Hoy en día la seguridad es de vital importancia para garantizar el cumplimiento de la normativa vigente (Ley Orgánica de Protección de Datos de Carácter Personal, Ley de Servicios de Sociedad de la Información, Ley General de Telecomunicaciones, Ley de Firma Electrónica, etc.) y, en último extremo, la continuidad del negocio.
En relación con la normativa, la seguridad centra sus esfuerzos no solo en los métodos para prever o mitigar la pérdida de datos, sino en cumplir lo exigido por la ley. El caso más reciente, debido a la publicación del nuevo reglamento de desarrollo, es el de la Ley Orgánica de Protección de Datos, en el que se define una serie de obligaciones legales que deben cumplir personas físicas y jurídicas con los ficheros de carácter personal, y que están estrechamente relacionadas con las medidas expuestas en el presente artículo.

El mero hecho de almacenar esta información supone que la empresa está obligada por ley a disponer de un documento de seguridad, un régimen de funciones y obligaciones del personal, un registro de incidencias, control de acceso, gestión de soportes y copias de respaldo.

Causas de la pérdida de datos

Habitualmente, aunque se puede diferenciar entre causas internas y externas en función de su origen, se pueden dar las siguientes situaciones: anomalías en el hardware (interrupción del suministro eléctrico, error del soporte en el que se almacenan los datos, error del controlador, etc.); error humano (supresión o formateo de la unidad de forma accidental y daño causado por una caída o golpe, desconocimiento de la política de copias); anomalías en el software (daños causados por las herramientas de diagnóstico o reparación, errores de las copias de seguridad, complejidad de la configuración, errores que provocan el cierre de la aplicación, etc.); malware (virus, troyanos, gusanos, etc.); desastres naturales (incendios, inundaciones, etc.); leve formación específica del personal (en tecnologías de la información, en los programas de recuperación, etc.).

El denominador común a todas estas amenazas es que son impredecibles. No se conoce cuándo van a suceder, ni si las personas que pueden solucionar el problema estarán presentes en el momento en que los incidentes ocurran. Por consiguiente, aunque los profesionales de los sistemas de información tomen precauciones para proteger los datos empresariales, no siempre se puede evitar la pérdida, aunque sí se puede reducir considerablemente el riesgo de que suceda y sus consecuencias. Por este motivo es primordial tener una buena política de seguridad en la pyme.

Consecuencias de la pérdida de datos

Entre las consecuencias de la pérdida de datos, además de los propios daños que puedan ocasionarse a la información guardada y la consecuente pérdida de los activos e inversiones que de ella dependan, pueden existir los siguientes perjuicios: el tiempo perdido (y, consecuentemente, dinero) para tratar de restaurar o regenerar la información perdida; las pérdidas ocasionadas por la indisponibilidad de esta información; el robo y la revelación de información sensible y/o confidencial, lo que puede suponer violaciones de la legislación vigente, sanciones, impacto en la imagen de la empresa ante terceros: clientes, proveedores, etc; y los retrasos en los procesos de producción.

Un estudio realizado en 2002 por la Asociación Española para la Dirección Informática (AEDI), con la colaboración de Microsoft, identificaba que el porcentaje de empresas que era consciente de que no podía sobrevivir más de cuatro días sin la información de sus ordenadores era de un 74 %.

Medidas y herramientas

Con el fin de obtener unos niveles mínimos de seguridad, existen varias medidas y herramientas para utilizar que se pueden encuadrar en los siguientes apartados: copias de seguridad, recuperación de datos, gestión de soportes y protección de datos y documentos sensibles.

Copias de seguridad

Para una pyme lo fundamental es disponer de una correcta política de copias de seguridad que planifique las copias que se deberían realizar, en función del volumen y el tipo de información generada por el sistema informático, especificando el tipo de copias (completa, incremental o diferencial) y el ciclo de esta operación (diario, semanal, mensual, etc.).

