jueves, 25 de abril de 2019

¿LA SEGURIDAD DE LOS DATOS IMPORTA PARA CUMPLIR CON LA ISO 9001?

¿Me van a mirar la seguridad de los datos con los que trabajo durante la auditoría de certificación? ¿Me pedirán si tengo realizada una copia de seguridad durante la auditoría? Son preguntas que me hacen muchos de mis clientes ya que creen que la protección de los datos no está relacionado con la norma ISO 9001.

Como sabrás la norma ISO 9001 se basa en procesos de trabajo y dado que, cada vez más, hoy en día se documentan muchos de esos procesos en información digital tendrás que proteger toda esa información que no tienes impresa.

Una pérdida de información digital puede suponer parar de trabajar 2h para una organización pero quizás para otra supondrá días y días sin poder producir absolutamente nada. Y es que voy más allá, imagina un hospital que pierde su base de datos en la que se encuentran los historiales médicos, ingresos, altas… de sus pacientes. Estamos hablando de algo absolutamente crítico para este tipo de organizaciones.

Bien, en este contexto está demás decirte que sí es importante el tener una buena política de copias de seguridad. De hecho es algo que me piden en todas las auditorías.

Dado que no soy informático y con el objetivo de poder explicarte de forma sencilla y certera la casuística que engloba a las copias de seguridad hoy entrevistamos a Alfonso Pérez de GcNetOnline (Ingeniero informático; proveedor y colaborador de Consultores).

¿Por qué es importante hacer copias de seguridad?
Siempre que les digo a mis clientes que es necesario realizar Copias de Seguridad me suelen contestar que eso les quita tiempo… y mi respuesta automática es muy sencilla… “… ¿qué prefieres, perder unos minutos de tu tiempo periódicamente o que tu empresa esté parada durante días o lo que es mucho peor, perder días, meses e incluso años de tu valioso trabajo por no hacer una copia de seguridad?

Además si tus sistemas están bien instalados y estructurados, estas copias no deberían de llevar mucho tiempo y tu Administrador de Sistemas puede programar estas copias para que se hagan en un horario no laboral, por ejemplo, por las noches.

Como ves no hay disculpas para no hacer tus copias y cuando ocurra un imprevisto. “Agradecerás haberlas hecho”, esto te lo garantizo.

«… ¿qué prefieres, perder unos minutos de tu tiempo periódicamente o que tu empresa esté parada durante dias?

De todos los datos que se manejan ¿a cuáles se les debe hacer copia de seguridad?
Una buena política de copias de seguridad, es aquella, en la que si ocurre alguna incidencia (virus, necesidad de formatear equipos, etc.), podamos en muy poco tiempo, recuperar todos nuestros datos y dejar todo como estaba antes de la incidencia.

Lo normal es hacer copia de todos nuestros datos, la Base de Datos de nuestros programas de Gestión y Contabilidad, de nuestros documentos y en general de todos los datos que necesitemos o vayamos a necesitar en un futuro. También es aconsejable hacer copia de nuestros programas de Gestión y Contabilidad (del programa completo), aunque a veces esto no es del todo factible, porque puede ocurrir que necesitemos instalarlos de todas formas.

Como norma general, la Copia de Seguridad se debe hacer de todos nuestros datos sensibles (Bases de Datos, Documentos de Texto, Hojas de Cálculo, Presentaciones, Correos Electrónicos).

Es muy importante tener nuestros datos muy bien estructurados, es decir, no ir almacenando nuestros documentos donde queramos, sino hacer una carpeta e ir colgando todos nuestros documentos a partir de ella, como si fuera un árbol, con sus diferentes hojas, Así nuestra copia se hará más fácil.

Cada cuánto tiempo se debe hacer una copia de seguridad?
Esta es la pregunta típica y la respuesta es muy sencilla, depende de la cantidad de datos que generes, no es lo mismo, una empresa que genere datos diariamente (facturas, apuntes contables, documentos, etc), a una que sólo genere datos de forma esporádica.

Como norma general, yo siempre recomiendo hacer una copia todos los días, pero también se puede hacer un día sí y otro no, este sistema tiene el inconveniente de que si ocurre algo por ejemplo el miércoles y nuestra copia es del lunes, perderíamos un día de trabajo. Aquí, tendríamos que pensar si estamos dispuestos a perder ese día de trabajo. Además como ya comenté antes las copias se pueden automatizar, así que no debería haber problema para hacerla todos los días y nos iremos a dormir mucho más tranquilos.

¿Qué tipo de copia hacer, completa o incremental y cuál es la diferencia?
Para responder a esta pregunta, debemos saber primero cuál es la diferencia entre ellas:

Copia Completa: Como su nombre indica, se hace una copia completa cada vez, esto significa que nos lleva un poco más de tiempo hacerla, ya que cada vez que hacemos una copia, se copia todo de nuevo, tanto lo anterior, como lo nuevo que hayamos hecho.

Copia Incremental: Con este tipo de copias, sólo se copia lo que se haya hecho de nuevo, no se hace una copia de todo el contenido de nuestros sistema, sino sólo de los datos nuevos o modificados. Obviamente esta copia es más rápida.

