Garantizar el cumplimiento del GDPR: Estrategias esenciales para las copias de seguridad de datos

¿Qué es el GDPR?

El Reglamento General de Protección de Datos, o GDPR, es una compleja ley de protección de datos que está operativa desde el 25 de mayo de 2018. Representa uno de los elementos más conocidos de la legislación sobre privacidad en todo el mundo, a pesar de que solo es aplicable a la información de los clientes de la Unión Europea y de los residentes en el Espacio Económico Europeo.

El GDPR establece normas estrictas sobre cómo deben manejar las empresas cada dato sensible de los residentes de la UE, incluso si la empresa en cuestión no está ubicada en la UE. Сompañías que ofrecen bienes o servicios a residentes de la UE, supervisan el comportamiento de los residentes de la UE, o procesan datos personales en nombre de organizaciones con sede en la UE, todas tienen que cumplir con el GDPR de una manera u otra.

En cuanto a las tareas de copia de seguridad y recuperación, el GDPR tiene una serie de requisitos cruciales que todas las organizaciones tendrían que abordar de una forma u otra, incluidos los requisitos organizativos, los derechos individuales y los principios de protección de datos.

Entre los requisitos organizativos se incluyen los siguientes

• Procedimientos de notificación de infracciones;
• Nombramiento de un responsable de la protección de datos en determinadas situaciones;
• La aplicación de medidas organizativas y técnicas específicas;
• Evaluaciones del impacto de la protección de datos para el tratamiento de alto riesgo;
• Mantenimiento de registros para todas las actividades de procesamiento.

Los derechos individuales de cualquier ciudadano de la UE en este contexto incluyen los siguientes:

• Derecho a la supresión, también denominado derecho al olvido;
• Derecho a la portabilidad de los datos;
• Derecho a acceder a sus datos personales;
• Derecho a oponerse al tratamiento;
• Derecho a rectificar la información inexacta;
• Derecho a restringir el tratamiento.

En cuanto a los principios de protección de datos que se aplican en este caso, cabe mencionar los siguientes:

• Los datos deben ser exactos y estar actualizados;
• La protección de los datos debe garantizarse con medidas de seguridad adecuadas;
• La información personal debe procesarse con transparencia, imparcialidad y de acuerdo con la ley;
• El tiempo de almacenamiento de los datos debe limitarse únicamente al tiempo necesario para cumplir la finalidad prevista;
• La recopilación de datos también debe limitarse únicamente a la información que sea necesaria (lo que a veces se denomina «minimización de datos»).

Una comprensión clara de todos los aspectos fundamentales del GDPR es esencial para poder implantar soluciones de copia de seguridad con niveles de cumplimiento suficientes, lo que repercute directamente en la forma en que las organizaciones enfocan sus estrategias de protección/almacenamiento/conservación de datos.

¿Cuáles son los requisitos del GDPR para las copias de seguridad de datos?

Las copias de seguridad de los datos tienen un papel muy importante a la hora de garantizar tanto la continuidad del negocio como el cumplimiento de los requisitos de protección de datos que impone el GDPR. El equilibrio entre ambos es algo delicado, pero las empresas tendrían que encontrarlo para seguir cumpliendo todos los principios de protección de datos necesarios sin perder la capacidad de mantener un entorno de copia de seguridad completo.

Comprender el cumplimiento del GDPR en la copia de seguridad de datos

El cumplimiento del GDPR en los entornos de copia de seguridad va más allá del acto básico de copiar información. La estrategia de copia de seguridad en cuestión debe ser capaz de incorporar normas de privacidad por diseño para garantizar que la información personal de los clientes permanezca segura durante todo su ciclo de vida sin restringir el acceso a ella para las necesidades empresariales.

Las medidas más comunes que el GDPR exige a los sistemas de copia de seguridad incluyen

• Procedimientos claros y concisos para la restauración de datos y la verificación de la información.
• Controles de acceso y mecanismos de autenticación.
• Cifrado de la información sensible en reposo y en tránsito.
• Un registro detallado de los intentos de acceso y las operaciones de copia de seguridad.

Requisitos clave del GDPR para la protección de datos

En lo que respecta a las tareas de copia de seguridad, el GDPR ejerce una gran presión sobre el principio de protección de datos desde el diseño, lo que implica que las medidas de seguridad deben incorporarse a los procesos de copia de seguridad existentes desde el principio, en lugar de añadirse a posteriori. Este enfoque suele proporcionar un mayor grado de control y seguridad sobre la información, pero puede resultar más difícil de aplicar en comparación con las opciones de terceros.

