OpiniónSeguridad

¿Va a causar GDPR un apocalipsis para el backup?

Iván Abad, Technical Services Manager de Commvault.

Tras actualizar sus políticas de privacidad y peticiones solicitar o renovar el consentimiento de sus usuarios, las empresas han empezado a hablar sobre qué ocurre con las "otras" copias de sus datos.

¿Copias? ¿Qué copias? Pues todas las copias secundarias, como por ejemplo:

  • Aquellas de snapshots en la nube o en la cabina de almacenamiento
  • Las copias que se replicaron a un sitio B para recuperación ante desastres
  • Las copias “sandbox” que se dieron a los desarrolladores para que jugaran y probaran
  • Esa copia que hay en el ordenador portátil de aquel día que decidió trabajar desde casa
  • Esas que se hicieron automáticamente porque así se había establecido en la política de backup
  • Las que están guardadas en cinta porque quiere mantener todo para siempre

Puede que nunca le haya merecido la pena rastrear todas estas copias redundantes, ya que el riesgo era bajo y el almacenamiento barato, pero los tiempos han cambiado. 

La policía del GDPR

¿Qué ocurre si la policía de la nueva regulación general para la protección de datos llama a la puerta? Bueno, en realidad no hay ninguna policía del GDPR pero sí que hay autoridades con capacidad de auditoría que pueden imponer a la empresa sanciones graves.

Por tanto, cuando una persona ejerce su derecho al olvido es cuando empieza el reto de verdad. ¿Se sabe dónde están sus datos? Quizá estén en una localización primaria como el centro de datos, pero puede que también estén en varias de las copias que he comentado antes. ¿Qué puede hacer usted? ¿Tiene visibilidad sobre todas esas copias? ¿Puede encontrar datos en las mismas y eliminarlos sin comprometer las capacidades de recuperación u otras normativas? ¿Qué ocurre si intenta borrar los datos pero éstos reaparecen en otro evento de recuperación?

Relax…

La Oficina del Comisionado de Información (miembro de la Junta Europea de Protección de Datos, EDPB) ha indicado que si se puede demostrar que los datos están más allá del uso normal (como en una copia de seguridad), las organizaciones pueden considerar que eliminar datos de backup va más allá de la solicitud de borrado. Por supuesto, la empresa debe tener un proceso documentado, con resguardos para garantizar que esto se cumpla y que los datos en cuestión no se van a recuperar para el procesamiento activo nuevamente.

GDPR aporta nuevas razones al backup

GDPR significa que las decisiones sobre la eliminación de copias de seguridad, la retención de las mismas y la forma de administrar los escenarios de recuperación de datos requieren una consideración muy cuidadosa y una revisión periódica. Si su software de backup le permite encontrar los datos en cuestión y puede eliminarlos de la copia de seguridad, antes de hacerlo debe asegurarse de que la política legal de su empresa lo permite.

Esto se debe a que las investigaciones criminales y muchas otras leyes y reglamentaciones tienen prioridad sobre GDPR, por lo que las copias de seguridad podrían proporcionar respaldo por una nueva razón.

En última instancia, administrar mejor sus datos primarios reducirá los riesgos relacionados con la copia de seguridad y la retención, y solo estableciendo un perfil de los datos que tiene y estableciendo políticas en consecuencia, puede mejorar su posición.

Para terminar, algunas consideraciones:

  • Si tiene que "volver a olvidar" los datos personales, podría alargar sus SLA de recuperación
  • El software de backup que se integra con el software de servicios de escritorio, como Commvault lo hace con ServiceNow, Jira y Remedy, ayudará a administrar y registrar estas acciones.
  • Procese rápidamente solicitudes de derecho al olvido: si el tiempo de retención de la copia de seguridad más el tiempo que lleva eliminar los datos es menor que el tiempo establecido para operar todo el proceso de "olvido", su riesgo se reduce enormemente
  • Automatice la caducidad y la limpieza de los datos de desarrollo y prueba, pero preferiblemente, anonimícelo.
  • No se concentre solo en las aplicaciones: los datos no estructurados y los ordenadores portátiles probablemente representen del 70 al 80 por ciento de sus datos y aún contengan grandes cantidades de datos personales / PII.
  • Archive más: la retención más corta de la copia de seguridad, combinada con el archivado según contenido y la indexación del contenido, supondrá que puede manejar las solicitudes de olvido de manera mucho más efectiva.
Computing 788