Obligaciones normativas, organización basada en datos, optimización de los costes de almacenamiento, aprovechamiento máximo de los datos… sean cuales sean los objetivos de su empresa, todo es cuestión de datos.Desde su recogida hasta su destrucción, las empresas son responsables de la información y los datos que poseen. Por eso es vital definir una estrategia eficaz de gobernanza de datos.

¿QUÉ ES LA GOBERNANZA DE DATOS?

La gobernanza de datos es el conjunto de procesos, reglas y normas diseñadas para garantizar que los datos se recopilan, procesan y protegen en cada etapa de su ciclo de vida, hasta su destrucción (lo que se conoce como ciclo de vida de los datos). En las organizaciones, la gobernanza de datos afecta a muchos ámbitos, desde la seguridad hasta el análisis.

Además del RSSI, muchos puestos son responsables de la gestión de datos: DPO (Delegado de Protección de Datos), Data Scientist, Data Manager, Desarrollador de Big Data, Data Miner, Data Analyst, Arquitecto de Big Data, Business Intelligence Manager…

Es a través de estos puestos llamados “del Big Data” que la gobernanza de los datos garantiza el buen uso de los datos por parte de todos los servicios de la empresa. Guiada por los datos (o data-driven), la empresa puede así tomar decisiones informadas.

Para Jocelyn Montjaux, Product Manager ciberseguridad y DPO en Tenacy, el objetivo de la gobernanza de datos es “garantizar que todos los datos que se manejan en la empresa se recogen, protegen y destruyen correctamente una vez utilizados. Según el tipo de datos, su disponibilidad y confidencialidad serán diferentes. Por ello, la cartografía de los datos es esencial para determinar los niveles adecuados de protección y seguridad.

Cada empresa tiene sus propias necesidades en materia de gobernanza y cartografía de datos. Algunos datos no serán confidenciales, pero deben estar siempre disponibles para el buen funcionamiento de la organización. Otros, en cambio, serán datos confidenciales con un grado de disponibilidad inferior al requisito habitual.

La gobernanza de datos es, por tanto, esencial para garantizar que su organización cumple la normativa y mejorar su rendimiento. Aquí tienes 5 consejos para establecer una estrategia de gobierno de datos eficaz y eficiente.

  • 1. Incluye a las unidades de negocio en tu estrategia de gobierno de datos

    ¿Quién es responsable de los datos? Es una pregunta frecuente en las organizaciones. Y como hay muchas empresas y actores implicados, es importante redefinir claramente el papel del CISO. Es responsable de poner en marcha los medios de protección (cuando el propietario de los datos ha identificado los requisitos de protección que deben aplicarse) y de comprobar que funcionan correctamente. Pero no es responsable de los procesos de recogida o tratamiento de datos.

    Cada empresa genera un volumen de datos cada vez mayor. He aquí algunos ejemplos:

    • datos del cliente;
    • datos sensibles para la organización (patentes tecnológicas, decisiones estratégicas, etc.) o datos sensibles descritos por la CNIL (incluidos los datos sanitarios);
    • datos personales;
    • datos de referencia;
    • datos recogidos;
    • datos empresariales u operativos;
    • datos brutos;
    • datos producidos.

    En lo que respecta al aspecto estratégico de la gobernanza de datos, todas las líneas de negocio de la empresa son partes interesadas.

    ¿Quién mejor para catalogar los datos que quienes los manejan a diario? Jocelyn Montjaux subraya la importancia de romper los silos para que una estrategia de gobernanza de datos sea eficaz: Hay que ocuparse de todos los datos de la empresa, no sólo de los datos informáticos. El CISO no puede estar solo en este proyecto. Por eso es importante implicar a las unidades de negocio en el proceso y hacerlas partícipes de la estrategia.

    No ignora las líneas de negocio e implica a los distintos departamentos de tu organización para identificar todos los conjuntos de datos.

  • 2. Realiza un análisis de riesgos de cada conjunto de datos

    El análisis de riesgos será necesario en algún momento de tu estrategia de gobernanza de datos.

    Jocelyn Montjaux confirma: “Existe una especie de sinergia entre el análisis de riesgos y la gobernanza de datos. Los responsables del gobierno de los datos tienen que plantearse las mismas preguntas que cuando realizan un análisis de riesgos, pero centrándose en los datos.