Cualquier empresa que entre en el ámbito de aplicación del GDPR tiene que apoyar los derechos de los interesados y, al mismo tiempo, mantener la integridad de los datos. Los derechos de los interesados incluyen capacidades como proporcionar datos en un formato portátil cuando se soliciten, localizar datos personales específicos en las copias de seguridad y modificar o eliminar registros cuando se solicite o se requiera. El mantenimiento de la integridad de los datos se consigue con pruebas periódicas de las copias de seguridad, pistas de auditoría detalladas y procedimientos exhaustivos de verificación de las sumas de comprobación.

Períodos y políticas de retención de copias de seguridad GDPR

Las políticas de retención también están sujetas a cambios en virtud del GDPR, teniendo en cuenta cómo el reglamento exige justificar los periodos de retención existentes en función de los requisitos legales y las necesidades empresariales, en lugar de almacenar la información indefinidamente, que es lo que hacen la mayoría de las empresas.

Hay que tener en cuenta una serie de factores importantes a la hora de establecer políticas de retención para los requisitos del GDPR. Los requisitos legales y reglamentarios son un participante obvio en esta discusión. Aparte de eso, también habría que mencionar el riesgo de conservar información personal innecesaria, que suele ser tan importante como las necesidades generales de continuidad empresarial en este contexto. Además, un cálculo adecuado del coste de almacenamiento frente al valor potencial futuro de los datos muestra si es incluso beneficioso para la empresa almacenar la información fuera de los plazos establecidos.

Requisitos de minimización de datos en las copias de seguridad

La minimización de datos es un tema poco habitual en el contexto de los entornos de copias de seguridad. En la mayoría de los casos, realizar copias de seguridad completas es la opción más sencilla, pero el GDPR exige a las organizaciones que sean mucho más selectivas con sus procesos de copia de seguridad. Teniendo esto en cuenta, podemos proporcionar al menos algunas reglas para las estrategias de copia de seguridad selectiva a seguir con el fin de ser más compatibles con los requisitos del GDPR, incluyendo:

• Aplicar distintos periodos de conservación a categorías de datos separadas.
• Identificar y categorizar la información en función de su sensibilidad.
• Revisando y purgando las copias de seguridad obsoletas o innecesarias de forma periódica.
• Excluyendo la información personal innecesaria de las copias de seguridad que se realizan con regularidad.

Para garantizar el cumplimiento del GDPR sin perder eficacia en el entorno de las copias de seguridad, la protección de datos debe verse como una oportunidad para mejorar el entorno existente en lugar de trabajar con el GDPR como un obstáculo. Una planificación e implementación cuidadosas son esenciales para poder alcanzar este delicado equilibrio entre el cumplimiento y el rendimiento de las copias de seguridad.

¿Cómo implantar medidas de protección de datos personales?

Buenas prácticas para la seguridad y las copias de seguridad de los datos

Para aplicar medidas sólidas de protección de datos por motivos de cumplimiento es necesario un enfoque global. Sólo una integración perfecta entre los procedimientos organizativos y los controles técnicos puede cumplir todos los requisitos sin dañar ninguno de los flujos de trabajo de las operaciones de copia de seguridad existentes o futuras.

La implantación en sí suele constar de dos pasos principales: el descubrimiento de datos y la protección de datos. El descubrimiento de datos incluye un minucioso proceso de mapeo de datos que identifica todos los datos personales dentro del entorno, así como un proceso de categorización de datos basado en los requisitos de sensibilidad y protección y una documentación exhaustiva de todas las actividades de procesamiento y flujos de datos.

El proceso de protección de datos, por su parte, consiste en implementar controles de acceso fuertes y cifrado de extremo a extremo, junto con esfuerzos de segmentación de la red y parches de seguridad regulares cuando sea posible.

