POLÍTICA DE COPIAS DE RESPALDO – TYKE S.A.S.
1. OBJETIVO
Asegurar la generación de copias de respaldo de los datos y software de TYKE S.A.S., asignando los roles, recursos y medios necesarios, estableciendo lineamientos de respaldo y almacenamiento de la información.
2. ALCANCE
Esta política se aplica a toda la información contenida en los servidores, estaciones de trabajo, medios de almacenamiento removibles y equipos de comunicaciones que contengan datos personales, bases de datos y, información de seguridad, configuraciones, aplicativos y servicios críticos para TYKE S.A.S., que están bajo su administración; así mismo, garantizar que los terceros cumplan con los protocolos de backups definidos en el proceso de resguardo de la información.
3. DEFINICIONES
Activo de información: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de esta (sistemas, soportes, edificios, personas etc.) que tenga valor para la organización.
Copia de respaldo o backup: Es un duplicado de la información más importante, y se realiza para salvaguardar los documentos, archivos, fotos, bases de datos, configuraciones etc.
Propietario de Activo de Información: Es el nombre del responsable de la producción de la información (propietario): Que corresponde al nombre del área, dependencia o unidad interna, o al nombre de la entidad externa que creó la información. Es el responsable del activo, quien debe velar por el cumplimiento de los requerimientos establecidos frente a las propiedades de disponibilidad, confidencialidad e integridad.
Personal: Es aquella persona que tiene una relación con TYKE S.A.S., directa o a través de un tercero, bajo cualquier tipo de vinculación: planta, contratistas, proveedores, en práctica, etc.
4. GENERALIDADES
TYKE S.A.S., considera que toda la información de sus sistemas informáticos críticos en producción debe ser protegida de posibles daños, por lo que debe ser respaldada con cierta frecuencia, para asegurar el proceso de recuperación.
Bajo esta premisa, el departamento de seguridad informática deberá considerar soluciones de respaldo para equipos de escritorio, servidores, sistemas de información y aplicaciones (códigos fuentes, bases de datos, etc.) que se consideren críticos para la SSF. Igualmente, garantizar la disponibilidad de infraestructura adecuada de respaldo y asegurar su disponibilidad cuando sea requerida la copia, incluso después de un desastre o falla de un dispositivo.
Para los sistemas de información que no están bajo la administración de TYKE S.A.S., ésta debe velar y validar que el tercero encargado cumpla con la presente política.
Información que NO es relevante para TYKE S.A.S., y que resida en los servidores, sistemas de información y equipos de escritorio de TYKE S.A.S., NO SERÁ respaldada. La importancia de realizar la copia de seguridad de la información la deberá informar el jefe de Área o encargado de cada procedimiento en la matriz de activos de información y por mesa de ayuda.
Cada respaldo que se realice, manual o automático, deberá quedar registrado en los servidores, o sistemas de información.
En las situaciones donde el activo de información a respaldar está categorizado como público clasificado o público reservado, se deberán ejecutar copias de respaldo cifradas.
4.1. IDENTIFICACIÓN DE INFORMACIÓN CRÍTICA.
El jefe de Área o responsable de la información de cada procedimiento será el responsable de identificar y conservar actualizados los activos de información.
El respaldo de la información de los sistemas integrados relacionado con activos compartidos debe ser solicitado por cada uno de los jefes de área que tienen responsabilidad sobre ellos.
4.2. FRECUENCIA Y TIPO DE RESPALDO.
TYKE S.A.S., con el apoyo de sus encargados, deberá definir los tipos de copias a ejecutar para cada sistema de información.
Para cada copia de respaldo, se deberá considerar la frecuencia, los medios de almacenamiento, tipo de contenido, tiempo de almacenamiento y borrado de esta información.
La periodicidad con que se realizarán los respaldos de los computadores personales o estaciones de trabajo de TYKE S.A.S., deberá ser mínimo de 1 respaldo anual, esta información es la que cada persona envía a la unidad y es responsabilidad de cada colaborador.
Todas las áreas que generan información deberán definir la frecuencia del respaldo de esta e informarle a la Oficina de seguridad informática, esta información se debe diligenciar en la matriz de activos de información.
4.3. PROTECCIÓN A LOS MEDIOS DE RESPALDO.
Los medios de respaldo que contienen información deben tener una custodia que garanticen la protección adecuada de los datos allí almacenados, de forma que cumplan con los requisitos para ser puestos en funcionamiento en cualquier momento que sea requerido, además se deberá tener las copias de seguridad en un lugar secundario para mitigar riesgos en caso de un evento inesperado dentro de los sitios donde se generan las copias de respaldo. Ante un cambio tecnológico que se produzca que pueda generar obsolescencia tecnológica, deben generarse las acciones necesarias de resguardo de la información de los medios de respaldo.
4.4. PROTECCIÓN DE LA INFORMACIÓN EN MEDIOS DE RESPALDO.
Deberán existir registros documentados de las copias de respaldo y del restablecimiento de estas.
El respaldo de datos y software críticos se deben almacenar en un lugar protegido, con acceso controlado.
Toda información crítica grabada en medios de respaldo que son almacenados fuera de TYKE S.A.S., deberá ser trasladada con los elementos de seguridad adecuados, como por ejemplo el uso de controles criptográficos.
4.5. PERIODO DE EXISTENCIA DE LAS COPIAS DE RESPALDO Y SU EVENTUAL DESTRUCCIÓN.
Cada jefe de Área deberá determinar el período de conservación del respaldo de la información crítica de sus procesos, teniendo en cuenta los requisitos de conservación de las tablas de retención documental, la normativa legal vigente, el uso eficiente del espacio físico y los medios de almacenamiento disponibles.
4.6. PRUEBAS DE RESTAURACIÓN DE LAS COPIAS DE RESPALDO.
La ejecución de las pruebas de restauración de las copias de respaldo deberá asegurar la recuperación de copias de datos, y garantizar la integridad de los datos que contienen.
Se deberán realizar pruebas respecto a la restauración de las copias de respaldo en forma controlada y en un ambiente seguro que contenga los mismos niveles de seguridad del ambiente original, de forma rotativa y con una periodicidad de mínimo 1 vez por año.
5. INCUMPLIMIENTO
El incumplimiento de esta política de seguridad y privacidad de la información traerá consigo las consecuencias legales que apliquen a la normativa de la Entidad, incluyendo lo establecido en las normas que competen en cuanto a seguridad y privacidad de la información se refiere.
6. RESPONSABILIDADES
Departamento de seguridad informática: Velar por el cumplimiento de la presente política.
Personal:
Dar cumplimiento a la presente política y los lineamientos del Sistema de Gestión de Seguridad de la Información.