Idioma

Español
Português
English

Almacenamiento seguro de la información en la era de los datos como activo

El almacenamiento y la gestión de la información se encuentran al borde de un cambio generacional impulsado tanto por las demandas de los consumidores como por las de los reguladores. Se trata de una transformación inevitable y fundamental de una visión de las estructuras tecnológicas centrada en las aplicaciones a otra centrada en los datos. Por todo esto, la capacidad de una organización para almacenar, gestionar, integrar, gobernar, proteger y hacer circular la información y los datos de múltiples flujos es una clave fundamental para que las organizaciones se diferencien en términos de eficiencia operativa.

La información como activo de la empresa

En 1975, alrededor del 83% del valor de una empresa se explicaba por su valoración tangible. El escenario ha cambiado radicalmente, y ahora cerca del 90% de la valoración de una organización puede contabilizarse por sus activos intangibles: marca, propósito e información, entre otros.

Frases como “los datos son el nuevo petróleo” o “el recurso más valioso ya no es el petróleo, sino los datos” resuenan constantemente ante el hecho de que en 2023 se generarán alrededor de 103 zettabytes de datos en todo el mundo, cantidad que en 2025 se elevará a los 163 zettabytes. Según estas cifras de la consultora IDC, el volumen de datos que se generará en los próximos tres años será superior al creado en los últimos treinta.

IDC insiste en que la mayoría de las empresas gestiona datos que crecen a un ritmo del 40% anual y que, además, la variedad de datos estructurados y no estructurados que manejan las organizaciones también ha aumentado.

Crear en la medida de lo posible una única fuente de datos y hacerla accesible para la organización es donde el almacenamiento y la gestión de la información corporativa ocupan un lugar central de cara a la eficiencia organizacional, los resultados económicos y el cumplimiento de los estándares regulatorios.

En este contexto, las organizaciones que sepan sacar provecho de la madurez en el almacenamiento y gestión de su información podrán obtener amplias ventajas competitivas. Si todo esto es cierto y los datos son potencialmente uno de los activos más valiosos de las organizaciones, deben tratarse como tal invirtiendo en su conservación, custodia y gestión.

Si los datos son uno de los activos más valiosos de las empresas, deben tratarse como tal invirtiendo en su conservación, custodia y gestión.

 

Cómo hacer una correcta clasificación de la información

 

La clasificación de datos es un paso crítico para su almacenamiento y gestión. Permite que las organizaciones identifiquen el valor comercial de los datos no estructurados, separen la información valiosa de la de menor valor y tomen decisiones informadas sobre la asignación de recursos para proteger los datos del acceso no autorizado.

Las herramientas de clasificación se pueden utilizar para mejorar el tratamiento y manejo de datos confidenciales y promover una cultura de la seguridad que aumente la conciencia sobre la confidencialidad de la información y evite el almacenamiento de contenido confidencial en medios extraíbles o portales web de terceros. 

Una clasificación de datos exitosa impulsa los controles de seguridad aplicados a un conjunto particular de datos y puede ayudar a las organizaciones a cumplir con regulaciones como el RGPD.

Pasos para una clasificación de datos efectiva:

La clasificación de datos es la base de cualquier esfuerzo para garantizar que los datos confidenciales se manejen de manera adecuada, pero muchas organizaciones no logran establecer el enfoque correcto. Esto conduce a implementaciones que se vuelven demasiado complejas y no producen resultados prácticos. Estos son algunos pasos a seguir para lograr el objetivo.

1. Completar una evaluación de riesgos de datos confidenciales que garantice una comprensión clara de los requisitos de privacidad y confidencialidad reglamentarios y contractuales de la organización. 

2. Desarrollar una política de clasificación formalizada con no más de tres o cuatro categorías de clasificación. Las políticas y los procedimientos deben estar bien definidos, alineados con la sensibilidad de los tipos de datos específicos y deben ser fáciles de interpretar por los empleados.

Por ejemplo:

1.    Información pública: 

·      Datos que pueden ser divulgados libremente al público

·      Elementos de marketing

·      Información del contacto

·      Lista de precios

 

2.    Información interna:

·      Datos internos no destinados a divulgación pública

·      Manuales de ventas

·      Organigramas

 

3. Información confidencial:

·      Datos confidenciales que, si se ven comprometidos, podrían afectar negativamente las operaciones

·      Elementos de marketing

·      Información del contacto

·      Lista de precios

 

4. Información restringida:

·      Datos corporativos altamente confidenciales que, si se ven comprometidos, podrían poner en riesgo financiero o legal a la organización

·      IP

·      Información de tarjeta de crédito

·      Números de Seguridad Social

Cada categoría debe detallar los tipos de datos incluidos, junto con las pautas para gestionar los datos y los riesgos potenciales asociados con el compromiso.

3. Categorizar los tipos de datos para determinar qué clases de datos confidenciales existen dentro de una organización puede presentar desafíos. Se trata de un esfuerzo que debe organizarse en torno a los procesos comerciales e impulsado por los propietarios de los procesos. 

4. Catalogar la ubicación de los datos. Tras establecer los tipos de datos de la organización, es importante tener claro todos los lugares donde se almacena la información electrónicamente. 

5. Identificar y clasificar la información para protegerla. Las infracciones relacionadas con la ausencia de protección a la información sensible implican elevados costes en multas. La información sobre esos costes potenciales asociados a los conjuntos de datos permitirá establecer expectativas sobre el coste que tiene protegerlos y qué nivel de clasificación debe establecerse.

6. Establecer medidas de ciberseguridad de referencia y definir controles basados en políticas para cada etiqueta de clasificación de cara a garantizar que se implementen las soluciones adecuadas. Los datos de alto riesgo requieren niveles de protección más avanzados, mientras que los datos de menor riesgo requieren una menor protección. 

7. Supervisar y mantener el sistema de clasificación de datos de la organización, realizando actualizaciones según sea necesario. Las políticas de clasificación deben ser dinámicas y debe establecerse un proceso de revisión y actualización que involucre a los usuarios para alentar la adopción y garantizar que su enfoque continúe satisfaciendo las necesidades cambiantes del negocio.

La clasificación garantiza que los datos confidenciales se manejen de manera adecuada, pero muchas organizaciones no logran establecer el enfoque correcto.

 

Diferentes opciones de almacenamiento de la información

 

Existen dos tipos generales de almacenamiento: almacenamiento de conexión directa (DAS, por sus siglas en inglés) y almacenamiento conectado a la red (NAS, por sus siglas en inglés), así como múltiples dispositivos que encajan en cada una de estas categorías, cada uno con sus propias ventajas e inconvenientes:

 

Almacenamiento de Conexión Directa (DAS)

 

Como su nombre podría sugerir, el almacenamiento adjunto directo (DAS) incluye tipos de almacenamiento de datos físicamente conectados a un ordenador y generalmente solo accesible para una sola máquina: unidades de disco duro, unidades de estado sólido (SSD), unidades de CD/DVD o unidades flash.

Las soluciones DAS resultan adecuadas para crear copias de seguridad locales y pueden ser más asequibles que las soluciones NAS, pero compartir datos entre sistemas resulta incómodo.

 

Almacenamiento conectado a la red (NAS)

 

Permite que múltiples sistemas compartan el almacenamiento a través de una red que aporta el beneficio de centralizar la información y mejorar la colaboración. Los datos se pueden compartir fácilmente entre las máquinas y dispositivos conectados, y los niveles de permiso se pueden configurar para controlar el acceso. Si bien las soluciones NAS tienden a ser más costosas que las soluciones DAS, siguen siendo muy asequibles, ya que la tecnología de almacenamiento ha avanzado significativamente.

Las soluciones DAS resultan adecuadas para crear copias de seguridad locales y pueden ser más asequibles que las soluciones NAS, pero compartir datos entre sistemas resulta incómodo.

 

Cómo evitar/reducir la pérdida de información y su recuperación

La seguridad de los datos es cada vez más relevante. A medida que se afianza la transformación digital, prácticamente todas las empresas tienen en sus manos datos confidenciales sobre clientes, empleados y proveedores. Las brechas de seguridad no solo pueden permitir que los piratas informáticos obtengan acceso a esa información, sino que las medidas de seguridad y capacitación deficientes podrían hacer que la organización perdiese datos.

Cuando se trata de prevenir la pérdida de datos en una empresa, debe adoptarse un enfoque múltiple y mantenerlo activamente de forma regular. Para mejorar la seguridad de los datos, es importante seguir una serie de pasos.

El primer paso para evitar la pérdida de información es realizar un barrido de datos, evaluar su tipología y nivel de confidencialidad y asegurarse de que la protección de los datos se realiza de acuerdo a las regulaciones gubernamentales.

Asimismo, es vital que todas las empresas que mantienen datos confidenciales dispongan de un plan de recuperación ante desastres. Esto debe incluir instrucciones sobre cómo hacer una copia de seguridad y cifrar los datos, incluir políticas de seguridad para todos los dispositivos y describir los pasos a seguir en caso de una violación de datos.

No debe tratarse solo de un plan que describa cómo reaccionar ante la pérdida de datos, sino que también debe incluir todas las medidas preventivas a tomar en el caso de que esto ocurra:

·      Disponer de datos de respaldo

·      Recurrir al cifrado de datos

·      Proteger la información confidencial con sistemas de contraseñas seguras

·      Utilizar software antivirus y protección contra malware

·      Disponer de planes ante sobrecargas de energía

·      Recurrir a parches de software y actualizaciones

·      Mantener los equipos y registros

·      Formar y capacitar a los empleados 

·      Establecer políticas de restricción de accesos

vital que todas las empresas que mantienen datos confidenciales dispongan de un plan de recuperación ante desastres que describa cómo reaccionar ante la pérdida de datos.

 

Normativa de protección de datos

 

La Unión Europea cuenta con un instrumento de protección de los datos personales altamente garantista para los ciudadanos: el Reglamento General de Protección de Datos, que actúa como pilar del empoderamiento de los ciudadanos y del enfoque de la UE para la transición digital.

El RGPD, en aplicación desde mayo de 2018, ocupa un lugar central en el marco de la UE para la garantía del derecho fundamental a la protección de datos. El RGPD refuerza las salvaguardias, aporta a los particulares derechos adicionales y más sólidos, proporciona una mayor transparencia y garantiza que todos aquellos que tratan datos personales en el ámbito de su aplicación deban rendir más cuentas y tengan una mayor responsabilidad. 

El RGPD es un componente importante del enfoque tecnológico centrado en las personas y una guía para el uso de la tecnología en las dos transiciones, la verde y digital, que caracterizan la elaboración de políticas de la UE. 

En una economía basada cada vez más en el tratamiento de datos, incluidos los datos personales, el RGPD es una herramienta para garantizar que los particulares tengan un mayor control sobre sus datos personales y que estos datos se traten con fines legítimos, de una manera lícita, justa y transparente. 

El incumplimiento del RGPD trae consigo una serie de multas y sanciones muy gravosas para las organizaciones. Un correcto almacenamiento y gestión de la información es garantía de su cumplimiento, evitando así las sanciones al tiempo que se contribuye al objetivo mayor especificado por la UE como protección a los ciudadanos. 

El incumplimiento del RGPD implica una serie de multas y sanciones muy gravosas que un correcto almacenamiento y gestión de la información evitaría.

 

Borrado seguro de información

 

El borrado de datos seguro es un procedimiento que hace irrecuperable la información almacenada en un disco duro o unidad de memoria extraíble. Para lograr este borrado de datos se aplican una serie de algoritmos que borran y sobrescriben los archivos del disco duro o memoria varias veces, de manera que estos no puedan ser recuperados, ni siquiera utilizando herramientas específicas para ello.

Es importante señalar que eliminar un archivo o documento del ordenador o una unidad externa enviándolo a la papelera y vaciándola, o recurrir a un formateo estándar de una unidad de disco, no son métodos de borrado seguro de disco duro. En estos procedimientos, la información realmente no se borra, sino que el espacio que ocupaba queda libre para volver a escribir sobre él, de manera que hasta que ese espacio no es sobrescrito, la información que supuestamente ha sido eliminada puede recuperarse empleando determinadas herramientas.

Estos son algunos de los métodos de borrado seguro: 

Destrucción física: Consiste en destruir físicamente cualquier soporte de almacenamiento (sea este digital o físico), evitando así cualquier posibilidad de recuperación de la información. Existen diferentes métodos de destrucción física: desintegración, pulverización, fusión e incineración. Cualquiera de ellos tiene como fin destruir completamente el soporte de almacenamiento y se lleva a cabo en lugares autorizados para ello, donde la destrucción se hace forma segura y eficaz.

Trituración: Este método se emplea para destruir papeles o soportes de almacenamiento flexibles. Es imprescindible que el tamaño de los fragmentos sea lo suficientemente pequeño como para que resulte imposible la recuperación de la información.

Desmagnetización: Mediante esta técnica, al exponer los soportes de almacenamiento (discos duros, unidades de memoria externa, DVDs, etc.) a un potente campo magnético se eliminan los datos almacenados en ellos. Dependiendo del tamaño, forma y tipo de soporte magnético usado, la potencia necesaria para borrar los datos también varía.

Sobreescritura: Este método consiste en escribir un patrón de datos sobre los datos contenidos en un soporte de almacenamiento digital. Para garantizar el borrado y formateo seguro de los datos, es necesario sobreescribir la totalidad de la superficie de almacenamiento. Este método de borrado seguro no puede utilizarse en discos que tengan partes dañadas, ni en CD ni DVDs regrabables. En el caso de los discos duros SSD, existen estudios que demuestran que es posible recuperar información de los chips de memoria, por lo que no sería enteramente recomendable usarlo en ellos.

Es importante señalar que, salvo la sobreescritura, los otros dos métodos de borrado seguro de datos dejan inservible el dispositivo, por lo que no puede volver a utilizarse.

Destrucción física, trituración, desmagnetización y sobreescritura son los métodos más relevantes para un borrado seguro de la información.

 

Conclusiones

·      La capacidad de una organización para almacenar, gestionar, integrar, gobernar, proteger y hacer circular la información y los datos de múltiples flujos es una clave fundamental para que las organizaciones se diferencien en términos de eficiencia operativa. 

 

·      Crear una única fuente de datos y hacerla accesible para la organización es donde el almacenamiento y la gestión de la información corporativa ocupan un lugar central de cara a la eficiencia organizacional, los resultados económicos y el cumplimiento de los estándares regulatorios.

 

·      Las organizaciones que sepan sacar provecho de la madurez en el almacenamiento y gestión de su información podrán obtener amplias ventajas competitivas.

 

·      Es vital que todas las empresas que mantienen datos confidenciales dispongan de un plan de recuperación ante desastres.

 

·      Una clasificación de datos exitosa impulsa los controles de seguridad aplicados a un conjunto particular de datos y puede ayudar a las organizaciones a cumplir con regulaciones como el RGPD.

 

·       El incumplimiento del RGPD trae consigo una serie de multas y sanciones muy gravosas para las organizaciones. Un correcto almacenamiento y gestión de la información es garantía de su cumplimiento, evitando así las sanciones al tiempo que se contribuye al objetivo mayor especificado por la UE como protección a los ciudadanos.

 

Gestión documental y custodia de Adea

La gestión integral de grandes volúmenes de documentos e información requiere de una gran infraestructura física y tecnológica y una larga experiencia en esta tarea. Gracias a una superficie superior a 100.000 m2 de instalaciones de custodia, las soluciones tecnológicas más avanzadas y más de 20 años de experiencia en el sector, Adea cuenta con una infraestructura tecnológica y física capaz de asumir la gestión end-to-end de los documentos y contenidos de una organización, ofreciendo a sus clientes la gestión integral de los documentos, contenidos y procesos con todas las garantías. 

En Adea ofrecemos:

·      Gestión y custodia segura de archivos físicos (papel, soportes magnéticos, etc.) y cualquier formato digital.