Papel del responsable de protección de datos en el cumplimiento del GDPR

Un responsable de Protección de Datos (DPO) es un cargo importante cuyo objetivo es supervisar diversas medidas de seguridad de respaldo. El cumplimiento es sólo una de las diversas áreas en las que se supone que un RPD debe ser experto, con otras categorías que incluyen:

• Formación del personal sobre el tema de las mejores prácticas de protección de datos
• El asesoramiento sobre la aplicación adecuada de medidas de seguridad en los flujos de trabajo de las copias de seguridad
• Desempeñar el papel de enlace a la hora de ponerse en contacto con las autoridades supervisoras
• Supervisando el cumplimiento del GDPR y otros requisitos, cuando proceda
• Realización de auditorías periódicas de los procedimientos de copia de seguridad

Clasificación de datos y requisitos de almacenamiento

Un proceso adecuado de clasificación de datos es la base de cualquier medida eficaz de protección de datos. Un enfoque de almacenamiento por niveles es la opción más recomendada en la mayoría de los casos, estableciendo varios niveles de almacenamiento en función de la importancia de los datos. Cuatro de los niveles de almacenamiento más comúnmente aceptados son crítico (información personal altamente sensible), estándar (información personal rutinaria), archivo (información a la que raramente se accede) y temporal (datos transitorios).

Cada uno de los niveles del marco de clasificación debe tener un conjunto definido de recomendaciones y flujos de trabajo descritos sobre él. Esto incluye controles de seguridad detallados, frecuencia definida de las copias de seguridad, periodos específicos de retención de datos y procedimientos de acceso explicados minuciosamente.

Consideraciones sobre la transferencia transfronteriza de datos

La transferencia transfronteriza de datos es un tema muy popular en el ámbito del cumplimiento normativo debido al enorme número de empresas modernas que operan en múltiples jurisdicciones de todo el planeta. Es un tema muy importante cuando se trata del GDPR y de otras normativas específicas de una región, lo que requiere la adopción de una serie de medidas adicionales para garantizar su cumplimiento:

• Evaluar la base jurídica para cada región de destino de la transferencia de datos
• Analizar las decisiones de adecuación para los países de destino
• Documentar las cláusulas contractuales estándar cuando proceda
• Averiguar qué salvaguardias técnicas deben aplicarse a los datos en tránsito
• Añada restricciones geográficas al almacenamiento de datos cuando proceda
• Realice comprobaciones del cumplimiento de la residencia de los datos después de las transferencias
• Supervisar los flujos internacionales de datos

Requisitos de documentación y pistas de auditoría

Tanto la documentación como las pistas de auditoría son elementos esenciales de prácticamente cualquier normativa de cumplimiento, no sólo del GDPR. Una documentación exhaustiva suele abarcar muchos aspectos y elementos diferentes de los procesos y medidas internas de una organización, entre ellos:

1. Capacidades de configuración del sistema – controles de seguridad, normas de cifrado, procedimientos de gestión de claves, arquitecturas de copias de seguridad, matrices de control de acceso, flujos de datos, configuraciones de seguridad.
2. Procedimientos operativos – respuestas a incidentes de seguridad, procedimientos de programación de copias de seguridad, pasos de verificación del cumplimiento, detalización de la programación de copias de seguridad.

Las pistas de auditoría también deben mantenerse de la misma manera, pudiendo verificar en cada auditoría la precisión y eficacia de las medidas de seguridad, junto con la adhesión del personal a estas medidas, el cumplimiento de los procedimientos documentados, etc.

¿Qué es el derecho de supresión dentro del cumplimiento del GDPR?

El derecho al borrado, también conocido comúnmente como el derecho a ser olvidado, es un derecho directo de un ciudadano de la UE a solicitar la eliminación de su información privada de los resultados de búsqueda de Internet y otras fuentes cuando sea posible. Puede parecer una solicitud algo simple, pero también se vuelve sorprendentemente difícil cuando se aplica en el contexto de los sistemas de almacenamiento distribuido y los archivos de copia de seguridad.

El derecho de supresión puede ser solicitado por los interesados en determinadas circunstancias, entre las que se incluyen:

• Tratamiento ilícito de datos
• Retirada del consentimiento para el tratamiento
• Los datos ya no son necesarios para la finalidad original
• Objeción al tratamiento (sin motivos legítimos imperiosos)
• Obligación legal de borrar los datos

Dicho esto, el derecho de supresión tampoco es absoluto. Hay algunas situaciones en las que las organizaciones aún pueden conservar los datos, como cuando son necesarios para fines científicos, históricos o estadísticos. Además, los datos necesarios para cumplir obligaciones legales y trabajar con reclamaciones judiciales también están exentos del derecho de supresión, y lo mismo podría decirse de las tareas que se realizan en interés público o en ejercicio de la libertad de expresión.

