Seguridad en compañías dirigidas por datos
Estas compañías generalmente son empresas con estructura analítica para la gestión y dirección, donde buscan llegar a un nivel de madurez estable donde la toma de decisiones tenga índole descentralizado y ágil, donde todo el conocimiento se encuentra en las áreas de negocio y sus funcionalidades. Por ejemplo, los casos de usos deben generarse desde las áreas de negocio debido a la alta autonomía que presentan, sin dejar de respetar el gobierno corporativo.
Gobierno de los datos
El estándar que gestiona las premisas de un gobierno del dato, es DAMA, cuyos principios se rigen por la protección de datos según la regulación relacionada, por ejemplo GDPR en Europa. Aquí se busca contar con metadatos como elementos clave para que sea el eje de los requerimientos del negocio, esto acompañado con una plataforma de soporte de datos con tecnologías de big data, analítica, roles y responsabilidades (CISO, CDO, DPO, Analistas de seguridad, Administradores de sistemas, Procesos de negocio, etc.) Todos deben seguir las políticas establecidas por el CISO y por el DPO para asegurar que los procesos y estándares se cumplan desde el punto de vista de seguridad y privacidad respectivamente. ¿DPO?, el encargado en la empresa de la privacidad de la data, clasificando información, y su disponibilidad, además de la construcción de los metadatos.
Metadato
Los metadatos son como las estructuras generales, guías o esquemas para el gobierno y gestión de los datos utilizados en la toma de decisiones de la empresa. El aseguramiento de la información plantea seis tipos de metadatos durante todo el ciclo de vida de los datos, en los dos ámbitos: acceso/auditoría y seguridad/privacidad. Para el primer grupo, se están los metadatos de confidencialidad, roles, acceso, qué están haciendo, cuál ha sido su actividad y todo lo que nos pueda ayudar a contextualizar las acciones ocurridas en la compañía. En el otro grupo busca que la autenticación, autorización se encuentren determinados en cierto conjunto de datos.
Clasificación de datos
Esto debe realizarse considerando las normativas vigentes en las diferentes geografías y debe estar relacionada con el resto de elementos de Gobierno del Dato (glosario de términos, diccionario de datos, etc.) Se debe contemplar, si el tipo de dato es personal/sensible/genérico, su nivel de confidencialidad y el tipo de algoritmo, a aplicar en cada caso (disociación, ofuscamiento, tokenización, etc.)
Consejo audit
Muchos métodos, entre normas, marcos, metodologías, entre otros, nos pueden ayudar a gestionar correctamente los datos. Tal es el caso de COBIT 2019 que presenta APO09 para la gestión de datos y MEA04 para la gestión de aseguramiento. En audit nos enfocamos en construir sus metadatos para la gestión correcta de su toma de decisiones en base a la data que va recibiendo, almacenando y procesando.