Reglamento Europeo de Protección de Datos
De conformidad con lo señalado en el artículo 32 del Reglamento general de protección de datos, el responsable del tratamiento deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
Guía para el Empresario de Copias de Seguridad según Instituto Nacional de Seguridad
Para garantizar la salvaguarda de las copias de seguridad, es necesario buscar un lugar adecuado para guardar las copias que cumpla con los siguientes criterios:
» contar con al menos una copia fuera de la organización;
» valorar la contratación de servicios de guarda y custodia si se considera necesario por motivos de seguridad física [13]
Los dispositivos de almacenamiento se deterioran con el tiempo, son susceptibles a los fallos mecánicos, pueden sufrir las consecuencias de cualquier desastre (incendio, inundaciones…), ser objeto de errores humanos en su manipulación (caídas, contacto con el agua…) o simplemente la obsolescencia118 del propio soporte [14]. Por estos motivos es necesario llevar un control de la vida útil de los soportes físicos de copia y así evitar que cualquier posible deterioro afecte a la integridad de los datos. Como ya se explicó en la estrategia 3-2-1, una buena práctica para proteger adecuadamente la información es almacenarla en dos tipos de soportes diferentes, así como en una ubicación fuera de las instalaciones de la empresa, evitando así que, en caso de que ocurra algún incidente en la organización, todas las copias de seguridad se vean afectadas y por lo tanto no sea posible llevar a cabo la recuperación, fallando así nuestro Plan de Contingencia y Continuidad de negocio.
Además, para garantizar la conservación e integridad de nuestros datos debemos seguir las siguientes pautas:
» Comprobar la vida útil de los soportes que utilizamos para realizar las copias.
» Realizar un mantenimiento de hardware y software periódico de los soportes de almacenamiento, ya que es tan importante prevenir los posibles fallos mecánicos como las posibles vulnerabilidades, infecciones e intrusiones que pueden derivar del software sin actualizar.
» Asegurar que las condiciones de climatización del lugar donde se almacenan son las adecuadas para conservar el tipo de soporte en el que guardamos la información.
5.3. Periodo de conservación
El periodo de conservación de las copias de seguridad variará dependiendo de las necesidades de cada organización, así como de los requerimientos legales a los que nuestra empresa deba estar sujeta.
Debemos decidir cuánto tiempo mantener las copias en función de las siguientes consideraciones:
» La información almacenada sigue vigente o es de utilidad para nuestro negocio.
En caso contrario debemos proceder a la eliminación de la información o a un borrado seguro del soporte. Recuerda que la ley define el periodo de conservación de la documentación contable de la empresa y de los datos personales hasta que finalice la prestación del servicio por el cual se hubieran recabado [15].
» La vida útil del soporte en el que se realizan las copias.
» La necesidad de conservar varias copias anteriores a la última realizada, como se muestra en el ejemplo del punto 5.3.1.
5.3.1 Modelo de copias de seguridad realizadas y su tiempo de conservación Dependiendo del tipo de organización (tamaño, actividad, dependencia de la tecnología) variará la frecuencia de las copias de seguridad, así como la necesidad de conservación de estas. A modo orientativo, esta sería una buena práctica a la hora de realizar y conservar copias de seguridad.
» Copias incrementales diarias.
» Copias totales una vez a la semana.
» Conservación de las copias totales un mes.
» Almacenamiento de la última copia del mes durante un año.
Es decir, en un mes se realizarían copias incrementales diariamente y 4 copias totales semanales. Cada copia total se conservará durante un mes y la última copia total de cada mes durante un año.
5.4. Cifrado de las copias de seguridad
Para garantizar la confidencialidad e integridad de la información sensible cuando está almacenada, utilizaremos herramientas de cifrado que protejan nuestros datos, haciéndolos ilegibles por aquellos que no dispongan de la clave de cifrado.
Cifrando la información confidencial y la almacenada en copias de seguridad protegemos los datos en caso de robo de información o accesos no autorizados, reduce el riesgo de sanciones y podría evitar128 [16] que tengamos que informar a los usuarios en caso de brecha de seguridad. Además, se cumplirá con el deber de salvaguarda que exige el Reglamento General de Protección de datos [17].