Implementación del derecho de supresión en la copia de seguridad de datos

El proceso real de aplicación del derecho de supresión requiere específicamente un buen equilibrio entre las cuestiones de cumplimiento y las limitaciones prácticas. Crear procesos sofisticados que puedan procesar las solicitudes de borrado sin comprometer la integridad y el rendimiento de las copias de seguridad no es tarea fácil.

En lo que respecta al proceso de aplicación, podemos presentar una serie de estrategias menores que podrían ayudar a los usuarios a crear un marco más adecuado para el cumplimiento del derecho de borrado. Decidirse por un sistema de copias de seguridad que admita el borrado granular de datos sería un buen comienzo, y las capacidades de cifrado con gestión independiente de claves también son bienvenidas en este caso.

Otros elementos del aspecto técnico de la aplicación son el etiquetado de metadatos para un mejor seguimiento de las solicitudes de borrado y la creación de índices de ubicaciones de datos personales dentro de las copias de seguridad. Sin embargo, esto es sólo el lado técnico del tema, mientras que también nos gustaría repasar el enfoque procedimental de la implementación que se podría utilizar. Este enfoque puede separarse en cuatro pasos principales:

• Documentar todas las solicitudes de borrado y las medidas adoptadas
• Establecer un flujo de trabajo claro para gestionar futuras solicitudes de borrado
• Definir criterios para determinar si la solicitud de borrado es técnicamente viable
• Crear procesos que ofrezcan una restauración parcial con exclusión de los datos borrados

Como hemos mencionado antes, también hay muchas situaciones en las que el borrado completo no es inmediatamente factible por una razón u otra. En este contexto, puede haber varias formas posibles de enfocar la cuestión:

• Manteniendo un registro de borrado para asegurarse de que la información borrada permanece borrada incluso después de las secuencias de restauración.
• Averiguando cómo crear nuevas copias de seguridad sin la información que ya ha sido borrada
• Experimentando con el borrado virtual que utiliza controles de acceso y encriptación
• Estableciendo plazos para el borrado completo de los datos de las copias de seguridad

No es raro que las empresas necesiten un equilibrio entre el derecho al borrado y otros requisitos del mismo marco, ya sea la seguridad de los datos, la recuperación en caso de catástrofe, etc. El objetivo de adherirse al derecho de borrado desde el punto de vista del GDPR es proporcionar un enfoque claro y definido para trabajar con las solicitudes de borrado sin perturbar la integridad general del sistema.

¿Qué soluciones de copia de seguridad garantizan el cumplimiento del GDPR?

Evaluación de las soluciones de copia de seguridad para la privacidad de los datos

La simple capacidad de una solución de copia de seguridad para soportar el GDPR no es suficiente en sí misma, ya que mucho más importante es la forma en que se implementa y utiliza. Las empresas también tienen que evaluar las características de gobernanza y gestión de dicho programa, así como sus capacidades técnicas. En una situación ideal, una solución de copia de seguridad compatible con el GDPR tendría todos los requisitos de privacidad integrados en su propio núcleo, lo que la haría perfecta y eficaz.

En cuanto a las características que las empresas deberían buscar en sus soluciones de copia de seguridad con fines de cumplimiento, podemos ofrecer una serie de ejemplos clave:

• Amplias capacidades de cifrado de datos
• Herramientas flexibles de búsqueda y localización que pueden buscar datos personales
• Registro de auditoría exhaustivo
• Control de acceso granular y su gestión
• Automatización de informes de cumplimiento

Características de las soluciones de copia de seguridad de datos conformes con el GDPR

Cuando se trata de características más específicas, relacionadas con el GDPR, que uno debería buscar en una solución de copia de seguridad, quedan al menos dos categorías más por cubrir: las capacidades de gestión de datos y las características de mejora de la privacidad.

Las capacidades de gestión de datos que más ayudan al cumplimiento son las capacidades de clasificación de datos, la capacidad de automatizar las políticas de retención, una variedad de opciones selectivas de copia de seguridad y restauración, y un método seguro de borrado de datos.

En cuanto a las funciones de mejora de la privacidad, recomendaríamos invertir en herramientas de enmascaramiento de datos, gestión de solicitudes de acceso de sujetos, capacidades de seudonimización, y apoyo con la evaluación del impacto sobre la privacidad, cuando sea posible.