¿Cuál elegir? Bueno para eso debes tener en cuenta que una copia incremental requiere de una buena planificación, ya que se debe hacer primero una copia completa y luego se irán haciendo las copias incrementales con sólo los datos nuevos o modificados. El inconveniente de ésta, es que a la hora de recuperar los datos, lleva un poco más de tiempo, ya que primero hay que recuperar la copia completa y luego ir con cada una de las incrementales y si por casualidad, alguna de ella ha fallado y no nos hemos dado cuenta, podríamos perder datos.

Mi experiencia con mis clientes, es hacer siempre una copia completa, porque a no ser que seas una empresa que genera una cantidad ingente de datos cada día, el tiempo que nos lleva hacer una u otra es insignificante y a la larga lo agradeceremos.

Pongamos un ejemplo; si hacemos una copia de seguridad completa diariamente y tenemos un problema, podemos recuperar la copia del día anterior, y si por lo que sea esta ha fallado, siempre podemos recuperar la del día anterior, pero si hacemos copias incrementales y uno de los días falla, podemos haber perdido muchos días de trabajo y como dije, salvo que generes muchos datos diariamente, el tiempo que lleva una u otra no compensará el posible riesgo de pérdida de datos.

¿Cómo saber qué tipo de copia es mejor para cada empresa?
Para la inmensa mayoría de las empresas lo ideal, es hacer una copia completa. Además si tú informático te las prepara de forma automática, no te quita tiempo de tu trabajo, ya que estas se hacen fuera de tu horario lectivo. También es muy importante, hacer varias copias de seguridad en varios dispositivos, así minimizamos el riesgo de pérdida de datos.

¿En qué dispositivos o plataformas se deben guardar las copias de seguridad y cuál es la diferencia entre ellos?
Lo normal, es hacer copias de seguridad, en dispositivos externos, (discos duros externos, pendrives, etc), pero también se pueden hacer en las llamadas “nubes”, tanto Google con su servicio Drive, como Microsoft, con Onedrive o Dropbox son buenas alternativas. Todos suelen tener unos planes gratuitos para un determinado número de Gigas y si no, se puede optar por los planes de pago, aquí habría que ver el costo de cada uno y que se adecue a tu bolsillo, así como la cantidad de espacio que oferten por el precio que pagas.

La verdad es que no hay uno mejor que otro, lo que habría que valorar es la cantidad de espacio que te ofertan por el precio que pagas. La diferencia entre hacer las copias entre nuestros propios dispositivos (discos duros externos, pendrives) y hacerla en la nube, es la siguiente:

a. Copia en nuestros propios dispositivos

Ventajas
  • Menor costo, sólo pagamos una vez.
  • La copia la tenemos en nuestras instalaciones
  • Nadie tiene acceso a nuestras copias
  • No necesitamos acceso a Internet para hacer la copia, ni para recuperarla
  • Desventajas

No podemos acceder a nuestras copias desde fuera de nuestra oficina
Riesgos de rotura del dispositivo
Hay que guardar el dispositivo en un lugar seguro (por ejemplo: caja fuerte)

b. Copia en la Nube

Ventajas

  • Podemos acceder a nuestras copias desde cualquier lugar, tan solo necesitamos acceso a internet.
  • No tenemos que preocuparnos por la seguridad de nuestras copias, ya que lo hacen otros

Desventajas

Las copias no están dentro de nuestras instalaciones
Mayor costo: Si no usamos los planes gratuitos hay que hacer un pago mensual, aunque casi todos tienen un plan anual de pago.
En caso de ataques informáticos al proveedor en donde guardamos nuestros datos,, un usuario externos podría tener acceso a nuestros datos
Siempre necesitamos acceso a Internet, tanto para hacer la copia, como para la recuperación de la misma.
¿Cuál es mejor?, pues aquí depende de cómo veas los pros y los contras, yo aconsejo hacer un híbrido entre los dos, hacer copias tanto en nuestros dispositivos, como en la nube, así tenemos varias copias en diferentes sitios y evitamos que en el caso de que un sistema falle, se puedan perder nuestros datos.

¿Por qué debo probar si mis copias de seguridad están bien hechas y son fiables?
Cuando se prepara el sistema de copia, es altamente recomendable hacer una prueba del mismo, esto es, simular que hemos perdido datos y probar que nuestra política de copia funciona correctamente y que nuestros datos están a salvo.

¿Tienen las copias de seguridad que cumplir el Reglameneo General de Protección de Datos (RGPD)?
Sí que tienen que cumplirla. Esto quiere decir que si has decidido hacer las copias en tus propios dispositivos, éstas deben estar encriptadas y que si un cliente te solicita la baja, debes de borrarlo también de las copias que hayas hecho. En cuanto a los proveedores externos, tienen que cumplir con la RGPD, antes de que utilice sus sistemas. Tanto Google, como Microsoft, como Dropbox, se han adaptado la RGPD, así que si los utilizas, no debes preocuparte.

Fotografía: Data security. Information protection. Folders and key. 3d

Fuente Fotografía: Shutterstock

Tomado de: https://iveconsultores.com

No hay comentarios.: