Gestión de datos

Una guía para gestionar los riesgos de los datos

gestión de los riesgos relacionados con los datos

Los datos son el alma de cualquier organización. El uso incorrecto o deficiente de los datos puede afectar gravemente a las operaciones de una organización y a los resultados previstos. El riesgo debe identificarse, comprenderse, cuantificarse y dividirse en categorías: evitar, transferir, mitigar, etc. La aceptación de los riesgos para los datos y el tratamiento de sus consecuencias debe ser una actitud de "ojos bien abiertos". Aceptar los riesgos de los datos y hacer frente a sus consecuencias debe ser una tarea de "ojos bien abiertos". En otras palabras, la gestión de riesgos basada en datos es una capacidad necesaria para todas las organizaciones.

Gestión del riesgo de datos

La gestión del riesgo de los datos incluye todas las prácticas para identificar los riesgos, evaluarlos y reducirlos a un nivel aceptable. Esto siempre ha sido importante, pero ahora hay más en juego con el nuevo trabajo a distancia, las brechas de ciberseguridad y los riesgos de seguridad en la nube. El informe anual sobre el coste de una violación de datos, realizado por el Instituto Ponemon, reveló que las violaciones de la seguridad de los datos cuestan ahora a las empresas una media de 4,24 millones de dólares por incidente, el coste más alto en los 17 años de historia del informe. Ponemon afirma que la seguridad va a la zaga de los rápidos cambios informáticos, como el trabajo a distancia y las actividades basadas en la nube. Y, los resultados vienen con consecuencias significativas. Casi el 20% de las organizaciones estudiadas informaron de que el trabajo remoto fue un factor en la violación de la seguridad de los datos, y estas violaciones acabaron costando a las empresas 4,96 millones de dólares (casi un 15% más que la violación media). Las empresas del estudio que sufrieron una brecha durante un proyecto de migración a la nube tuvieron un coste un 18,8% superior a la media.

Teniendo en cuenta las tendencias anteriores y la realidad de que la nube y los trabajadores remotos están aquí para quedarse, tendrá que centrarse en protegerlos como parte de su estrategia de gestión de riesgos de datos, comprendiendo sus riesgos y amenazas potenciales, su probabilidad de ocurrencia y su impacto potencial, su postura de seguridad actual y sus pasos para remediarlos. De hecho, cada uno de ellos presenta retos únicos que tendrá que abordar. Los riesgos de la nube se complican por la falta de visibilidad de la nube, los riesgos del big data, los riesgos de la migración de datos, los riesgos de seguridad del almacenamiento en la nube, las desconfiguraciones de la nube, etc. Por otro lado, los problemas de seguridad del trabajo remoto se derivan de la fuga de datos, la escasa visibilidad de los usuarios que operan fuera de la red corporativa y los ataques de suplantación de identidad, por nombrar sólo algunos problemas.

Gestión del riesgo de datos

Gestión del riesgo de los datos Es la práctica que utiliza una organización con gobernanza, procesos, procedimientos y cumplimiento para adquirir, almacenar, procesar, transformar y utilizar datos con el fin de gestionar y eliminar los riesgos de los datos. El análisis de riesgos implica examinar los activos de la organización, las posibles amenazas y las vulnerabilidades para determinar el riesgo y, a continuación, establecer contramedidas relativas a la gestión del riesgo.

El riesgo de datos se debe a:

  • Mala gobernanza de los datos - Las organizaciones tienen que asegurarse de que sus datos son de alta calidad para respaldar las decisiones organizativas. Una buena gobernanza de los datos equilibra la necesidad de democratizarlos con la necesidad de conocerlos y utilizarlos.
  • Mala gestión de los datos - Hay que proteger todo el ciclo de vida de los datos a medida que pasan de una fase a otra, incluidos los datos en reposo y en tránsito. Todas las prácticas de adquisición, almacenamiento, transformación, carga y procesamiento de datos deben gestionarse adecuadamente.
  • Seguridad inadecuada de los datos - Las organizaciones tienen que mantenerse al día en la protección de su entorno frente a ciberataques y compromisos involuntarios de datos internos, con parches, educación, un modelo de confianza cero, etc.
  • Mala gestión de los parches - Los parches del sistema deben mantenerse actualizados y llegar a tiempo; si la gestión de los parches no se hace de forma eficaz y eficiente, puede producirse una ventana de oportunidad para los ciberataques. En la medida de lo posible, la gestión de parches debe basarse en boletines y estar automatizada.
  • Diagnóstico y mitigación continuos (CDM) - De acuerdo con el US-CERT, las organizaciones deben implantar un programa de seguridad informática automatizado y basado en los riesgos, que cubra toda la infraestructura, las aplicaciones y los datos, tanto en las instalaciones como en sus despliegues en la nube. Rara vez el entorno de hardware o de aplicaciones sufre daños permanentes o tiene ramificaciones posteriores impredecibles; no puede decirse lo mismo de los riesgos para los datos. Un análisis de riesgos Prevenir-Detectar-Responder debe centrarse en los riesgos de los datos como núcleo de un programa de ciberseguridad de MDL.

Algunas ventajas de gestionar los riesgos de los datos:

  • Reducir el coste para una organización de muchas maneras, incluidas las multas reglamentarias, el tiempo perdido, la retención de clientes y muchas otras formas.
  • Reduzca el riesgo siendo proactivo en lugar de reactivo con una estrategia para gestionar todos los riesgos.
  • Aumentar la agilidad de la organización para moverse con rapidez. La evaluación y gestión del riesgo de los datos es una práctica proactiva para respaldar la disponibilidad empresarial de la organización basada en reaccionar con rapidez ante los retos.
  • La longevidad de una organización se mantiene gracias a su capacidad para prestar y respaldar servicios y productos. Sin una gestión adecuada del riesgo de los datos, las organizaciones corren peligro de fracasar.
  • La satisfacción del cliente depende de la capacidad de una organización para operar con seguridad, protegiendo los datos compartidos necesarios para el desarrollo del negocio. Las encuestas de satisfacción y las puntuaciones netas de recomendación (NPS) se basan, en última instancia, en la capacidad de la organización para gestionar adecuadamente el riesgo asociado a los datos.

La ventaja de gestionar adecuadamente el riesgo de los datos compensa con creces los costes asociados. Cuando esta práctica se integra como disciplina dentro de una organización, contribuye significativamente al éxito empresarial. La siguiente guía de gestión del riesgo de los datos ofrece recomendaciones y consejos sobre cómo implementar esta práctica de forma eficaz en su organización.

Guía para la gestión del riesgo informático

La gestión del riesgo de los datos no puede ser un aspecto secundario dentro de una organización. Para que sea eficaz, debe existir una intención estratégica, apoyo por parte de la dirección y un cambio cultural. El primer paso consiste en crear un equipo con responsabilidades claras en materia de riesgos relacionados con los datos. Elabore una matriz RACI general vinculada a la política de gestión del riesgo de datos. Asimismo, designe a un Responsable de Protección de Datos (DPO) que se encargue de establecer un marco de gestión de riesgos, en el que se definan metas, objetivos y métricas claras.

Algunas tareas, consejos y orientaciones para la gestión del riesgo de datos:

  • Identifique el riesgo, la amenaza y la vulnerabilidad: realice una evaluación de riesgos del centro de datos.
  • Evaluar la probabilidad y el impacto, realizar un análisis de impacto empresarial - Puede ser útil recurrir a la ayuda de terceros. Abordar las implicaciones financieras y el impacto a lo largo del tiempo para determinar las prioridades y acciones para hacer frente a los riesgos de datos.
  • Definir la gobernanza, las políticas, las normativas y las necesidades de cumplimiento, incluyendo la identificación y adopción de las mejores prácticas para la gestión del riesgo de los datos.
  • Evaluar los controles existentes y realizar esta actividad de forma continua en relación con el cambiante panorama de riesgos. Implantar controles en prácticas, procesos e instrucciones de trabajo en toda la organización.
  • Estrategia y plan de respuesta al riesgo - Evitación, mitigación, transferencia, aceptación. Contratar un seguro de ciberseguridad es una forma de transferir el riesgo de los datos derivado de los ciberataques. Asegúrese de tener un plan para cada aspecto de la gestión de riesgos.
  • Ponga a prueba el plan para asegurarse de que funciona; si no es así, ajústelo y redefina cualquier otro aspecto de la gestión del riesgo de datos.
  • Supervise el riesgo y proporcione información, utilice herramientas automatizadas en la medida de lo posible y obtenga información de personas de toda la organización.
  • Plan y actividades de mejora continua, la gestión de riesgos es una capacidad necesaria de la organización.

