Volver al Dashboard
Tecnología IT

R-12

Backup insuficiente o no probado

3

Severidad
Evaluación Detallada
Acción Prioritaria / Recomendada
Definir dato crítico, crear política de backup, realizar prueba de restauración y confirmar retención en proveedores.
Activos Críticos en Riesgo
Datos (SharePoint, clientes), Tecnología (servidores de backup) y Procesos (recuperación de desastres).
Controles Existentes
Backups parciales o nativos del proveedor cloud sin pruebas formales de restauración periódicas.
Costos de Oportunidad
Desvío total de los recursos humanos a la emergencia de datos, paralizando la gestión de ventas nuevas.
Descripción de la Amenaza
Inexistencia de copias de seguridad íntegras o fallas en el proceso de restauración ante un desastre o borrado accidental .
Dimensión de Seguridad
Disponibilidad e Integridad: El riesgo principal es la pérdida definitiva de la información necesaria para operar .
Disparador (Trigger)
Fallo de integridad en archivos habituales o reporte de error en las consolas de backup automáticas .
Estrategia de Tratamiento
Mitigar: Asegurar la resiliencia de la información mediante duplicidad y pruebas de integridad .
Evidencias de Control
Acta de prueba de restauración con éxito, política de backup aprobada y reportes del proveedor.
Identificación del Riesgo
TEC-12: Pérdida de información o incapacidad de recuperación post-incidente .
Impacto Financiero (Ventas)
Pérdida de facturación por inoperatividad prolongada y costos de reconstrucción manual de expedientes.
Impacto Reputacional
Daño crítico a la imagen de la agencia ante la imposibilidad de cumplir con viajes ya señados por pérdida de registros.
Impacto en Continuidad
Recuperación lenta o nula de la operación; riesgo de cierre temporal por falta de información operativa.
Impacto en Cumplimiento
Exposición ante auditorías y demandas de clientes por falta de trazabilidad y resguardo de datos sensibles.
Impacto en Datos
Corrupción de archivos o pérdida definitiva de bases de datos de pasajeros y documentación comercial.
Mecanismos de Mitigación
Técnico: Copias redundantes. Administrativo: Acta formal de prueba de restauración anual .
Métrica de Seguimiento (KPI)
Tiempo de recuperación (RTO) y punto de recuperación (RPO) medidos en la última prueba.
Plazo de Ejecución
Ventana de implementación prioritaria definida en 30 a 60 días.
Responsables (Owners)
Proveedor IT (ejecución técnica) y Administración (validación de datos críticos).
Riesgo Material (Cuantificar)
Costo de servicios de recuperación forense y pérdida del valor de mercado por degradación de la base de clientes.
Severidad (Exposición)
Riesgo MODERADO (3): Requiere medidas preventivas y seguimiento regular.
Vulnerabilidades Detectadas
Backups externos en implementación, falta de pruebas de restauración y dependencia de backups nativos de terceros (Turismatica/TMA) sin verificación .