MDB301 Data Protection Governance Risk Management and Compliance
Contents
- 1 Ficha Bibliográfica
- 2 Capítulo 1 – El tiempo para el cambio ha llegado
- 3 Capítulo 2 – Continuidad de negocio, el primer fundamento de la Protección de Información
- 4 Capítulo 3 – Protección de Datos, en dónde yacen los problemas
- 5 Capítulo 4 – Protección de la información, establecer los objetivos correctos
- 6 Capítulo 5 - Protección de la Información, obteniendo el grado apropiado
- 7 Capítulo 6 – La administración del ciclo de vida de la información cambia la mezcla de tecnología de protección de datos
- 7.1 Ideas fundamentales de la administración del ciclo de vida de la información
- 7.2 Segmentación de almacenamiento basado en características de desempeño y capacidad
- 7.3 Archivo
- 7.4 Archivos activos y Archivos Profundos
- 7.5 Requisitos de meta información de los archivos
- 7.6 Beneficios de migrar información desde el almacenamiento activo cambiante al de archivado
- 8 Capítulo 7 – Conformidad: Una pieza clave del rompecabezas de GRC
- 9 Capítulo 8 – Gobernanza: la última pieza en el rompecabezas de GRC
- 10 Autor
Ficha Bibliográfica
Título original: Data Protection - Governance, Risk Management and Compliance
Título en español: Protección de la Información - Gobernanza, Administración del Riesgo y cumplimiento
Autor: David G. Hill
Capítulo 1 – El tiempo para el cambio ha llegado
Hill inicia su exposición estableciendo las razones por las cuáles es importante la protección de la información almacenada de forma electrónica.
Información sin la cual un negocio no puede trabajar correctamente o del todo.
La protección de la información es la pieza angular en la administración del riesgo que realiza una empresa, y la administración del riesgo es reconocida actualmente como una de las tareas fundamentales de una empresa.
Algunas áreas relacionadas con la protección de la información:
- Respaldo y restauración
- Recuperación frente a desastres
- Continuidad de negocio
- Alta disponibilidad
- Compliance
- Gobernabilidad
- Privacidad de la información
- Seguridad de la información
- eDiscovery
La Protección del Datos es la acción de mitigar los riesgos asociados con la pérdida o daño a los datos de la empresa. Dicha pérdida puede darse por causas física, temporales o permanentes. También puede darse por la pérdida de confidencialidad de la información o incluso por la incapacidad de hacer uso de la información, sea de forma permanente o por una situación temporal.
Hill señala que una de las perspectivas clásicas para considerar la protección de datos, es verlo como un “costo de hacer negocios”, es decir cómo una función que debe hacerse, contrastadas con las funciones que desea hacerse, que son aquellas que logra los objetivos organizacionales, y de ahí, la importancia de administrar los costos, ya que la inversión en el proceso de protección de datos, disminuye la rentabilidad de la organización.
Inmediatamente ofrece la perspectiva alternativa de considerarlo como una póliza de seguro. De tal manera, la protección de datos de tienen como objetivo la maximización de la utilidad o la minimización de los costos, sino “minimizar las pérdidas ante los peores escenarios de pérdida”, en otras palabras, es un costo necesario de hacer negocios de forma prudente. Este tipo de aseguramiento (póliza) se rige por el principio de minimizar el costo maximizando el valor del seguro.
Es necesario un modelo de trabajo (framework) para el manejo de la protección de datos, para prevenir problemas como:
- Fallar en proteger la información apropiadamente, y sus repercusiones negativas,
- Decir incorrectamente la distribución de los recursos, al proteger excesiva o insuficientemente de acuerdo al riesgo,
- Desgastar a los recursos administrativos asignados a la protección de datos.
El marco de referencia de Protección de Datos actual, ha evolucionado sobre los conceptos de Governanza, administración del riesgo y cumplimiento, y Hill señala al Open Compliance and Ethics Group (GRC) cómo una de las organizaciones partidarias de dichos conceptos de mayor visibilidad, quién propone un "desempeño basado en principios" o "principled performance".