Algunos riesgos potenciales que hay que identificar y gestionar:

  • Los datos pueden corromperse en cualquier momento, durante su lectura, escritura, transmisión, carga, procesamiento, etc. Asegúrese de identificar la replicación, duplicación, copia de seguridad y recuperación de los datos, y gestione el riesgo relacionado con cada etapa del ciclo de vida de la gestión de datos.
  • El fallo de los dispositivos en las instalaciones y en la nube, donde residen los datos, es esencial. Las organizaciones deben comprender la pila completa de dispositivos de TI y los datos asociados y preparar planes y acciones de riesgo de datos.
  • Cumplimiento de la normativa sobre datos: asegúrese de cumplir las normativas relativas a clientes y socios, así como las específicas del sector y de la región o el país, como el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), los Servicios de Información de Justicia Penal (CJIS), la Ley de Derechos Educativos y Privacidad de la Familia (FERPA), el Reglamento sobre Tráfico Internacional de Armas (ITAR) y la Ley de Privacidad del Consumidor de California (CCPA). Hay que gestionar la privacidad de los datos y la confianza, y tener en cuenta los riesgos. Cada una de estas normativas hace hincapié en la necesidad de gestionar el riesgo de los datos.
  • La dependencia de un proveedor para la gestion des données puede ser costosa. Revise los contratos y comprenda el coste en relación con el valor.
  • La remanencia de datos mediante prácticas de retirada de datos, si no se hace correctamente, puede suponer un riesgo para la organización. Asegúrese de verificar que esto está ocurriendo adecuadamente.
  • La identificación de fallos y debilidades de seguridad puede hacerse con auditorías. Las auditorías de datos son siempre una buena práctica en las organizaciones para gestionar los riesgos.
  • El almacenamiento y la gestión a largo plazo de datos no utilizados son costosos. Los datos que no se utilizan no tienen valor y, si se gestionan sin un propósito, son una pérdida de tiempo y esfuerzo. Esto incluye cuestiones de gouvernance y cumplimiento.
  • Política y comportamiento de las personas: malware, phishing, spyware, etc.
  • Deben identificarse y gestionarse los riesgos de SaaS, PaaS e IaaS en la nube para cada servicio. Muchas organizaciones no utilizan todos los servicios en la nube, pero aun así deben ser conscientes de cómo pueden afectarles los demás servicios relacionados con la gestión del riesgo de los datos.
  • Deben identificarse y planificarse planes de contingencia para casos de denegación de servicio, violación de datos, pérdida de datos y otros problemas.
  • La respuesta a incidentes graves es fundamental cuando se produce un problema de gestion des données . Esta actividad también debe practicarse o simularse para garantizar su eficacia.
  • La seguridad física debe identificarse y comprenderse siempre en relación con posibles vulneraciones humanas o del entorno, incluyendo tanto la seguridad física en las instalaciones como en la nube. Las organizaciones no solo deben ser conscientes de sus propios protocolos, sino también de cómo sus proveedores abordan la seguridad física, especialmente en entornos de oficina que alternan entre el trabajo en remoto y el regreso presencial.
  • Debe identificarse el riesgo de software e infraestructuras de terceros. Cualquier proveedor externo está expuesto a una violación de datos que puede afectar a sus clientes. Las violaciones de datos que resultan en software pirateado y luego instalado en los entornos de sus clientes pueden tener efectos duraderos en la organización. Todas las organizaciones deben saber cómo protegen sus datos sus proveedores, especialmente los datos sobre sus clientes.

Algunas áreas de gestión de datos que hay que tener en cuenta:

  • No se puede subestimar la importancia de las copias de seguridad para la organización y para nosotros personalmente. Permiten recuperar los datos en caso de corte del suministro eléctrico, piratería informática, catástrofes medioambientales, errores humanos, etc. Esto es esencial para gestionar el riesgo de los datos.
  • La redundancia mejora la disponibilidad de su organización para hacer negocios. La redundancia de datos ayuda a gestionar el riesgo de pérdida de datos por cortes inesperados y esperados que puedan producirse.

