La explicabilidad integrada en la resiliencia de los datos es esencial para el cumplimiento normativo

Elige tú mismo: desde DORA (UE) y NIST (EE. UU.) hasta PDPA (Singapur) y APP (Australia), la presión regulatoria sobre las empresas de todo el mundo es cada vez mayor. Los reguladores, las aseguradoras y los clientes no solo desean saber que su negocio está protegido, sino también que se les muestre el recorrido de sus datos, los controles y se muestre, con registros limpios, cómo se va a volver a poner en marcha su negocio.

Este es el cambio hacia una resiliencia basada en la explicabilidad. Una recuperación rápida y fiable, con trazabilidad y auditabilidad integradas en cada paso. Las organizaciones deben trazar estrategias de resiliencia de datos desde la perspectiva del cumplimiento normativo, garantizando que la huella digital de sus procesos de gestión de datos resiste cualquier escrutinio.

El negocio primero, cumplimiento normativo siempre

Las interrupciones de datos y los ciberataques son riesgos empresariales inevitables que deben ser monitorizados e informados con sistemas robustos en funcionamiento. El Modelo de Madurez de Resiliencia de Datos de Veeam (DRMM), desarrollado en colaboración con McKinsey y el MIT, recomienda integrar estrategia de negocio, personas, procesos y tecnología para reducir el riesgo, acelerar la recuperación y reforzar la resiliencia a largo plazo.

La resiliencia de datos basada en la explicabilidad, el pegamento que une estos elementos, debe llegar a estandarizarse al nivel de los estados financieros auditados, cumpliendo métricas para las partes interesadas clave que incluyen:

• Confianza de los inversores: planes de recuperación transparentes y probados reducen el riesgo operativo y financiero percibido.
• Protección de la reputación: recuperación rápida y fiable para garantizar la solidez de la marca.
• Responsabilidad de liderazgo: responsabilidad sobre la situación de la resiliencia basada en evidencias.
• Reducción de multas y costes de seguros: controles transparentes y auditables que reducen la exposición al incumplimiento normativo y las primas de seguridad.

El avance regulatorio está superando a la preparación para el cumplimiento normativo

En toda la región de Asia, el impulso regulatorio es innegable. El marco de responsabilidad compartida de Singapur responsabiliza a las instituciones financieras y a las empresas de telecomunicaciones de mitigar el phishing y les exige que indemnicen a las víctimas de las estafas cuando incumplan sus obligaciones.

En Australia, se ha intensificado la aplicación de la normativa de protección de datos y las empresas se enfrentan a sanciones de hasta 50 millones de dólares australianos (más de 27 millones de euros) por filtración de datos. En otras partes de la India, aunque las normas de aplicación de la Ley de Protección de Datos Personales Digitales (DPDP) aún están pendientes, las sanciones asignadas podrían alcanzar hasta 250 millones de rupias indias (más de 27 millones de euros).

Mientras tanto, las empresas japonesas han expresado su preocupación por las multas administrativas que se imponen a las compañías que cometen infracciones graves. Si bien los enfoques regulatorios aún no están estandarizados, el mensaje a largo plazo es claro: las compañías deben poner en orden sus sistemas de resiliencia de datos.

Sin embargo, es una realidad que las organizaciones no están preparadas. Según el informe del Modelo de Madurez de Resiliencia de Datos (DRMM) de Veeam, el 30% de los directores de información sobreestiman su resiliencia de datos, y menos del 10% superan la media. El 74% de las organizaciones están en los niveles básico e intermedio, con importantes oportunidades de mejora. Además, el 13% de los encuestados en la guía del comprador empresarial de protección de datos 2024 de Veeam no tenía ningún plan de recuperación ante desastres o nunca lo había probado; el 28% lo probaba solo una vez al año y sólo el 27% más de dos veces al año.

