Hoxe en día a seguridade é de vital importancia para garantir o cumprimento da normativa vixente (Lei orgánica de protección de datos de carácter persoal, Lei de servizos de sociedade da información, Lei xeral de telecomunicacións, Lei de sinatura electrónica etc.) e, en último extremo, a continuidade do negocio.

En relación coa normativa, a seguridade centra os seus esforzos non só nos métodos para prever ou mitigar a perda de datos, senón en cumprir o esixido pola lei. O caso máis recente, debido á publicación do novo regulamento de desenvolvemento, é o da Lei orgánica de protección de datos, na cal se define unha serie de obrigacións legais que deben cumprir persoas físicas e xurídicas cos ficheiros de carácter persoal, e que están estreitamente relacionadas coas medidas expostas no presente artigo.

O mero feito de almacenar esta información supón que a empresa está obrigada por lei a dispoñer dun documento de seguridade, un réxime de funcións e obrigacións do persoal, un rexistro de incidencias, control de acceso, xestión de soportes e copias de seguridade.

Causas da perda de datos

Habitualmente, aínda que se pode diferenciar entre causas internas e externas en función da súa orixe, pódense dar os seguintes feitos: anomalías no hardware (interrupción da subministración eléctrica, erro do soporte onde se almacenan os datos, erro do controlador etc.); erro humano (supresión ou formateo da unidade de forma accidental e dano causado por unha caída ou golpe, descoñecemento da política de copias); anomalías no software (danos causados polas ferramentas de diagnóstico ou reparación, erros das copias de seguridade, complexidade da configuración, erros que provocan o peche da aplicación etc.); malware (virus, troianos, vermes etc.); desastres naturais (incendios, inundacións etc.); leve formación específica do persoal (en tecnoloxías da información, nos programas de recuperación etc.).

O denominador común a todas estas ameazas é que son impredicibles. Non se coñece cando van suceder, nin se as persoas que poden solucionar o problema estarán presentes no momento en que os incidentes ocorran. Por conseguinte, aínda que os profesionais dos sistemas de información tomen precaucións para protexer os datos empresariais, non sempre se pode evitar a perda, aínda que si se pode reducir considerablemente o risco de que suceda, así como as súas consecuencias. Por este motivo é primordial ter un unha boa política de seguridade na peme.

Consecuencias da perda de datos

Entre as consecuencias da perda de datos, ademais dos propios danos que poidan ocasionarse á información gardada e a consecuente perda dos activos e investimentos que dela dependan, poden existir os seguintes prexuízos: o tempo perdido (e, consecuentemente, diñeiro) para tratar de restaurar ou rexenerar a información perdida; as perdas ocasionadas pola indispoñibilidade desta información; o roubo e a revelación de información sensible e/ou confidencial, o que pode supoñer violacións da lexislación vixente, sancións, impacto na imaxe da empresa ante terceiros: clientes, provedores etc; e os atrasos nos procesos de produción.

Un estudo realizado en 2002 pola Asociación Española para a Dirección Informática (AEDI), coa colaboración de Microsoft, identificaba que a porcentaxe de empresas que era consciente de que non podía sobrevivir máis de catro días sen a información dos seus ordenadores era dun 74 %.
Medidas e ferramentas

Co fin de obter uns niveis mínimos de seguridade, existen varias medidas e ferramentas para utilizar que se poden encadrar nos seguintes apartados: copias de seguridade, recuperación de datos, xestión de soportes e protección de datos e documentos sensibles.

Copias de seguridade

Para unha peme o fundamental é dispoñer dunha correcta política de copias de seguridade que planifique as copias que se deberían realizar, en función do volume e o tipo de información xerada polo sistema informático, especificando o tipo de copias (completa, incremental ou diferencial) e o ciclo desta operación (diario, semanal, mensual etc.).

Todo esquema de copia de seguridade ten certo impacto, en termos de dedicación de persoal e recursos, no sistema que foi copiado. Se este impacto é significativo, a copia de seguridade debe ser acoutada no tempo, establecéndose se fose necesario outro tipo de ciclo temporal para a realización das copias.

Existen multitude de dispositivos diferentes onde almacenar copias de seguridade, desde o arcaico disco flexible ata unidades de cinta de última xeración. Evidentemente, cada un ten as súas vantaxes e os seus inconvenientes, polo que os administradores deben elixir o que mellor se adapta ás necesidades da súa organización. Utilícese o medio que se utilice, este ten que cumprir unha norma básica: debe ser estándar.

O principal obstáculo para as pemes vai ser o prezo das copias de seguridade para escoller unha ou outra alternativa. Nótese que non só se trata do custo directo da compra do dispositivo, senón que a xestión da intelixencia subxacente nun sistema de copias de seguridade tamén vai ser determinante.

Ao mesmo tempo, moitas pemes carecen de persoal dedicado exclusivamente ao labor de administración de sistemas. Por este motivo, cabe pensar que o persoal que se encargará da realización de copias de seguridade podería ser persoal non técnico que non dispoña dos coñecementos necesarios para manexar e automatizar as tarefas de copia con algúns destes dispositivos.

Sexa cal sexa a unidade de almacenamento escollida, podería chegar a ser totalmente inútil se se garda no mesmo lugar en que se encontran os datos orixinais que foron replicados (casos de incendios, inundacións etc.).

Recuperación de datos

Hai dúas formas básicas de perder información: a perda física de datos e a perda lóxica de datos. A primeira delas é a que presenta máis complicacións, dado que implica un problema real sobre a superficie na que están almacenados os datos, como, por exemplo, un risco nun CD.

En cambio, na perda lóxica de datos o que ocorre é a eliminación de arquivos de forma voluntaria (mediante a opción de borrar un arquivo de calquera sistema operativo) ou de maneira involuntaria (pola existencia dun virus).

Os servizos profesionais de recuperación de datos adoitan ter custos elevados e, en moitas ocasións, unha peme non vai estar disposta a facer fronte a tal gasto. Probablemente o principal obstáculo para a súa adopción non será o diñeiro, senón o propio descoñecemento da existencia destas técnicas.

A recuperación de datos non é viable para todas as empresas, nin para todas as situacións, polo que sempre haberá que contrastar o custo da recuperación co de recrear os datos perdidos.

Xestión de soportes

As unidades de almacenamento e as copias de seguridade previamente mencionadas deben ser xestionadas adecuadamente para que só o persoal autorizado teña acceso a elas e estean dispoñibles e íntegras en caso de necesitalas.

A presenza de diversos actores (transportistas, responsables de sistemas informáticos, persoal encargado do inventariado etc.) na xestión de soportes pode supor un problema, dado que non todas as pemes dispoñen destas figuras, o cal en moitas ocasións conduce a un baleiro de responsabilidade que dificulta a aplicación destas recomendacións que figuran na política ou procedemento de xestión.

Os coñecementos técnicos tamén van ser un obstáculo importante, pois, por exemplo, dificilmente unha empresa lle vai dar a importancia requirida á destrución segura de soportes se non comprende que un borrado simple de arquivos en moitas ocasións permite a recuperación destes.

Protección de datos e documentos sensibles

A protección de datos comeza pola clasificación en si dos documentos e dos datos da organización en función do seu nivel de confidencialidade. Desta forma, pódese discernir entre a información que poida ser coñecida por persoas alleas á empresa, a que poida ser utilizada só por empregados, a que só sexa accesible por un subconxunto de traballadores etc.

Hai que sinalar que o prezo destes aparellos non sempre xustifica a mellora en rendemento con respecto a solucións de software gratuítas. É máis, as solucións lóxicas, en moitas ocasións, teñen a vantaxe dunha maior flexibilidade e portabilidade do algoritmo criptográfico, que se podería executar deste xeito nun maior número de sistemas, o cal é moi atractivo no contexto dunha peme.

Antes da posta en marcha de calquera política ou procedemento de protección de datos, as empresas deben considerar as implicacións que unha mala xestión da base de datos pode ter para o futuro da compañía.