En este documento compartimos una parte relevante de nuestra política de copias de seguridad y respaldo, necesaria para que nuestros clientes puedan abordar de forma mas transparente su posición de seguridad.
Definir y seguir una política de copias de seguridad y respaldo es un componente esencial de una buena práctica de gestión de la información. Muestra que la organización es proactiva en la gestión de los riesgos asociados con la pérdida de datos. En nuestro caso, alineamos estas políticas con los controles más estrictos de la industria, en conformidad con la ISO 27001 Sistemas de Gestión de Seguridad de la Información (SGSI), ISO 27017, ISO 27018 y la ISO 22301 Sistema de Gestión de la Continuidad de Negocio, para abarcar los diferentes aspectos de nuestra infraestructura y los sistemas de nuestros clientes cuando, estos nos encomiendan su gestión mediante los paquetes de servicios de Cloud Gestionado.
Alcance y programación de las copias de seguridad.
- El alcance de las copias de seguridad serán todos aquellos equipos, servidores o sistemas que:
- Formen parte de la infraestructura o puedan condicionar el servicio (routers, switches, servidores de configuraciones, etc)
- La titularidad del servidor sea de Occentus Network.
- La titularidad sea de un cliente, pero cuente con servicios de gestión contratados con Occentus Network.
- El cliente haya contratado específicamente el servicio de respaldo a Occentus Network.
- Por definición se mantendrán en todo momento, como mínimo copias de seguridad versionadas de:
- Ficheros
- Bases de Datos
- Opcionalmente se mantendrán copias de:
- Correos electrónicos, dependiendo del servicio contratado
- Configuraciones, sólo en el caso de que no se estén gestionando ya mediante CI-CD
- Adicionalmente, se podrán realizar snapshots o copias íntegras de las máquinas virtuales e instancias de servicio a demanda del cliente o por necesidades técnicas.
Se programarán copias de seguridad incrementales cada día dentro de la ventana de mantenimiento asignada para cada servicio. Generalmente entre las 01:00h y las 03:00h. Para los archivos de configuración y backups completos semanales para las bases de datos de los sistemas de sistema de gestión.
Métodos de copias de seguridad y formatos de datos, incluyendo cifrado si fuera aplicable.
- Sin perjuicio de que se empleen otros sistemas más específicos. Por defecto, las copias de seguridad se extraerán y almacenarán empleando tecnologías, procedimientos y herramientas básicas de sistema.
- Empleamos únicamente herramientas abiertas y estándar que permitan la verificación y eventual recuperación de la información sin requerir de herramientas propietarias u opacas.
- Las copias son siempre respaldadas en sistemas de información físicamente diferentes al del origen. Evitando sistemas de ficheros que puedan ser en si mismo un SPOF o sea tecnología cuyo journaling no garantice la integridad de los ficheros.
- Cuando el entorno en el que sean almacenados los datos respaldados no pueda disponer de medios de seguridad física y lógica directamente operada por Occentus Network, se empleará cifrado AES-256 para proteger los volúmenes que contengan los datos datos.
Períodos de retención de los datos respaldados:
Con independencia de la tecnología que se emplee, se atenderá a la siguiente política de retención por defecto de las copias de seguridad de ficheros y BBDD, que consistirá en copias versionadas de la siguiente forma:
- Copias diarias: últimos 7 días
- Copias semanales: últimos 30 días
- Copias mensuales: últimos 12 meses
- copias anuales: sine die
Procedimientos para verificar la integridad de los datos respaldados
Con el fin de comprobar de que que se están realizando correctamente las copias de seguridad hemos establecido diferentes mecanismos destinados a asegurar que se están realizando correctamente, que los datos sean exactos, íntegros y recuperables.
- Verificación automática
- Verificación automática desde los sistemas de monitorización para garantizar que se han implementado, o en su caso excluido expresamente, los sistemas de copia del entorno.
- Verificación diaria y listado automático del estado e integridad de las copias de respaldo en el sistema de gestión documental interno a efectos de su inventariado.
- Notificación diaria mediante ticket de cualquier proceso cuyo estado no sea success
- Verificación humana
- Semanalmente, se supervisará de forma individualizada, por parte del técnico de guardia asignado, la correcta realización de las copias de seguridad. No se permite reemplazar el componente humano de esta verificación.
Procedimientos y plazos para restaurar datos desde las copias de seguridad
El Time to Recovery (TTR) puede variar de forma significativa dependiendo del volumen y objeto de restauración. No obstante, se deben articular y combinar los diferentes medios de extracción para que el TTR, en la medida de lo posible no supere las 24h, siendo el tiempo objetivo (RTO) inferior a las 4 horas posteriores a la notificación.
Para la recuperación de los datos se seguirá en todo momento un procedimiento documentado predefinido que se inicia con la solicitud por parte del contacto autorizado.
Ubicación de almacenamiento de las copias de seguridad.
Por defecto todas las copias de seguridad gestionadas directamente por Occentus Network se almacenarán en nuestras cabinas de copias, ubicadas en la jaula de seguridad de nuestro centro de datos principal de Valencia, España. El acceso físico y lógico a estos entornos se encuentra estrictamente restringido al personal de Occentus Network.
Adicionalmente, el cliente podrá contratar el respaldo de éstas copias en nuestro centro de datos secundario.
Procedimientos para probar las capacidades de las copias de seguridad
Con el fin de probar y evidenciar las capacidades de las copias de seguridad, se han establecido un conjunto de pruebas periódicas de recuperación para garantizar que los backups sean efectivos.
- trimestralmente se realizará una prueba de restauración completa de un servidor de prueba utilizando un backup reciente para asegurarse de que todos los sistemas y datos pueden ser recuperados de manera exitosa.
- semestralmente, se llevará a cabo un ejercicio simulado de recuperación ante desastres para evaluar la efectividad de los backups y la capacidad del equipo para ejecutar la restauración.