9  Unidad : Respaldos y Continuidad del Negocio

9.1 Introducción

En el sector financiero, la continuidad del negocio y la recuperación ante desastres (DRP) son elementos críticos. Un banco o institución financiera no puede detener operaciones sin generar pérdidas millonarias, incumplimientos contractuales y pérdida de confianza de clientes y reguladores.

Normativas como ISO/IEC 22301 (Gestión de continuidad de negocio), ISO/IEC 27031 (Preparación para continuidad de TI), ISO/IEC 27040 (Seguridad en almacenamiento) y los CIS Controls v8 (Control 11) exigen que toda organización tenga planes de respaldo y recuperación probados. En el caso de PCI DSS v4.0 (Req. 12), las instituciones que procesan datos de tarjetas deben garantizar que la disponibilidad y seguridad de la información se mantengan incluso en escenarios de crisis.

La continuidad no depende solo de respaldar información, sino de diseñar procesos, roles y arquitecturas de recuperación que aseguren el funcionamiento del negocio en escenarios adversos: ciberataques, fallas de hardware, errores humanos o desastres naturales.

9.2 Riesgos Globales Asociados

  • Pérdida irreversible de datos financieros y regulatorios por falta de respaldos efectivos.

  • Caída prolongada de servicios bancarios críticos, con pérdidas económicas millonarias.

  • Incumplimiento normativo (ISO 22301, PCI DSS, LOPDP), con sanciones y suspensión de licencias.

  • Falta de trazabilidad en incidentes al no registrar pruebas ni restauraciones.

  • Impacto reputacional grave, pérdida de confianza de clientes y supervisores financieros.

9.3 Análisis de Riesgos como Base del DRP

Antes de diseñar un plan de recuperación, es indispensable realizar un análisis de riesgos, que identifica amenazas, vulnerabilidades, impactos y riesgos asociados a los activos de información.

9.3.1 Definiciones Clave (ISO/IEC 27005)

  • Amenaza: evento o agente que puede explotar una vulnerabilidad (intencional, accidental, natural o ambiental).

  • Vulnerabilidad: debilidad que permite que una amenaza se materialice.

  • Riesgo: combinación de probabilidad e impacto de que una amenaza explote una vulnerabilidad.

  • Impacto: consecuencias para la confidencialidad, integridad y disponibilidad (CID), así como efectos financieros, legales, operativos y reputacionales.

9.4 Clasificación de Amenazas

Sustentada en ISO/IEC 27005, PCI DSS y CIS Controls, las amenazas más relevantes se agrupan en:

  • Naturales: sismos, inundaciones, tormentas, incendios forestales.

  • Ambientales / Físicas: incendios en CPD, humedad, fallas eléctricas.

  • Tecnológicas / Operacionales: fallas de hardware, corrupción de bases de datos, interrupciones de telecomunicaciones.

  • Humanas intencionales: ransomware, phishing, sabotaje interno, terrorismo, fraude.

  • Humanas accidentales: errores de configuración, eliminación accidental de datos, negligencia.

  • Terceros / Cadena de suministro: fallas en proveedores de red, cloud o software crítico.

  • Red / Perímetro: pivoting interno, uso de protocolos obsoletos, segmentación insuficiente.

Cada categoría debe relacionarse con las vulnerabilidades detectadas (ej. “único enlace WAN” → vulnerabilidad, “corte de proveedor” → amenaza) para estimar riesgo e impacto.

9.5 Estrategia de Respaldos

  • Principio 3-2-1: mantener 3 copias de la información, en 2 medios distintos, y 1 fuera de sitio.

  • Tipos de respaldos: completos, incrementales, diferenciales.

  • Frecuencia: en sistemas financieros críticos, al menos en tiempo real o cada hora.

  • Cifrado: todos los respaldos deben estar cifrados (AES-256).

  • Pruebas periódicas: restauraciones verificadas cada trimestre.

  • Segregación: respaldos críticos deben estar en redes y sitios distintos a producción.

9.6 Continuidad del Negocio (BCP)

  • Análisis de Impacto en el Negocio (BIA): definir RTO (Recovery Time Objective) y RPO (Recovery Point Objective).

  • Sitios alternativos:

    • Hot site: activo y listo para operar.

    • Warm site: requiere configuración previa.

    • Cold site: solo espacio físico, sin equipos preparados.

  • Planes de contingencia: documentar pasos claros para restauración de servicios.

  • Roles definidos: TI, operaciones, legal, comunicación, seguridad.

  • Simulacros periódicos: validar la preparación de personal y sistemas.

9.7 Plan de Recuperación ante Desastres (DRP)

El DRP debe estructurarse en fases, bajo la metodología Plan–Do–Check–Act (PDCA):

  • Plan: Identificar incidentes posibles (a partir del análisis de riesgos), definir procedimientos y responsabilidades.

  • Do: Implementar los controles y respaldos definidos en la estrategia.

  • Check: Realizar simulacros, empezando con escenarios de bajo impacto (ej. caída de una aplicación secundaria).

  • Act: Ajustar el plan con base en los resultados de las pruebas, documentar lecciones aprendidas y actualizar procedimientos.

9.8 Checklist de Respaldos y DRP

Elemento a Revisar Detalle / Revisión Responsable Qué ocurre si no se cumple
Clasificación de amenazas realizada Amenazas naturales, tecnológicas, humanas, terceros, red Seguridad / Cumplimiento DRP no contempla escenarios reales
Política de respaldos 3-2-1 Tres copias, dos medios, una off-site TI Pérdida total de información crítica
Cifrado de respaldos AES-256 o equivalente Seguridad Datos expuestos si se roba un respaldo físico
Frecuencia de respaldos Tiempo real o diario según criticidad TI Pérdida de horas o días de operaciones financieras
Pruebas de restauración Ejercicios trimestrales documentados TI / Auditoría Respaldos inservibles en la práctica
Documentación RTO/RPO Definidos y aprobados en el BIA Dirección / TI Tiempo de recuperación no alineado con negocio
Simulacros de DRP Ejercicios de baja a alta criticidad Seguridad / Cumplimiento Respuesta improvisada en incidentes
Ciclo PDCA aplicado Revisión periódica del DRP Seguridad / Cumplimiento Plan obsoleto, no responde a amenazas actuales