Gobernanza de datos: 5 consejos para optimizar su estrategia

Compartir

Obligaciones normativas, organización basada en datos, optimización de los costes de almacenamiento, aprovechamiento máximo de los datos... sean cuales sean los objetivos de su empresa, todo es cuestión de datos. Desde su recogida hasta su destrucción, las empresas son responsables de la información y los datos que poseen. Por eso es vital definir una estrategia eficaz de gobernanza de datos.

¿Qué es la gobernanza de datos?

La gobernanza de datos es el conjunto de procesos, reglas y normas diseñadas para garantizar que los datos se recopilan, procesan y protegen en cada etapa de su ciclo de vida, hasta su destrucción (lo que se conoce como ciclo de vida de los datos). En las organizaciones, la gobernanza de datos afecta a muchos ámbitos, desde la seguridad hasta el análisis.

Además del CISO, muchos otros cargos son responsables de la gestión de datos: DPO(responsable de protección de datos), científico de datos, gestor de datos, desarrollador de Big Data, minero de datos; analista de datos, arquitecto de Big Data, gestor de Business Intelligence...

A través de estas profesiones denominadas "Big Data", la gobernanza de datos garantiza que los datos sean explotados adecuadamente por todos los departamentos de la empresa. De este modo, las empresas basadas en datos pueden fundamentar su toma de decisiones.

Para Jocelyn MontjauxProduct Manager ciberseguridad y DPO en Tenacy, el objetivo de la gobernanza de datos es " garantizar que todos los datos que se manejan en la empresa se recogen, protegen y destruyen correctamente una vez utilizados. Según el tipo de datos, su disponibilidad y confidencialidad serán diferentes. Por ello, la cartografía de los datos es esencial para determinar los niveles adecuados de protección y seguridad. "

Cada empresa tiene sus propias necesidades en materia de gobernanza y cartografía de datos. Algunos datos no serán confidenciales, pero deben estar siempre disponibles para el buen funcionamiento de la organización. Otros, en cambio, serán datos confidenciales con un grado de disponibilidad inferior al requisito habitual.

La gobernanza de datos es, por tanto, esencial para garantizar que su organización cumple la normativa y mejorar su rendimiento. Aquí tienes 5 consejos para establecer una estrategia de gobierno de datos eficaz y eficiente. 

  • 1. Incluya a las unidades de negocio en su estrategia de gobierno de datos

    ¿Quién es responsable de los datos? Es una pregunta frecuente en las organizaciones. Y como hay muchas empresas y actores implicados, es importante redefinir claramente el papel del CISO. Es responsable de poner en marcha los medios de protección (cuando el propietario de los datos ha identificado los requisitos de protección que deben aplicarse) y de comprobar que funcionan correctamente. Pero no es responsable de los procesos de recogida o tratamiento de datos. 

    Cada empresa genera un volumen de datos cada vez mayor. He aquí algunos ejemplos:

    • datos del cliente ;
    • datos sensibles para la organización (patentes tecnológicas, decisiones estratégicas, etc.) o datos sensibles descritos por la CNIL (incluidos los datos sanitarios);
    • datos personales;
    • datos de referencia ;
    • datos recogidos ;
    • datos empresariales u operativos ;
    • datos brutos ;
    • datos producidos.  

    En lo que respecta al aspecto estratégico de la gobernanza de datos, todas las líneas de negocio de la empresa son partes interesadas.

    ¿Quién mejor para catalogar los datos que quienes los manejan a diario? Jocelyn Montjaux subraya la importancia de romper los silos para que una estrategia de gobernanza de datos sea eficaz: " Hay que ocuparse de todos los datos de la empresa, no sólo de los datos informáticos. El CISO no puede estar solo en este proyecto. Por eso es importante implicar a las unidades de negocio en el proceso y hacerlas partícipes de la estrategia". "

    No ignore las líneas de negocio e implique a los distintos departamentos de su organización para identificar todos los conjuntos de datos.

  • 2. Realizar un análisis de riesgos de cada conjunto de datos

    Elanálisis de riesgos será necesario en algún momento de su estrategia de gobernanza de datos.