Soluciones de copia de seguridad en la nube frente a locales

El software de copia de seguridad suele presentarse de dos formas en lo que respecta a su implantación: en la nube y en las instalaciones. Algunos programas sólo ofrecen un enfoque, mientras que otros pueden ofrecer ambos. Es importante saber que ambos enfoques tienen sus propias ventajas a tener en cuenta.

Así, las soluciones de copia de seguridad en la nube pueden ofrecer:

• Opciones de distribución geográfica
• Automatización de actualizaciones de seguridad
• Certificaciones de cumplimiento
• Capacidad de almacenamiento escalable
• Opciones de redundancia integradas

Alternativamente, las opciones de copia de seguridad in situ proporcionan:

• Un cierto grado de independencia de la conexión a Internet
• Controles de seguridad personalizables
• Control directo sobre la infraestructura de la solución
• Completa soberanía de los datos
• Tiempos de recuperación potencialmente más rápidos en comparación con las opciones en la nube

El enfoque híbrido también es una opción en algunas situaciones, ya que ofrece un equilibrio entre las dos opciones y la máxima flexibilidad. Incluye una escalabilidad rentable, copias de seguridad en la nube para la recuperación en caso de desastre, copias locales para una recuperación rápida, flexibilidad en la resistencia de los datos, etc.

Requisitos de cifrado para los datos de copia de seguridad

El cifrado es uno de los elementos más fundamentales de los marcos modernos de seguridad de los datos, y el cumplimiento del GDPR refuerza aún más esta afirmación al proporcionar ciertos requisitos tanto para el cifrado en reposo como para la seguridad en medio del tránsito.

Se supone que el cifrado en reposo debe utilizar algoritmos potentes (AES-256 o superior), sistemas seguros de gestión de claves, rotación periódica de claves e integración con módulos de seguridad de hardware.

El cifrado a mitad de tránsito debe ser al menos TLS 1.3 para las transferencias de datos, al tiempo que proporciona configuraciones de túnel seguras, gestión de certificados y protección de la ruta de red.

Como conclusión de esta sección, podemos suponer que una versión perfecta de una solución de copia de seguridad para el cumplimiento del GDPR debería tener capacidades de cifrado de extremo a extremo, cumplimiento de las normas del sector, gestión integrada de claves y opciones para el cifrado en origen. Las funciones de seguridad integrales deben ser la máxima prioridad para las organizaciones, aunque sigue siendo de interés para la propia empresa encontrar una solución que logre un equilibrio entre la eficiencia operativa y una potente protección de los datos.

¿Cómo gestionar la recuperación de datos en el cumplimiento del GDPR?

La recuperación de datos en el marco del GDPR es tan estricta y polifacética como los procesos de copia de seguridad de datos, por lo que es necesario encontrar un equilibrio entre el cumplimiento, la velocidad y la precisión. Ninguno de los procesos de recuperación debe violar intrínsecamente los derechos de los interesados ni restaurar de algún modo la información previamente borrada.

Una estrategia de recuperación competente con el cumplimiento del GDPR en mente debe realizar secuencias de verificación previas a la recuperación de forma regular, al tiempo que utiliza un marco de priorización de la recuperación como medio para comprender el valor y la importancia de la información específica.

El proceso de verificación previa a la recuperación confirma el alcance de los datos que se van a recuperar y verifica el estado actual del consentimiento de los interesados afectados. Si no hay reclamaciones aquí, las organizaciones también tienen que validar los niveles de autorización de recuperación y cotejarlos con los registros de solicitudes de borrado para asegurarse de que no se pasa por alto ninguna de las solicitudes de borrado.

El marco de priorización de la recuperación utiliza cuatro categorías principales de datos en la mayoría de los casos:

• Información histórica o de archivo
• Datos operativos estándar
• Datos personales sensibles al tiempo
• Datos críticos de operaciones comerciales

Tratamiento de las violaciones de datos y cumplimiento del GDPR

Todas las empresas que entran en el ámbito de aplicación del GDPR tienen la responsabilidad de informar sobre las violaciones de datos como parte de su conjunto de normas de cumplimiento. No hacerlo se considera una violación del cumplimiento y se trata en consecuencia. Cuando se considera la recuperación de datos debido a una violación de datos, es responsabilidad de una organización

• Aislar los sistemas afectados
• Evaluar el alcance y el impacto de la violación
• Iniciar el proceso de recuperación utilizando copias de seguridad limpias como base de referencia
• Documentar todas y cada una de las acciones relacionadas con el proceso de recuperación

El GDPR también establece límites de tiempo en los requisitos de notificación, proporcionando un plazo específico en el que las autoridades y los usuarios tienen que ser notificados acerca de una violación, junto con la comunicación del estado de recuperación y otras necesidades.