Incorporar la resiliencia de datos con explicabilidad

Imagina la resiliencia de datos como la base de una estructura empresarial, con la explicabilidad como su panel de control integrado. En Veeam, creemos que un enfoque de cuatro pasos proporciona la clave del éxito:

1 Mapear, etiquetar y rastrear los flujos de datos:

Empecemos con la pregunta que la mayoría de equipos evitan: ¿conocemos realmente los datos que tenemos? El resultado debe ser un inventario exhaustivo de los servicios críticos para el negocio y de los flujos de datos a través de entornos físicos, virtuales, en la nube y backup. Se debe adoptar una política estandarizada de clasificación de datos que incluya el etiquetado por sensibilidad, los controles asociados, las pautas de manejo y la secuencia de recuperación. Imagina el resultado como un mapa multinivel fácilmente comprensible para humanos y automatizado para máquinas.

2 Desarrollar un centro de gestión de datos

Una vez desarrollado el mapa de clasificación de datos, se recomienda un centro de gestión de datos como el que ofrece Securiti AI. La integración de la gestión de la situación de la seguridad de los datos con plataformas de inteligencia de datos como Veeam Data Platform v13 permite a los equipos rastrear el linaje y validar la aplicación de políticas en todos los entornos: producción, SaaS, nube, endpoints y backups. Las organizaciones se benefician de una visibilidad y un control totales sobre todo su patrimonio de datos.

3 Probar y auditar periódicamente

Las pruebas y auditorías periódicas de las estrategias de resiliencia de datos fortalecen la capacidad de la empresa para una respuesta y recuperación rápidas en tiempos de crisis. Esto implica programar pruebas automatizadas varias veces al año, garantizando copias sin conexión, aisladas e inalterables. Solo entonces la restauración, el desarrollo de manuales de ejecución para cada servicio crítico y la documentación de los resultados para un registro auditable se convertirán en protocolos estándar.

4 Evidenciar

Hazlo fácil para quienes toman las decisiones con un único panel que tenga visibilidad completa de las métricas clave, incluida la cobertura de los bienes protegidos, las tasas de éxito de las copias de seguridad y la inmutabilidad, la frecuencia de los simulacros y el porcentaje de aprobados, la preparación para la recuperación y la situación del cumplimiento normativo con enlaces que lo evidencien.

Según el marco DRMM, las compañías de alto rendimiento obtienen puntuaciones altas en una serie de métricas de negocio, incluyendo una velocidad de recuperación (MTTR) siete veces más rápida, un tiempo de inactividad (RTO) tres veces menor, una pérdida de datos (RPO) cuatro veces menor y una tasa de crecimiento de ingresos promedio alrededor de un 10% mayor.

Haz que la resiliencia de datos sea comprensible y esté preparada para el cumplimiento normativo 

Si bien los requisitos de protección de datos varían según el mercado, las exigencias de los reguladores convergen en torno a temas similares: disponibilidad, trazabilidad y rendición de cuentas. Para las compañías multinacionales, el objetivo debe ser un sistema global y armonizado de control de resiliencia, con explicabilidad incorporada. Crea un único sistema, planifícate para las regulaciones más estrictas, integra los requisitos de evidencia locales y mantente preparado para auditorías en todos los mercados. A medida que surgen y cambian las oportunidades de negocio, una recuperación rápida y una cobertura amplia preparada para el cumplimiento normativo se convertirán en diferenciadores estratégicos.

Dar el siguiente paso

Así que pregúntale a tu equipo si puede explicar cada copia de datos críticos. ¿Existen copias sin conexión, aisladas e inalterables para servicios empresariales críticos? ¿Podemos demostrarlo? ¿Cuál fue la última prueba de recuperación automatizada para cada una y cómo nos fue? Si mañana tuviéramos que informar a la junta directiva o a un organismo regulador, ¿podríamos mostrar claramente el flujo de datos, los controles y el manual de recuperación? Si las respuestas no fluyen con facilidad, la falta de explicabilidad es una señal clara de riesgos combinados: operativos, comerciales, de reputación y regulatorios.

La buena noticia es que el paquete de soluciones de datos e IA de Veeam proporciona los bloques fundamentales que integran inteligencia empresarial, protección de datos, backup, pruebas y recuperación en organizaciones de cualquier tamaño. Solo requiere un cambio de mentalidad para adoptar explicabilidad, la resiliencia de los datos y el cumplimiento normativo como capacidad básica unificada.

Por Rick Vanover, vicepresidente de estrategia de producto en Veeam Software