👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 11 del Marco COSO.
TSC: Disponibilidad: A1.2.
TSC: Integridad del Procesamiento: PI1.1 y PI1.5.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir las acciones necesarias para asegurar la Disponibilidad (A1.2), la Integridad (PI1.5) y la Seguridad (COSO Principio 11) de tu información. A través de la creación y gestión de copias de seguridad (backups), estableces un mecanismo de defensa clave contra la pérdida de datos, ya sea por fallos técnicos, errores humanos o ciberataques.
💡 Recuerda que los backups son una parte esencial de tus planes de recuperación ante desastres y de continuidad del negocio, y son un control que los auditores de SOC 2 revisan con mucho detalle.
¿Qué tengo que hacer? 🚀
Para documentar este procedimiento, te sugerimos considerar las siguientes actividades:
Planificación
Te recomendamos planificar con tiempo las actividades para ejecutar correctamente los respaldos. Documenta un cronograma que especifique qué sistemas se respaldan, con qué frecuencia y quiénes son los responsables.
Conexión con disponibilidad (A1.2): La frecuencia de los respaldos debe estar alineada con tus métricas de RPO (Recovery Point Objective) y RTO (Recovery Time Objective) definidas en tu “Plan de Recuperación ante Desastres” y “Plan de Continuidad”.
Ejecución de backups
Define claramente cómo se realizarán los respaldos en cada uno de los sistemas y aplicaciones, considerando las configuraciones específicas de cada uno. Esta sección debe servir como una guía operativa para los responsables.
Registro
Llevar un registro de la ejecución de los backups (tanto exitosos como fallidos) proporciona una evidencia de cumplimiento fundamental para las auditorías de SOC 2.
Monitoreo y almacenamiento
Aquí se definen dos aspectos clave:
Monitoreo: Las acciones para validar que los respaldos se realizaron correctamente y qué hacer en caso de fallos.
Almacenamiento seguro: Debes indicar cómo se protegerán los respaldos almacenados (por ejemplo, mediante cifrado y controles de acceso restringidos) y por cuánto tiempo se conservarán. La protección de los backups es un requisito del criterio PI1.5.
Aplicación de pruebas de restauración
Esta es una de las actividades más importantes. Periódicamente, debes realizar pruebas de restauración para verificar que puedes recuperar la información de forma efectiva.
Estas pruebas no solo validan la Disponibilidad de los datos (que se pueden recuperar, A1.2), sino también su Integridad (que los datos recuperados no están corruptos, PI1.5).
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Para la definición de la frecuencia de los respaldos, considera todos los aspectos importantes: las necesidades del negocio (RPO/RTO), las capacidades de tus sistemas y cualquier requisito contractual o regulatorio.
Asigna a responsables apropiados y con el conocimiento técnico necesario para llevar a cabo cada uno de los pasos de este procedimiento.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.