Data Governance y los roles en la seguridad de la información
Desde que entró en rigor la GDPR se han empezado a manejar de forma habitual títulos como: Data Owner, Data custodian, Data controller, Data processor, Data Steward, etc. Cada uno con su parte de responsabilidad en el maravilloso ciclo de la vida de la información.
Si Jackie Chan te representa en este momento sigue leyendo
Cuando empecé a estudiar certificaciones de Seguridad (CISSP) me di cuenta de que este nuevo escenario de roles y responsabilidades es importante manejarlo. Importante no, imprescindible. Así que me he propuesto desgranar los roles con ejemplos lo más gráficos posibles para poder entenderlos (al menos a alto nivel)
Antes de empezar con los roles, hay dos conceptos a tener en cuenta:
DUE CARE y DUE DILIGENCE
DUE CARE representa el esfuerzo de una empresa por cumplir con la ley, así como proteger y reducir los riesgos asociados a la información que conocen o manejan.
Incumplir el Due Care se considera una negligencia. Por tanto este termino viene a ser lo que haría una persona responsable.
DUE DILIGENCE representa los continuos esfuerzos y controles que pone una empresa para cumplir con la responsabilidad de los datos que conoce.
Lo que viene siendo ser cuidadoso y aplicado en tus responsabilidades.
Este padre cumple el Due Care pero no Due Diligent.
Bien, si ya tenemos claros estos términos, podemos continuar. ¿Sabes lo que es el Data governance alma de cántaro?
La definición más estandarizada sería: Es una colección de procesos, roles, políticas, estándares y métricas que aseguran el uso eficaz y eficiente de la información para permitir que una organización logre sus objetivos. Establece los procesos y responsabilidades que garantizan la calidad y seguridad de los datos utilizados en una empresa u organización. La gobernanza de datos define quién puede tomar qué acción, sobre qué datos, en qué situaciones, utilizando qué métodos.
Para los bárbaros bajados de la colina: Es toda la movida a cumplir para que una empresa gane dinero en vez de perderlo.
Bien, una vez sabemos que todo esto tiene una razón de ser (la pasta), y que una empresa puede llegar a perder hasta un 4% de su facturación total si incumple su responsabilidad para con los datos de sus usuarios finales/clientes, entremos en harina.
Como todo buen estudiante, me hice mi propia pirámide del Data Governance, con la descripción de cada uno de estos roles y su responsabilidad, pero no terminaba de quedarme claro.
¿Y por qué no me quedaba claro?
Porque mezclaba los propósitos.
Seguía metiendo la pata en las preguntas de examen, Así que para ver los roles con mas claridad hay que ver en qué capa de responsabilidad y negocio se mueven. Así que tenemos que hacer un ejercicio de abstracción y separar estos roles sin sentido en capas de negocio, a ver si así:
- Capa Ejecutiva - Supervisores y responsables de la estrategia de la empresa (Dónde se busca un éxito medible)
Roles dentro de esta capa:
Senior Manager - El jefazo y responsable final (el que se huele las manos antes de hablar)
- Capa Estratégica - Los que crean las políticas que ayudan a conseguir la estrategia planteada (largo plazo)
Roles dentro de esta capa:
CISO (Responsable ejecutivo) - Alinear la seguridad de la información con los objetivos de negocio.
Security Professional (Responsable funcional) - Aconseja y establece medidas técnicas de seguridad, aconseja,...)
Data Owner (Responsable de la información) - Tienen la responsabilidad directa de un área funcional. No son administradores, pero trabajan con los administradores designados para garantizar la definición y el uso correctos de los datos y ayudar en la identificación y gestión de la calidad de los datos para su área)
- Capa Táctica o administrativa - Los que ejecutan tareas individuales y específicas con un objetivo claro (medio plazo)
Roles dentro de esta capa:
Data Custodian (Responsable del día a día y control) - Se encarga de los aspectos técnicos, es decir, del lado de TI, es el rol encargado de llevar adelante todo lo definido por el Data Owner y Data Steward desde la perspectiva técnica
System Owner/Librarian (Selecciona los controles de seguridad) - Se encarga de la disponibilidad, el soporte y el mantenimiento de un sistema, y de la seguridad de los datos que residen en el sistema
Administrator (Responsable técnico de los sistemas donde residen los datos) - El ejecuta.
- Capa Operacional o de negocio- Dónde se ejecutan tareas diarias de ejecución y proceso (muy corto plazo)
Roles en esta capa:
Data Controller (Control de qué datos y para que los usamos) - Es el responsable de que solo los datos precisos sean procesados correctamente y siguiendo las normas establecidas.
Data Processor (Responsable del proceso y gestión de la información) Puede ser una empresa subcontratada que procese los datos de los usuarios finales o de la empresa para su negocio lucrativo.
Data Steward (Responsabe de la información desde punto de vista del negocio) - Define y establece el valor de los datos para la organización. También ayuda a establecer el nivel de segurida que necesita ese activo.
Info tipo A = $
Info tipo B =$$$$$
End user (Tú, pringao que has dado OK sin leer las condiciones)
Bola extra: Auditor (El que examina que se cumplen las medidas establecidas)
A ver que tal ahora
Conclusiones que saco al entender como funciona un buen gobierno de datos:
1-Pocas empresas tienen establecida una buena política.
2-Las que lo intentan para cumplir expediente y ponen a las mismas personas en más de un rol crea decenas de conflictos de interés.
3-Si juntamos las dos anteriores se crea una tercera situación aún más crítica: Inseguridad y vulnerabilidad tanto para las empresas como para los usuarios finales de estas.
4- Mucho ojo con aceptar alegremente que otros manejen tus datos, puede ser que:
Espero que esta pequeña explicación a alto nivel de los roles dentro de un gobierno de datos os haya sido de utilidad.
Comentarios
Publicar un comentario