IMPULSANDO LA CIBERSEGURIDAD Y EL CUMPLIMIENTO NORMATIVO GRACIAS AL GOBIERNO DE LOS DATOS

Organizaciones de todo tipo y tamaño recolectan, almacenan, procesan e intercambian grandes volúmenes de información con el objetivo de crear nuevos productos y servicios a partir de los datos que generen mayores beneficios, reduzcan los costes, consoliden y refuercen la fidelidad de los clientes, y ofrezcan auténticas ventajas competitivas.

Pero al mismo tiempo, se enfrentan a importantes retos tales como gestionar adecuadamente los datos, garantizar su privacidad, o cumplir con regulaciones y estándares internos y externos.

En el ámbito regulatorio es obvio que son necesarias nuevas reglas de juego.

En este contexto, en enero de 2012 la Comisión Europea presentó una reforma integral de las normas de protección de datos con el objetivo principal de incrementar el control de los ciudadanos sobre sus datos.

Esta reforma se materializó en el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés).

GDPR establece las reglas de actuación para cualquier empresa privada y entidad púbica que gestione, almacene o procese datos personales de ciudadanos de la Unión Europea.

El Reglamento nos lleva a la necesidad de revisar nuestra organización, procesos y tecnologías con las que gestionamos datos personales, y por tanto de algunos de nuestros modelos de negocio.

Específicamente en el sector bancario, la introducción de BCBS 239 en 2013 aborda la mala calidad de los informes que se presentaron a los organismos reguladores durante el punto álgido de la crisis financiera mundial y subrayó la necesidad de disponer de una convención unificada para la denominación de los datos (metadatos), funciones y responsabilidades establecidas con respecto a la gestión de los datos, y medidas específicas para controlar la calidad de los datos.

BCBS 239 ha sido un impulsor en el sector del rol de Chief Data Officer (CDO) y de departamentos dedicados para ayudar en el cumplimiento de estos requerimientos regulatorios.

Aunque muy dispares en cada organización el alcance incluye los ámbitos de, a alto nivel, gestión de los datos, propiedad, y gobierno de estos.

La transparencia en el uso de los datos personales es ahora un requerimiento legal, pero por otra parte constituye la oportunidad perfecta para la creación de confianza con nuestros clientes, y por tanto de valor añadido.

Para alcanzar este objetivo las compañías deben implantar proyectos de gobierno de los datos, un conjunto de políticas y procedimientos que combinados establecen los procesos que supervisan el uso y gestión de los datos para transformarlos en un activo estratégico, con el objetivo de llevar a nuestra compañía a un nivel superior de “madurez en el uso de la información” mejorar la calidad de los datos y solucionar los posibles inconsistencias, gestionar el cambio en relación con el uso de los datos y cumplir con regulaciones y estándares internos y externos.

La relación entre la ciberseguridad y los requerimientos regulatorios para el gobierno, propiedad, y gestión de los datos se está fortaleciendo a pasos agigantados.

En el fondo la gestión de los datos, la propiedad de estos, y su gobierno se ocupan del qué, quién y cómo.

  • La gestión de los datos (qué) permitiendo aprovechar al máximo los activos de los datos con el apoyo de los procesos y herramientas adecuadas. Los objetivos de la gestión de los datos incluyen, entre otros, la calidad de los datos; asegurar que los datos maestros (por ejemplo, el dominio de datos de producto) son exactos; o que los diferentes departamentos de la organización tienen la misma compresión de los términos de negocio.
  • La propiedad de los datos (quién) identificando a las personas y posiciones que participan en la gestión de datos dentro de la empresa y asegurando la definición formal de sus responsabilidades y rendición de cuentas. Es necesario que los diferentes roles involucrados en las iniciativas de gobierno de los datos dispongan de las herramientas para medir la calidad de un determinado conjunto de datos para apoyar la presentación de informes regulatorios.
  • El gobierno de los datos (cómo) estableciendo, supervisando y haciendo cumplir las políticas, procedimientos, normas y directrices relacionadas con la gestión de los datos de la organización con el objetivo de garantizar de manera sostenible la disponibilidad, la utilidad y la seguridad de los estos. Las actividades de gobierno de los datos proporcionan dirección y estructura a las actividades de propiedad de los datos y de gestión de los datos.

En última instancia, la adecuada implantación de programas de gestión y de gobierno de los datos crea nuevas líneas de defensa para los datos en riesgo, aquellos que si cayeran en manos no autorizadas comprometerían a una organización y/os a sus clientes.

Estas líneas de defensa son, a alto nivel:

(1) identificar datos en riesgo;

(2) localizar datos sensibles;

(3) identificar a los usuarios de los datos sensibles y garantizar la coherencia de los procesos de acceso a los datos;

(4) garantizar un acceso más seguro a los datos sensibles.

Conociendo la relación entre el gobierno de los datos y la ciberseguridad, debemos preguntarnos si nuestros datos se rigen de forma consistente bajo un único paraguas.

Si no, una organización podría tener políticas inconsistentes e incluso contradictorias desplegadas, lo que introduce nuevos riesgos.

Un programa de gestión y gobierno de los datos es la primera pieza sobre la que sustentar una adecuada explotación de la información, considerando los datos y posterior información inferida a partir de ellos como activos empresariales valiosos.

Los datos y la información han de ser gestionados de manera cuidadosa, como cualquier otro activo, asegurando la calidad, seguridad, integridad, disponibilidad, uso efectivo, el cumplimiento de regulaciones internas y externas, y por ende los aspectos éticos derivados del uso de los datos.

Óscar Alonso
Óscar Alonso

 

Responsable Grupo de Trabajo de

Seguridad e Interoperatividad de DAMA España