·      Una plataforma tecnológica de gestión, publicación y control del flujo de contenidos.

·      Cumplimiento de normativas de seguridad de datos implícito en la plataforma.

·      Interfaz de consulta y meta-etiquetado fácil e intuitiva.

·      Seguridad y trazabilidad de documentos y contenidos.

·      Fácil integración con repositorios externos de datos.

·      Recuperación rápida de cualquier información o documento independientemente de su ubicación.

·      Gestión del ciclo de vida del documento y destrucción segura gestionada por la plataforma.

Adea.es

Related articles

Casos de usos de la Customer Service Automation

La atención al cliente ha evolucionado mucho en muy poco tiempo, con máximas irrenunciables como su carácter constante y directo. Ya no existen horarios de atención y los errores en la gestión de incidencias se pagan con fugas de clientes.

File management: how to meet the challenge through automation

Records and their management constitute a very specific case within the field of document management. In essence, a file is composed of an ordered set of documents related to each other by the subject and, in many cases, they carry out an evidentiary function.

The automation of comprehensive Human Resources management

Human Resources (HR) departments have evolved a lot in recent years. Gone is the time when it was limited to being an administrative area of companies that did not provide greater value to the organization than managing employee payroll. The HR Department has been incorporating new functions and a much wider technological base, relying on data to manage and retain the talent of employees who are the main asset of any organization. It's time for comprehensive human resource management.

Tips to improve document management in your company

There are numerous studies that determine that an employee can spend half an hour a day of their working day looking for the information they need to perform their tasks. The solution to address this problem lies in an appropriate document management strategy.

Onboarding digital de clientes en el sector Seguros

El mundo de los Seguros ha cambiado radicalmente. Si hace años era inconcebible contratar una póliza de seguros sin estar cara a cara con el agente, hoy en día la mayor parte de las contrataciones se realizan de manera electrónica. Los consumidores demandan cada vez más una experiencia totalmente digital.

Casos de uso de RPA en instituciones judiciales en la Administración Pública

España es un país con una litigiosidad muy alta y, por tanto, se perfila como un escenario ideal para aprovechar las bondades de las tecnologías RPA (Robotic Process Automation) y la Inteligencia Artificial (IA). La cantidad de procesos y gestión de documentos que intervienen en la Justicia abre la puerta a un margen de mejora de la eficiencia muy amplio.

Hyperautomation and the banking sector: the logic of a relationship that is transforming finance

According to consultancy firm PWC, nearly 81% of banking CEOs are concerned about the speed of technological change. The banking sector has found in process automation a way to reduce costs and times, as well as to increase efficiency while maintaining the highest levels of security.

Hiperautomatización del conocimiento: hacia una transformación tecnológica del sector legal

El legal es uno de los sectores más lentos a la hora de adoptar las innovaciones que la transformación digital implica. Pese a su apego a lo analógico, los bufetes de abogados y los despachos jurídicos de hoy saben que necesitan innovar para seguir siendo competitivos y relevantes en su área de acción.

Things to consider when storing important documents

A company's most valuable asset, after its workforce, is information. Thanks to it, it operates, designs its strategy, reacts to a changing economic environment and generates value in order to be competitive. However, the great challenge for any organization is to deal with the storage of all that information, whose volume is growing exponentially day by day.

Automation of claims in insurance companies

The pandemic caused many consumer habits to turn to the digital world, with e-commerce or audiovisual content platforms as their greatest exponent. The insurance sector has been no exception and, in fact, it is estimated that at least 60% of claims management is already carried out digitally. This growth represents 45% compared to what had been recorded in the pre-pandemic period.

Ronda de Poniente Street, 14, 28760, Tres Cantos, Madrid.

Language
English
Services
CustodyDigitalization and dataDocument managementAutomation
Find out more
What we achieveWhat makes us differentAbout AdeAContactblog
Policies
Vendor Management PolicySGI PolicyCSR Policy
Legal
Code of ConductComplaints channelLegal conditionsEnvironment and sustainability
© 2025 AdeA. All rights reserved
Privacy Policy · Cookie Policy