La Ley Marco de Ciberseguridad (Ley N° 21.663) exige a todas las entidades que gestionen servicios esenciales mantener copias de respaldo seguras, actualizadas y verificadas como parte de su sistema de continuidad y protección de datos.
💡 Un backup mal diseñado o no probado equivale a no tener ninguno. La ANCI evaluará la eficacia de tus respaldos, no solo su existencia.
🏛️ Qué dice la Ley Marco sobre respaldos y continuidad
La Ley Marco obliga a los operadores de servicios esenciales y sus proveedores críticos a implementar medidas de resiliencia operativa y tecnológica.
En este marco, los backups son considerados un control mínimo de seguridad y un requisito auditable por la Agencia Nacional de Ciberseguridad (ANCI).
En auditorías o fiscalizaciones, la ANCI podrá solicitar:
- 📅 Evidencia de políticas de respaldo formalmente aprobadas.
- 💾 Registro de ejecuciones automáticas o manuales de copias de seguridad.
- 📘 Pruebas documentadas de restauración.
- 🚨 Procedimientos ante pérdida o corrupción de datos.
- 🔐 Controles de cifrado y retención según criticidad del activo.
👉 No basta con tener copias de respaldo; la empresa debe demostrar su eficacia y trazabilidad.
🧩 Qué establece la ISO 27001 sobre copias de seguridad
La norma ISO 27001, en su anexo A (controles A.5.29, A.8.12 y A.12.3), detalla los requisitos específicos que debe cumplir un sistema de respaldo:
- 💾 Las copias de seguridad deben realizarse a intervalos definidos y documentados.
- 🔁 Deben almacenarse en ubicaciones físicas o virtuales separadas del entorno principal.
- 📊 Deben verificarse periódicamente para asegurar su integridad y restauración.
- 🔒 Los datos sensibles deben cifrarse y restringirse según nivel de confidencialidad.
- 📘 Se deben definir políticas de retención, acceso y destrucción segura de respaldos obsoletos.
💡 Consejo Confiden: la ISO 27001 exige no solo ejecutar respaldos, sino mantener evidencia trazable de su revisión y testeo.
🔐 Tipos de copias de seguridad recomendadas
- Full backup: copia completa de todos los datos. Ideal para entornos críticos o mensuales.
- Incremental: copia solo de los archivos modificados desde la última ejecución.
- Diferencial: copia de todos los cambios desde el último backup completo.
- Snapshot: instantáneas de sistemas en producción (máquinas virtuales, bases de datos, contenedores, etc.).
- Offline o air-gapped: copias desconectadas físicamente o en red aislada, para mitigar ransomware.
👉 La combinación ideal depende del tipo de datos, tamaño de la empresa y criticidad de los sistemas.
🏗️ Dónde y cómo almacenar tus respaldos
Un buen esquema de respaldo se basa en la regla 3-2-1:
- 📦 3 copias de los datos.
- 💽 2 medios de almacenamiento diferentes (disco local, NAS, nube, cinta).
- ☁️ 1 copia fuera del sitio principal (cloud o centro de datos alternativo).
Además, se recomienda:
- 🔐 Utilizar cifrado AES-256 en tránsito y en reposo.
- 🧩 Mantener respaldos en proveedores certificados (ISO 27001, SOC 2, Azure, AWS, GCP).
- 📅 Definir ciclos de retención (por ejemplo, 7 días, 30 días, 6 meses) según el tipo de información.
- 🧠 Separar respaldos operativos de respaldos históricos o legales.
📊 Ejemplo práctico de matriz de políticas de respaldo
| Activo | Frecuencia | Tipo de backup | Retención | Ubicación | Responsable |
|---|---|---|---|---|---|
| Base de datos ERP | Diaria | Incremental + Full semanal | 90 días | Azure Backup Vault | Administrador de TI |
| Correo corporativo | Diaria | Snapshot | 30 días | Office 365 / Cloud | CISO Virtual |
| Servidor de archivos | Semanal | Diferencial | 6 meses | NAS + Disco externo cifrado | Infraestructura |
💡 Esta tabla sirve como evidencia documental para auditorías ANCI o certificaciones ISO 27001.
🧠 Cómo probar tus respaldos correctamente
Probar los respaldos es la parte más olvidada, pero también la más crítica.
La Ley Marco y la ISO 22301 exigen demostrar que la recuperación es efectiva.
Para cumplir con ello:
- 📘 Ejecuta pruebas trimestrales o semestrales de restauración total y parcial.
- 📊 Documenta resultados, tiempos de recuperación y fallas detectadas.
- 🧠 Involucra a áreas TI, Seguridad y Continuidad en el proceso.
- 🚨 Asegúrate de que los datos restaurados sean íntegros y actualizados.
- 📈 Usa los resultados para mejorar tu Plan de Recuperación ante Desastres (DRP).
⚠️ Errores frecuentes en la gestión de respaldos
- ❌ No verificar la integridad de los archivos respaldados.
- ❌ Almacenar todas las copias en el mismo entorno físico o red.
- ❌ No cifrar respaldos que contienen datos personales o confidenciales.
- ❌ Falta de control sobre accesos a respaldos y restauraciones.
- ❌ Ausencia de evidencia documental para auditorías ANCI.
💡 Consejo Confiden: un respaldo mal configurado puede ser tan riesgoso como no tener ninguno. Prioriza calidad y control, no solo cantidad.
💼 Cómo puede ayudarte Confiden
En Confiden acompañamos a las empresas en la implementación de políticas y sistemas de respaldo alineados a la Ley Marco y los estándares internacionales.
- 🧩 Diseño e implementación de políticas de backup seguras.
- 💾 Validación de integridad, retención y cifrado de respaldos.
- 🚨 Pruebas de restauración y simulacros documentados.
- 📊 Auditorías técnicas y evidencias para ANCI e ISO 27001.
- 🧠 Capacitación de equipos TI y gerenciales.
👉 Este servicio se incluye en nuestros planes ISO 27001 Ágil y Cumplimiento Ley de Ciberseguridad.
🏁 Conclusión
Los respaldos son la última línea de defensa ante fallas, ataques o errores humanos.
La Ley Marco de Ciberseguridad obliga a mantener evidencia clara de que tus datos pueden recuperarse, y la ISO 27001 ofrece el marco técnico para hacerlo bien.
Con un enfoque planificado, auditable y seguro, los backups se convierten en un pilar real de la resiliencia digital de tu empresa.
📥 Descarga nuestro eBook “La Ciberseguridad como Requisito” y aprende cómo el cumplimiento puede transformar la seguridad en una ventaja competitiva.