Hill percibe que se pueden identificar 3 direcciones desde las cuáles se ha producido un cambio en los requerimientos de protección de datos:
- La mejora de las capacidades de la tecnología existente, por ejemplo, como los respaldos de disco a disco han mejorado sustancialmente el proceso tradicional de respaldo / recuperación.
- La administración del ciclo de vida de la información a cambiado su dirección anterior orientada a mover la información a lo largo de diferentes niveles a almacenamiento, especialmente ejemplificada por el cambio hacia los modelos de replicación de datos en contraste con los de respaldo.
- El cambio en los requerimientos de los negocios, que proveen nuevas políticas, procedimientos y prácticas.
La tecnología no es una situación deus ex machina. Los usuarios y sus ejecutivos deben poner en marcha las 4 P de la administración de procesos: política, procesos, procedimientos y prácticas. La tecnología habilita dichos componentes, pero no los remplaza.
- Política: define el curso de acción, no las acciones.
- Procesos: define las acciones a tomar para lograr los objetivos.
- Procedimientos: definen las acciones paso por paso, hacen que las políticas conduzcan a acciones.
- Prácticas: garantizan que los procedimientos que cumplen con las políticas sean llevados a cabo.
Capítulo 2 – Continuidad de negocio, el primer fundamento de la Protección de Información
La continuidad de negocio es una parte clave de la administración del riesgo. La continuidad de negocio consiste en mitigar el riesgo causado por las interrupciones de las actividad y procesos normales de la empresa.
- Protege los intereses de los accionistas, la reputación de la marca, la buena voluntad de los clientes y a las actividades creadores de valor de la empresa.
- Los efectos del fallo de la continuidad de negocio oscilan entre: indeseables, inaceptables, severas hasta catastróficas.
Aunque la información almacenada de forma electrónica y la tecnología de información son solamente una parte del proceso general de continuidad de negocio, que involucra personal y activos no informáticos, constituyen una parte vital, sin la cual, la existencia, continuidad y bienestar del negocio están en riesgo.
La continuidad de negocio requiere de una superestructura de hardware y software sobre los sistemas claves de IT y as redes con el objetivo de:
- Resiliency: Lograr que las aplicaciones esenciales estén disponibles a todos sus usuarios todo el tiempo, a pesar de los fallos de los componentes individuales.
- Alta disponibilidad: que cuando los fallos no planeados conduzcan a que las aplicaciones esenciales no estén disponibles, estas se puedan recuperar en el menor tiempo posible, muchas veces medido en términos de algunos minutos por año.
En el caso de desastre, las condiciones anteriores no aplican normalmente, y el objetivo cambia a minimizar el impacto en la continuidad del negocio.
Una tarea fundamental de la continuidad de negocio es la protección de datos: La información debe poder ser restaurada a un punto en que pueda trabajarse con ella: todo esfuerzo por remplazar o restaurar los equipos, redes o aplicaciones no cumplen ningún propósito si la información no puede ser restaurada en dicha condición. La protección de datos mitiga el riesgo de perder la información empresarial, sea temporal o permanentemente.
- Disaster continuity / disaster recovery, responde a la falta de disponibilidad generalizada de un sitio; no debe ser el único aspecto, sino también,
- Operational continuity / operational recovery, responde a problemas específicos; la habilidad de manejar los problemas del día a día.
La protección de datos requiere dar la debida atención a ambas áreas, y muchas veces no es así. Las organizaciones de TI deben comprender que las operaciones diarias y el planeamiento frente a desastres tiene diferentes necesidades físicas y lógicas de protección de datos. Una mezcla tecnológica inapropiada puede conducir a inversiones incorrectas para la protección de datos.
La continuidad de negocio no es solamente recuperación frente a desastre. Desde la perspectiva de TI, la protección de datos (física y lógica) es necesaria, pero no es suficiente. La continuidad de negocio requiere planeamiento, de forma que las personas correctas tengan el conocimiento, las habilidades y las herramientas correctas, en el momento correcto para responder a una amenaza o a un evento concreto que impacte los niveles de servicio.
