evaluacion de riesgos
Tiempo de lectura: 5 minutos

La integración de data governance con la evaluación de riesgos empieza a plantearse como una cuestión prioritaria para muchas empresas que han dado el salto a la nube.

La complejidad y el volumen de los datos continúa en aumento, lo que genera nuevas demandas que requieren diferentes formas de combinar, manipular, almacenar y presentar información.  Y esto hace que las empresas necesitan resolver el problema de datos de una manera diferente.

Es precisa la implementación de una gobernanza de datos efectiva, alejada de procesos rígidos y actividades fragmentadas llevadas a cabo sistema por sistema. Integración, estructura y un apoyo más amplio por parte de la organización son, junto a la evaluación de riesgos la forma de alinear el gobierno de los datos con los requisitos que plantea la computación en la nube.

Cómo desarrollar programas efectivos de data governance para el paradigma de la nube

Una infraestructura general de computación cloud consiste en una nube, el usuario, los dispositivos que se usan para conectarse con la nube y el método de identificación utilizado para verificar el dispositivo y el usuario.

Este modelo está diseñado para permitir el acceso a la red bajo demanda, abriendo las puertas a un conjunto compartido de recursos informáticos configurables (como pueden ser las redes, servidores, almacenamiento, aplicaciones, y servicios) que pueden aprovisionarse y liberarse rápidamente con un mínimo esfuerzo de gestión o interacción del proveedor de servicios.

La computación en la nube se divide en tres categorías principales:

  1. Infraestructura de nube como servicio (IaaS)
  2. Software de nube como servicio (SaaS)
  3. Cloud Platform as a Service (PaaS)

Donde se han establecido cuatro módulos de arquitectura:

Desde el momento en que una empresa empieza a plantearse el trasladar sus activos informacionales a la nube, surgen cuestiones relacionadas con los riesgos que dar este paso implica y las formas de identificarlos y prevenirlos. Es lo que impulsa el proceso de gestión de riesgos, que el Instituto Nacional de Estándares y Tecnología (NIST) define como la detección, evaluación de riesgos y adopción de medidas para reducir el riesgo a un nivel aceptable.

Uno de los pasos más importantes de este proceso es la evaluación de riesgos, que requiere un análisis cuidadoso de la información de amenazas y vulnerabilidades para determinar hasta qué punto circunstancias o eventos podrían afectar adversamente una organización y la probabilidad de que ocurran tales circunstancias y que se basa en acciones como las siguientes:

  1.       Identificación de riesgos y amenazas.
  2.       Estimación de su impacto.
  3.       Priorización de riesgos de seguridad de la información.

Para reducir las probabilidades de que ocurra un riesgo y medir los niveles de seguridad de sistemas, productos y procesos, pueden usarse modelos cuantitativos de evaluación de riesgos de seguridad y otras métricas, que resultan también de gran utilidad para conocer la disponibilidad de la organización para abordar los problemas de seguridad a que puede tener que hacer frente.

Sin embargo, la consideración de la evaluación y la gestión del riesgo relacionado con los datos y los recursos relacionados a menudo pasan a un segundo plano en una estrategia general de gestión del riesgo empresarial. Pero esto no debería ser así.

Para lograr una gestión holística del riesgo relacionado con los datos hace falta que se creen sinergias entre el gobierno de datos y las funciones de riesgo. De hecho, la gobernanza de datos ya es una nueva norma en la mayoría de las empresas, tal como lo exigen regulaciones como BCBS 239, GDPR, EU No 1024/2013, EMIR o MiFID2, entre otras.

Las empresas que ya han integrado su gestión del riesgo con Data Governance están bien preparadas para cualquier cambio en el entorno, pudiendo protegerse de las amenazas que podrían reducir su valor comercial.

El gobierno de datos es el único pilar existente en la mayoría de las organizaciones para garantizar la gestión exitosa y sostenible de los datos como un activo empresarial mediante la aplicación, formalización y habilitación de prácticas de gestión de datos. La gobernanza de datos define la supervisión mediante:

  1. Establecimiento de políticas.
  2. Definición de mecanismos de aprobación.
  3. Evaluación del cumplimiento de las políticas.

El componente de gestión de riesgos de Data Governance considera Integridad, Precisión, Completitud, Coherencia, Eficiencia, Eficacia, Confidencialidad, Disponibilidad, Cumplimiento y Confiabilidad entre las muchas dimensiones del dato, ayudando a identificar vulnerabilidades, llevar a cabo una evaluación de riesgos y adoptar las medidas que permitirán adquirir una visión única del riesgo empresarial en condiciones de confiabilidad.

Es responsabilidad de la empresa garantizar que las diferentes áreas de negocio asuman la responsabilidad y se comprometan a mantener la calidad en los datos, los metadatos, el contenido, el cumplimiento y la fuente de los datos correctos.

¿Existen lagunas en la operatividad de estos aspectos tan necesarios del Gobierno de datos? Puede que haya llegado el momento de abordar las amenazas de la nube desde el descubrimiento, gracias a una evaluación de riesgos.
Cloud Computing

Créditos fotográficos: chombosan