Mejores prácticas para políticas de retención de datos

Qué datos retener

La ley exige que algunos datos se conserven durante un cierto período de tiempo. Otros datos deben ser retenidos por las reglas internas de la compañía. Es bueno mantener otros datos, pero no necesariamente se requieren para la retención. Los tipos comunes de datos retenidos incluyen archivos, mensajes de correo electrónico y registros de bases de datos.

Una de las primeras prácticas recomendadas a tener en cuenta es saber qué datos deben permanecer activos y qué datos deben archivarse. Normalmente, esta determinación se realizará en función de la antigüedad de los datos, pero no siempre. En algunos casos, es importante también examinar los criterios, como cuándo se accedió por última vez a los datos y el tipo de datos.

Supongamos, por ejemplo, que una organización tiene un montón de espacio libre en el servidor de archivos, pero quiere reducir parte del desorden. Con este objetivo de eliminación de datos en mente, decide crear una política de archivo que transfiera cualquier cosa que tenga más de cinco años a los archivos y luego elimine cualquier cosa que tenga más de 10 años.

Aunque esto puede parecer un enfoque razonable para crear una política de retención de datos, puede tener consecuencias no deseadas. Por ejemplo, ¿qué sucede si se creó una hoja de cálculo hace seis años, pero se actualiza regularmente? Si la política de retención de datos solo tiene en cuenta la fecha de creación, entonces la hoja de cálculo se archivará, aunque se use regularmente. Tiende a ser mucho más efectivo basar una política de retención en la última fecha de acceso en lugar de en la fecha de creación.

Las políticas de retención de datos también pueden ser contraproducentes de otras maneras. Por ejemplo, respecto a la retención de documentos, digamos, hace 11 años, su organización firmó un contrato de arrendamiento de 15 años para su edificio de oficinas. Con toda probabilidad, nadie ha mirado el documento en los últimos 10 años, pero es probable que desee conservarlo. La política debe tener en cuenta los casos de esta naturaleza.

Una política de retención de datos debe ser completa, pero también una que una organización pueda administrar y hacer cumplir fácilmente. Así que ser conciso y claro también es importante.

Cumplimiento

El cumplimiento es una de las principales razones para que una empresa retenga datos. Además de las reglas de cumplimiento internas de la compañía, hay varias leyes y regulaciones que una compañía debe tener en cuenta al configurar su política de retención de datos. Es importante averiguar las leyes aplicables; un auditor externo puede ayudar.

El GDPR de la Unión Europea, por ejemplo, que entró en vigencia en mayo de 2018, presenta mandatos aplicados a los datos personales producidos por residentes de la UE, sin importar dónde estén almacenados. Una organización de recopilación de datos debe tener una política de retención de datos que describa específicamente los problemas de cumplimiento de GDPR.

Otras regulaciones que incluyen requisitos de retención de datos incluyen la Ley Sarbanes-Oxley y el Estándar de seguridad de datos de la industria de tarjetas de pago. Especialmente en lo que se refiere a estas regulaciones, una organización solo debe conservar los datos personales que sean necesarios.

Mantenerse en conformidad es una preocupación comercial común. Las sanciones por violaciones incluyen multas y pérdida de reputación. Tener un programa de retención de datos a la mano puede ser una herramienta útil para el cumplimiento. Sin embargo, es importante mantenerlo actualizado, ya que los datos y las leyes cambian a menudo, y un calendario anterior no proporciona mucho valor.

Período de retención y cómo almacenar los datos

Un período de retención a menudo está determinado por las normas y reglamentos. Dado que los períodos de retención varían desde minutos hasta años, una organización puede necesitar diferentes tipos de medios para almacenar datos.

La nube pública es una ubicación de almacenamiento popular para la retención a largo plazo. Amazon Glacier, Microsoft Azure Blob Storage y Google Nearline se encuentran entre las opciones para el almacenamiento de archivos de bajo costo en la nube. El almacenamiento está fuera del sitio, lo que es bueno para la protección de datos. Sin embargo, los tiempos y costos de restauración pueden ser altos, dependiendo de cuánto necesita sacar una organización de la nube.

La cinta es otro tipo de medio para el almacenamiento a largo plazo que es más barato que otras opciones, como el disco. La durabilidad generalmente se establece en hasta 30 años para los últimos cartuchos de cinta LTO. LTO-8 proporciona 30 TB de capacidad de almacenamiento comprimido. Sin embargo, la velocidad de restauración es lenta, por lo que una organización no debe usar únicamente la cinta para retener datos que necesitan una recuperación rápida.

El disco es más caro, pero más rápido que la cinta. No es un lugar rentable para almacenar una gran cantidad de datos que requieren una retención a largo plazo y a los que probablemente no se pueda acceder.

Su política de retención de datos debe describir qué tipos de medios usa para los conjuntos de datos dados.