- Actividades proactivas: planeamiento, aprovisionamiento, monitoreo y mantenimiento preventivo.
- Actividades reactivas: ocurren cuando el evento amenazante ocurre y debe tomar ventaja de las actividades proactivas previas para lidiar de mejor manera con el evento.
Recuperación frente a desastres
Se considera un desastre solamente cuando el procesamiento de datos debe ser movido de un site primario a uno secundaria y cuando este procesamiento es ejecutado por un conjunto distinto de hardware.
La protección física es el enfoque inicial de la continuidad frente a desastres, pero la protección lógica debe ser tomada en cuenta, ya que, en dicha transición, el site de contingencia asume el rol operativo, de forma que la información no solamente debe existir, sino que debe poder ser usada inmediatamente.
Un proceso de valoración determina cuando debe declararse una emergencia que requiera hacer una transferencia total a un sitio de recuperación.
Una particularidad interesante es que una recuperación operacional puede tomar mucho más tiempo que una recuperación de desastre. Mientras el sitio secundario puede beneficiarse de un espejado sincrónico, la recuperación del primario, sea mediante el secundario o desde subsistemas de almacenamiento puede tomar horas o días.
Recuperación operacional, pensar en términos lógicos
El hardware es relativamente seguro, los problemas operacionales ocurren más frecuentemente, sean estos productos del error humano o de la interacción entre los componentes lógicos, como la corrupción de datos. De tal forma, los problemas lógicos tienen un papel prominente en la protección operacional de la información. Aún más, un error lógico, como por ejemplo una configuración inadecuado de un sistema de respaldo, puede ocurrir a pesar de que no exista ninguna condición física negativa, ya que todos los sistemas físicos de respaldos estaban en su lugar.
- La recuperación frente a desastre requiere de buen juicio: al responder a un evento sistémico que afecto a todas las aplicaciones simultáneamente, debe realizarse una evaluación para recuperar a las aplicaciones más sensibles en el tiempo y más críticas para el negocio primero. Es como responder a los eventos como si se tratara de una epidemia. Su objetivo es minimizar el efecto del desastre a la continuidad del negocio de largo plazo.
- La recuperación operativa requiere de automatización: al responder a un único evento no sistémico, que afecta a una única aplicación y tal vez, a sus aplicaciones dependientes. Es como tratar a los eventos en una sala de emergencia. Su objetivo es responder a una amenaza de impacto del servicio antes de que se convierta en un evento de impacto del servicio.
Aunque algunas organizaciones pueden negar la necesidad de los SLA, esto es un error, ya que estos cumplen al menos tres propósitos:
- La administración de las expectativas de los usuarios.
- Justificar la adquisición de recursos.
- Mejorar el enfoque administrativo.
| Protección | Construida sobre | Enfocada en | Debe garantiza que |
|---|---|---|---|
| Física | La redundancia | Disponibilidad | Los datos son los mismos |
| Lógica | El aislamiento | Preservación | Los datos son correctos |
Es importante entender que los problemas lógicos figuran de forma prominente en la pérdida de datos o el tiempo de las caídas de los sistemas, ya que grandes cantidades de planeamiento se enfocan en proveer continuidad frente a desastres, pero las mayores amenazas a la continuidad son más probables que vengan desde el lado operativo.
Capítulo 3 – Protección de Datos, en dónde yacen los problemas
Hill en este capítulo se dedica en forma breve a exponer brevemente algunos aspectos fundamentales de la práctica de protección de datos.
En gran medida, muchas de las prácticas de las organizaciones surgen de momentos en la historia en la cual se podía esperar una dinámica de operación muy diferente a la actual: durante el día de trabajo, digamos de 8 a.m. a 5 p.m., los sistemas información procesaban las operaciones del día, luego se suspendía el trabajo, se realizaban los respaldos en cinta magnética, poniendo en práctica técnicas de respaldo completos e incrementales y sistemas generacionales. Esto se archivaba para los respaldos operativos y eran enviados fuera de la compañía para manejar los esquemas de recuperación frente a desastres y/o se conservaban localmente para manejar los eventos operacionales.
