Por Nicholas Green, Director de Kroll Ontrack España
La gran mayoría de los bienes de una empresa se pueden asegurar y reponer. Pero ¿qué ocurre cuando el artículo en cuestión no es una ventana que se ha roto, o un vehículo dañado, si no algo intangible e imposible de sustituir? Esto es a lo que se enfrentan los que experimentan una pérdida de datos. A primera vista, la pérdida de datos no parece tan devastadora como la destrucción de un edificio, pero en la era digital, sin esos datos, una empresa o institución simplemente no puede funcionar. Por supuesto, podrían encontrar un alojamiento temporal si se destruyera su oficina principal, o comprar ordenadores nuevos si los que tenían resultan dañados – pero el impacto de la pérdida de datos constituye un reto de distinto índole, uno que, desgraciadamente, los seguros tradicionales no pueden resolver. Según estudios recientes, se estima que un 50 % de las empresas que han sufrido pérdida de datos críticos como consecuencia de un desastre, no reanudan su actividad y que un 90 % se quedan fuera de su negocio en un plazo de dos años.
En el caso del sector de las telecomunicaciones, la sensibilidad hacia los temas de recuperación de datos ha crecido mucho en los últimos años y las nuevas disposiciones legales han aumentado las exigencias sobre todo el proceso de gestión de los datos, desde garantizar su accesibilidad y conservación, hasta su eliminación. Por lo tanto, todo lo relacionado con la preservación de los datos e información en soporte informático adquiere una relevancia fundamental. Las telecos no sólo deben garantizar la conservación de los datos así como su eliminación (que debe realizarse mediante SW o servicios debidamente certificados para cumplir los requerimientos legales) por cuestiones internas de funcionamiento, sino deben tener previstos los mecanismos de recuperación de los mismos en el supuesto de pérdida de datos. La gestión de datos, debe figurar como procedimiento específico en los manuales de los departamentos de TI de las telecos que deben disponer de una infraestructura tecnológica avanzada: planes de contingencia, copias de seguridad off site y servicios duplicados de copias de seguridad.
El Reglamento que desarrolla la Ley Orgánica de Protección de Datos, clasifica como de nivel alto los ficheros de los que serán responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto de los datos de tráfico y de localización.
A las exigencias del nuevo Reglamento hay que añadir las que ha planteado a este sector la reciente aprobación de la Ley de Conservación de Datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. El objetivo de toda esta regulación es el establecimiento de la obligación de los operadores de telecomunicaciones de retener determinados datos recogidos como consecuencia de la comunicación realizada por sus usuarios, con el fin de que estén, con autorización judicial previa, a disposición de la autoridad gubernamental.
Al igual que el Reglamento de Protección de Datos, esta normativa conlleva un importante esfuerzo por parte de las compañías de telecomunicaciones a la hora de incorporar los nuevos sistemas y mecanismos que les permitan registrar y almacenar los datos exigidos durante un periodo de un año. Este plazo se prevé que pueda ser modificado reglamentariamente. En todo caso, la Ley fija unos límites de máximos (2 años) y de mínimos (6 meses)
Tras el plazo legal de conservación de los datos, esa información debe ser bloqueada, es decir, debe mantenerse fuera del alcance ordinario en el desarrollo de la actividad, debiendo almacenarse en un lugar, físico o virtual, de acceso limitado exclusivamente a la Administración y a los Jueces y Tribunales, hasta que prescriban las acciones legales o administrativas previstas (las infracciones muy graves prescriben a los 3 años, las graves, a los 2 años y las leves, a los 6 meses) Por otra parte, el incumplimiento de las obligaciones exigidas en esta Ley serán sancionadas.
Por último, pasado el plazo de bloqueo de los datos, estos deberán ser destruidos para no incurrir en violaciones graves de la normativa de protección de datos. Por lo tanto, para las empresas del sector de telecomunicaciones la gestión de datos en su faceta de conservación y eliminación, es una cuestión crítica al disponer de información sensible de sus clientes. Además, hay que tener en cuenta que el sector de las telecomunicaciones lidera el ranking de multas de la Agencia Española de Protección de Datos.
Para adaptarse a la nueva legislación, las telecos no han recibido ningún tipo de subvención estatal, pese a que la finalidad de la Ley es ofrecer al Estado un servicio que les permita consultar las bases de datos de las comunicaciones electrónicas en el marco de la lucha contra el crimen organizado y por lo tanto, las operadoras han soportado los costes de dichas medidas. En otros países europeos, como Reino Unido o Francia, el Estado facilita una serie de subvenciones a las telecos por ofrecer estos servicios adicionales requeridos. Por lo tanto, las operadoras de telecomunicación han tenido que adaptar, a su costa, sus sistemas informáticos con el fin de cumplir las obligaciones de conservación y cesión de datos.
En cuanto a los datos que deberán conservar las operadoras, la Ley de Conservación de Datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones recoge lo especificado en la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, y lo amplia a los servicios suplementarios (incluido el reenvío o transferencia de llamadas) y servicios de mensajería o multimedia empleados, distinguiendo si la comunicación se realiza a través de telefonía de la red fija, móvil, acceso a Internet, correo electrónico o telefonía a través de Internet.
Pero, por muy sofisticados que sean los sistemas puestos en marcha, la protección no es total y todas las empresas están expuestas a sufrir una pérdida de datos. Es frecuente que se produzcan fallos en copias de seguridad, fallos inéditos en servidores de gama alta e incluso en entornos virtuales recientemente implantados. También una pérdida de datos críticos puede producirse a la hora de renovar equipos, y durante proyectos de migración de datos de servidores
Hoy en día, la creciente dependencia de los datos y la proliferación del almacenamiento de información clave en equipos informáticos en empresas y en ordenadores personales, aumenta la necesidad de disponer de soluciones de recuperación de datos post-pérdida. La incapacidad para acceder a datos importantes, o la pérdida de información crítica en renovaciones de discos, puede fácilmente inutilizar a una empresa, dando lugar a largos períodos de parón y pérdida de productividad que pueden afectar hasta a su supervivencia, al igual que a su reputación (que también puede verse afectada por datos eliminados por procedimientos no certificados) Por lo tanto, la gestión de datos en sentido amplio (recuperación, borrado, migración, archivo) es la principal garantía que tienen las empresas tanto para proteger uno de sus principales activos como para cumplir con la exigente normativa correspondiente y evitar situaciones que pueden afectar a su operativa y a su reputación.
Siempre existe la posibilidad de recuperar datos, (al igual que de eliminarlos) por muy grave que sea la situación. Mediante una actuación rápida, y contactando inmediatamente después de identificar una pérdida con expertos en recuperación de datos, los usuarios afectados pueden ahorrar tiempo y dinero valiosos, y minimizar los efectos sobre la continuidad del negocio. Para ello hay dos opciones clave: contar con software especializado y con servicios profesionales para tal fin bien a través de tecnología remota de recuperación de datos o mediante un servicio de laboratorio.
Tener alguien a quien recurrir cuando te ataca el desastre es esencial para evitar el coste de una interrupción del negocio y asegurar su continuidad. Saber distinguir una empresa especializada y experimentada en la recuperación de datos es vital, ya que una elección errónea puede provocar una pérdida definitiva. En general, la recuperación de datos sólo se puede realizar una vez y trabajar con discos duros previamente dañados, dificulta al máximo esta tarea.
