GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

ARTÍCULO 32 DEL RGPD

Plan de Recuperación ante Desastres

Las empresas deben establecer un Plan de Recuperación ante Desastres para complementar el plan de continuidad del negocio. 

Un Plan de Recuperación ante Desastres complementa un plan de continuidad del negocio

Un Plan de Recuperación de Desastres (DRP) es la parte técnica de un Plan de Continuidad de Negocio (BCP) y ambos van de la mano. En resumen, el Plan de Continuidad de Negocio proporciona a los empleados una descripción de cómo la empresa continuará funcionando en caso de una crisis en curso.

Sin embargo, un Plan de Recuperación ante Desastres describe cómo se debe restaurar la infraestructura de TI y el procesamiento de datos personales durante o después de una crisis. Además, un plan de recuperación ante desastres suele ser más detallado. 

What breaches of the GDPR can lead to an administrative fine?

Una medida de seguridad organizativa

De conformidad con el artículo 32 del RGPD, las empresas deben aplicar las medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales tratados. Un Plan de Recuperación de Desastres es una medida de seguridad organizacional que puede ser apropiada para muchas empresas. Entre otras cosas, las empresas deben poder restablecer la disponibilidad y el acceso a los datos personales en caso de un incidente que implique su pérdida o similar. Es algo que un plan de recuperación en caso de catástrofe ayuda a las empresas a hacer. 

¿Qué preguntas responde un Plan de Recuperación de Desastres?

  • ¿Qué sistemas son críticos para la empresa? 
  • ¿Cuál es el tiempo de recuperación de los diferentes sistemas? 
  • ¿Cuántos datos puede perder la empresa?
  • ¿Cómo gestiona la empresa los archivos de copia de seguridad y el almacenamiento? 
  • ¿Qué pasos deben tomar los empleados para restaurar los sistemas de TI? 
  • ¿Quién es responsable de hacer qué en el trabajo de recuperación?
  • ¿Cómo debe manejar la empresa la comunicación, interna y externamente?

La diferencia entre el objetivo de punto de recuperación y el objetivo de tiempo de recuperación

Objetivo de tiempo de recuperación (RTO)

En resumen, el RTO especifica el tiempo máximo que un proceso crítico para el negocio, servicio de TI, aplicación o similar puede estar fuera de servicio después de que se haya producido un incidente, antes de que conduzca a consecuencias inaceptables. El enfoque principal en este caso es el tiempo para restaurar. Si el RTO es de 3 horas, significa que el sistema debe restaurarse y volver a funcionar a más tardar 3 horas después de la interrupción. Es importante tener en cuenta que los diferentes sistemas que utiliza la empresa pueden tener diferentes tiempos de recuperación. Por ejemplo, puede ser crítico que un sistema de registro de atención médica tenga que restaurarse en cuestión de minutos, mientras que un sistema de recursos humanos puede estar inactivo durante varias horas sin tener un impacto inaceptable en la empresa. Cuanto menor sea el RTO, más avanzadas serán las soluciones que la empresa necesita implementar.

Objetivo del Punto de Recuperación (RPO)

Esta medida indica la cantidad de pérdida de datos, expresada en términos de tiempo contado hacia atrás desde la ocurrencia del incidente, que la empresa puede perder como máximo. En este caso, la atención se centra en la tolerancia y la pérdida de datos. Por ejemplo, si el RPO es de 15 minutos, significa que los datos que se han creado o modificado a más tardar 15 minutos antes de que ocurra el incidente, deben poder restaurarse.

La clave para un Plan de Recuperación ante Desastres eficaz es una buena estrategia de respaldo

Es importante que la empresa se asegure de que los ajustes para la copia de seguridad en los diversos sistemas digitales se configuren de la manera deseada. Además, es bueno probar si los archivos de copia de seguridad están funcionando, pueden restaurar archivos correctamente y contienen la cantidad correcta de datos respaldados. Si hay un incidente que involucre la pérdida de datos, la compañía puede recuperar los archivos a través de los archivos de copia de seguridad. 