Pruebas y validación de los procedimientos de recuperación

Las pruebas periódicas de las copias de seguridad son cruciales para garantizar que una empresa disponga de copias de seguridad que funcionen correctamente con las que trabajar si se produce algún tipo de evento de violación de datos. Un proceso de prueba típico incluye la verificación de la integridad de los datos, la estimación de la precisión para la recuperación puntual y los procesos de prueba completos para los procedimientos de recuperación total y parcial.

Los requisitos de validación de datos , por otro lado, son ligeramente diferentes: se supone que deben confirmar la integridad de los metadatos y probar la preservación del control de acceso, al tiempo que verifican la integridad de los datos tras la recuperación y comprueban si se han incluido datos no autorizados en las copias de seguridad.

Si es posible, los procesos de pruebas de recuperación deben simular diferentes escenarios, como la corrección de un error humano, la restauración tras un fallo de hardware, la recuperación tras un ransomware e incluso la recuperación tras un desastre. Estos procesos de prueba también deben producir una cierta cantidad de documentación, incluidos los resultados de las pruebas de los procesos de recuperación, las métricas generales de rendimiento de la restauración, las mejoras identificadas y los pasos definidos de verificación del cumplimiento que se siguieron.

Es muy recomendable que una organización mantenga una especie de libro de jugadas de recuperación: un documento que cubra los puntos de verificación del cumplimiento, los procesos de validación, las instrucciones paso a paso para los procesos de recuperación y los requisitos de autorización, si procede.

El éxito de la restauración de datos para las copias de seguridad conformes con el GDPR depende de la preparación y las pruebas, junto con un proceso de documentación exhaustivo. Las revisiones periódicas de todos los elementos de la secuencia, junto con las actualizaciones regulares, deberían mantener la eficacia del proceso y, al mismo tiempo, garantizar que la empresa siga cumpliendo el GDPR u otros marcos normativos.

¿Cómo garantizar la seguridad de los datos personales en las copias de seguridad?

Medidas de protección contra los ataques de ransomware

La amenaza del ransomware es algo que la seguridad moderna de las copias de seguridad tiene que abordar por separado del resto de las capacidades de protección de datos, teniendo en cuenta lo populares que se han vuelto los ataques de ransomware en los últimos años. Las empresas tienen que aplicar diversas estrategias de protección en una única red de seguridad para salvaguardar sus entornos y copias de seguridad contra los ataques basados en tecnologías de cifrado.

Algunos de los elementos más importantes de la protección contra el ransomware para la información sensible incluyen:

• Implementación de almacenamiento Write-Once-Read-Many
• Control de versiones con varios puntos de recuperación
• Copias de seguridad con opciones de air gapping
• Opciones de sólo lectura para las instantáneas
• Alertas automatizadas para actividades sospechosas
• Supervisión en tiempo real de los patrones de copia de seguridad
• Marcos de detección de anomalías
• Procedimientos predefinidos para tipos de ataque específicos a fin de garantizar tiempos de respuesta rápidos

Control de acceso para las copias de seguridad

Las sólidas medidas de control de acceso son una medida de seguridad de datos bien conocida que se utiliza habitualmente como elemento de protección en muchas situaciones. La versión más popular de esto es el control de acceso basado en roles, o RBAC. Utiliza el principio del menor privilegio para tratar de evitar ampliar en exceso los permisos de cada usuario fuera de lo que necesitan para hacer su trabajo. Además, normalmente puede proporcionar permisos de acceso limitados en el tiempo y ofrece un marco sencillo para realizar revisiones periódicas de los accesos.

En cuanto a los métodos de autenticación utilizados para verificar la identidad de cada usuario, no sólo incluye políticas de contraseñas fuertes y controles de gestión de sesiones, sino también el uso de la autenticación multifactor para cualquier acceso de copia de seguridad, junto con el registro detallado y el seguimiento de cualquier actividad de autenticación para una pista de auditoría verificable.

Estrategias para prevenir la corrupción de datos

La corrupción de datos es otro problema sustancial para cualquier información digital, razón por la cual la preservación de la integridad de los datos es una característica importante de prácticamente cualquier marco moderno de seguridad de datos, incluso fuera de los requisitos de cumplimiento del GDPR.