Está dinámica se mantenía por las limitaciones técnicas y económicas del momento.
Una serie de cambios tecnológicos fundamentales cambiaron las reglas del juego:
- Arreglos redundantes de discos independientes (RAID, por sus siglas en inglés).
- El aumento en la capacidad de comunicación de grandes volúmenes de información a distancia.
- La aparición de los sistemas de respaldo disco-a-disco.
- La introducción de las tecnologías de respaldo basado en snapshots o respaldo continuo.
La introducción de estos cambios, dan nacimiento a dinámicas de negocio 24x7, rompiendo con el paradigma día operativo / respaldo nocturno, y la capacidad de realizar respaldos desde puntos controlados en el tiempo (gracias a los snapshots).
La aparición de la tecnología de RAID6, permite una mejor mitigación de los riesgos físicos asociada con la disminución de tiempo medio entre errores al incrementar la cantidad de los discos, incluyendo la habilitad de ofrecer un sistema de alta disponibilidad casi gratuita comparada con esquemas tradicionales.
Todas estas situaciones traen a un primer plano de mayor criticidad la necesidad de mitigar los riesgos lógicos, cuya frecuencia e impacto se ven amplificadas dentro de este marco de operación continua.
La utilización de ambiente de desastres multinivel, dónde uno cercano, mantiene la copia sincrónica (simultánea) de cantidades menores y más reciente o en tiempo real y uno más lejano, dónde se mantienen las copias de manera asincrónicas, a un menor costo y para volúmenes muchos más altos, con una menor frecuencia.
El costo de recuperación frente a desastres. No solo requiere realizar las inversiones necesarias de recursos tecnológicas, humanos y de la tecnología de sincronización, sino que también, en caso de que el desastre se presente, en el respaldo de la información que ahora solo se encuentra en el sitio secundario. Y junto a esto, el balance de la distancia, ni tan lejos que la sincronización sea prohibitiva, ni tan cerca, que ambos lugares se vean impactados por los mismos eventos desastrosos.
Capítulo 4 – Protección de la información, establecer los objetivos correctos
Objetivos de protección de la información:
- Disponibilidad de la información
- Preservación de la información
- Tiempo de respuesta de la información
- Confidencialidad de la información
Los objetivos deben ser balanceados entre sí y tener claro que enfocarse mucho en uno de ellos puede llevar a problemas en lograr alcanza uno o más de los otros.
Un punto de partida para realizar una descomposición y análisis de los objetivos de protección de la información es el modelo de la SNIA (Storage Networking Industry Association).
| # | Categorización del Valor de la Información | Disponibilidad | RPO Recovery Point Objective Objetivo Punto de Recuperación |
RTO Recovery Time Objective Objetivo Tiempo de Recuperación |
DPW Data Protection Window Ventana para Protección de Datos |
|---|---|---|---|---|---|
| Definida como porcentaje del tiempo por año | Cantidad de pérdida de información en función del tiempo máximo aceptable entre el fallo y la copia de recuperación | El tiempo máximo aceptable para retornar al un correcto estado operacional luego de un evento | Es el tiempo en el cual el sistema está disponible para que la información pueda ser copiada a un repositorio redundante sin impactar las operaciones del negocio. | ||
| 1 | No es importante para las operaciones | 90% | 1 semana | 7 días | Días |
| 2 | Importante para la productividad | 99% | 1 día | 1 día | 12 horas |
| 3 | Información de negocio importante | 99.9% | 2 horas | 2 horas | 10 minutos |
| 4 | Información de negocio vital | 99.99% | 10 minutos | 15 minutos | Ninguna |
| 5 | Información de misión crítica | 99.999% | 1 minuto | 1.5 minutos | Ninguna |
Consideraciones importantes a la hora de asignar recursos a la protección de la información
- El valor de la información no es directamente proporcional al requisito de disponibilidad. El modelo de la SNIA asume dicha correspondencia.
- Los objetivos de punto (RPO) y tiempo (RTO) no son los mismos para una recuperación operacional que para una recuperación de desastre.
- La disponibilidad es solamente uno de los objetivos de protección de datos.
