponible el día del incidente.
Y esto, amigos, no es un detalle menor.
En un incidente serio, la diferencia entre tener un backup y tener una capacidad real de recuperación puede ser enorme. Un backup que no se puede restaurar, que tarda demasiado, que no está protegido, que nadie sabe usar o que también ha sido cifrado por el atacante, no es una solución. Es una falsa sensación de seguridad.
Por eso siempre insisto en lo mismo: el backup no se demuestra cuando se configura. Se demuestra cuando se restaura.
Y la restauración tampoco se improvisa. No se puede descubrir el procedimiento un viernes por la tarde, con el comité de crisis preguntando cuánto falta, los usuarios sin poder trabajar, los clientes esperando y el equipo técnico intentando recordar dónde estaba la última copia buena.
La plantilla que hemos preparado busca precisamente evitar eso. Sirve para documentar, sí, pero sobre todo sirve para analizar. Para ver dónde estamos. Para identificar huecos. Para priorizar mejoras. Para hablar con negocio con datos. Para saber qué sistemas están razonablemente cubiertos y cuáles tienen un riesgo importante.
Porque cuando revisas activo por activo, la conversación cambia. Ya no hablamos de “tenemos backups”. Hablamos de si este sistema concreto puede recuperarse, en cuánto tiempo, con cuánta pérdida de datos, por quién, desde dónde, con qué procedimiento, con qué evidencias y con qué garantías.
Y esa es la diferencia entre cumplir por cumplir y trabajar de verdad la continuidad.
Si quieres revisar este punto en tu empresa, hemos creado un ebook gratuito donde puedes descargar la plantilla en formato editable y utilizarla como base para analizar tus sistemas de información.
No hace falta complicarlo más de la cuenta. Empieza por tus sistemas críticos. Rellena la plantilla con el equipo técnico y con los responsables de negocio. Mira qué campos no puedes contestar. Mira qué pruebas no tienes. Mira qué procedimientos no están documentados. Mira qué dependencias no están claras.
Ahí están las mejoras. No en el papel. En las respuestas que no tienes.
Gracias por leerme !!!