La verificación de las copias de seguridad es el primer elemento importante de este proceso, introduciendo la validación de las sumas de comprobación y la comprobación automatizada de la integridad de las copias de seguridad y la información archivada. Los procedimientos de comprobación de la recuperación y los mecanismos de detección de la corrupción también se incluyen en esta sección, aunque son un poco menos comunes en comparación.

La validación de datos suele contar con un marco dedicado que se utiliza no sólo para detectar errores, sino también para resolverlos de forma automatizada. La secuencia de acciones sigue un patrón relativamente sencillo:

1. Validación de datos de extremo a extremo
2. Detección de errores en tiempo real
3. Procedimientos de reparación automatizados
4. Auditorías de integridad realizadas periódicamente

También hay características que podrían ayudar aún más en cuestiones de cumplimiento: redundancia de hardware, restricciones de acceso físico, protecciones de cortafuegos, etc. Todas estas medidas son prácticamente necesarias para crear una especie de sistema defensivo capaz de cumplir todos los requisitos de conformidad y, al mismo tiempo, ofrecer un nivel suficiente de seguridad de los datos a sus usuarios.

Conclusión

La implementación de soluciones de copia de seguridad teniendo en cuenta el cumplimiento del GDPR puede ser un reto difícil para la mayoría de las organizaciones modernas. A menudo se requiere un enfoque multifacético, con una amplia y variada selección de herramientas y capacidades. En este artículo hemos explorado numerosos aspectos para garantizar el cumplimiento de las copias de seguridad para el GDPR y otras normativas, incluidos los aspectos básicos del propio GDPR y la aplicación de medidas de seguridad específicas.

La mayoría de las empresas ya entienden que el cumplimiento ya no es sólo una casilla de verificación: es un proceso continuo que debe revisarse y actualizarse de forma regular para seguir siendo relevante y eficaz. Invertir en entornos de copia de seguridad de alto rendimiento no sólo garantiza el cumplimiento de marcos como el GDPR, sino que también ofrece una selección de beneficios tangibles para la propia organización en términos de gestión de riesgos, continuidad empresarial, protección de datos, etc.

También es muy valioso mantener un equilibrio entre la eficacia operativa y la protección de datos. Además, no es infrecuente que las empresas que han implementado con éxito funciones de cumplimiento del GDPR en sus entornos tengan mucha más facilidad para gestionar otros requisitos regionales, lo que las hace mucho más preparadas para la expansión internacional que algunos competidores.

Los principios de la privacidad desde el diseño van a seguir dando forma a la manera en que las organizaciones abordan la protección de datos. El compromiso continuo de todos y cada uno de los niveles de la organización es un requisito para lograr el éxito en este empeño, y seguir las directrices esbozadas en este artículo debería facilitar a las organizaciones la creación y el mantenimiento de sistemas de copia de seguridad que puedan cumplir con el GDPR a la vez que ofrecen un sólido conjunto de herramientas de protección de datos.

Bacula Enterprise y el cumplimiento del GDPR

Aunque hay muchas soluciones de copia de seguridad de terceros que pueden ayudar a sus clientes con el cumplimiento del GDPR hasta cierto punto, también hay algunas opciones que son mucho más avanzadas y detalladas en comparación. Bacula Enterprise es una de ellas, ya que ofrece una solución especialmente segura combinada con un amplio conjunto de funciones especialmente adecuadas para abordar temas de seguridad de datos como el cumplimiento del GDPR. Ha sido creado con la protección de datos incorporada por diseño, lo que lo convierte en una gran opción para las empresas que buscan sólidas capacidades de cumplimiento del GDPR.

La amplia gama de características que Bacula puede ofrecer en este departamento es notable, incluyendo:

• Capacidades integradas de descubrimiento y clasificación de datos
• Completas pistas de auditoría y mecanismos de registro
• Una selección de opciones de inmutabilidad como medida de seguridad contra modificaciones no autorizadas
• Conjunto avanzado de funciones de cifrado tanto en reposo como a mitad de tránsito
• Capacidades detalladas de elaboración de informes con fines de cumplimiento
• Capacidades complejas de borrado de datos para apoyar el derecho al olvido
• Capacidad integrada de evaluación del impacto sobre la privacidad
• Controles de transferencia transfronteriza de datos
• Sólidas herramientas de verificación de datos
• Control de acceso granular con soporte para RBAC

La arquitectura de la plataforma es conocida por su flexibilidad y adaptabilidad, lo que la convierte en una gran elección para la implementación del cumplimiento del GDPR. Hay mucha libertad a la hora de configurar las políticas de copia de seguridad para alinearlas con requisitos específicos sin perder eficiencia operativa. El enfoque modular de Bacula Enterprise hace posible implementar una gama muy específica de características que las empresas necesitan para los requisitos de cumplimiento.

