PROTECCIÓN INTELIGENTE DE LA INFORMACIÓN EMPRESARIAL

2 de diciembre del 2006 | por Martha Olavarrieta

Los principales retos a los que se enfrentan actualmente las empresas, en relación a la protección de datos, son el poder recuperar la información almacenada y el cumplimiento regulatorio, motivo por el cual las organizaciones que se dedican a la Tecnología de la Información están siendo requeridas cada vez más en sus diferentes áreas de negocio.

José Luis Martínez, Gerente Regional Senior para EMC en América Latina comentó que «para llevar a cabo una protección inteligente de la información que se genera dentro de las empresas, es necesario diseñar procesos para su almacenamiento, recuperación y archivado, de tal forma que se realicen a través de plataformas que provean diferentes niveles de servicio, todo de acuerdo con cada aplicación y la política de la empresa, para ayudar a reunir el grado de disponibilidad que se necesita, mientras que se extrae mas valor para el negocio y asegurando el cumplimiento de requerimientos legales de disponibilidad y almacenamiento de la información».

Cumplimiento regulatorio

Este tema es muy amplio ya que cubre diversas actividades como lo son preceptos legales (observancia), cumplimientos por Industria (Farmacéutica, Energética, etc.), gobierno corporativo, e-discovery (documentos e investigaciones desarrolladas en línea) y soporte a litigaciones. La tecnología debe de ser capaz de responder a las solicitudes de información y esto debe de ser dentro del margen de los tiempos requeridos. Dar una adecuada estrategia de cumplimiento legal, incluye funciones de la administración del Ciclo de Vida de la Información -ILM por sus siglas en ingles- así como el archivado de la información en disco para una retribución eficiente y utilizando políticas para movilizar los datos a largo plazo con capacidades de retención.

Valor del Negocio

Cada vez son más y más los datos que son almacenados en disco ya que es todo el cúmulo de la información que se genera dentro de una empresa. El valor de estos datos como el de la información corporativa puede ser inmensa en un negocio. El valor de la información, se encuentra en bases de datos (estructurados), en sistemas de correo electrónico (datos semi-estructurados) y archivos generales -Procesadores de Palabras, Hojas de cálculo, Presentaciones- (datos no estructurados). Si se administran inteligentemente los datos valiosos de la empresa se necesitará hacer una clasificación de la información, para entender el valor de los archivos de manera individual, y estos a su vez puedan ser protegidos, archivados y retenidos por el personal autorizado así como por el corporativo.

Protección inteligente de datos a largo y corto plazo

El almacenamiento en capas es la solución para administrar los datos almacenados, ubicando los datos en un dispositivo óptimo, el cual se basa en el valor de los datos , retribución y requerimientos de retención a través del ciclo de vida de la información. Los archivos individuales son tratados de distinta manera de acuerdo a su contenido, aplicación asociada, etapa de vida, requerimientos regulatorios y del valor del negocio. La organización TI también necesita ver diferentes requerimientos para la recuperación operacional, recuperación en caso de desastres y archivado. La mayoría de las peticiones para la recuperación son para los archivos que han sido eliminados o alterados (recuperación operacional) y ha sido protegida en las últimas 24 a 48 horas; estos datos deben ser guardados en disco para una rápida recuperación. Las estrategias del almacenamiento a largo plazo son para recuperación en caso de desastres y archivado de datos que deben ser protegidos y accesibles para largos períodos de tiempo, pero no requerirá de acceso inmediato de usuario.

Mantenga 72 horas de datos importantes en un disco

La operación puede requerir hacer una recuperación de archivos individuales, eliminados o alterados y con este fin se debe contar con datos respaldados, normalmente los datos que se requieren recuperar deben tener menos de 72 horas de haber sido respaldados, que puedan ser accedidos de forma rápida y segura. Para cumplir con este fin, existen tecnologías de almacenamiento de respaldos en disco que sirven como resguardo primario por lo menos 72 horas. Esto reducirá drásticamente los tiempos de recuperación. Una vez que los datos envejecen pueden ser transferidos a un sistema de almacenamiento de costo más bajo, ya sea en línea o fuera de línea dependiendo de sus necesidades, origen y nivel de acceso requerido.

