Por Jaime Mendoza Waldo 
- El riesgo de una violación en datos no estructurados es mucho mayor
Ciudad de México junio de 2018.- De acuerdo a Commvault (NASDAQ: CVLT), el líder global en respaldo, recuperación, almacenamiento y nube para empresas, la violación de datos es un tema cada vez más recurrente y tarda un promedio de 250 días para ser identificado por las empresas y otros 105 días son necesarios para que la fuga se contenga después de haber sido reconocida. Estos números fueron presentados por la investigación “Estudio de costos del ciber crimen 2017”, realizada por el Instituto Ponemon.
Este tiempo se debe a que muchas empresas no saben en dónde están sus datos, y aunque sean conscientes de su importancia, no toman ninguna medida para cambiarlo. Esto está relacionado con el tipo de datos que las empresas utilizan: datos no estructurados – archivos, medios y documentos – y datos estructurados.
“La diferencia entre los dos está no tanto en el almacenamiento, sino al tipo de análisis de cada uno. Mientras que los datos estructurados son almacenados en una base de datos y son más fácilmente analizados, los datos no estructurados son almacenados fuera de ella y su análisis está en desarrollo. A pesar de que el 80% de todos los datos almacenados de una empresa pertenecen a esta segunda clasificación, los datos no estructurados son más difíciles de identificar y gestionar porque pueden presentar un punto ciego que es difícil de controlar”, señaló Agustín Palacios, director de Commvault para México y Latinoamérica Hispana
Por lo tanto, el riesgo de una violación en datos no estructurados es mucho mayor. Otros factores pueden agravar el problema, como la variedad de ubicaciones en donde se pueden almacenar y el gran número de aplicaciones que interactúan con ellos.
En esta 12va ocasión en que se realiza la investigación, se observó otro aumento en el registro de violaciones de datos. Esto deja a los gobiernos alrededor del mundo en alerta para aprobar leyes pensadas en proteger a los ciudadanos contra el robo de datos. Un ejemplo de esto es el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) que entró en vigor el 25 de mayo en la Unión Europea.
Por eso es importante saber con qué datos se cuenta, en dónde están, sus contenidos y analizar todos los datos no estructurados, incluso en notebooks y en la nube. Con esto los datos pueden ser protegidos, retenidos para uso o descartados apropiadamente. Lo que significa que podrá atender al periodo aparentemente imposible de 72 horas de notificar de una violación de GDPR.
En cambio, la exigencia de muchos administradores de datos o DBAs, al uso de herramientas de respaldo que no forman parte de los estándares corporativos y el uso de scripts personalizados, complicarán la administración de aplicaciones y, en consecuencia, su protección. Los DBAs todavía pueden hacer sus propias copias de bases de datos fuera de los procesos de desarrollo normales, lo que ya es una violación al GDRP. Si esta copia llega a un depósito de almacenamientos en nube inseguro (como ya ha ocurrido muchas veces en los últimos años), los datos estarán nuevamente con un alto riesgo de violación.
“Las políticas de seguridad deben tener una ejecución automatizada por medio de tecnología en vez de manualmente, aunque bien fundamentadas. Eso lleva a una recuperación rápida y puede ayudar a atender los requisitos de disponibilidad y resilencia del GDPR. Además, si el software está en condiciones de encriptar y desplazar los datos relevantes donde sea necesario, replicará en su configuración de seguridad, minimizando aún más el potencial de una violación de datos”, finalizó Palacios.