Un sistema eficaz de gestión de permisos para un catálogo de datos

El catálogo de datos de una organización mejora todos los activos de datos disponibles basándose en dos tipos de información: por un lado, información puramente técnica que se sincroniza automáticamente desde sus fuentes; y, por otro lado, información empresarial que proviene del trabajo de los administradores de datos. Esta última se actualiza manualmente y, por lo tanto, conlleva una serie de riesgos para toda la organización.

Por lo tanto, un sistema de gestión de permisos es esencial para definir y controlar los derechos de acceso de los usuarios del catálogo. En este artículo, detallamos las características fundamentales y los posibles enfoques para construir un sistema de gestión de permisos eficiente, así como la solución implementada por el Catálogo de Datos de Actian Data Intelligence Platform.

Sistema de Gestión de Permisos: Una herramienta esencial para toda la organización

Para que los usuarios del catálogo de datos confíen en la información que consultan, es esencial que la documentación de los objetos catalogados sea pertinente, de alta calidad y, sobre todo, fiable. Sus usuarios deben poder encontrar, comprender y utilizar fácilmente los activos de datos que tienen a su disposición.

El origen de la información por catálogo y la automatización

Un catálogo de datos suele integrar dos tipos de información. Por un lado, está la información puramente técnica que procede directamente de la fuente de datos. Esta información se sincroniza de forma totalmente automatizada y continua entre el catálogo de datos y cada fuente de datos para garantizar su veracidad y frescura. Por otro lado, el catálogo contiene toda la documentación de negocio u organizativa, que proviene del trabajo de los Data Stewards. Esta información no puede automatizarse, sino que es actualizada manualmente por los equipos de gestión de datos de la empresa.

Un sistema de gestión de permisos es un requisito previo para utilizar un catálogo de datos

Para gestionar esta segunda categoría de información, el catálogo debe incluir mecanismos de control de acceso y de entrada. En efecto, no es deseable que cualquier usuario del catálogo de datos de su organización pueda crear, editar, importar, exportar o incluso suprimir información sin haber recibido una autorización previa. Por lo tanto, un sistema de gestión de permisos basado en el usuario es un requisito previo; desempeña el papel de un guardia de seguridad para los derechos de acceso de los usuarios.

Las 3 características fundamentales del sistema de gestión de permisos de un catálogo de datos

La implantación de un sistema de gestión de permisos en toda la empresa está sujeta a una serie de expectativas que deben tenerse en cuenta en su diseño. Entre ellas, en este artículo hemos optado por centrarnos en tres características fundamentales de un sistema de gestión de permisos: su nivel de granularidad y flexibilidadsu legibilidad y auditabilidad, y su facilidad de administración.

Granularidad y flexibilidad

En primer lugar, un sistema de gestión de permisos debe tener el nivel adecuado de granularidad y flexibilidad. Algunas acciones deben estar disponibles para todo el catálogo para facilitar su uso. Otras acciones deben estar restringidas sólo a ciertas partes del catálogo. Algunos usuarios tendrán derechos globales relacionados con todos los objetos del catálogo, mientras que otros se limitarán a editar únicamente el perímetro que se les haya asignado. Por tanto, el sistema de gestión de permisos debe permitir este abanico de posibilidades, desde el permiso global hasta la finura de un objeto del catálogo.

Nuestros clientes son de todos los tamaños, con niveles muy heterogéneos de madurez en materia de gobernanza de datos. Algunos son start-ups, otros son grandes empresas. Algunos tienen una cultura de datos que ya está bien integrada en sus procesos, mientras que otros sólo están al principio de su proceso de aculturación de datos. Por lo tanto, el sistema de gestión de permisos debe ser lo suficientemente flexible como para adaptarse a todo tipo de organizaciones.

Legibilidad y auditabilidad

En segundo lugar, un sistema de gestión de permisos debe ser legible y fácil de seguir. Durante una auditoría o una revisión de los permisos del sistema, un administrador que examine un objeto debe poder determinar rápidamente quién tiene la capacidad de modificarlo. Por el contrario, cuando un administrador consulta los detalles del conjunto de permisos de un usuario, debe poder determinar rápidamente el ámbito que se le ha asignado a ese usuario y las acciones autorizadas que puede realizar en él.

Esto simplemente garantiza que las personas adecuadas tengan acceso a las áreas correspondientes y dispongan del nivel de permisos adecuado para su función en la empresa.

¿Alguna vez te has encontrado con un sistema de permisos tan complejo que te resultaba imposible entender por qué un usuario podía acceder a cierta información? ¿O, por el contrario, por qué no podía hacerlo?

