GOBIERNO DEL DATO

12 abril, 2019 por Govertis Blog 0 comentarios

GOBIERNO DEL DATO

Hoy voy a introducir el concepto del Gobierno del Dato, y la importancia que tiene ésta ya no sólo en los ámbitos de Seguridad de la Información en los cuales me muevo habitualmente, sino en todo lo que tiene que ver con la estrategia empresarial de una organización, independientemente del tamaño o sector, aunque, obviamente según los sectores a los que se dediquen, este aspecto toma un cariz crítico a la hora de la toma de decisiones en cuanto a la protección de la información.

Como normativa de referencia, en cuanto a gobierno se refiere, podemos tomar como relevantes la ISO/IEC 38500, que establece una serie de principios para un adecuado Gobierno IT:

  • Responsabilidad
  • Estrategia
  • Compras
  • Desarrollo
  • Cumplimiento
  • Conducta del Personal

O de una forma más cercana, la ISO 8000:150, que ofrece un framework para una adecuada gestión de datos de calidad o calidad de los datos, basados en otros tres actores fundamentales:

  • Personas
  • Procesos
  • Mejora continua

Respecto de las dos normas presentadas, la ISO 38500 hace referencia a una adecuada gestión del Gobierno IT, en los que sus principios están relacionados con aspectos de ámbito directivo, pero que no ahonda quizá en lo que nos interesa que es la gestión o gobierno del dato.

La segunda norma, bajo mi punto de vista, sí se acerca un poco más a lo que andamos buscando, si bien lo relaciona con una correcta visión y manejo del dato desde el punto de vista IT.

GOBIERNO DEL DATO 1

Fuente: https://www.dpadvantage.co.uk/2014/12/23/iso-8000150a-framework-for-data-quality-management/

 

Sin embargo, lanzo la siguiente pregunta, ¿cómo enfocamos un adecuado control sobre los datos manejados por una organización?

La respuesta no es simple, ya que existen otras normativas o legislaciones de referencia que pueden indicar directrices para el control del dato como puede ser el RPGD, la recién sacada LOPDGDD o la ISO27001, sin embargo, en base a la experiencia, ninguno de ellos nos ofrece una gestión integral, control o gobierno sobre el Dato.

Por supuesto, la pregunta debe ser respondida en base a aproximaciones de cada una de ellas.

Personalmente la idea de la ISO 8000:150, en cuanto a sus tres principios fundamentales me gusta, personas, procesos y mejora continua. Pero dándole una vuelta de tuerca, y combinando conocimiento adquirido de otras normativas, el quid de la cuestión es garantizar que, en todo el proceso de vida del dato, éste se encuentra bajo control, o con las medidas oportunas que acreditan y garantizan ese control.

Para ilustrar el caso, vamos a poner un ejemplo sencillo, como puede ser el proceso de selección de personas. Simplificando el proceso en 5 grandes bloques, se podría agrupar tal como así sigue:

GOBIERNO DEL DATO 2

A través de los cuales se puede ejemplificar todo el proceso de selección:

  • Recogida: Se recaba el CV de la persona
  • Tratamiento: Se efectúan las operaciones de entrevista, selección, criba, etc.
  • Almacenamiento: Los candidatos que superan las pruebas o que interesan para futuros procesos se guardan.
  • Devolución: (Este proceso no aplica en todas las circunstancias, pero he creído conveniente incluirlo tras el RGPD y la posibilidad de portabilidad del dato y que el usuario es el dueño del dato): Se podría proceder a devolver los datos a su responsable legítimo (en este caso el candidato)
  • Destrucción: Los candidatos que no interesan pasan a este estado.

A priori se muestra muy sencillo, pero, en la vida cotidiana, es cuando comienzan los problemas y cuando ya no están sencillo el tener un correcto gobierno del dato, máxime cuando no se disponen o tienen en cuenta las medidas mínimas de securización.

Ejemplo:

Fase 1 – Recogida

GOBIERNO DEL DATO 3

 

Fase 2 – Tratamiento

GOBIERNO DEL DATO 4

En esta parte, el principio de responsabilidad proactiva debe prevalecer, por lo que las organizaciones deben instar a indicar o inquirir qué medidas de seguridad deben ser implementadas, y no a un nivel genérico.

Fase 3 – Almacenamiento

GOBIERNO DEL DATO 5

Fase 4 y 5: Devolución & Destrucción

He agrupado estas dos categorías, porque debería ser el fin del proceso y una vez devueltos, no deberían mantenerse en los sistemas salvo por imperativo legal, o bien pasar directamente a la fase 5 de Destrucción. Sin garantías ni control de ningún tipo, y aún con ellas si no son suficientes, podrían suceder situaciones como las siguientes:

GOBIERNO DEL DATO 6

Este pequeño ejemplo muestra la importancia de mantener un control a lo largo de todo el proceso o ciclo de vida del dato, desde su recopilación, tratamiento, almacenamiento,  devolución y destrucción.

Aquí la importancia radica en tener un profundo conocimiento de todo el proceso, cómo funciona, qué actores intervienen, si son internos o externos, los sistemas en los que se almacenan y sus implicaciones tanto funcionales, organizativas y legislativas, así como disponer de procedimientos adecuados para cada una de las acciones previstas respecto del tratamiento de datos, y no sólo en el ámbito interno, sino también de los propietarios de los datos.

Con esto y un poquito más (fundamentado en múltiples normas como se ha descrito, RGPD, LOPDGGD, ISO27001, ISO 8000:150, ISO 38500 y otras adicionales…) habremos dado un paso enorme en comenzar a gestionar… el GOBIERNO DEL DATO basado en procesos.

 

Miguel Ángel Alloza

@MiguelAlloza

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

EL ROL DEL DPO COMO MEDIADOR Y DE RESOLUCIÓN EXTRAJUDICIAL DE CONFLICTOSEntrada anterior:
GDPR y LOPDGDD: DE LA TEORÍA A LA PRÁCTICASiguiente entrada