En numerosas ocasiones se ha planteado la cuestión de si la normativa vigente en materia de protección de datas personales, y más concretamente su Reglamento de Medidas de Seguridad, impone la necesidad de llevar a cabo un plan de contingencia de los sistemas de información que tratan este tipo de datos.
La respuesta es compleja, ya que las distintas normas que regulan el tratamiento de información relacionada con personas físicas, no hace mención alguna al concepto plan de contingencia. En este sentido, la obligación de adoptar medidas de seguridad en los ficheros en los que se tratan datos de carácter personal, viene recogida en el artículo 9 de la Ley Orgánica de Protección de Datos, donde se dispone que será necesaria la adopción de medidas de índole técnicas y organizativas necesarias que garanticen la seguridad de los datos tratados y que eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico.
En relación con esta obligación de carácter general, y con el objetivo de determinar con claridad las medidas técnicas que deben adoptarse, se publicó en el Boletín Oficial de Estado de fecha 25 de junio de 1999, el Real Decreto 994/1999, por el que se aprueba el Reglamento de Medidas de Seguridad.
En esta norma, se recogen todo un conjunto de exigencias técnicas que deben ser cumplidas en función de los datos que se almacenan. Muchas han sido las personas que se han cuestionado si este Reglamento de Medidas de Seguridad exige la necesidad de implantar un auténtico plan de contingencia en las compañías.
La mayoría de los expertos en sistemas de seguridad entiende que, al menos desde la perspectiva estrictamente técnica, el Reglamento de Medidas de Seguridad no exige que se adopte un auténtico plan de contingencia; sin embargo, la redacción del artículo 14 del citado reglamento y la interpretación que del mismo ha realizado la Agencia de Protección de Datos, en su Memoria del año 2002, vuelve a poner en liza la cuestión.
En este sentido, exige el artículo 14, en su apartado 2, al hablar de las copias de seguridad que: los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de datos deberá garantizar su reconstrucción en el estado en que se encontraba al tiempo de producirse la pérdida o destrucción. Esta exigencia fue una de las más tenidas en cuenta para debatir sobre la necesidad de mantener un plan de contingencia en las compañías; si bien, parecía que, en principio, las exigencias del Reglamento no eran tan altas como para hablar de un auténtico plan de contingencia.
No obstante, tal y como señalábamos anteriormente, la Agencia de Protección de Datos, en su memoria del año 2002, al referirse a la obligación de reconstrucción de los datos en caso de pérdida o destrucción, establece la necesidad de asegurar la reconstrucción o recuperación del sistema. Por tanto, los procedimientos establecidos deben ser muy detallados en aras a lograr el objetivo perseguido, que no es otro que dejar el sistema en una situación idéntica a la que tenía en el momento de producirse la incidencia que malogró la información.
Alejandro Díez-Madroñero, director de desarrollo de Negocio en Grupo SIA .
Una de las partes fundamentales de un plan de contingencia es la recuperación y disponibilidad de la información. Cuando ocurre un desastre, el tiempo de no disponibilidad de aplicaciones y/o servicios críticos para el negocio de una organización se traduce en pérdidas, en muchos casos, incalculables. Por lo tanto, el almacenamiento de la información cobra especial relevancia.
Tradicionalmente las organizaciones han llevado a cabo estos planes mediante la combinación de diferentes soluciones tecnológicas, tales como líneas de comunicaciones de alta velocidad y multiprotocolos, subsistemas de almacenamiento en discos, librerías, etc. Pero la realidad demuestra que en muchos casos no se analiza la solución desde un punto de vista global, por lo que los proyectos que se ponen en marcha pueden derivar en costes de infraestructuras insalvables.
La infraestructura de los Sistemas de Información de las organizaciones ha ido creciendo por imperativos del negocio y se ha basado en la existencia de un único Centro de Proceso de Datos (CPD). En la mayoría de los casos, con un único CPD la gestión del almacenamiento se encuentra bajo control, pero puede llegar a perderse tan pronto aparezca en escena un segundo CPD que sirva como centro de respaldo ante un posible desastre.
Históricamente, los propios fabricantes de tecnologías de almacenamiento abordaban, con sus propios medios, este tipo de proyectos en aquellas empresas que lo demandaban. Lo cierto es que este hecho está cambiando y ahora se buscan socios tecnológicos capaces de presentar la solución multifabricante más ventajosa tanto tecnológica como económicamente.
Nuestra experiencia desde el Grupo SIA en este tipo de proyectos nos permite resaltar la importancia de dos principios. El primero es abordar la solución desde un punto de vista global (subsistemas de almacenamiento, conectividad multiprotocolo, infraestructura de conectividad entre CPDs, frameworks de gestión, seguridad y nuevas plataformas emergentes como virtualización, etc), obteniendo por consiguiente beneficios económicos y mejoras del nivel de servicio, a la vez que se minimizan los riesgos de diseño y arquitectura. El segundo principio esta basado en la independencia tecnológica, que evita implementar soluciones cerradas que pueden llevar a problemas de falta de competitividad, tanto económica como funcional, durante las fases de crecimiento (todos los sistemas de almacenamiento crecen).
En la actualidad muchas organizaciones están definiendo o actualizando sus planes de contingencia, bien por necesidades de negocio bien por normativas vigentes, por lo que los directores de TI se enfrentan a múltiples decisiones y riesgos. Nos gustaría resaltar la oportunidad de renovación tecnológica que implica estos proyectos así como la importancia de un enfoque adecuado capaz de reducir los costes, minimizar los riesgos y optimizar los servicios.
