La información es uno de los activos más críticos de cualquier organización. El Control 8.13 de la norma ISO/IEC 27001 establece la necesidad de protegerla mediante copias de seguridad fiables, bien gestionadas y probadas, que permitan recuperar datos, sistemas y software ante incidentes que afecten a su disponibilidad o integridad.

Este control es un pilar clave de la continuidad del negocio y de la recuperación ante desastres, y aplica a organizaciones de cualquier tamaño y sector.

¿Por qué son esenciales las copias de seguridad?

Las copias de seguridad permiten a una organización recuperarse frente a situaciones como errores humanos, borrados accidentales, fallos técnicos, corrupción de datos, ataques de ransomware o incidentes físicos como incendios o robos.

En muchos de estos escenarios, disponer de un backup funcional es la única forma de restaurar la operativa normal y evitar pérdidas económicas, legales o reputacionales.

Política de copias de seguridad

ISO 27001 exige que las copias de seguridad se gestionen conforme a una política documentada, proporcional al tamaño y complejidad de la organización. Esta política debe definir, al menos, qué información y sistemas se respaldan, la frecuencia de las copias, el tipo de backup utilizado, los plazos de conservación, las ubicaciones de almacenamiento, los roles responsables y los procedimientos de verificación y prueba.

La política debe revisarse periódicamente para adaptarse a cambios técnicos u organizativos.

Tipos habituales de copias de seguridad

Existen diferentes métodos de backup que pueden combinarse según las necesidades del negocio. La copia completa respalda toda la información seleccionada y facilita la restauración, aunque consume más recursos. La copia incremental guarda solo los cambios desde la última copia y reduce el uso de almacenamiento, pero complica la recuperación. La copia diferencial equilibra ambos enfoques, almacenando los cambios desde la última copia completa.

También existen copias espejo o réplicas, que mantienen una copia actualizada de los datos, y las instantáneas o snapshots, que capturan el estado de un sistema en un momento concreto y permiten recuperaciones rápidas.

La elección del método debe basarse en el impacto que tendría la pérdida de información.

RPO y RTO: conceptos clave

El RPO, u Objetivo de Punto de Recuperación, define cuánta información puede perderse sin causar un impacto inaceptable y determina la frecuencia de las copias.

El RTO, u Objetivo de Tiempo de Recuperación, indica cuánto tiempo puede tardarse en restaurar un sistema tras un incidente.

Ambos valores deben ser realistas y estar alineados con las necesidades del negocio.

Almacenamiento externo y copias aisladas

Para evitar la pérdida simultánea de datos y backups, el Control 8.13 recomienda almacenar copias fuera del sistema original, utilizando servicios en la nube, ubicaciones físicas distintas o proveedores especializados.

Además, para protegerse frente a ransomware, muchas organizaciones utilizan copias aisladas o copias inmutables, que no pueden ser modificadas ni eliminadas desde los sistemas productivos.

Pruebas de restauración

Tener copias de seguridad no garantiza la recuperación si no se prueban. ISO 27001 insiste en la necesidad de realizar pruebas periódicas de restauración para verificar que los datos no están corruptos, que los procedimientos funcionan correctamente y que los tiempos reales cumplen el RTO definido.

Estas pruebas pueden ser parciales y adaptadas a la realidad de cada organización.

Aplicación del control 8.13 en empresas de desarrollo de software

Las empresas de desarrollo de software gestionan activos especialmente sensibles, como código fuente, repositorios, pipelines CI/CD y entornos de producción.

Aplicación en soluciones SaaS

En modelos Software as a Service, la empresa desarrolladora sigue siendo responsable de la protección de la información, aunque la infraestructura esté alojada en la nube. Para cumplir el Control 8.13 es habitual definir claramente la responsabilidad compartida con el proveedor cloud, realizar copias independientes del código fuente y los repositorios, respaldar bases de datos y configuraciones críticas, separar entornos de desarrollo, pruebas y producción, probar restauraciones periódicamente y utilizar copias inmutables frente a ransomware.

Un error frecuente es asumir que el proveedor cloud cubre todas las necesidades de backup.

Aplicación en soluciones on-premise

En entornos on-premise, la empresa asume el control total de la infraestructura y debe realizar copias completas de sistemas y servidores, respaldar repositorios y herramientas de desarrollo, almacenar copias fuera de las instalaciones principales, utilizar copias aisladas para sistemas críticos y probar de forma periódica los procedimientos de recuperación.

La falta de automatización y de pruebas regulares suele ser el principal riesgo en este modelo.

Aplicación del control 8.13 en pequeñas empresas

En las pequeñas empresas, el Control 8.13 debe aplicarse de forma proporcionada y práctica, priorizando la información crítica para el negocio. Esto suele incluir datos de clientes, información contable, documentación clave y aplicaciones esenciales.

Las buenas prácticas más habituales son definir una política sencilla de copias de seguridad, utilizar soluciones cloud automatizadas, mantener versiones históricas de la información, proteger las copias frente a ransomware, realizar pruebas básicas de restauración y asignar responsabilidades claras, aunque recaigan en una sola persona.

Incluso con recursos limitados, estas medidas reducen de forma significativa el riesgo de pérdida de información.

Conclusión

El Control 8.13 de ISO/IEC 27001 no consiste únicamente en hacer copias de seguridad, sino en garantizar que la información puede recuperarse cuando realmente se necesita. Una estrategia de backups bien definida, probada y protegida es una de las medidas de seguridad más eficaces y rentables para cualquier organización.