Instrucciones paso a paso para la recuperación

El plan de recuperación en caso de catástrofe deberá ser claro e incluir instrucciones prácticas. Por ejemplo: 

  • Cómo reiniciar los servidores. 
  • Cómo restaurar bases de datos desde la copia de seguridad. 
  • El orden en que se reactivarán los diferentes sistemas utilizados por la empresa. 
  • Cómo volver a crear aplicaciones. 
  • Verificación de registros.
  • Cómo se llevan a cabo los controles de seguridad de la red después de que se ha producido un incidente. 

Manual para cada sistema

Es bueno crear un manual escrito para cada sistema que la empresa ha identificado como crítico. Por ejemplo, es una buena idea incluir los datos de contacto del proveedor del sistema en el manual. 

Responsabilidades y división de funciones

Para manejar una crisis lo mejor posible, es bueno aclarar las funciones y responsabilidades si surge tal situación. Por ejemplo, qué técnicos de TI son responsables de restaurar qué sistemas. Al tener una clara división de roles y responsabilidades, es más probable que el proceso de recuperación ocurra más rápido. Esto puede ayudar a la empresa a cumplir con los requisitos de accesibilidad. 

Comunicación en caso de incidentes

La comunicación dentro de las empresas es extremadamente importante, especialmente durante una crisis. Es bueno aclarar cómo se debe informar a todos los empleados en caso de crisis si el canal de comunicación regular no funciona. Además, la empresa debe aclarar quién es responsable de ponerse en contacto con partes externas, como proveedores, autoridades nacionales de protección de datos y clientes. 

Pruebe el plan regularmente

La mejor manera de saber si un Plan de Recuperación de Desastres funciona en la práctica en caso de crisis o no es probándolo en la práctica. Además, es una oportunidad para encontrar oportunidades de mejora ante una crisis real. Por ejemplo, la empresa debe probar para restaurar partes del sistema y / o todo el sistema, capacitar a los empleados a través de varios ejercicios con escenarios de la vida real, simular intrusiones que conducen a violaciones ficticias de datos personales, etc. Tenga en cuenta que es bueno documentar las pruebas y medidas tomadas, así como su efectividad. 

Documento para demostrar el cumplimiento

Un Plan de Recuperación ante Desastres debe presentarse por escrito porque las empresas deben poder demostrar que cumplen con el RGPD en la práctica, de acuerdo con el principio de rendición de cuentas del artículo 5, apartado 2, del RGPD. También es bueno disponer de documentos justificativos para un plan de recuperación en caso de catástrofe. Por ejemplo, rutinas para copias de seguridad, rutinas para violaciones de datos personales y evaluaciones de riesgos. 

Actualizar y mejorar

RGPD es un proceso continuo que requiere actualizaciones y mejoras regulares. Lo mismo se aplica a los Planes de Recuperación ante Desastres. El plan debe actualizarse, por ejemplo, cuando la empresa introduce nuevos sistemas o a medida que la empresa crece y recibe nuevas necesidades de acción. La auditoría y revisión del plan debe hacerse al menos una vez al año, pero para las empresas más grandes debe hacerse con más frecuencia. 

APRENDE MÁS

La administración de contraseñas es otra medida de seguridad organizacional que puede ser útil tomar

Es bueno que las empresas establezcan procedimientos de contraseña para los empleados como una medida de seguridad organizacional. En otras palabras, definir cómo los empleados crean contraseñas seguras, protegerlos del acceso no autorizado, actuar si hay sospecha de exposición, etc. Además, puede ser apropiado tener autenticación en dos pasos o inicio de sesión a través de datos personales biométricos cuando se trata de sistemas que procesan datos personales sensibles.

¿Quieres saber más?

Leer más
Scroll al inicio