LOPD Proteccion de datos: julio 2011

miércoles, 27 de julio de 2011

Copias de seguridad

Por medio de sus resoluciones, la Agencia Española de Protección de Datos viene manifestando que las copias de seguridad constituyen uno de los cimientos de la disponibilidad de la información, es decir: la capacidad de acceder a la información tras ocurrir un hecho que provoque una interrupción no deliberada en los accesos a la información, bien sea por causas naturales, bien por mal funcionamiento de los sistemas o por otras causas.

Esa capacidad de recuperación de la información frente a una incidencia requiere, en primer lugar, de la disposición de una copia fiel de la información, que será factible en función de los procedimientos de copia de respaldo que se hayan implantado.

Igualmente, la eficacia de la reconstrucción requiere de la capacidad de volver a disponer de la estructura que alberga dicha información, de la de poder volver a reubicar los datos existentes, tarea que es asignada al procedimiento de recuperación de datos.

Se trata de dos procesos interdependientes, necesitando el uno del otro, y ambos en conjunto son imprescindibles para que sea real la capacidad de devolver el sistema al momento anterior al fallo con un grado adecuado de fiabilidad.

Todo ello implica en la práctica que los procedimientos sean definidos con un suficiente grado de detalle, requiriendo incluso la realización de pruebas de los mismos una vez definidos y configurados.

Muy relacionado con todo lo anterior está el concepto de CONTINUIDAD DEL NEGOCIO, que si bien no encuentra mayor desarrollo en la normativa sobre protección de datos, sí cuenta con un profundo análisis en la ISO 27001, sobre establecimientos de sistemas de gestión de seguridad de la información.

Una interrupción en las operaciones de una empresa (por cualquier causa: terremotos, huracanes, incendios…) provoca que no se pueda operar. Los procesos vitales se ven afectados. Por ello no es posible entregar el producto final o prestar el servicio encomendado y por un tiempo no se puede seguir siendo proveedor confiable. Las estadísticas plantean que una empresa que deja de operar por espacio de diez días consecutivos, jamás se recuperará.

No sirven de mucho los planes estratégicos, ni los modelos de investigación de mercados, ni los sistemas de aseguramiento de la calidad, si no se tiene una metodología implantada que asegure a la cadena de suministros continuidad en el funcionamiento si ocurriera un desastre.

Así, después de la tragedia del 11 de septiembre de 2003, se ha popularizado y se ha convertido en una exigencia mundial que las empresas tengan implantado un Plan de Continuidad del Negocio (PCN) que le permita asegurar a terceros que son proveedores confiables.

Y no sólo los grandes desastres pueden ser fatales para la continuidad del negocio en cualquier empresa, sino también las pequeñas incidencias, como cortes del suministro eléctrico, fallos en internet u otras comunicaciones, defectos en equipos, virus, etc…

Las serias consecuencias de posibles interrupciones en las operaciones de la empresa pueden evitarse si se tiene un PCN.

El PCN es un documento que contiene procedimientos y lineamientos para ayudar a la recuperación y restablecimiento de procesos interrumpidos y recursos al estado de operación normal, en un tiempo prudencial. Se debe organizar en 6 fases:

- FASE 1: BUSINNES IMPACT ANALYSIS: Consiste en identificar los procesos relacionados con apoyar la misión de la empresa y analizar con detalle los impactos en la gestión comercial del negocio si esos procesos fuesen interrumpidos como resultado de un desastre. Se trata de identificar áreas del negocio que son críticas, la magnitud del impacto de una interrupción y los requerimientos de tiempo para la recuperación del negocio.

- FASE 2: GESTIÓN DEL RIESGO: Se evalúan las amenazas de un desastre, se pormenorizan las vulnerabilidades existentes, los potenciales impactos de un desastre, se identifican e implementan controles y se identifican escenarios de amenazas para los procesos esenciales de la empresa.

- FASE 3: DESARROLLO DE ESTRATEGIAS: Se evalúan los requerimientos y se identifican las opciones para la recuperación de procesos críticos y sus recursos, en el escenario en que fuesen interrumpidos por un desastre.

- FASE 4: DESARROLLO DEL PLAN DE REAUNUDACIÓN DE OPERACIONES: Se desarrolla un plan para mantener la continuidad del negocio, basado en las fases previas, por medio de procesos.

- FASE 5: ENSAYO DEL PCN: Se efectúa el ensayo del plan, con miras a poder determinar su grado de precisión y actualización.

- FASE 6: MANTENIMIENTO DEL PCN: se mantiene el PCN en un estado de preparación constante para que en caso de un desastre se pueda ejecutar minimizando las posibilidades de errores.

¿Quien soy?

Soy VANESA, abogada especializada en LOPD, LSSI, seguridad de la información, derecho de las nuevas tecnologías en general y prevención del blanqueo de capitales

Mi número de Colegiada es el 4882 de Málaga.

Mi equipo de trabajo lo compongo YO. Cuando me llames, te atenderé YO. Cuando te dé cita, te recibiré YO. Cuando tengas una duda y consultes conmigo, te la resolveré YO. La documentación de la adaptación te la hago íntegramente YO. Cuando te vuelva a dar cita para entregarte y explicarte la documentación, otra vez te atenderé YO. Cuando tenga que facturarte, te facturaré YO. Es mucho más operativo, y aunque tal vez acabes cansándote de mi egocentrismo, al menos tendrás la impresión de haber encargado un simple y eficaz servicio profesional y no de haber pedido una cita con el Papa. Voy a adaptarte a la LOPD, no a salvar tu alma de las llamas del infierno.

Para adaptarte a la LOPD (salvo raras excepciones) no necesitas un equipo multidisciplinar compuesto por abogados, informáticos, técnicos ni otras rarezas.

Conmigo tienes de sobra. Y si te surgen dudas técnicas, puedes acudir al informático con quien habitualmente trabajes.

No obstante, hay cientos de despachos multidisciplinares que le prestan un servicio integral al cliente.

Siempre puedes llamarlos: suelen tener unas secretarias muy simpáticas, que luego te pasan con el departamento, que a su vez te pasa con el subdepartamento, que a su vez te pone en contacto con el responsable de.

¿Cuál es mi titulación?

Soy Licenciada en Derecho por la Universidad de Málaga.

De otra forma, y sin dicha licenciatura, no podría ser la colegiada nº 4882 del Ilustre Colegio de Abogados de Málaga, al que siempre puedes llamar si tienes alguna duda sobre la autenticidad de mi colegiación y mi profesión (cosa que además le recomiendo a todos aquellos que quieran contratar a un letrado: no es el primero que se hace pasar por abogado, te pide una jugosa provisión de fondos y se larga con tu dinero...).

Cada vez son más las empresas y profesionales dedicados a estas materias que se muestran como Consultores homologados o exhiben titulos adicionales, como el máster, que intentan vender como garantía de profesionalidad. En la mayoría de los casos te estarán tomando el pelo ya que hoy día no se exige ningún tipo de titulación para hacer adaptaciones a la LOPD. Es más: te la puedes hacer tú mismo, informándote en la página de la Agencia Española de Protección de Datos.

Por eso, el mono de mi título homologado de máster del universo en LOPD, se va de vez en cuando de chupitos con el mono del título de profesor de salsa, homologado por su prima, de mi amigo Antonio el de la salsa, al que puedes conocer aquí (y a su mono, que por razones obvias, es primo hermano en 2º grado del mío):

¿Tengo sellos?

Sin duda, a estas alturas de mi blog, te estarás preguntando si tengo un sello de calidad, medio ambiente o seguridad de la información, que como bien sabes garantiza la calidad de mis procesos de trabajo, contraseñas y lo limpia que tengo la escobilla del wáter, sobre todo el día que viene el auditor a renovarme el sellito, que es el único día que cumplo los procedimientos y los falsifico en un 99,9% para que el muy tonto me siga permitiendo exhibirlo y me cobre mi cuota anual ( y de paso él también pueda seguir cobrando)... Pues sí, tengo un sello (además, otorgado por el mismísimo Rey), por si quieres verlo:

¿Soy "miembrode"?

Y si eres de los que hila aún más fino, también te asaltarán las dudas sobre si soy miembro de alguna Fundación, Asociación, o ente corporativo que aúne a profesionales como yo.

Pues no. No soy “miembrode”. Lo he sido durante muchos años, pero ahora soy un "espíritu libre de".

Ser “miembrode” significa pagarle a otro X euros todos los meses a cambio de que te deje exhibir su logo, imagen y usar su sistema de trabajo y sus precios. Hablando en plata: una franquicia.

Me encanta la comida que ponen en montones de franquicias de restauración y me parecen negocios estupendos, en la mayoría de los casos.

Pero lo de los temas jurídicos es distinto, y los "miembrosde" y las franquicias no me convencen nada, la verdad. Ellos lo llaman cuestión de imagen, y calidad y excelencia de sus "miembrosde".

Yo lo llamo tomadura de pelo.

Sí. Otra.