Los riesgos relacionados con las personas en la gestión de los datos deben ser identificados y gestionados. Una táctica clave consiste en formar al personal para que sepa cómo gestionar los riesgos de datos dentro de la organización. Es fundamental asegurarse de que las personas comprendan estos riesgos y sepan cómo actuar cuando sea necesario. Las buenas prácticas que adquieren en el entorno laboral también pueden ayudar a prevenir fugas de datos personales y otros riesgos relacionados con la información personal.

Hoy en día, a medida que las organizaciones adoptan tecnologías y prácticas de Big Data, es fundamental contar con una estrategia de gestión del riesgo de datos para hacer frente a los riesgos asociados. Cada organización debe revisar sus arquitecturas de Big Data e identificar los riesgos asociados a los datos en entornos locales, en la nube y en nubes híbridas. Es importante analizar cuidadosamente los riesgos de migración de datos a la nube y los riesgos de seguridad del almacenamiento en la nube. En algunos casos, será necesario ajustar la arquitectura en la nube para mitigar tanto los riesgos como los costes. La gestión de riesgos en Big Data debe formar parte de una estrategia integral de gestión del riesgo de los datos.

Conclusión

La gestión del riesgo de los datos es responsabilidad de todas las funciones de las líneas de negocio, marketing, ventas, recursos humanos, operaciones, aplicaciones, jurídico, etc. Adoptar un enfoque proactivo identificando el riesgo, añadiendo controles y preparándose para la acción puede suponer una gran diferencia cuando sea necesario. No convierta la gestión del riesgo de los datos en una ocurrencia tardía en la que no merece la pena invertir. La gestión del riesgo de los datos forma parte del coste de la actividad empresarial y debe entenderse como tal. Tenga cuidado con los atajos y sea estratégico y exhaustivo con el enfoque.

Además, debe buscar marcos y mejores prácticas; en particular, el NIST es uno de los principales expertos en gestión de riesgos con amplios marcos para la ciberseguridad, la gestión de riesgos, la integración de la ciberseguridad y la gestión de riesgos empresariales (ERM), la privacidad, y más. NIST Guidelines for Managing the Security of Mobile Devices in the Enterprise (Borrador NIST SP 800-124 Rev. 2, Guidelines for Managing the Security of Mobile Devices in the Enterprise) es otro recurso reciente para ayudarle a empezar. También puedes consultar la Guía maestra de DBIR 2021 (2021 DBIR Master's Guide | Verizon).

Actian y la plataforma de inteligencia de datos

Actian Data Intelligence Platform está diseñada para ayudar a las organizaciones a unificar, gestionar y comprender sus datos en entornos híbridos. Reúne la gestión de metadatos, la gobernanza, el linaje, la supervisión de la calidad y la automatización en una única plataforma. Esto permite a los equipos ver de dónde proceden los datos, cómo se utilizan y si cumplen los requisitos internos y externos.

A través de su interfaz centralizada, Actian permite conocer en tiempo real las estructuras y flujos de datos, lo que facilita la aplicación de políticas, la resolución de problemas y la colaboración entre departamentos. La plataforma también ayuda a conectar los datos con el contexto empresarial, lo que permite a los equipos utilizar los datos de forma más eficaz y responsable. La plataforma de Actian está diseñada para escalar con ecosistemas de datos en evolución, apoyando un uso de datos consistente, inteligente y seguro en toda la empresa. Solicite su demostración personalizada.

Infórmese

Cultive su inteligencia de datos y explore recursos adicionales.

gestión de los riesgos relacionados con los datos
Icono de guía
Gestión de datos

Una guía para gestionar los riesgos de los datos

18 de noviembre de 2025
Leer la guía
normalización de datos
Icono de guía
Gestión de datos

¿Qué es la normalización de datos?

17 de marzo de 2025
Leer la guía
análisis de la cadena de suministro
Icono de guía
Gestión de datos

Un análisis en profundidad de la cadena de suministro

17 de marzo de 2025
Leer la guía