- Los objetivos de RPO y RTO deben establecerse para eventos planeado y no planeado en los mismos tiempos.
- Una disponibilidad baja es preferible que ninguna disponibilidad (pérdida de información).
Diferencias entre la recuperación operacional y la recuperación frente a desastres
| Recuperación Operacional | Recuperación frente a Desastres | |
|---|---|---|
| Punto focal | Concentrado (típicamente en una aplicación) | General (típicamente todas las aplicaciones) |
| Mentalidad | Apaga Incendios | Socorro frente a una catástrofe |
| Control Administrativo | Sala de emergencias | Centro de control |
| Equipo de Respuesta | Ad-hoc según las peculiaridades del problema | Equipo designado de recuperación frente a desastres |
| Estrategia de solución | Cuidados intensivos | Triage (Selección) |
La disponibilidad no es el único objetivo de protección de la información
| Nombre objetivo | Definición | Observaciones |
|---|---|---|
| Preservación de la información | La información debe ser consistente y precisa todo el tiempo y también completa dentro de límites razonables. | Las consecuencias de no tener toda la información completa y precisa deben ser evaluadas con detenimiento. |
| Disponibilidad de la información | La habilidad de las peticiones de E/S (I/O) de alcanzar al dispositivo de almacenamiento y tomar las acciones apropiadas. | La información que no puede ser utilizada no tiene ninguna utilidad. |
| Tiempo de respuesta de la información | La habilidad de las peticiones de E/S (I/O) de entregar los datos a los usuarios autorizados conforme a los límites de tiempo determinados apropiados para la aplicación. | La lentitud mata, si el tiempo de respuesta es muy baja, la utilidad de la información puede tornarse nula. |
| Confidencialidad de la información | La información está disponible solamente a aquellas personas autorizadas. | Los criterios de confidencialidad deben aplicarse todo el tiempo. |
Capítulo 5 - Protección de la Información, obteniendo el grado apropiado
Categorización de la información en función de su uso
- Datos de producción
- Datos de protección de información: Las misma copia de la información puede ser al mismo tiempo la copia de datos de producción como la copia de protección de datos, particularmente si ambas se almacenan en el mismo dispositivo de almacenamiento.
- Datos de prueba: Los datos de prueba son un caso especial de la actividad de desarrollo de aplicaciones, normalmente no requieren de protección de la información más allá de los criterios de confidencialidad aplicables a los datos de producción de la cual se originan.
Grados de protección de la información
Added-In/Built-In: copias concurrentes de la información integradas en línea al mismo sistema de almacenamiento. Por ejemplos, los discos de un RAID 1 que mantienen una copia sincrónica de los datos de producción.
Added-On/Built-On: copias sincrónicas o asincrónicas externas al Sistema de producción. Pueden constituir la copia de producción como la copia de protección de la información.
- 1 Grado: las copias Built-In suelen constitutir el primer grado de defensa, dichas copias requieren al menos una copia Built-On;
- 2 Grado: al menos una copia Built-On de los datos de producción. Las copias Built-In son incapaces de proveer recuperación en caso de desastre, lo que hace estrictamente necesario contar con el segundo grado de protección.
La existencia de copias Built-On en el sitio de protección contra desastre puede en muchos casos servir el propósito de protección del 2 Grado en ambos tipos de protección; siempre y cuando se reconozca que no completa la protección operacional, que requiere de mecanismos de 1 Grado.
- 3 Grado: al producirse un fallo, las capas de primer grado pasan inmediatamente a ser de grado 0, en otras palabras, un error en el proceso de recuperación indefectiblemente conducirá a la perdida complete de la información. Está es una situación intolerable bajo la gran mayoría de las condiciones y por lo tanto hace necesario la existencia de al menos otra capa, que permite mitigar el riesgo de fallo del sistema de respaldo de primer nivel.
Los diferentes niveles o capas de protección de datos muy probablemente tendrán diferentes niveles de disponibilidad. Una baja disponibilidad es mejor que ninguna disponibilidad. En el caso de que deben utilizarse los mecanismos de defensa de última línea, se está lidiando con una emergencia, en cuyo caso los acuerdos de disponibilidad dejan de constituir el tema central, prevenir la perdida permanente de la información toma la primera prioridad.