    Jocelyn Montjaux confirma: " Existe una especie de sinergia entre el análisis de riesgos y la gobernanza de datos. Los responsables del gobierno de los datos tienen que plantearse las mismas preguntas que cuando realizan un análisis de riesgos, pero centrándose en los datos. "

    Una vez identificados los conjuntos de datos y determinada una clasificación para decidir los mecanismos de protección que deben aplicarse, es necesario comprender cuáles son las amenazas que pesan sobre estos datos, en particular en términos de confidencialidad. El análisis de los datos desde el punto de vista de los riesgos inherentes a la organización debe formar parte integrante de su estrategia de gobernanza.

  • 3. Recuerde incluir el aspecto de la confidencialidad de los datos

    En términos generales, la gobernanza de datos está asociada a la disponibilidad de datos.

    ¿Cuál es la duración máxima admisible de una interrupción de datos? ¿Cuánto tiempo es aceptable recuperar los datos sin poner en peligro la actividad de una organización? Las nociones de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO) se tienen muy en cuenta en las estrategias de gobernanza de datos. Pero el criterio de confidencialidad de los datos no se tiene en cuenta sistemáticamente. 

    Jocelyn Montjaux nos aconseja no descuidar este aspecto: " No piense sólo en la disponibilidad de los datos cuando establezca la gobernanza de los mismos. No olvide incluir elementos relativos a la confidencialidad de sus datos. En cualquier caso, esto es necesario cuando hablamos del RGPD, por ejemplo, ya que este reglamento se refiere principalmente a la confidencialidad de los datos. "

  • 4. Incorpore la noción de nube soberana a sus necesidades de alojamiento

    Soluciones de Big Data, almacenes de datos (bases de datos relacionales), DMP (plataformas de gestión de datos), herramientas de visualización de datos o de toma de decisiones, ERP (planificación de recursos empresariales), CRM (gestión de relaciones con los clientes), MDM (gestión de datos maestros)... En la última década ha surgido todo un ecosistema de gestión de datos.

    Cada vez más, las empresas tienen que gestionar servicios en lugar de infraestructuras. El tiempo de despliegue suele ser más rápido que instalar la infraestructura correspondiente en un centro de datos y centro de datos y encontrar personas que instalen y configuren los servidores.

    Por eso, alojar sus datos en la nube es cada vez más habitual. Pero, ¿sabías que elegir un proveedor de alojamiento SaaS significa elegir la legislación a la que estarán sujetos tus datos? 

    Tomemos el ejemplo de los líderes del mercado del Cloud Computing. Son empresas estadounidenses y, por tanto, están sujetas a la legislación de Estados Unidos y, en particular, a dos importantes textos legislativos: 

    • la Patriot Act que, tras los atentados del 11 de septiembre de 2001, permite a organismos gubernamentales como el FBI, la NSA y la CIA obtener información en el marco de una investigación de seguridad nacional;
    • la Ley de la Nube que, desde 2018, obliga a las empresas estadounidenses de la nube a revelar datos a las fuerzas de seguridad o al gobierno estadounidense o extranjero (en función de los acuerdos), incluso si se almacenan fuera de Estados Unidos.

    La confidencialidad de los datos es un aspecto fundamental de la gobernanza.

    En el contexto de la aplicación del Reglamento General de Protección de Datos (RGPD), para las áreas sensibles o incluso para las autoridades locales, es más fácil exigir desde el principio del proyecto que se trabaje con un proveedor de alojamiento con servidores en Francia, o bien al menos en Europa. Así se evitan problemas de confidencialidad de los datos.

    La ANSSI, en colaboración con la CNIL, ofrece reglamentación SecNumCloud para hosts en nube, que incluye requisitos de protección de datos. La confidencialidad de sus datos también depende de su elección de alojamiento en la nube.

  • 5. No olvide que sus subcontratistas también gestionan sus datos

    En ocasiones, la responsabilidad del tratamiento de datos se delega en subcontratistas. Con la entrada en vigor del RGPD, la normativa sobre datos personales se aplica tanto al responsable del tratamiento como al encargado del tratamiento (que actúa por cuenta de su cliente).

    Según Jocelyn Montjaux, " tenemos que asegurarnos de que los proveedores incluyan los requisitos de tratamiento de datos. Hay que decirles lo que hay que hacer y comprobar que se hace correctamente". "

    Auditorías, cuestionarios, cláusulas específicas en los contratos con los proveedores, planes de garantía de seguridad... son sólo algunas de las herramientas que puede utilizar para asegurarse de que sus subcontratistas gestionan sus datos correctamente.

Si adopta estos 5 consejos, estará preparado para definir eficazmente su estrategia de gobernanza de datos y garantizar la seguridad de los datos de su empresa.