Bajo la premisa de generar conocimiento y promover buenas prácticas de gestión de datos e información, al igual que en 2020, este continuamos con las sesiones del grupo de estudio en DAMA Uruguay. La iniciativa ha logrado generar un grupo de colaborativo y auto-gestionado, buscando que quienes así lo deseen estén preparados para lograr la certificación CDMP Data Managament Fundamentals o, simplemente, para conocer el marco propuesto por DAMA para Gestión de datos.
En este artículo, con el apoyo de Gustavo Tubino, les contamos sobre lo discutido en el grupo recientemente, donde recorrimos el Capítulo 7 del marco DAMA dedicado a Seguridad de Datos, guiados por Miguel García, Federico Armando y Martin Almenar.
La Seguridad como parte del ciclo de vida de los datos.
Entender los datos como activos implica que las organizaciones definan políticas, establezcan procedimientos y planifiquen las acciones necesarias para resguardar los datos de amenazas, identificando y atendiendo las vulnerabilidades que los exponen. En tal sentido, determinar una estrategia de datos adecuada es el pilar fundamental para gestionar la Seguridad. Para esto, será necesario definir en su alcance los requerimientos y las obligaciones de resguardo surgidas de la propia entidad o de agentes externos que lo demanden.
Sean datos propios, ajenos, estratégicos, tácticos, establecidos en acuerdos contractuales, regulaciones nacionales, internacionales o simplemente aquellos que la organización entienda como valores competitivos, todos deberán estar incluidos en la estrategia de datos y por ende en la estrategia de seguridad. Para esto, se deberá mantener un equilibrio racional entre costo-beneficio y teniendo siempre presente que las medidas de protección no se conviertan en barreras para que estos Activos generen valor como tal.
Será clave entonces tener presentes las “4 A” de la Seguridad como elementos básicos a gestionar, manteniendo así la privacidad y confidencialidad, objetivos primarios de la Seguridad de los datos:
- Autorizar: elementos que facultan el acceso a datos a quien deba tenerlo;
- Autenticar: elementos que verifican su identidad durante el acceso
- Acceso: brindan los medios para que se lleve a cabo
- Auditoría: trazar huellas para saber qué hace con los datos en la organización
De esta forma, la organización será capaz de generar un marco de operación seguro. Con este, podrá tanto reducir riesgos cumpliendo normas regulatorias y limitando responsabilidades legales, así como aprovechar oportunidades competitivas mediante la prospección en sus propios activos de datos.
El capítulo pone también énfasis en cómo llevar adelante los procesos de seguridad de datos, con qué técnicas y herramientas para lograr identificar vulnerabilidades, amenazas, evaluar, mitigar o transferir riesgos. La Seguridad de datos debe ser un guardián para disuadir esas amenazas, así como también un agente mitigador de riesgos, permitiendo a la organización operar de forma adecuada. Esto no solo le permitirá alcanzar y mantener sus metas, sino también superarlas mediante la obtención de su valor subyacente.
No es posible gobernar sin legislar, ni tiene efecto legislar sin marco regulatorio y unidad ejecutora que se encargue de velar por su cumplimiento. Ahí está el rol de la Seguridad.
En próximas publicaciones continuaremos compartiendo el trabajo del grupo de estudio, si te interesa sumarte a esta iniciativa puedes obtener más información en este artículo.
Te esperamos!