Capítulo 6 – La administración del ciclo de vida de la información cambia la mezcla de tecnología de protección de datos
Administración del ciclo de vida de la información es: la administración de la información dirigida mediante políticas conforma esta cambia de valor a través del rango completo de su ciclo de vida, desde la concepción hasta su eliminación.
La ILM enfoca su atención sobre los contenidos fijos, es decir, que no están cambiando, y por lo tanto se puede asumir que la replicación se puede realizar una vez, ya que no está cambiando diariamente. Lo que la definición del ILM deja pro fuera, es que todo dato se vuelve fijo en algún punto a través de su ciclo de vida., y que este momento es generalmente mucho corto que la duración total de su ciclo de vida.
La información tiene un ciclo de vida independientemente de si este es administrado o no por la organización.
El autor dedica un parte importante del capítulo en aclarar su posición de que la administración del ciclo de vida de los datos no puede sustituir a la administración del ciclo de vida de la información. Para llegar a esta conclusión, presenta el caso de la necesidad que existe de entender el contenido de la información para determinar cuándo dicha información se vuelve fija.
Después explica que, bajo la sombrilla de administración del ciclo de vida de los datos, lo que existe es una estratégica de mercadeo para impulsar tecnologías que son capaces de reconocer los cambios que ocurren a nivel de bloques de datos en un sistema de almacenamiento y que operan bajo la premisa de mantener una copia de los datos base, así como de los cambios a nivel de bloque.
Independientemente del valor práctico de estas tecnologías, ellas no pueden dar respuesta a las preguntas básicas de sé el significado e importancia de la información se ha movido dentro de su ciclo de vida o si efectivamente la información que no ha cambiado lo hace porque se vuelto fija o en cambio, es el resultado de una aberración.
Solamente la disponibilidad de meta datos, así como el conocimiento y la administración humana de dicha información puede responder a dichas preguntas, y por lo tanto, diseñar los sistemas apropiados.
Para ejemplificar a lo que se refiere, presenta el ejemplo de un sistema de reservación hotelero, dónde la información respecto a las reservaciones es crítica para la operación de la compañía hasta el momento que los usuarios consumen los servicios. Una vez consumidos, indudablemente algunos aspectos de dicha información que se tornan fijos son importantes para la conducción del negocio, cómo el valor de las transacciones monetarias individuales así cómo algunos datos agregados. No obstante, muchos elementos ya no tienen la misma importancia, y por lo tanto podrían ser archivados e incluso destruidos, manteniendo en control en gran medida los recursos necesarios para operar debidamente el sistema.
Ideas fundamentales de la administración del ciclo de vida de la información
- Tiering / Segmentación: separación del almacenamiento en categorías en función de las características de desempeño, disponibilidad, funcionalidades y costo de los sistemas de almacenamiento.
- Pooling / Agrupamiento: conjuntos de información que son administrados como si se tratara de un todo homogéneo desde el punto de vista de la calidad del servicio (QoS). La QoS cubre aspectos como el tiempo de respuesta y la disponibilidad.
Segmentación de almacenamiento basado en características de desempeño y capacidad
| Desempeño extraordinario | Muy alto desempeño | Alto Desempeño | Mediano Desempeño | Bajo Desempeño | |
|---|---|---|---|---|---|
| Alta Capacidad | Discos de alta capacidad | Cinta magnética | |||
| Mediana Capacidad | Discos de alto desempeño | ||||
| Baja Capacidad | Discos de estado sólido | ||||
| Muy baja capacidad | Almacenamiento basado en memoria de acceso aleatorio |
Archivo
Definición clásica de archivo, según la SNIA (2003):
- Archivo: es una copia consistente de un conjunto de datos, usualmente realizada con el propósito de determinar el estado de un negocio o aplicación. Los archivos normalmente son utilizados para auditoría en lugar de utilizarlos con el propósito de recuperación de la aplicación. Luego de que los archivos son archivados, típicamente sus versiones en línea son borrados y deben ser restauradas por acciones explícitas.