Simplicidad de administración

Por último, un sistema de gestión de permisos debe ser capaz de hacer frente al creciente volumen del catálogo. Hoy en día sabemos que vivimos en un mundo de datos: en 2020 se generaban 2,5 exabytes de datos al día, y se estima que en 2025 se generarán 463 exabytes de datos al día. Nuevos proyectos, nuevos productos, nuevos usos: las empresas deben lidiar a diario con la explosión de sus activos de datos.

Para seguir siendo relevante, un catálogo de datos debe evolucionar con los datos de la empresa. Por tanto, el sistema de gestión de permisos debe ser resistente a los cambios de contenido o incluso a los movimientos de los empleados dentro de la organización.

Diferentes enfoques para diseñar un sistema de gestión de permisos para catálogos de datos

Existen diferentes enfoques para diseñar un sistema de gestión de permisos de catálogos de datos, que cumplen más o menos las principales características esperadas y mencionadas anteriormente. Hemos elegido detallar tres de ellos en este artículo.

Crowdsourcing

En primer lugar, el enfoque de crowdsourcing, en el que se confía en que la comunidad se autocorrija. Un pequeño grupo de administradores puede moderar el contenido, y todos los usuarios pueden contribuir a la documentación. Normalmente, un sistema de auditoría completa el conjunto para garantizar que no se pierda información por error o por malicia. En este caso, no hay control previo a la documentación, sino una corrección colectiva posterior. Este es el sistema que suelen elegir las enciclopedias en línea, como Wikipedia. Para que estos sistemas funcionen bien, dependen del número de colaboradores y de sus propios conocimientos, ya que la autocorrección solo puede ser eficaz a través de la comunidad.

Este sistema responde perfectamente a la necesidad de legibilidad: todos los usuarios tienen el mismo nivel de derechos, por lo que no hay dudas sobre el control de acceso de cada uno. También es sencillo de administrar: cualquier nuevo usuario tiene el mismo nivel de derechos que los demás, y cualquier nuevo objeto del catálogo de datos es accesible para todos. Por otro lado, no hay forma de gestionar la granularidad de los derechos. Todo el mundo puede hacer y ver todo.

Permiso vinculado al usuario

El segundo enfoque para diseñar el sistema de gestión de permisos consiste en utilizar soluciones en las que el ámbito se vincula al perfil del usuario. Cuando se crea un usuario en el catálogo de datos, los administradores le asignan un ámbito que define los recursos que podrá ver y modificar. En este caso, todos los controles se realizan en una fase previa, por lo que un usuario no puede acceder a un recurso de forma involuntaria. Este es el tipo de sistema que utiliza, por ejemplo, un sistema operativo como Windows.

Este sistema tiene la ventaja de ser muy seguro; no existe el riesgo de que un nuevo recurso sea visible o modificable por personas que no tengan autorización para ello. Este enfoque también satisface la necesidad de legibilidad: para cada usuario, todos los recursos accesibles son fáciles de encontrar. El nivel de granularidad esperado también es adecuado, ya que es posible asignar los datos del sistema recurso por recurso.

Por otro lado, la gestión es más compleja: cada vez que se añade un nuevo recurso al catálogo, hay que incorporarlo a los perímetros de dichos usuarios. Es posible superar esta limitación creando ámbitos dinámicos. Para ello, se pueden definir reglas que asignen recursos a los usuarios; por ejemplo, que todos los archivos PDF sean accesibles para tal o cual usuario. Sin embargo, pueden surgir fácilmente reglas contradictorias, lo que complica la legibilidad del sistema.

Permiso asociado al recurso

El último enfoque importante para diseñar el sistema de gestión de permisos de un catálogo de datos consiste en utilizar soluciones en las que las acciones autorizadas se asocian al recurso que se va a modificar. Para cada recurso, los permisos posibles se definen usuario por usuario. Por lo tanto, es el recurso el que tiene su propio conjunto de permisos. Al examinar el recurso, es posible saber de inmediato quién puede verlo o editarlo. Este es, por ejemplo, el tipo de sistema que se utiliza en un sistema operativo tipo UNIX.

La necesidad de legibilidad se satisface perfectamente - un administrador puede ver inmediatamente los permisos de los diferentes usuarios al visualizar el recurso. Lo mismo ocurre con la necesidad de granularidad - este enfoque permite dar permisos al nivel más macro a través de un sistema de herencia, o al nivel más micro directamente en el recurso. Por último, en cuanto a la facilidad de administración, es necesario asociar cada nuevo usuario a los distintos recursos, lo que puede resultar tedioso. Sin embargo, existen sistemas de grupos que pueden mitigar esta complejidad.

