Un aspecto esencial que debe ser considerado desde el punto de vista de la Protección de Datos Personales es el proceso de creación de copias de respaldo de la información; pues, la ausencia de tal proceso puede afectar directamente el principio de disponibilidad de la información, el cual se debe cumplir de cara a las necesidades de cada uno de los Titulares. En general, las copias de respaldo deben estar vinculadas a todo proceso de almacenamiento y administración de datos privados, en especial si estos últimos son sensibles, debiendo entonces añadir a los procesos otras medidas tales como: el cifrado de datos, y la protección contra consulta, copia o sustracción no autorizada de los mismos.
Ahora bien, la cuestión técnica no es lo único que atañe a las copias de respaldo; dado que los la mayoría de los procesos involucran hábitos, cultura organizacional, responsabilidad y atención, cuestiones que no se definen con un simple procedimiento manual o automático.
Para ilustrar la complejidad de la creación de copias de respaldo, imaginemos una institución médica que ha decidido manejar sus plataformas en la nube para que los datos circulen con relativa facilidad y para que no se magnifique cualquier problema de conectividad que pueda suceder producto del fallo de un servidor local. En este caso, todo el sistema informático aparentemente funcionaría bien, salvo que deje de operar el suministro de energía, la conexión de internet por fibra óptica, o los mismos ordenadores; sin embargo, los riesgos de esas posibles circunstancias podrían ser subsanados si se dispone de una planta eléctrica de emergencia, un internet satelital como conexión alterna, o algunos ordenadores de reserva.
Sin embargo, ¿qué sucedería si un ciber-terrorista roba las credenciales del administrador de la red y procede a acceder a los medios de almacenamiento en la Nube, para copiar y luego borrar todos los datos? La verdad es que sería una situación compleja; pues, toda la operación de la organización quedaría detenida. Y entonces ¿Cómo se podría recuperar la información perdida?
La respuesta a la anterior inquietud ha sido analizada por infinidad de organizaciones e innumerables desarrolladores de tecnología, quienes han planteado diferentes tipos de solución, cuyos factores comunes son: 1) Se requiere disponer de un sistema de generación de copias de respaldo rápido y eficiente, 2) Se requiere contar con una Política sólida que tenga en cuenta aspectos técnicos, costos de aplicación, la naturaleza de los datos, las finalidades de tratamiento así como los riesgos de probabilidad de afectación de los titulares con un factor de calificación de su gravedad. 3) Se requiere de una serie de procedimientos claros que involucren al factor humano para que se sepa cómo actuar al presentarse un incidente de esas proporciones.
Con respecto a la política de copias de respaldo, ésta debe cubrir siete aspectos esenciales que garantizarán su correcta realización:
Finalidad: Todo proceso de elaboración de copias de respaldo requiere establecer una finalidad específica en la que se indique para qué se usarán los datos almacenados, cómo y en qué momento se crearán tales copias, qué autoridad y en qué momento podrá acceder a ellas, cómo se resguardarán en forma segura, cómo se garantizará que no se usen para algo diferente a la restauración, y cómo se mantendrá la total confidencialidad de su contenido.
Alcance de la política: Dado que no siempre se requiere almacenar todos los archivos, entonces es necesario indicar qué tipo de Datos se almacenarán y qué niveles de seguridad tendrá cada uno de ellos. Adicionalmente se deberá establecer qué Datos Personales deberán estar encriptados, y cuáles deberán tener una seguridad superior frente al resto de ellos.
La frecuencia de realización de las Copias de Respaldo: Este valor no es un número al azar; pues, debe considerar el volumen de datos que se modifican en el tiempo, la cantidad de información que es tolerable perder por parte de la organización en caso de suceder algún incidente, y el tiempo que tarda la restauración de los datos en un servidor o en los diferentes ordenadores.
Tipo de copia de respaldo: Este tipo de criterio es netamente técnico, y tiene relación con la capacidad de almacenamiento y la velocidad de los dispositivos o servicios dispuestos para realizar la copia de respaldo. En general, el planeador del almacenamiento de respaldo deberá seleccionar una de estas tres opciones: copia completa, copia diferencial o copia incremental.
Capacidad de acceder a soporte y respaldo técnico: Este factor se entenderá si observamos por ejemplo un servicio de almacenamiento en la Nube; aquí un proveedor que cuente con poca capacidad administrativa y técnica, con dificultad podrá reponerse de situaciones catastróficas como lo sería un incendio o un terremoto; lo que lleva a concluir que ante un evento de esas características, la valiosa información resguardada tal vez nunca pudiera volver a estar disponible.
Elaborar un plan de recuperación: El final de las políticas debe concluir estableciendo quién será el responsable de las copias de respaldo, qué responsabilidades tendrá a su cargo, cuáles serán los límites de tiempo tanto para el procesamiento como para la puesta en marcha de las copias de respaldo, y qué pasos deberá realizar para recuperar la información en forma controlada.
Establecer tiempos de retención: En la mayoría de los casos, una copia más reciente dejará sin funcionalidad a una anterior, es por ello que debe existir un tiempo máximo de retención de copias de respaldo, el cual debe ir ligado a un procedimiento para la destrucción o borrado de los archivos no vigentes. Esto será indispensable, si se quiere evitar la dispersión sin control de los datos que reposan en las copias de seguridad de la organización.
Para cumplir con los principios de la responsabilidad demostrada, toda entidad en Colombia debe almacenar correctamente sus datos, contar con políticas de tratamiento, y disponer de mecanismos adecuados que garanticen la integridad y la disponibilidad de la información personal. Evalúe entonces sus riesgos de privacidad, mapee sus datos, controle sus flujos de información y elabore políticas de copias de respaldo que garanticen tal integridad y disponibilidad.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
