Cuando se requiere tener un respaldo de cada usuario en una organización, ¿debería existir algún reglamento que obligue a los usuarios a depositar la información en una ubicación predeterminada?

Con el objetivo de facilitar el respaldo de información y garantizar que la información que se está respaldando es la correcta.

Una de las buenas practicas, en cuanto a la toma de copias de seguridad de los equipos de la empresa, que se debe tener en cuenta, es la de crear carpetas especificas para los archivos empresariales y otra para los archivos personales; inclusive en algunas empresas esta prohibido el almacenamiento de información personal en las maquinas, esto con el fin de garantizar que el espacio que se destine para las copias de seguridad en algún servidor de backups, sea el estrictamente necesario y así al realizar algún tipo de restauración, se demore el tiempo necesario con lo cual se optimiza el tiempo del personal de IT.

La norma debe ser parte de una política administrativa en sistemas para que su utilización sea automática e ineludible.  Las razones para implantar éste tipo de condiciones en la operación de los equipos obedece a requerimientos de seguridad, organización de la información, eficiencia en los procesos de backup, eficiencia al momento de buscar la información y para estar seguros que la información va al lugar adecuado y que es la correcta. Sin embargo no es una tarea fácil a menos que sea desde el inicio de uso del computador y que el operador ya este capacitado. El ubicar de manera adecuada la información es una tarea del área IT como administradores de la información, con conocimiento y participación de los usuarios.

Un File Server, es una buena opción?

 Lo relativo al tratamiento de la información de usuarios (que no es tal, porque petence a la Organización) se resuelve desde el proceso de clasificación de la información.

Esto es solo una parte, ya que se debe establecer lo siguiente:
1. Formar un Plan de Protección de Información
2. Desarrollar una Norma de Tratamiento de Información
3. Desarrollar un procediemiento de Clasificación de Información (que incluye awareness a usuarios)
4. Desarrollar un instructivo de relevamiento de información (de aquí surge inclusive aquella que se «trate» desde PCs personales o por correo electrónico.Desde este último punto es que indentificamos toda la información que es contenida por los diferentes procesos funcionales y tecnológico, y según lo que hayamos definido en la Norma es lo que se va a indicar en el procedimiento sobre:
1. Donde alojar la información
2. Como asignar los permisos
3. Metodología y esquema de backupTengan en cuenta que la clasificación no solo debe determinar el CIA asociado a cada dominio de información, sino que además debe ofrecernos una respuesta sobre el tipo de información que se maneja (pública / privada / confidencial).

A nivel de política, si hemos diseñado una buena Política de Seguridad, esto ya queda contemplado… Y como es «Política», debe estar avalada por la Dirección y es de cumplimiento para todos los usuarios, por ello lo único que resta es definir el proceso de que hacer y como y capacitar en forma contíua…

Hoy puede verse que estos procesos de protección se completan con soluciones de DLP (Data Loss Prevention) o Prevención de Perdida de Información (visto desde los servidores de datos) o los ENDPOINT, regulando la protección desde los puestos de trabajo. Para esto también hace falta primeramente, clasificar la información.