1. Propósito
Establecer requisitos para respaldar y recuperar los datos y sistemas críticos de [ORGANIZATION] para asegurar la continuidad del negocio y la resiliencia contra la pérdida, corrupción o ataques de ransomware.
2. Alcance
Esta política se aplica a todos los datos empresariales, aplicaciones, configuraciones y sistemas que soporten las operaciones empresariales de [ORGANIZATION].
3. Política
3.1 Requisitos de Respaldo
[ORGANIZACION] deberá mantener respaldos automatizados de todos los datos empresariales dentro del alcance, con frecuencia de respaldo basada en la criticidad de los datos:
Sistemas y datos críticos: respaldos [PERSONALIZAR: diarios/cada 4 horas] con un Objetivo de Punto de Recuperación (RPO) de [PERSONALIZAR: 4/8/24] horas.
Sistemas empresariales estándar: respaldos [PERSONALIZAR: diarios] con RPO de [PERSONALIZAR: 24 horas].
Configuraciones de sistemas e infraestructura: [PERSONALIZAR: semanalmente y ante cambios] con herramientas de gestión de configuración.
Los respaldos deberán incluir: datos de aplicaciones, bases de datos, configuraciones de sistemas, almacenes de directorio activo/identidad y configuraciones críticas de infraestructura (reglas de firewall, configuraciones de dispositivos de red).
3.2 Almacenamiento y Protección de Respaldos
Los datos de respaldo deberán cifrarse en reposo usando cifrado AES-256 o equivalente.
Al menos una copia de respaldo deberá almacenarse en una ubicación externa o basada en la nube que esté geográficamente separada del sitio principal, con una distancia mínima de [PERSONALIZAR: 100/250] millas.
Las ubicaciones de almacenamiento de respaldos (en sitio y fuera de sitio) deberán tener los mismos o equivalentes controles de acceso físicos y lógicos que el entorno de producción.
Los sistemas de respaldo deberán estar aislados de la red de producción para proteger contra la propagación de ransomware. Al menos una copia de respaldo deberá estar aislada del aire o ser inmutable.
3.3 Pruebas de Respaldo y Recuperación
Las pruebas de restauración de respaldos deberán realizarse al menos [PERSONALIZAR: trimestralmente/anualmente] para cada sistema crítico para verificar: integridad de los datos de respaldo, procedimientos de restauración, logro del Objetivo de Tiempo de Recuperación (RTO) (meta: [PERSONALIZAR: 4/8/24] horas para sistemas críticos) y logro del Objetivo de Punto de Recuperación (RPO).
Los resultados de las pruebas de restauración deberán documentarse y reportarse a [PERSONALIZAR: Gerencia de TI/CISO].
Los ejercicios completos de recuperación ante desastres deberán realizarse al menos [PERSONALIZAR: anualmente] simulando una falla completa del sitio.
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos