ADN Cloud

Innovación en la sociedad digital

Categorías
New Call-to-action

Evaluación de riesgos de información y gobierno de datos: razones para integrarlos

evaluacion riesgos
Tiempo de lectura: 8 minutos

La evaluación de riesgos de información en la empresa es un componente central de muchos requisitos de cumplimiento normativo, políticas internas o acuerdos de confidencialidad. Pero, más allá de la alineación con la normativa, la evaluación de riesgos es la herramienta que permite adquirir una visión completa acerca de la creación, el uso y el acceso a los datos, así como su almacenamiento, retención y destrucción.

¿Qué aspectos debe cubrir la evaluación de riegsos de datos en la empresa?

Los diferentes tipos de información tienen distintos propietarios de datos, usuarios y aplicaciones y, teniendo esto en cuenta, para implementar con éxito una evaluación de riesgos completa, es extremadamente importante que las siguientes preguntas básicas se aborden e incorporen en el alcance de la evaluación:

  1. ¿Quién es el propietario de los datos? A medida que progrese la evaluación, será fundamental comprender a quién pertenece la información y a quién pertenecen los procesos comerciales en torno a los datos. ¿Qué departamentos se incluirán en las evaluaciones (por ejemplo, recursos humanos, legal, informática o ventas)? ¿Cuáles son sus roles en la evaluación?
  2. ¿Qué tipos de datos existen en la empresa? Si la evaluación se centra en la identificación de información personal, ¿qué podría considerarse así dentro de los activos de datos de la organización: números de la seguridad social de empleados, sus direcciones y números de teléfono o la información del cliente? ¿También interesaría ampliar el alcance de lo que se considera información personal a datos sensibles como los números de tarjetas de crédito o de cuenta?
  3. ¿Dónde están los datos? ¿El descubrimiento de datos involucrará escanear bases de datos o recursos compartidos, repositorios en la nube o terminales de usuario? Conocer los procesos de negocio y los flujos de datos ayudaría a determinar dónde se almacenan potencialmente los datos y cómo se exponen.
  4. ¿Cómo se gestionan los datos? Antes de iniciar una evaluación, sería importante comprender los procedimientos adecuados de gestión de datos y los controles de protección existentes. Las evaluaciones de riesgos de datos generalmente producen una gran cantidad de eventos, por lo que es importante comprender bien si una “violación” es parte del proceso comercial estándar o si sólo lo es la brecha de seguridad real.

La clave del éxito en las evaluaciones de riesgos de la información no es sólo seguir la metodología correcta, sino también implementar un enfoque por etapas que se correlacione con las prioridades de la organización.

 

¿Por qué es necesaria la integración de la evaluación de riesgos con el gobierno de los datos?

La integración de data governance con la evaluación de riesgos empieza a plantearse como una cuestión prioritaria para muchas empresas que han dado el salto a la nube.

La complejidad y el volumen de los datos continúa en aumento, lo que genera nuevas demandas que requieren diferentes formas de combinar, manipular, almacenar y presentar información.  Y esto hace que las empresas necesitan resolver el problema de datos de una manera diferente.

Es precisa la implementación de una gobernanza de datos efectiva, alejada de procesos rígidos y actividades fragmentadas llevadas a cabo sistema por sistema. Integración, estructura y un apoyo más amplio por parte de la organización son, junto a la evaluación de riesgos la forma de alinear el gobierno de los datos con los requisitos que plantea la computación en la nube.

 

Cómo desarrollar programas efectivos de data governance para el paradigma de la nube

Una infraestructura general de computación cloud consiste en una nube, el usuario, los dispositivos que se usan para conectarse con la nube y el método de identificación utilizado para verificar el dispositivo y el usuario.

Este modelo está diseñado para permitir el acceso a la red bajo demanda, abriendo las puertas a un conjunto compartido de recursos informáticos configurables (como pueden ser las redes, servidores, almacenamiento, aplicaciones, y servicios) que pueden aprovisionarse y liberarse rápidamente con un mínimo esfuerzo de gestión o interacción del proveedor de servicios.

La computación en la nube se divide en tres categorías principales:

  1. Infraestructura de nube como servicio (IaaS)
  2. Software de nube como servicio (SaaS)
  3. Cloud Platform as a Service (PaaS)

Donde se han establecido cuatro módulos de arquitectura:

Desde el momento en que una empresa empieza a plantearse el trasladar sus activos informacionales a la nube, surgen cuestiones relacionadas con los riesgos que dar este paso implica y las formas de identificarlos y prevenirlos. Es lo que impulsa el proceso de gestión de riesgos, que el Instituto Nacional de Estándares y Tecnología (NIST) define como la detección, evaluación de riesgos y adopción de medidas para reducir el riesgo a un nivel aceptable.

evaluacion de riesgos

El análisis: un paso clave en la evaluación de riesgos

Uno de los pasos más importantes de este proceso es la evaluación de riesgos, que requiere un análisis cuidadoso de la información de amenazas y vulnerabilidades para determinar hasta qué punto circunstancias o eventos podrían afectar adversamente una organización y la probabilidad de que ocurran tales circunstancias y que se basa en acciones como las siguientes:

  1.       Identificación de riesgos y amenazas.
  2.       Estimación de su impacto.
  3.       Priorización de riesgos de seguridad de la información.

Para reducir las probabilidades de que ocurra un riesgo y medir los niveles de seguridad de sistemas, productos y procesos, pueden usarse modelos cuantitativos de evaluación de riesgos de seguridad y otras métricas, que resultan también de gran utilidad para conocer la disponibilidad de la organización para abordar los problemas de seguridad a que puede tener que hacer frente.

Sin embargo, la consideración de la evaluación y la gestión del riesgo relacionado con los datos y los recursos relacionados a menudo pasan a un segundo plano en una estrategia general de gestión del riesgo empresarial. Pero esto no debería ser así.

 

Cómo avanzar hacia un modelo de gestión holística del riesgo

Para lograr una gestión holística del riesgo relacionado con los datos hace falta que se creen sinergias entre el gobierno de datos y las funciones de riesgo. De hecho, la gobernanza de datos ya es una nueva norma en la mayoría de las empresas, tal como lo exigen regulaciones como BCBS 239, GDPR, EU No 1024/2013, EMIR o MiFID2, entre otras.

Las empresas que ya han integrado su gestión del riesgo con Data Governance están bien preparadas para cualquier cambio en el entorno, pudiendo protegerse de las amenazas que podrían reducir su valor comercial.

El gobierno de datos es el único pilar existente en la mayoría de las organizaciones para garantizar la gestión exitosa y sostenible de los datos como un activo empresarial mediante la aplicación, formalización y habilitación de prácticas de gestión de datos. La gobernanza de datos define la supervisión mediante:

  1. Establecimiento de políticas.
  2. Definición de mecanismos de aprobación.
  3. Evaluación del cumplimiento de las políticas.

 

La visión única del riesgo empresarial

El componente de gestión de riesgos de Data Governance considera Integridad, Precisión, Completitud, Coherencia, Eficiencia, Eficacia, Confidencialidad, Disponibilidad, Cumplimiento y Confiabilidad entre las muchas dimensiones del dato, ayudando a identificar vulnerabilidades, llevar a cabo una evaluación de riesgos y adoptar las medidas que permitirán adquirir una visión única del riesgo empresarial en condiciones de confiabilidad.

Es responsabilidad de la empresa garantizar que las diferentes áreas de negocio asuman la responsabilidad y se comprometan a mantener la calidad en los datos, los metadatos, el contenido, el cumplimiento y la fuente de los datos correctos.

¿Existen lagunas en la operatividad de estos aspectos tan necesarios del Gobierno de datos? Puede que haya llegado el momento de abordar las amenazas de la nube desde el descubrimiento, gracias a una evaluación de riesgos.

 

Material relacionado

Guías

 

Artículos

Cloud Computing

 

Entradas relacionadas

Deja un comentario

No hay comentarios

Todavía no hay ningún comentario en esta entrada.