Decían los analistas y consultores de la multinacional Horwath que en el 2004 aproximadamente el 80% de los datos en las empresas estaba alojado en formato electrónico, en distintos sistemas de la información.
Hoy por hoy seguramente ese 80% pueda ser un 85%, porque el formato papel siempre está presente y porque a fin de cuentas, el proceso de transformación de almacenamiento tradicional a almacenamiento electrónico no conseguirá, a corto ni medio plazo, condenar al abandono el uso del formato papel, por motivos de cultura, razones históricas y sobre todo, de resistencia al cambio. Tampoco veo mal que exista papel, lo que veo mal es el exceso de papel, en todo caso.
Sea como fuere, la mayoría de los datos empresariales están custodiados por sistemas de la información, siendo por tanto, total y absolutamente imprescindible la securización de la información electrónica que conservamos. En este escenario, la seguridad en los procesos de almacenamiento de datos es crítica y generalmente, no se le suele prestar la atención necesaria.
La recolección y el tratamiento de datos ha sufrido en los últimos años un cambio drástico en formas y propósitos. Desde el primitivo almacenamiento de teléfonos y nombres en agendas electrónicas, hasta complejos y modernos Data Warehouses orientados a la consecución de Business Intelligence (BI) o Inteligencia Empresarial, que es la manera elegante de definir las colecciones de datos orientadas a poder facilitar la toma de decisiones.
No vamos a entrar en BI ni en técnicas como el procesamiento analítico online de información, OLAP (On Line Analytical Processing), o sus aplicaciones para la toma de decisión multidimensional con técnicas exploratorias, como sucede con los cubos OLAP, ni tampoco en sistemas empresariales de tratamiento de datos orientados a la toma de decisiones, como los CRM, los ERPs y similares. Llegados a este punto podemos formular nuestra primera Ley del almacenamiento y tratamiento de datos, para situar nuestro análisis en el concepto de seguridad:
Los datos deben almacenarse con la única finalidad de generar inteligencia empresarial, y para ello, deben tener calidad, deben ser suficientes, deben ser tratados acorde a la legislación y deben ser almacenados de modo seguro.
¿Qué son datos seguros? ¿Qué es un sistema seguro de almacemiento y/ tratamiento?
Definiciones hay muchas, pero quizás una buena definición para un sistema de almacenamiento seguro sea aquel sistema que está suficientemente preparado para soportar impactos de los riesgos previstos, con tiempos de recuperación pequeños y con efectos colaterales asumibles, asegurando en todo momento la disponibilidad, la confidencialidad y la integridad de los datos almacenados, derivando del proceso de gestión costes de despliegue y mantenimiento proporcionales al nivel de seguridad deseado.
Hoy os voy a recomendar que hagáis lectura de este interesante PDF, Data Storage Security, en cuya entrada podemos ver gráficamente algunos incidentes de segurdad relativos al almacenamiento de datos y las consecuencias de los mismos.
- 40 millones de registros comprometidos en el caso Cardsystems debidas a intrusión
- Casi 4 millones de registros comprometidos en Citifinancial, por pérdida de un juego de cintas de copia de seguridad
- 676.000 registros comprometidos por empleados deshonestos, en Georgia DMV
Formulemos tras ver estos datos nuestra segunda Ley:
Securizar datos significa gestionar la seguridad de los datos. La securización es algo más que actualizar el sistema de gestión de base de datos con parches de seguridad. Esto hace absolutamente imperativo contemplar todas las fuentes posibles de compromiso y otorgar a cada fuente de problemas la debida importancia en términos de probabilidad de ocurrencia y consecuencias derivadas de la misma. En definitiva, securizar los datos equivale a gestionar adecuadamente los riesgos asociados al almacenamiento de los mismos.
Haciendo un resumen sobre el tema, incidir una vez más en lo importante que es la seguridad en los sistemas de gestión de datos. Quizás la única manera de entender la importancia de la securización de los sistemas de tratamiento, y por ende de los datos que contienen, es pensar en lo importante que es disponer de esos datos, que sean íntegros y confidenciales.
Igual que mimamos la adquisición y el tratamiento de los datos, incluso pagando por ello, con maquinarias de marketing fuertes y costosas, ¿por qué no mimamos con la misma intensidad su seguridad?
Es curioso y a la vez reconfortante ver como en el marco jurídico en el que se regulan los tratamientos automatizados de datos a menudo aparece la seguridad de la información y en concreto siempre la frase «garantizar la seguridad evitando su alteración, tratamiento o acceso no autorizado, o su autenticidad». En concreto y por hacer referencia a una ley muy conocida como es la de Protección de Datos de Carácter Personal, el artículo 9 titulado «Seguridad de los datos» dice textualmente que «El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural».
La excusa siempre ha sido el típico tópico de que la seguridad infinita es imposible. Argumentando así siempre han existido cohartadas o excusas para no hacer nada, pero precisamente el legislador introduce el matiz de hablar del «estado de la tecnología, la naturaleza de los datos y los RIESGOS a que están expuestos y por suerte, estas cosas SI se pueden cuantificar y valorar. Así que como se dice en el ordenamiento jurídico que «el desconocimiento de la ley no exime de su cumplimiento», el desconocimiento de los riesgos de seguridad no debería eximir a los responsables de sistemas, desarrollo, comunicaciones de responsabilizarse de los incidentes sufridos. Para eso pueden perfectamente hacer cosas respecto a la gestión de la seguridad de la información y no frente a los problemas técnicos que son fuegos de hoy pero no incendios de mañana.
Suscribo tus dos leyes y las convertiría en Axiomas de la seguridad.