    Una vez identificados los conjuntos de datos y determinada una clasificación para decidir los mecanismos de protección que deben aplicarse, es necesario comprender cuáles son las amenazas que pesan sobre estos datos, en particular en términos de confidencialidad. El análisis de los datos desde el punto de vista de los riesgos inherentes a la organización debe formar parte integrante de tu estrategia de gobernanza.

  • 3. Piensa en incluir el aspecto de la confidencialidad de los datos

    En términos generales, la gobernanza de datos está asociada a la disponibilidad de datos.

    ¿Cuál es la duración máxima admisible de una interrupción de datos? ¿Cuánto tiempo es aceptable recuperar los datos sin poner en peligro la actividad de una organización? Las nociones de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO) se tienen muy en cuenta en las estrategias de gobernanza de datos. Pero el criterio de confidencialidad de los datos no se tiene en cuenta sistemáticamente.

    Jocelyn Montjaux nos aconseja no descuidar este aspecto: ” No pienses sólo en la disponibilidad de los datos cuando establezcas la gobernanza de los mismos. No olvides incluir elementos relativos a la confidencialidad de tus datos. En cualquier caso, esto es necesario cuando hablamos del RGPD, por ejemplo, ya que este reglamento se refiere principalmente a la confidencialidad de los datos.

  • 4. Incorpora la noción de nube soberana a tus necesidades de alojamiento

    Solution Big Data, almacén de datos (data warehouse o base de datos relacional), DMP (plataforma de gestión de datos), herramientas de visualización de datos o herramientas de toma de decisiones, ERP (sistema de planificación de recursos empresariales), CRM (herramienta de gestión de relaciones con clientes), MDM (gestión de datos maestros)… Es todo un ecosistema de gestión de datos que ha surgido en la última década.

    Cada vez más, las empresas están optando por gestionar servicios en lugar de administrar infraestructuras. El tiempo de implementación suele ser más rápido que el necesario para instalar la infraestructura correspondiente en un centro de datos y encontrar personal para configurar y poner en marcha servidores.

    Por eso, alojar sus datos en la nube es cada vez más habitual. Pero, ¿sabías que elegir un proveedor de alojamiento SaaS significa elegir la legislación a la que estarán sujetos tus datos?

    Tomemos el ejemplo de los líderes del mercado del Cloud Computing. Son empresas estadounidenses y, por tanto, están sujetas a la legislación de Estados Unidos y, en particular, a dos importantes textos legislativos:

    • la Patriot Act que, tras los atentados del 11 de septiembre de 2001, permite a organismos gubernamentales como el FBI, la NSA y la CIA obtener información en el marco de una investigación de seguridad nacional;
    • la Ley de la Nube que, desde 2018, obliga a las empresas estadounidenses de la nube a revelar datos a las fuerzas de seguridad o al gobierno estadounidense o extranjero (en función de los acuerdos), incluso si se almacenan fuera de Estados Unidos.

    La confidencialidad de los datos es un aspecto fundamental de la gobernanza.

    En el contexto de la aplicación del Reglamento General de Protección de Datos (RGPD), para las áreas sensibles o incluso para las autoridades locales, es más fácil exigir desde el principio del proyecto que se trabaje con un proveedor de alojamiento con servidores en Francia, o bien al menos en Europa. Así se evitan problemas de confidencialidad de los datos.

    La ANSSI, en colaboración con la CNIL, ofrece reglamentación SecNumCloud para hosts en nube, que incluye requisitos de protección de datos. La confidencialidad de sus datos también depende de su elección de alojamiento en la nube.

  • 5. No olvides que tus subcontratistas también gestionan tus datos

    En ocasiones, la responsabilidad del tratamiento de datos se delega en subcontratistas. Con la entrada en vigor del RGPD, la normativa sobre datos personales se aplica tanto al responsable del tratamiento como al encargado del tratamiento (que actúa por cuenta de su cliente).

    Según Jocelyn Montjaux, ” tenemos que asegurarnos de que los proveedores incluyan los requisitos de tratamiento de datos. Hay que decirles lo que hay que hacer y comprobar que se hace correctamente.

    Auditorías, cuestionarios, cláusulas específicas en los contratos con los proveedores, planes de garantía de seguridad… son sólo algunas de las herramientas que puedes utilizar para asegurarte de que tus subcontratistas gestionan tus datos correctamente.

Si adoptas estos 5 consejos, estarás preparado para definir eficazmente tu estrategia de gobernanza de datos y garantizar la seguridad de los datos de tu empresa.