Definición actualizada de archivo, según SNIA (2004):
- Archivo: 1. (sustantivo) es un conjunto de datos que es mantenido como un registro de largo plazo de un negocio, aplicación o estado de la información. Los archivos son mantenidos típicamente para propósitos de autoría, regulatorios, análisis o de referencia en lugar de utilizarse para la recuperación de los datos o la aplicación. 2 (verbo), copiar o mover información con propósitos de retención, para crear un archivo.
Definición en línea de archivo, según SNIA (2016)
- [Administración de la información], un conjunto de objetos de información en un sistema de almacenamiento, tal vez junto con meta información asociada, cuyo propósito principal es la preservación a largo plazo y la retención de dicha información.
- [Administración de la información], sinónimo de ingestión de datos.
- Una organización de personas y sistemas que han aceptado la responsabilidad de protejer, retener y preserver la información de y los datos y hacer que estén disponibles.
De acuerdo a Hill, todas estas definiciones, aunque admirables, se quedan cortan a la hora de describir de que se trata el tema de los conjuntos de objetivos de información, según Hill:
- Archivo: es simplemente un conjunto de datos, típicamente de contenido fijo, entendiendo como tal que no se permite que operaciones de escritura de E/S cambien la información.
Archivos activos y Archivos Profundos
- Archivo profundo: dícese de la definición clásica de archivo, donde la copia es hecha, removida de los archivos en línea y potencialmente transportada a un sitio externo. Este tipo de archivado es recomendado solamente si esté retiene algún valor para mitigar un riesgo futuro; ya que ¿cuál es el propósito de retener información sin valor, cuando puede ser borrado y dicho espacio reutilizado?
- Archivo activo: dícese de la definición moderna, donde las copias contienen información de producción, que independientemente de su edad o frecuencia de acceso, debe ser posibles poder ser recuperadas en línea. Este requiere de administración de archivo, concepto que engloba a los paquetes de software necesarios para manejar las políticas de retención y otras políticas de protección de los archivos.
A manera de contraste, los datos activos cambiantes no requieren de administrador, o mejor dicho, la administración es controlada directamente por la aplicación, la cual se encarga de las funciones de creación, actualización, lectura y borrado.
Requisitos de meta información de los archivos
- Propiedad (Ownership): creador, dueño, última actualización, organización, aplicación.
- Control de acceso (Access control): autenticación, listas de control de acceso, privilegios de listado, lectura y escritura.
- Cumplimiento / gobernanza (Compliance/governance): políticas de retención, fecha más próxima de borrado, quién tiene autorización para borrar.
- Identificación (Identificación): versión, códigos de identificación, relaciones entre y con otros objetos
- Proceso de control (Process control): información de flujo de trabajo, incluyendo procesos de aprobación.
Beneficios de migrar información desde el almacenamiento activo cambiante al de archivado
- Menos datos debe ser respaldos de forma regular, reduciendo el tiempo de respaldo así como mejorando la disponibilidad y el tiempo de acceso.
- Reducción del tiempo requerido para restaurar los datos del medio de respaldo.
- Reducción del tiempo de ejecución de las consultas globales de una base de datos.
- Disminución de la inversión en almacenamiento de alto desempeño.
Capítulo 7 – Conformidad: Una pieza clave del rompecabezas de GRC
- La respuesta compulsiva a un tercero autorizado, como el caso de un ente regulador gubernamental.
- Una respuesta voluntaria a una asociación de comercio o un cuerpo de una industria vertical con el propósito de adoptar prácticas comunes que faciliten la transacción a los clientes en oposición a utilizar una industria substituta.
- Una respuesta al mandato de un estándar industrial, por ejemplo el PCI DSS .
- Una respuesta intencional e la empresa para protegerse de litigios.
- Una respuesta voluntaria para seguir buenas prácticas con tal de proteger propiedad intelectual, como patentes o secretos de negocio.
Hay que tener en cuenta que la conformidad no es los mismo que la gobernanza, ya que esta última es mucho más general.
