En la mayoría de las PYMEs no se presta la debida atención al tema de la seguridad de los datos.
Desde el punto de vista empresarial hay dos tipos de responsabilidad:
1. Cumplimiento de la LOPD.
Desde el punto de vista de la LOPD, las organizaciones son responsables de proteger todos los ficheros que contengan:
– datos de carácter personal (Nivel Básico)
– información que permita evaluar la personalidad o el comportamiento del interesado (Nivel Medio)
– datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual (Nivel Alto)
2. Pérdida de datos.
Por otra parte, la dependencia que actualmente tienen las empresas de los sistemas de información (ERP, CRM, BI, etc.), hace que la pérdida de datos suponga un grave problema para el funcionamiento de las mismas.
A causa de estas dos razones, la protección de los datos se convierte en un valor estratégico y así debería tenerse en cuenta al diseñar nuestro sistema de información.
Soluciones
Dentro de las herramientas disponibles para proteger los datos, realizamos la misma separación que anteriormente:
1. Por la LOPD.
Con el objetivo de proteger el acceso no autorizado a los datos amparados por la Ley, o a aquellos de valor estratégico, deberemos implantar sistemas de acceso jerárquicos, protegidos por perfiles de Usuario/Contraseña.
Cada usuario tendrá acceso únicamente a aquellos datos necesarios para llevar a cabo sus funciones.
Todas las personas de la Organización que intervengan en el tratamiento de datos deben tener definidas sus funciones y los perfiles de usuario que utilicen, debiendo quedar esta información reflejada en el Documento de Seguridad.
2. Por la pérdida de datos y operatividad.
En este apartado, la herramienta más importante es la copia de seguridad. Es indispensable disponer de un sistema fiable que realice, al menos, una copia de seguridad diaria, conservando una de cada día de la semana, como mínimo.
El segundo escalón de seguridad, muy recomendable, es sacar una copia de seguridad protegida fuera de la empresa. De esta forma, en caso de un siniestro, disponemos de una copia a salvo para restaurar el sistema de información.
En relación con el sistema de copia de seguridad, es muy importante que todos los ficheros y bases de datos estén alojados en el servidor, de forma que se incorporen tanto a las medidas de seguridad para acceso, como a las copias de backup.
Por último, quería comentar una herramienta que se está extendiendo a bastante velocidad, y que proporciona seguridad adicional, principalmente en caso de fallo del servidor.
Se trata de la virtualización. Aunque no es un sistema nuevo, si que ha experimentado cambios importantes en poco tiempo, situándose el producto de VMware como uno de los más interesantes, con herramientas gratuitas y de pago.
La virtualización de servidores permite independizar los distintos servidores lógicos (dominio, Exchange, ERP, base de datos, etc.) de los servidores físicos. En función de las necesidades, se pueden montar dos servidores con el reparto de los servicios virtualizados. De esta forma, cada uno de los servidores virtualizados puede ejecutarse en cualquier máquina. En caso de fallo de uno o varios servidores físicos, los servidores virtualizados se pueden arrancar en otro equipo partiendo de la unidad de almacenamiento o de la copia de seguridad en un plazo de 5 a 30 minutos.
Existe también una solución dinámica que permite mover los servidores de una máquina a otra (para actualizaciones y mantenimiento) mientras están en funcionamiento.
Saludos.
Francisco Páez
3 comentarios
Además de los aspectos técnicos que comentas para una correcta protección de los datos de una empresa (back up, registros de acceso,…), es muy importante una protección jurídica. Contratos de tratamiento de datos con prestadores de servicios, clausulado legal cuando se recaba información, consentimiento para cesiones de datos, compromisos de confidencialidad, …, son de vital importancia para evitar riesgos inesperados y posibles sanciones.