ISACA Journal
Volume 3, 2,018 

Translated Articles 

Construyendo puentes con el directorio—innovación en la gobernanza de la información 

T. Sean Kelly 

Los profesionales de TI y los miembros del directorio de la empresa viven en dos mundos muy diferentes. A los directorios les preocupan las preocupaciones estratégicas, como los ingresos, el precio de las acciones y la reputación de la marca, mientras que al personal de TI se le paga para lidiar con desafíos operacionales como los derivados del big data, los actores de ciberamenaza y el uso de la nube. Cerrar la brecha entre estas prioridades estratégicas y las preocupaciones cotidianas para iniciar la transformación tecnológica de una organización puede parecer insuperable.

En cualquier programa de transformación empresarial, las personas, los procesos y la tecnología son ingredientes clave para el éxito a largo plazo. El gobierno de la información (IG), que es un enfoque operativo para gestionar la valoración, creación, almacenamiento, uso, archivo y eliminación de datos dentro de una organización, no es una excepción. El IG proactivo requiere la colaboración entre los equipos legales, de cumplimiento, de seguridad y de TI para adoptar un enfoque incremental y cuantificable para enfrentar los desafíos actuales de datos empresariales. Tal colaboración interfuncional casi invariablemente requiere un mandato ejecutivo o el directorio. Sin embargo, con frecuencia, sin multas, litigios y/o escrutinio reglamentario, IG no está patrocinado a nivel del directorio o ejecutivo. ¿Qué pueden hacer los interesados en un programa de IG para obtener el nivel de patrocinio del directorio o el ejecutivo necesario para garantizar el éxito?

En un reciente contrato con un cliente, los consultores ayudaron a los asesores legales a obtener un asiento en la mesa e involucrar a los principales líderes empresariales en el establecimiento de IG para mitigar el riesgo en torno a litigios inminentes. Por el contrario, los consultores también han trabajado para ayudar a los clientes a reiniciar proyectos que se han estancado debido a demandas competitivas dentro de un equipo de proyecto entre departamentos.

Atravesando la brecha

Si no se manejan los datos correctamente, a menudo se producen daños en las infracciones de datos, que el Instituto Ponemon ha estimado que costarán US $3,62 millones en promedio.1 Más allá de esto y de las infracciones legales/de cumplimiento, las infracciones rompen la confianza y causan daños reputacionales. La clave para obtener el nivel C y/o la participación del directorio en una iniciativa de GI es posicionar sus beneficios específicamente para abordar el riesgo y la reputación de la marca, en lugar de mejoras operacionales.

El marco de riesgos de una organización para priorizar su mayor riesgo, como las reglamentaciones/sanciones o el daño reputacional, puede ayudar al equipo de IG a evaluar qué categorías de riesgo impactará un programa IG, y presentar un caso de negocios rentable para ello. Algunos de los escenarios de riesgo de datos más apremiantes de hoy incluyen:

  • Big data—Las organizaciones han implementado numerosos sistemas de software, heredados y nuevos, con datos almacenados en muchos lugares y formas diferentes. El estudio de evolución de datos del Foro Leading Edge predice que para 2020, 100.000 organizaciones almacenarán uno o más petabytes de datos.2 Las organizaciones administran ecosistemas de datos heterogéneos y de rápida evolución que abarcan computadoras personales, dispositivos móviles, redes sociales y una gran cantidad de colaboración basada en la nube herramientas, a menudo con poca información sobre cómo se crea o administra la información. La proliferación de estos datos oscuros crea un nivel de complejidad desorganizada que causa confusión, riesgo de seguridad y mayores costos para encontrar datos cuando surgen los litigios, los mandatos reglamentarios o de investigación.
  • GDPR y privacidad—El Reglamento General de Protección de Datos de la Unión Europea (GDPR) tendrá un impacto en muchas facetas de los negocios para las empresas multinacionales. El GDPR requiere organizaciones con sede en la Unión Europea y aquellas que conservan datos personales de ciudadanos de la UE, incluida cualquier información relacionada con un individuo, como dirección física, dirección de correo electrónico, direcciones de Protocolo de Internet (IP), edad, género, sistema de posicionamiento global (GPS) ubicación, información de salud, consultas de búsqueda y artículos comprados: para cumplir con los estrictos requisitos de protección de datos. Muchas organizaciones que cosechan y comercializan libremente esta información hoy deberán asumir el costo y el riesgo de estos requisitos. El incumplimiento puede generar multas de hasta el 4 por ciento de los ingresos anuales globales de una empresa o de 20 millones de euros en la UE. Debido a que la regulación es tan expansiva y nueva, simplemente saber por dónde empezar es un desafío.
    Incluido en el GDPR se encuentra una eliminación, o disposición de derecho a ser olvidado, que ofrece a los ciudadanos de la UE la opción de exigir que su IIP sea borrada de las bases de datos de la organización y otros sistemas y sea inaccesible para otros que buscan esa información. Los equipos legales y de TI deben entender las posibles interpretaciones de este y otros derechos de los sujetos de datos en el GDPR y estar equipados para comunicar las implicaciones del incumplimiento al directorio.
  • Ciberseguridad—La seguridad de los datos es ahora un esfuerzo de toda la empresa y una gran preocupación para los directorios y altos ejecutivos. A nivel mundial, existen docenas de leyes que regulan cómo las empresas administran la ciberseguridad y qué deben hacer en caso de una violación de datos. Los eventos de ciberseguridad vistos durante el año pasado demuestran cuán extenso puede ser el daño de un ataque global. Los ataques y el ransomware continuarán afectando a las redes privadas y gubernamentales de todo el mundo, y los actores amenazantes continuarán con su ciberagresión cada vez más sofisticada. A medida que evolucionan las amenazas y regulaciones de seguridad cibernética, es importante que las organizaciones administren el ciberriesgo de manera holística, diseñando programas para abordar los desafíos únicos en cada región donde la organización hace negocios. Un programa IG creado para proteger información comercial valiosa y la eliminación oportuna de información no crítica contribuye a la fuerte postura de seguridad cibernética exigida por las juntas directivas empresariales y el liderazgo ejecutivo de la actualidad.
  • Retención legal, e-discovery y conformidad—La retención legal es otra área donde la ejecución deficiente puede generar un riesgo financiero y legal significativo, pero que puede abordarse mediante IG proactivo. Este proceso requiere una estrecha vigilancia para garantizar su capacidad de defensa y evitar posibles cargos por expoliación en un litigio, que puede conllevar sanciones severas. Puede ser difícil para las organizaciones ubicar a las personas correctas que necesitan estar bajo control legal y limitar la preservación solo a esas personas. Los equipos legales son fundamentales para informar al liderazgo sobre qué regulaciones son aplicables a la industria y las regiones de operaciones específicas de la organización. Administrar la carga y el costo del descubrimiento electrónico sigue siendo un punto doloroso para muchas organizaciones grandes. Un programa de IG fuerte puede reducir significativamente el costo y el riesgo de e-discovery y retención legal al reducir la cantidad de datos sujetos a descubrimiento y al hacer que el proceso de búsqueda, preservación y producción de datos relevantes sea más eficiente y menos sujeto a error manual.
  • Transformación digital—Muchas organizaciones están llevando a cabo esfuerzos de transformación digital que implican la migración de datos a la nube. Microsoft Office 365 solo tiene más de un millón de usuarios comerciales mensuales, y Microsoft indica que la adopción está creciendo rápidamente.3 La implementación de servicios en la nube presenta una variedad de factores de riesgo relacionados con el archivo de correo electrónico, preservación de datos, regulaciones transfronterizas, seguridad de datos y procesos de descubrimiento electrónico. El movimiento de datos críticos de la empresa a la nube aumenta las preocupaciones de seguridad y protección de datos, y los estudios han demostrado la incidencia de amenazas avanzadas de correo electrónico para organizaciones de todos los tamaños.4 Por todos estos motivos, la migración en la nube y otros esfuerzos de transformación digital destinados a optimizar los procesos comerciales y la mejora de la eficiencia de costos deben considerarse como iniciativas críticas.

Un paso a la vez

A menudo se piensa en IG en el contexto de la eficiencia de TI, la seguridad de los datos y el cumplimiento normativo. Si bien es cierto que estos son los factores más importantes para la ejecución de los programas de gobierno de datos e información, el factor igualmente importante de la reputación de la marca resuena profundamente en el directorio y en la C-suite de una organización. Los proyectos pueden ser impulsados por una variedad de patrocinadores internos, que aportan distintas necesidades y objetivos a la mesa. El director financiero (CFO) o el departamento de finanzas pueden estar buscando reducir los gastos año tras año corrigiendo datos y aumentando la eficiencia del almacenamiento. El departamento de TI se preocupa más por mitigar los costos del big data y garantizar que la organización no sufra de sobrecarga de red. El equipo legal se centra en e-discovery, asegurando el cumplimiento legal y el cumplimiento de los requisitos reglamentarios. Comprender y aprovechar estos diversos factores puede ayudar a obtener el patrocinio ejecutivo para el proyecto y facilitar la reunión de un grupo de partes interesadas para abordar la implementación. Con soporte multifuncional, las partes interesadas pueden demostrar cómo las iniciativas específicas de IG pueden reducir directamente el riesgo reputacional y otros riesgos clave y obtener el apoyo del directorio. Los proyectos que pueden ayudar a garantizar un manejo seguro y responsable de los datos confidenciales, incluyen un fuerte cumplimiento y la eficiencia de los procesos comerciales:

  • Eliminando datos heredados y ajustando la política—Repare el almacenamiento heredado mediante la actualización de copias de seguridad, la eliminación de cintas de copia de seguridad redundantes y el establecimiento de una política de archivo aplicable. Para remediar las cintas de respaldo heredadas, los equipos legales y de cumplimiento deben colaborar con las TI para realizar un inventario de las obligaciones reglamentarias y legales de los datos. Este proceso también puede ser una función forzadora para estandarizar las políticas de retención legal, lo que podría ahorrar importantes costos de almacenamiento y descubrimiento electrónico a largo plazo.
  • Poniendo los datos no estructurados bajo control—La mayoría de las organizaciones almacena datos no estructurados que incluyen datos confidenciales o PII que pueden estar sujetos a leyes de privacidad. Tomarse el tiempo para escanear archivos compartidos para datos confidenciales, identificar información crítica y obtenerla bajo llave puede ayudar a mitigar el riesgo de pérdida de propiedad intelectual y secretos comerciales, y el riesgo operativo y de reputación relacionado con la administración de una violación de datos.
  • Modernizar el archivo de mensajes—Los archivos de correo electrónico son uno de los sistemas menos mantenidos dentro de una organización, y la mayoría de los archivos se basan en tecnología antigua que necesita ser actualizada o evaluada desesperadamente para una disposición defendible. La nueva tecnología de archivo puede proporcionar controles integrados de IG y una experiencia mucho mejor para ejecutar búsquedas y extraer datos para e-discovery u otras razones, así como para la administración de correo electrónico por parte del usuario final. Las características incluyen políticas de retención preestablecidas y la capacidad de identificar información confidencial que se envía fuera de la organización para que pueda detenerse antes de que abandone la red. Una iniciativa de modernización de archivos brinda una buena oportunidad para mostrar valor con IG.
  • Usar la migración en la nube como una oportunidad—La migración a los sistemas en la nube brinda una oportunidad para que una organización haga un balance de sus prácticas de administración de correo electrónico y datos y, potencialmente, actualice las políticas y remedia los datos para una mayor eficiencia y seguridad. Las soluciones en la nube sí presentan nuevas inquietudes sobre IG, incluidos el almacenamiento individual ampliado y los desafíos de retención, pero también hay una mejor capacidad para buscar y administrar los datos y reducir significativamente los costos de almacenamiento.
  • Ir más allá del descubrimiento electrónico de primera generación—Con la amplia conciencia que la mayoría de las organizaciones y bufetes de abogados tienen hoy en torno al e-discovery, un número sorprendente de ellos aún utiliza herramientas de primera generación para la búsqueda y recuperación. Hay un puñado de organizaciones a la vanguardia de la tecnología emergente, pero la mayoría todavía utiliza la recopilación básica a granel de los archivos de correo electrónico como su principal proceso para el descubrimiento electrónico. Además, la mayoría de las herramientas de primera generación tienen problemas con el descubrimiento electrónico de otras fuentes de datos no estructurados, como SharePoint y los repositorios basados en la nube. Las plataformas de colaboración a menudo contienen información crítica para un caso, y el alcance del e-discovery ha ido mucho más allá del correo electrónico y la información tradicional almacenada electrónicamente (ESI), solicitando con frecuencia el escritorio, recurso compartido de archivos y otras fuentes de datos estructurados y no estructurados. La actualización de los procesos y la tecnología de descubrimiento electrónico pueden permitir que el equipo legal se encargue de los asuntos que están en sus escritorios hoy y brinden herramientas para construir un IG más sólido.
  • Aprovechando el análisis/aprendizaje automático—Ha surgido una tecnología avanzada que puede acelerar la corrección de IG y el soporte en investigaciones y litigios. Los equipos legales y de TI apenas están rascando la superficie para el análisis avanzado y las herramientas de aprendizaje automático que se pueden aplicar para avanzar en las iniciativas de IG. Estas tecnologías pueden ser útiles para tomar grandes cantidades de datos y clasificarlos de una manera eficiente, reduciendo el esfuerzo manual y el costo.

Medir el éxito

Durante mucho tiempo, los consejos han pasado por alto el riesgo inherente de vivir dentro de los datos de la organización. La combinación de nuevas leyes de privacidad y la naturaleza cada vez más agresiva de los actores de la amenaza cibernética está cambiando todo eso. El liderazgo empresarial superior debe comenzar a prestar atención a estos problemas para mantener la seguridad y el cumplimiento de la línea de base. El IG proactivo puede ser un componente importante para abordar de manera efectiva estos desafíos y proporcionar otros beneficios tangibles y sostenibles.Hay una reducción significativa en el costo y un aumento en la eficiencia de los procesos de descubrimiento electrónico cuando los datos de una organización se han organizado y remediado adecuadamente como parte de un programa IG. Con entornos de datos empresariales desorganizados y no administrados, los equipos de e-discovery tienen dificultades para ver y administrar datos en docenas de diferentes servidores de archivos, Skype, correo electrónico, Dropbox y otras fuentes de datos. Los entornos de datos remediados también facilitan la búsqueda e identificación de PII y otros datos confidenciales, como información de tarjetas de crédito y números de identificación del gobierno, ayudando a cumplir con las obligaciones de privacidad y tomando medidas correctivas necesarias como asegurar, encriptar y eliminar datos confidenciales. IG permite a los equipos realizar de manera más eficiente un análisis detallado de las debilidades y brechas de seguridad, y monitorear proactivamente las ubicaciones donde se encuentran los datos críticos y es probable que ocurra una pérdida. Esto hace posible poner protecciones en su lugar, así como reconciliar la solución con los pasos para preservar los datos requeridos para propósitos de cumplimiento o retención legal.

Si bien los problemas de datos pueden ser abrumadores, los equipos deben recordar que no necesitan (ni deberían intentar) hervir el océano. En cambio, los proyectos de remediación de datos pueden ser priorizados por aquellos que abordan las áreas de mayor riesgo o proporcionan una ganancia rápida para dar impulso. Una forma de ayudar a priorizar podría ser dividir los objetivos IG en categorías:

  • Proteger la información sensible de clientes y empleados
  • Asegurar la propiedad intelectual sensible de la empresa
  • Armarse contra amenazas de ciberseguridad
  • Desarrollar protocolos y sistemas para asegurar el acceso seguro a la red por parte de socios y terceros aprobados

Estas o similares subcategorías dentro de un programa IG más amplio pueden ayudar a tomar un gran desafío y canalizarlo hacia iniciativas que estén más enfocadas, sean más fáciles de lograr y respaldadas por el consejo.

Notas finales

1 IBM, “Cost of Data Breach Study,” June 2017, https://www.ibm.com/security/data-breach
2 Koff, W.; P. Gustafson; “Data rEvolution,” The Leading Edge Forum, USA, 2011, http://assets1.csc.com/innovation/downloads/LEF_2011Data_rEvolution.pdf
3 Bright, P.; “Microsoft 1Q18: Office 365 is Booming, Azure Continues to Climb,” Ars Technica, 26 October 2017, https://arstechnica.com/information-technology/2017/10/microsoft-1q18-office-365-is-booming-azure-continues-to-climb/
4 Neely, L.; “Exploits at the Endpoint: SANS 2016 Threat Landscape Survey,” SANS Institute InfoSec Reading Room, September 2016, https://www.sans.org/reading-room/whitepapers/analyst/exploits-endpoint-2016-threat-landscape-survey-37157

T. Sean Kelly
Es un director senior dentro de la práctica de Gobierno de la información, privacidad y seguridad de FTI Technology. Asesora a los clientes en todos los aspectos del e-discovery y la gobernanza de la información, con un enfoque particular en el desarrollo e implementación de tecnología y procesos legales y los impactos legales de la migración de datos a la nube. Aprovecha más de una década de experiencia en tecnología legal y apoyo en litigios para asesorar a los clientes sobre la evolución de las tecnologías y el paisaje cambiante asociado con las transacciones transfronterizas para empresas globales. Anteriormente, Kelly trabajó para Johnson & Johnson, donde fue responsable de los problemas de e-discovery en todos los sectores comerciales, asesorando a partes interesadas internas y asesores externos sobre las mejores prácticas en recolección, tecnología forense, revisión de documentos y control de costos.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.