- Gobernanza: procesos y sistemas diseñados para asegurar la rendición de cuentas apropiada frente a la conducta de la compañía al realizar sus negocios.
Conformidad y protección de la información
Una manera de simplificar la concepción de la conformidad desde el punto de vista de protección de la información es dividiéndola en dos grandes áreas
- Lo que debe hacerse
- Preservar la información, saber que información se tiene, a dónde está y que las necesidades de reporte sobre dicha información pueden cumplirse dentro del plazo requerido.
- La calidad de la información debe ir de la mano con la preservación de la información: muchos negocios suelen tener problemas en ponerse de acuerdo en la definición de entidades básicas de información, lo cual acrecienta las dificultades para manejar la consistencia.
- La auditabilidad de la información es un nuevo objetivo de protección de la información.
- Lo que no debe hacerse
- Leyes de protección de la privacidad suelen establecer de forma compulsiva como no puede ser utilizada la información provista por los clientes de la organización, con el propósito de llevar otros negocios.
Objetivos principales de protección de la información en el contexto de la privacidad de datos
- Disponibilidad de la información / tiempo de respuesta de la información.
- Preservación de la información.
- Confidencialidad de la información.
El papel de la tecnología en la conformidad
- Muchas veces los sistemas de información traen a la existencia los procesos, incluyendo los procesos de conformidad. En otras palabras, software que lleva a cabo los comportamientos de acuerdo con las políticas, sean estas adoptadas o compulsivas.
- Software que facilitar la administración de los procesos de conformidad. La puesta en marcha de estos sistemas suelen ser una tarea que consume gran tiempo.
Capítulo 8 – Gobernanza: la última pieza en el rompecabezas de GRC
Aplicación de los principios de protección de la información a las responsabilidades de negocio de GRC
| Gobernanza | Administración del riesgo | Conformidad | |
|---|---|---|---|
| Propósito | Encontrar y poner a disposición los registros electrónicos legítimos disponibles. | Prevenir o minimizar los impactos sobre los procesos de negocio. | Conformar y consentir con las demandas apropiadas de terceros. |
| Información protegida | Los sistemas de TI y más allá. | Recuperación operacional y frente a desastres. | Un subconjunto de los sistemas de TI. |
| Objetivos de protección de la información | |||
| Preservación de la información | Prevenir la adulteración de la información. | Precisión y completitud para la continuidad del negocio. | Autenticación a través de la cadena de custodia para garantizar la auditabilidad. |
| Confidencialidad de la información | Limitar el acceso a los legítimos requirentes. | Prevenir el uso inapropiado por parte de terceros no autorizados. | Demostrar la disponibilidad como ha sido mandado. |
| Tiempo de respuesta de la información | Entregada en un formato apropiado y utilizable. | La información es provista en un tiempo apropiada para el usuario. | La información es provista para la auditoría en un tiempo apropiado. |
| Auditabilidad de la información | Verificar que la información no ha sido adulterada. | Solamente supervisión por parte de la administración. | Verificar que la información es correcta. |
| Conocimiento de la información | La conciencia acerca del contenido es mandatorio. | Típicamente la meta información de ficheros / base de datos. | En principio la meta información de ficheros / base de datos, con posiblemente alguna conciencia sobre el contenido, así como de la meta información de usuario. |
Es importante tener en cuenta la importancia del impacto de la legislación, en el caso norte americano y en otras legislaciones de origen inglés (common law) del impacto introducido por la Federal Rules of Civil Procedure (FRCP), introducidos en el año 2006.
- Define claramente a la información almacenada en medios electrónicos como “descubrible ”, en otras palabras, que debe ser puesta a disposición de las partes interesadas sobre la fase inicial de descubrimiento, de un litigio.
- El no hacerlos puede conllevar multas y sanciones substanciales.
- La interacción entre legislaturas de base romana (civil law) en las inglesas hacen necesario estar preparado en clase de litigios en las diferentes zonas.
- Reconocer que los sistemas deben poder manejar los requerimientos de poner la información de custodia (hold) así como los riesgos involucrados de no hacerlo.