Reduzca el objetivo del punto de recuperación

La mayoría de las compañías respaldan intervalos de 24 horas, pero este horario puede llevar a un equivalente a el valor de 24 horas perdidas. Aquí es donde las tecnologías de «snapshot» (sistemas de generación de imágenes de la información) entran con su habilidad para restaurar la información a puntos en tiempo anteriores. Dependiendo del origen de la información, los snapshots pueden llevar el objetivo del punto de recuperación a casi cero a través de nuevas tecnologías proporcionando protección continua. No todas las aplicaciones necesitan este nivel de recuperación y para algunos, contar con información respaldada hace 24 horas es perfectamente aceptable.

Utilice el disco como objetivo inicial

Algunas compañías han adoptado librerías virtuales en cinta, las cuales tienen la ventaja de respaldar a velocidades basadas en disco sin tener que cambiar los procedimientos de la cinta de respaldo, políticas y aplicaciones. Sin embargo, las librerías virtuales en cinta almacenan imágenes en cinta, lo cual impacta negativamente a la recuperación de archivos individuales. Si se hacen cambios al respaldo original del disco, eso tomaría una inversión inicial de tiempo y dinero, pero las ventajas de recuperar los datos ante cualquier inconveniente momentáneo serían enormes.

Recuperación en caso de desastre

El corporativo TI debe desarrollar procedimientos de recuperación en caso de desastre, de acuerdo al valor de los datos y de los requerimientos de los cumplimientos legales. Los datos críticos puedes ser replicados a un sitio de recuperación en caso de desastre o en lugar de respaldo, que pueda ser transferido físicamente en intervalos frecuentes. Cualquiera que sea el medio, la operaciones de recuperación en caso de desastres deben ser iguales al tiempo de recuperación de datos. Los datos podrían ser reparados en más de 24, 48 o hasta en 72 horas sin consecuencias, pero algunos de los datos deben ser inmediatamente reparados. TI debe saber exactamente donde se encuentra la copia de datos más importantes y estar alineados al 100% con las necesidades de operación del negocio.

Agregue archivos a la recuperación en caso de desastre

Hasta los grandes negocios han utilizado históricamente los respaldos como archivo. Sin embargo, las aplicaciones de respaldo y recuperación no son un método razonable para retención a largo plazo y no proveen un mecanismo de fácil acceso a los datos en operaciones posteriores. El respaldo y la recuperación son para recuperar archivos individuales, directorios o volúmenes en caso de una corrupción de los datos de operación. Los archivos son datos que por su ciclo de vida ya no se requieren en la operación diaria, sin embargo deben ser accesibles como datos históricos.

Martínez aseveró que «recientemente un popular banco de inversiones experimentó el costo de utilizar cintas de respaldo como archivos. El banco de inversión falló repetidas veces para recuperar correos electrónicos en respuesta a un requerimiento legal. Los correos electrónicos requieren una búsqueda a través de miles de cintas. Esto es suficientemente malo, pero después que los ejecutivos de TI insistieran que han buscado todas sus cintas, los empleados han cambiado tres diferentes reservas de respaldo en tres diferentes lugares sin poder recuperar los correos electrónicos solicitados exitosamente. El juez no lo encontró divertido y los multó con
más de un millón de dólares por la falla en la búsqueda.»

Mejores practicas para la empresa

1. Clasificar los datos para establecer las políticas de administración de la información basada en requisitos de un nivel de servicio. La clasificación incluye tiempos de recuperación en el caso de desastre, periodos de retención y frecuencia con que se deben hacer los respaldos.

2. Separe los conceptos de respaldo y recuperación del archivo. Utilice el respaldo y recuperación para la recuperar su información en caso de desastre y recuperación operacional; el archivado para la administración del ciclo de vida, períodos de retención, descubrimiento y cumplimiento de la ley.

3. Entienda claramente cuales son los requisitos del cumplimiento con la ley – gobierno, industria, gobierno corporativo y litigación. La mayoría de las empresas deben de estar preparadas para todos estos tipos de casos y el corporativo TI debe desarrollar estrategias para la administración de almacenamiento alrededor de diferentes requisitos del cumplimiento de la ley y descubrimientos de movimientos.

José Luis Martínez enfatizó que «es importante entender los requisitos de las líneas de negocios, la organización TI, el consejo general, y la seguridad corporativa. Una evaluación exitosa, su planeación y uso permitirán a la empresa desarrollar un sistema de protección de datos proactivo y que cumpla cabalmente con los requerimientos de la empresa. Esta solución permitirá a la compañía no solo sobrevivir los retos que trae consigo la administración de los datos, como la pérdida y amplio descubrimiento de movimientos, sino también administrar estratégicamente la información para un aumento de beneficios”.