Más allá del GDPR, Bacula también puede ayudar a cumplir una serie de otros marcos normativos, como ISO 27001, SOX, HIPAA, NIST, etc. Es una solución inestimable para las empresas que operan en múltiples jurisdicciones reguladoras.

La razón por la que Bacula es una forma poderosa de garantizar el pleno cumplimiento del GDPR se puede ilustrar en un caso de uso en el que una organización mediana o grande tiene un departamento de TI diverso y/o en silos, con muchas aplicaciones diferentes, tipos de archivos, estrategias de almacenamiento, software heredado. Además, este tipo de entornos suelen seguir evolucionando en función de las necesidades actuales y futuras. A menos que esa solución de copia de seguridad y recuperación sea capaz de integrarse en un entorno informático tan desafiante y cambiante, la organización tendrá dificultades para cumplir los requisitos del GDPR. Esto se debe, por ejemplo, a que otros sistemas de copia de seguridad inadecuados pueden no ser capaces de gestionar la copia de seguridad y la recuperación desde una interfaz de usuario de «panel único», y/o no ser capaces de buscar, localizar y supervisar los datos de forma eficaz y cómoda.

Puede obtener más información sobre las capacidades de Bacula aquí.

Preguntas frecuentes

¿Cuánto tiempo debemos conservar los datos de las copias de seguridad según el GDPR?

Aunque en el GDPR no se establecen periodos exactos de conservación de los datos de las copias de seguridad, estos periodos de conservación tendrían que ser definidos por cada empresa de forma individual, aportando al mismo tiempo una justificación legal para dichos periodos. Además, el principio de limitación de almacenamiento del GDPR puede ser violado almacenando datos personales durante más tiempo del necesario, lo que hace que el tema de averiguar los límites de almacenamiento de datos de su empresa sea mucho más importante. En la mayoría de los casos, las copias de seguridad se almacenan durante 30-90 días y las copias de archivo se conservan durante 1-7 años, aunque estas cifras pueden diferir en función del sector y de otros factores.

¿Podemos almacenar las copias de seguridad en la nube y seguir cumpliendo la GDPR?

Técnicamente hablando, las soluciones de copia de seguridad en la nube también pueden cumplir con el GDPR, por lo que es una opción de almacenamiento viable. Sin embargo, estas soluciones tendrían que superar su propio conjunto de requisitos:

• Centros de datos ubicados en la UE con una protección de la privacidad adecuada
• Control sobre las claves de cifrado
• Cifrado fuerte tanto en reposo como en medio del tránsito
• Auditorías periódicas
• Acuerdos claros de procesamiento de datos con los clientes

¿Qué documentación debemos mantener para nuestros procedimientos de copia de seguridad?

La lista exacta de documentos puede cambiar en función de las circunstancias, pero algunos de los ejemplos más esenciales siguen siendo los mismos en la mayoría de los casos, entre los que se incluyen:

• Registros de procesamiento de datos
• Registros de formación del personal
• Procedimientos y políticas de copias de seguridad
• Acuerdos de nivel de servicio con terceros
• Calendarios de retención de datos
• Planes de respuesta en caso de violación
• Evaluaciones del impacto de la protección de datos
• Medidas y controles de seguridad
• Resultados de las pruebas de recuperación

¿Con qué rapidez debemos informar de una violación de datos relacionada con las copias de seguridad?

Las organizaciones tienen varios requisitos a la hora de informar sobre las violaciones de datos relacionadas con las copias de seguridad. Las violaciones sustanciales deben notificarse a las autoridades supervisoras en un plazo de 72 horas desde su descubrimiento inicial, y las personas afectadas deben ser notificadas sobre la violación sin demora (si supone un riesgo para su información personal de algún modo). Todas las violaciones deben documentarse, incluidas las que no requirieron la notificación a los usuarios finales.

Cada informe de violación debe contener, como mínimo, la siguiente información

• Naturaleza y alcance de la violación
• Sus consecuencias
• Medidas adoptadas (o propuestas)
• Información de contacto para obtener más detalles.