Todo esquema de copia de seguridad tiene cierto impacto, en términos de dedicación de personal y recursos, en el sistema que fue copiado. Si este impacto es significativo, la copia de seguridad debe ser acotada en el tiempo, estableciéndose si fuese necesario otro tipo de ciclo temporal para la realización de las copias.
Existen multitud de dispositivos diferentes donde almacenar copias de seguridad, desde el arcaico disco flexible hasta unidades de cinta de última generación. Evidentemente, cada uno tiene sus ventajas y sus inconvenientes, por lo que los administradores deben elegir el que mejor se adapta a las necesidades de su organización. Se utilice el medio que se utilice, este tiene que cumplir una norma básica: debe ser estándar.

El principal obstáculo para las pymes es el precio de las copias de seguridad para escoger una u otra alternativa. Nótese que no solo se trata del coste directo de la compra del dispositivo, sino que la gestión de la inteligencia subyacente en un sistema de copias de seguridad también va a ser determinante.

Al mismo tiempo, muchas pymes carecen de personal dedicado exclusivamente a la labor de administración de sistemas. Por ese motivo, cabe pensar que el personal que se encargará de la realización de copias de seguridad podría ser personal no técnico que no disponga de los conocimientos necesarios para manejar y automatizar las tareas de copia con algunos de estos dispositivos.

Sea cual sea la unidad de almacenamiento escogida, podrá llegar a ser totalmente inútil si se guarda en el mismo lugar en que se encuentran los datos originales que fueron replicados (casos de incendios, inundaciones, etc.).

Recuperación de datos

Hay dos formas básicas de perder información de un medio: la pérdida física y la pérdida lógica de datos. La primera de ellas, la pérdida física de datos, es la que presenta más complicaciones, dado que implica un problema real sobre la superficie donde están almacenados los datos, como, por ejemplo, un rayón en un CD.
En cambio, en la pérdida lógica de datos lo que ocurre es la eliminación de archivos de forma voluntaria (mediante la opción de borrar archivo de cualquier sistema operativo) o de manera involuntaria (por la existencia de un virus).

Los servicios profesionales de recuperación de datos suelen tener costes elevados y, en muchas ocasiones, una pyme no va a estar dispuesta a hacer fre¬nte a tal gasto. Probablemente el principal obstáculo de cara a su adopción no será el dinero, sino el propio desconocimiento de la existencia de estas técnicas.

La recuperación de datos no es viable para todas las empresas, ni para todas las situaciones, por lo que siempre habrá que contrastar el coste de la recuperación con el de recrear los datos perdidos.

Gestión de soportes

Las unidades de almacenamiento y las copias de seguridad previamente mencionadas se han de gestionar adecuadamente para que sólo personal autorizado tenga acceso a ellas y estén disponibles e íntegras en caso de necesitarlas.

La presencia de diversos actores (transportistas, responsables de sistemas informáticos, personal encargado del inventariado, etc.) en la gestión de soportes puede suponer un problema, dado que no todas las pymes disponen de estas figuras, lo cual en muchas ocasiones conduce a un vacío de responsabilidad que dificulta la aplicación de estas recomendaciones que figuran en la política o procedimiento de gestión.

Los conocimientos técnicos también van a ser un obstáculo importante, pues, por ejemplo, difícilmente una empresa le va a dar la importancia requerida a la destrucción segura de soportes si no se comprende que un borrado simple de archivos en muchas ocasiones permite la recuperación de estos.

Protección de datos y documentos sensibles

La protección de datos comienza por la clasificación en sí de los documentos y de los datos de la organización en función de su nivel de confidencialidad. De esta forma se puede discernir entre la información que pueda ser conocida por personas ajenas a la empresa, la que pueda ser utilizada sólo por empleados, la que sólo sea accesible por un subconjunto de trabajadores, etc.

Ahora bien, hay que señalar que el precio de estos aparatos no siempre justifica la mejora en rendimiento con respecto a soluciones de software gratuitas. Es más, las soluciones lógicas, en muchas ocasiones, tienen la ventaja de una mayor flexibilidad y portabilidad del algoritmo criptográfico, que se podría ejecutar de este modo en un mayor número de sistemas, lo cual es muy atractivo en el contexto de una pyme.

Antes de la puesta en marcha de cualquier política o procedimiento de protección de datos, las empresas deben considerar las implicaciones que una mala gestión de la base de datos puede tener para el futuro de la compañía.