5.5. Restauración de las copias de seguridad
Las copias de seguridad son uno de los elementos esenciales que garantizan la continuidad de nuestro negocio y uno de los pilares principales del Plan de Contingencia por lo que, del mismo modo que comprobamos que nuestros dispositivos y aplicaciones funcionen correctamente, si no probamos que las copias de seguridad pueden restaurarse correctamente no garantizaremos que la información se pueda recuperar.
No debemos asumir que por haber realizado el proceso de copia está todo hecho, por lo que debemos programar periódicamente pruebas de restauración de las copias para asegurar que el día que no sea una simulación se conocen todos los procesos y funcionan correctamente. Ya hemos mencionado que, tanto los sistemas de copia como los soportes pueden fallar y es posible que llegado el momento en que sea necesario restaurar una copia, descubramos que no es posible cuando ya apenas tengamos tiempo de resolver la situación.
VIII Estudio del Estado de la Seguridad en la Nube
Estudio 2020 de la seguridad en la nube
Circular 5/2019, de 6 de marzo, sobre registro de dispositivos y equipos informáticos.
Este acceso a información digital de manera telemática constituye la esencia de lo que hoy en día se denomina cloud computing (computación en la nube), nuevo concepto que ofrece nuevas respuestas a las demandas que la informática moderna ha venido planteando en los últimos años. La esencia del cloud computing reside en sustituir los dispositivos de almacenamiento masivo de información clásicos por el almacenamiento en servidores de internet. Así, la información y, en muchos casos, los programas informáticos, ya no se guardan en el disco duro del ordenador, sino en los servidores a los que se accede a través de internet. Este sistema ofrece la ventaja de proporcionar al usuario capacidades de almacenamiento mucho mayores que las que va a encontrar en su propio dispositivo (ordenador, teléfono móvil, etc.), seguridad en la conservación de sus datos (en muchos casos, estos repositorios se utilizan para hacer copias de seguridad de los datos alojados en el propio sistema informático) y, sobre todo, la posibilidad de acceder a sus datos en cualquier lugar en que se halle desde cualquier dispositivo que se conecte a internet y no solo a través del propio dispositivo en el que tuviera almacenados los datos. Esta posibilidad se revela especialmente útil en el mundo actual de los smartphones o teléfonos inteligentes que, por un lado, carecen de capacidad para almacenar grandes cantidades de datos y, por otro, permiten el acceso a los repositorios con una gran movilidad espacio-temporal.
Como ya se ha señalado, el registro que regula el art. 588 sexies a incluye también el acceso a repositorios telemáticos de datos. Por otro lado, el apartado tercero del art. 588 sexies c, transcribiendo casi literalmente el contenido del art. 19.2 del Convenio sobre la Ciberdelincuencia, prevé la posibilidad de ampliar los registros judicialmente autorizados a otros sistemas informáticos que sean accesibles desde el que se está registrando. Ambos supuestos presentan ciertas peculiaridades que no concurren en los casos ordinarios de registro de dispositivos de almacenamiento masivo de información, lo que obliga a su análisis conjunto.
De los sistemas de acceso previstos, la utilización de datos de identificación y códigos aparece como el más factible. Se trata de utilizar las propias contraseñas del investigado para acceder, no ya a su ordenador o sistema informático, que sería lo que proporcionaría un conocimiento más amplio de su entorno virtual, sino incluso a reductos de privacidad más limitados pero igualmente útiles para la investigación, como su cuenta de correo electrónico o su cuenta de almacenamiento de datos en la nube (Dropbox, Google Drive, etc.) La mayor complicación que presenta este sistema es la propia obtención de las claves y contraseñas, que debería ser el resultado de una buena investigación policial. Igualmente, puede resultar posible, en algunos casos, requerir dichas claves del proveedor de servicios de internet que almacene los datos, obligado por el deber de colaboración que establece la Ley. Una vez obtenidas las claves, el acceso al sistema o dispositivo a registrar no debería plantear mayores dificultades, salvo en los supuestos en los que el propio proveedor de servicios cuente con sistemas de seguridad que alertan al usuario de un acceso sospechoso a sus cuentas. En estos casos, nuevamente, la solución debe pasar por recabar la colaboración del proveedor de servicios