La situación que nos solemos encontrar entre las medianas y pequeñas entidades es la de no valorar la información de sus clientes y/o proveedores que tratan en sus sistemas de información, aunque dicho sistemas esté consituido por un sólo un servidor de datos y/o varios equipos informáticos que son utilizados por los/as trabajadores/as para desarrollar sus funciones según su puesto de trabajo.
Para los responsables de las pequeñas y medianas entidades lo primordial es aumentar el beneficio del negocio, sin ser conscientes que la información que manejan es muy valiosa.
Una pérdida de los datos de sus clientes y/o proveedores, motivados por un fallo en su sistema informático, o por un robo, o por cualquier otra causa, supondría sobretodo la pérdida del trabajo de varios años, una disminución de los beneficios, posibles reclamaciones de los clientes y otras consecuencias derivas de la gravedad de los motivos que han causado la pérdida.
No todo está perdido, existen soluciones, y una de ellas y muy importante es la realización de copias de seguridad de los datos, algunas entidades no son conscientes y no emplean tiempo en realizarlas. Saben que existen, pero no les dan la importancia que se merecen.
Desde la experiencia como consultores en materia de protección, nos hemos encontrado con entidades que no realizan copias de seguridad bien por falta de tiempo, por dejadez, por que piensan que nada les puede pasar que sus datos están a salvo.
Algunas de ellas tratan con datos especialmente protegidos y de nivel de seguridad alto, según la LOPD, o bien no realizaban copias de seguridad, o la realizaban «cuando se acuerdan», una vez cada año, algo impensable, en este tipo de entidades.
Echamos mano de la normativa: el art. 94 del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de protección de datos de carácter personal, obliga a toda organización que trate o maneje datos de carácter personal a establecer procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
Por otro lado, el apartado 2 del mismo art. 94 del Real Decreto 1720/2007, establece procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. Es decir, establecer un prodecimiento de verificación de que las copias de respaldo se están realizando correctamente, y tendrán la facultad de reconstruir el sistema de información en el momento previo a la incidencia.
Y para más seguridad, la normativa obliga a cumplir con otro requisito, y es verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de copias de respaldo y de recuperación de los datos, dejando constancia de esa verificación por el personal que la lleve a cabo en la organización.
Para entidades que traten y almacenen datos personales de nivel alto como son datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, deberán conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan.
Desde OZONIA, recomendamos la importancia de realizar copias de seguridad como mínimo una vez a la semana y por duplicado, una en el servidor de los datos, y otra en un soporte externo, siendo éste último almacenado con las medidas de seguridad correspondiente, como por ejemplo bajo llave en un armario.
Si algún día llega el momento de hacer uso de ellas descubrirás que el tiempo y dinero invertido en esa correcta política de copias de respaldo ha quedado más que rentabilizado.