El modelo de gestión de permisos del catálogo de datos: sencillo, claro y flexible

Entre estos enfoques, vamos a detallar el elegido por Actian Data Intelligence Platform y cómo se aplica.

Se prefirió el enfoque basado en los recursos

Resumamos las distintas ventajas y desventajas de cada uno de los enfoques discutidos anteriormente. Tanto en los sistemas de gestión de permisos a nivel de recursos como a nivel de usuario, la necesidad de granularidad está bien resuelta: estos sistemas permiten asignar permisos recurso por recurso. En cambio, en el caso del crowdsourcing, la filosofía básica es que cualquiera puede acceder a cualquier cosa. La legibilidad es claramente mejor en los sistemas de crowdsourcing o en los sistemas en los que los permisos están vinculados al recurso. Sigue siendo adecuada en los sistemas en los que los permisos están vinculados al usuario, pero a menudo a expensas de la simplicidad de la administración. Por último, la sencillez de administración está muy optimizada para el enfoque de crowdsourcing y depende de lo que se vaya a modificar más: el recurso o los usuarios.

Dado que la necesidad de granularidad no se satisface en el enfoque de crowdsourcing, lo eliminamos. Nos quedaban entonces dos opciones: modelos de permisos basados en recursos o en usuarios. Como la legibilidad es un poco mejor con el permiso basado en recursos, y como el contenido del catálogo evolucionará más rápido que el número de usuarios, la opción de permiso basado en usuarios parecía la menos pertinente.

La opción que hemos elegido en Actian Data Intelligence Platform ha sido, por tanto, la tercera: los permisos de usuario se adjuntan al recurso.

Cómo funciona el sistema de gestión de permisos del catálogo de datos

En el Catálogo de datos de la plataforma Actian Data Intelligence, es posible definir para cada usuario si tiene derecho a manipular los objetos de todo el catálogo, uno o varios tipos de objetos, o solo aquellos que se encuentran dentro de su ámbito de competencia. Esto permite una granularidad máxima, pero también la definición de roles más generales. Por ejemplo, los «superadministradores» podrían tener permiso para actuar sobre partes completas del catálogo, como el glosario.

A continuación, asociamos a cada objeto del catálogo una lista de conservadores, es decir, los responsables de documentar ese objeto. Así, basta con explorar los detalles del objeto para saber inmediatamente a quién dirigirse para corregir o completar la documentación, o para responder a una pregunta sobre él. El sistema es, por tanto, legible y fácil de entender. El ámbito de actuación de los usuarios se determina con precisión mediante un sistema granular, hasta el objeto en el catálogo.

Cuando se añade un nuevo usuario al catálogo, es necesario definir su ámbito de actuación. Por el momento, esta configuración se realiza mediante la edición masiva de objetos. Con el fin de simplificar aún más la gestión, pronto será posible definir grupos específicos de usuarios, de modo que, cuando llegue un nuevo colaborador, ya no será necesario añadirlo por su nombre a cada objeto de su ámbito de actuación. En su lugar, bastará con añadirlo al grupo y se le asignará automáticamente su ámbito de actuación.

Por último, hemos decidido voluntariamente no implementar un flujo de trabajo de validación de la documentación en el catálogo. Creemos que la responsabilidad del equipo es una de las claves del éxito en la adopción de un catálogo de datos. Por eso, el único control que hemos establecido es el que determina los derechos y el ámbito de actuación del usuario. Una vez definidos estos dos elementos, las personas responsables de la documentación tienen libertad para actuar. El sistema se completa con un registro de eventos sobre las modificaciones para permitir una auditabilidad completa, así como un sistema de debate sobre los objetos. Esto permite a todo el mundo sugerir cambios o informar de errores en la documentación.

Si desea obtener más información sobre nuestro modelo de gestión de permisos, u obtener más información sobre nuestro Catálogo de datos.

Acerca del autor

Acerca de Actian Corporation

Actian ayuda a las empresas a gestionar y gobernar sus datos con total confianza, incluso a gran escala. Las organizaciones confían en las soluciones de gestión e inteligencia de datos de Actian para simplificar entornos complejos y acelerar la entrega de datos listos para la IA. Diseñadas para ser flexibles, las soluciones de Actian se integran perfectamente, funcionan de forma fiable y se adaptan a entornos locales, en la nube o híbridos. Descubra más sobre Actian, la división de datos e IA de HCL Software, en actian.com.