Consideraciones esenciales para desarrollar una política de retención de datos

Cualquier discusión sobre retención de datos inevitablemente incluye un factor legal, lo que hace que sea un tema que los profesionales de TI tienden a evitar o del que se alejan. Frankmente, nadie puede culparlos, ya que las decisiones sobre qué datos pueden eliminarse tienen implicaciones legales serias. Por otro lado, no tomar decisiones sobre la retención de datos aumenta los costos de almacenamiento y también puede llevar a consecuencias legales. Teniendo en cuenta este contexto, este artículo esbozará consideraciones para desarrollar una política de retención de datos.

Con fines de discusión, el término "registro" en este artículo se refiere a los datos del sistema informático con significado empresarial, no a todos los datos. Aunque los registros en papel comparten características similares, esta discusión se centra en los datos del sistema informático.

La Significancia de una Política de Retención de Datos

Hay tres objetivos principales de una estrategia de retención de datos electrónicos, resumidos como sigue:

• Para preservar registros y documentos importantes para su futuro uso y búsqueda

• Para desechar los registros y documentos que ya no son necesarios

• Para organizar registros para futuros accesos

Cuando analizamos la lista anterior más a fondo, nos damos cuenta rápidamente de que el primer punto es la razón principal para la retención de datos. Retenemos datos porque creemos que pueden ser necesarios más adelante (ya que representan una riqueza de conocimientos y recursos) o por razones legales. El segundo punto destaca por qué necesitamos una estrategia: no queremos retener todos los datos indefinidamente a menos que sea absolutamente necesario. El tercer punto enfatiza que si no podemos ubicar y acceder a los registros cuando sean necesarios, simplemente retenerlos es sin sentido.

Motivación para las políticas de retención de datos

El propósito de una política de retención de datos ya ha sido claramente expuesto Sin embargo aún existen factores comerciales que influyen en ella:

• Reducción de la cantidad de datos para ahorrar costos

• Simplificando la gestión de datos a menor costo

• Cumplimiento de las regulaciones (regulaciones legales, protección de la privacidad)

La reducción de los costos de almacenamiento de datos puede impulsar muchas iniciativas de políticas de retención de datos. Además de los costos básicos de almacenamiento, existen costos asociados a la gestión de entornos de almacenamiento y respaldo complejos, así como impactos en el crecimiento del centro de datos. Si bien las tecnologías de eliminación de duplicidad de datos ayudan en cierta medida, principalmente reducen el impacto más que abordan la causa raíz. En otras palabras, comprimir datos es importante, pero reducir el volumen de datos que necesita compresión es mejor.

¿Qué datos deben retenerse y cuáles deben eliminarse?

La primera consideración para la retención de datos es el cumplimiento regulatorio: qué datos está legalmente obligada a retener su empresa y por cuánto tiempo. Al desarrollar una estrategia de retención de datos, se necesita una clasificación inicial de los datos. Algunos puntos clave para la clasificación incluyen:

• ¿Es el dato un registro temporal?Los archivos de registro, borradores y copias de documentos de trabajo pueden clasificarse como registros temporales y es poco probable que sean candidatos para el almacenamiento a largo plazo.

• ¿Está los datos principalmente compuestos de atributos de conocimiento? Tales datos deben conservarse mientras sigan siendo útiles hasta que se vuelvan obsoletos.

• ¿Es el dato un registro a largo plazo? Documentos como contratos, declaraciones de impuestos, información de pacientes o secretos comerciales deben retenerse por períodos especificados, a veces indefinidamente.

• ¿Está el dato sujeto a leyes de libertad de información y protección de privacidad? En estos casos, los documentos deben ser conservados por períodos específicos antes de la destrucción obligatoria.

• ¿Es dato legítimo del negocio? Los empleados a menudo almacenan datos personales que no son del negocio, como archivos de audio o video, en los dispositivos de almacenamiento de la compañía.

• ¿Está sometido el dato a la descubierta legal en actividades legales? En algunos casos, la ausencia de una política clara de retención de datos puede ser un desafío para los demandados y aumentar el costo de la descubierta de documentos, ya que ubicar documentos relevantes para el litigio requiere encontrar todos los documentos relacionados.

El último punto mencionado debería ser la motivación más fuerte para desarrollar una política integral y aplicable de retención de datos. Algunos datos, como los registros fiscales, deben conservarse legalmente por períodos específicos, mientras que otros datos deben eliminarse. Por ejemplo, en abril de 2006, las nuevas reglas sobre pruebas clave y descubrimiento electrónico emitidas por la Corte Suprema de los Estados Unidos establecieron que las empresas no están obligadas a retener todos los datos indefinidamente. La regla especifica que si una empresa puede demostrar que su eliminación de datos fue un proceso empresarial predecible y repetible, puede estar exenta. La eliminación estandarizada, rutinaria, automatizada y verificable de correos electrónicos puede ser el mejor ejemplo de este comportamiento. Es importante enfatizar que, aunque las políticas de retención de datos deben ser comprensibles, también deben ser manejables y aplicables. Para lograr esto, la clasificación de datos debe limitarse a un rango pequeño.

Gestión de Políticas de Retención de Datos

Hemos discutido los objetivos, motivaciones y puntos clave para seleccionar datos para una política de retención, pero queda una pregunta: ¿quién es responsable de crear y gestionar esta política? Volviendo a la era del manejo de documentos en papel, esta responsabilidad recaía en los gestores de registros, un rol que ha desaparecido en muchas empresas junto con los registros en papel. Desarrollar una política requiere colaboración entre administradores de almacenamiento, líderes de aplicaciones y personal ejecutivo. En la práctica, el departamento de TI puede necesitar liderar los esfuerzos para promover y gestionar la retención de datos como medio para controlar el crecimiento del almacenamiento.

La política en sí no debe ser compleja, sino más bien resumida en un documento que describa el cumplimiento de la política y los detalles sobre la retención de datos. Como se mencionó anteriormente, la política debe ser manejable y ejecutable. Inicialmente, debe centrarse en los datos que pueden o deben eliminarse, y luego expandirse según sea necesario. La documentación de la política debe ser revisada por el asesor legal de la empresa y respaldada por todos los departamentos de gestión. Debe tratarse como una política de toda la empresa, no como un documento de mejores prácticas de TI. Las revisiones son necesarias, por lo que la política debe revisarse anualmente para garantizar su relevancia continua. El software de descubrimiento y archivado de datos puede desempeñar un papel aquí, ya que nadie quiere buscar y eliminar datos manualmente. El software de automatización garantiza el cumplimiento identificando, migrando y, finalmente, eliminando datos (por ejemplo, archivado de almacenamiento).

La retención de datos, y más importante aún, la eliminación de datos, es una tarea compleja que no debe tomarse a la ligera. Los datos que no necesitan ser conservados deben ser eliminados una vez que se confirma que no están legalmente requeridos. Debe enfatizarse nuevamente que es necesario buscar asesoramiento legal. Las organizaciones no deben evitar esta tarea importante y simple solo porque no estén familiarizadas con las leyes y regulaciones. Los beneficios de una política de retención de datos comprensible superan con creces los esfuerzos involucrados en su creación e implementación.

Siempre respalda los datos críticos

Cuando se desarrollan y aplican políticas de retención de datos, usar las herramientas adecuadas puede simplificar significativamente el proceso de gestión y mejorar el cumplimiento. Vinchin Backup & Recovery es una solución integral de protección de datos diseñada para salvaguardar entornos virtualizados, en la nube y físicos. Soporta una amplia gama de plataformas, incluyendo VMware, Hyper-V, Proxmox, XenServer, oVirt y más. El software ofrece funciones como deduplicación de datos, compresión y opciones flexibles de respaldo y recuperación para garantizar una utilización óptima del almacenamiento y una rápida recuperación.

También proporciona métodos flexibles de retención de datos, que permiten la conservación de datos de respaldo por día, por número de puntos de respaldo o por cadena de respaldo. Este mecanismo se puede adaptar a diversos escenarios de aplicación y diferentes políticas de RTO/RPO, lo que mejora significativamente la flexibilidad y comodidad en la gestión de datos.

Es bastante fácil hacer copias de seguridad de máquinas virtuales con Vinchin Backup & Recovery:

1. Selecciona el objeto de copia de seguridad.

2. Selecciona el destino de la copia de seguridad.

3. Configure estrategias de copia de seguridad.

4. Revise y envíe el trabajo.

Aquí tienes una versión de prueba completa de 60 días ¡a continuación! O, contáctanos con tus requisitos y recibirás una solución a medida para tu entorno IT.

Preguntas frecuentes sobre la política de retención de datos

1. P: ¿Cuánto tiempo se debe retener los datos?

El período de retención varía según el tipo de datos, las regulaciones del sector y las necesidades organizativas. Las políticas generalmente se rigen por leyes, estándares del sector y requisitos internos como GDPR, CCPA y otras regulaciones.

2. P: ¿Cómo es diferente la retención de datos del archivado de datos?

La retención de datos define cuánto tiempo se conservan, mientras que el archivado de datos se refiere a mover datos que ya no se utilizan activamente a un sistema de almacenamiento para su conservación a largo plazo.

Conclusión

Una política de retención de datos es más que una herramienta de cumplimiento; es un activo estratégico que protege los datos, mitiga riesgos y optimiza costos. Al establecer directrices claras de retención, puedes navegar por complejos paisajes regulatorios, asegurar datos sensibles y mantener la eficiencia operativa. La implementación proactiva y estratégica de políticas de retención de datos no solo minimiza riesgos sino que también establece las bases para un enfoque de gestión de datos más eficiente y resiliente.