Centro de información

¿Qué es la gobernanza de la información?

El crecimiento explosivo de la información es la característica definitoria más significativa de nuestra era. En esta era de la información, la cantidad de datos, los usos de esos datos, la cantidad de fuentes de datos y las rutas que recorre crecen a tasas exponenciales. El crecimiento crea nuevas industrias para definir, recopilar, acceder, procesar y conservar la información.

En tal entorno, todos reconocen la esencia de la gobernanza de la información, pero cómo llevar a cabo esta tarea masiva es difícil de comprender.

Las organizaciones actuales experimentan un crecimiento explosivo en el volumen y la variedad de los datos que recopilan, procesan y almacenan. Desafortunadamente, muchos no comprenden los tipos de datos que manejan y el valor que tienen. Esto significa que no pueden usarlo ni mantenerlo correctamente. Como resultado, no alcanzan el nivel de éxito que tendrían si mantuvieran una administración adecuada de los datos.

Las organizaciones también pueden sufrir graves consecuencias financieras, legales y de reputación por una mala administración de datos. La gobernanza de la información ayuda a evitar un destino similar.

Entonces, ¿qué es la gobernanza de la información (IG, Information Governance) y qué papel desempeña en el entorno empresarial actual? Esta guía aclara algunas cuestiones sobre la IG, un área emergente de la administración de datos que se centra en el cumplimiento y los procesos empresariales.

¿Qué es la gobernanza de la información (IG)?

IG se refiere a un enfoque estratégico para maximizar el valor de los datos y mitigar los riesgos asociados con la creación y el uso de información empresarial, así como la capacidad de compartirla. Reconoce la información como un activo organizacional que requiere supervisión y coordinación de alto nivel para garantizar la responsabilidad, la protección, la integridad y la preservación adecuada de la información empresarial.

IG tiene como objetivo eliminar los silos y evitar cualquier fragmentación en la gestión de la información, lo que garantiza que esta siga siendo confiable y que las organizaciones experimenten un retorno de la inversión en los procesos, la tecnología y las personas que utilizan para administrar la información.

La gobernanza de la información tiene muchas definiciones formales, pero la de Gartner es la más ampliamente aceptada. Define IG como un marco de responsabilidad que asegura un comportamiento apropiado en la creación, la valoración, el uso, el archivado, la eliminación y el almacenamiento de información. Incluye los estándares, las métricas, los roles, las políticas y los procesos necesarios para garantizar un uso eficaz y eficiente de la información, así como la posibilidad de que las organizaciones alcancen sus objetivos.

Los procesos de IG ayudan a administrar el uso de los registros de información, como la información de clientes, los registros de empleados, los registros médicos y la propiedad intelectual. Los profesionales de IG de su empresa deben trabajar con sus líderes y otras partes interesadas en la creación de políticas donde se especifique la forma en que sus empleados deben manejar todos los activos de información corporativa.

Los objetivos críticos de IG incluyen los siguientes:

  • Comprender y promover el valor de los activos de datos
  • Resolver eficazmente todos los problemas relacionados con los datos y crear procesos para evitar que se repitan en el futuro
  • Aplicar la conformidad con los estándares y las políticas relacionados con la gobernanza de la información
  • Definir y aprobar estrategias de datos, estándares, políticas, métricas y procedimientos asociados
  • Comunicar las políticas de datos claramente con las personas relevantes
  • Patrocinar, rastrear y supervisar la entrega de proyectos de administración de datos

Marcos de gobernanza de la información

Para ayudarlo a definir claramente los objetivos y procesos de gobernanza de la información, puede desarrollar marcos para delinear formalmente el enfoque de su organización. El marco describe y responde las preguntas quién, qué, dónde, cuándo, cómo y por qué.

Debe adaptar su marco para que se ajuste a las necesidades únicas de su organización, pero debe definir las áreas que se describen a continuación:

  1. Alcance: establece la extensión de su programa de gobernanza de la información, incluido un esquema claro de los objetivos generales, los tipos de datos que administrará el programa y los miembros del personal que ayudarán a lograr estos objetivos.
  2. Políticas y procedimientos: el marco define las políticas y los procedimientos corporativos generales que son relevantes para el programa de IG en su conjunto. Incluye seguridad de datos, cronogramas de retención y eliminación, administración de registros, políticas de uso compartido de información y privacidad.
  3. Roles y responsabilidades: el marco debe definir las funciones esenciales del programa de gobernanza de la información, incluidas las responsabilidades que los departamentos y empleados específicos de IG tendrán como parte de su integración e implementación.
  4. Administración de datos internos y externos: un marco de IG define la forma en que la organización y sus empleados administran datos específicos. Las secciones relevantes incluyen cumplimiento legal y normativo, administración de información personal, tipos de contenido aceptables, cómo se comparte la información, y cómo se almacenan y archivan los datos.

También es vital establecer la forma en que las organizaciones operan y comparten información con sus socios, partes interesadas y proveedores. El marco debe definir las políticas y los procedimientos establecidos para compartir información con terceros, la forma en que el proceso de gobernanza de la información influye en las obligaciones contractuales, y la forma en que se determinará si los socios y terceros cumplen con los objetivos de IG.

Además, el marco debe delinear claramente los procedimientos en caso de fugas de datos, incluida la forma de denunciar infracciones y pérdidas de información, los procesos de recuperación después de un desastre, los detalles específicos de la administración de incidentes, las estrategias de continuidad comercial y la forma de auditar estos procesos de recuperación después de un desastre y continuidad comercial.

Por último, el marco debe describir el proceso de supervisión continua. Incluya planes de control de calidad para los procesos de IG, por ejemplo, cómo supervisará el acceso a la información, medirá el cumplimiento de las normativas, realizará evaluaciones de riesgos, mantendrá la seguridad adecuada y revisará el programa de IG en su conjunto.

Gobernanza de la información vs. Gobernanza de los datos

Muchas personas y organizaciones consideran que IG y Gobernanza de los datos son lo mismo. Si bien ambos son esenciales para que las empresas alcancen sus objetivos comerciales, y a pesar de cierta superposición entre estos términos, no son idénticos.

La gobernanza de la información obtiene valor comercial para las organizaciones a partir de sus activos de datos. Se trata de las tecnologías y actividades que las organizaciones emplean para maximizar el valor de su información y, al mismo tiempo, minimizar los costos y riesgos asociados.

Por otro lado, la Gobernanza de datos se refiere al control de la información a nivel de unidad de negocio para garantizar que esta sea precisa y confiable. Sus programas involucran procedimientos para administrar la capacidad de uso, la disponibilidad, la integridad y la seguridad de los datos.

En resumen, la gobernanza de datos impide que la basura entre en juego, mientras que la gobernanza de la información hace referencia a las decisiones que se toman sobre el uso de los datos.

Estos son algunos ejemplos de los tipos de actividades involucradas en ambas áreas para ayudar a ilustrar las diferencias.

  • Las actividades de gobernanza de datos incluyen la administración de metadatos, operaciones de datos, administración de datos, arquitectura de datos, calidad de datos y datos primarios.
  • IG, por otro lado, se preocupa por la administración del ciclo de vida de los datos de una organización. Incluye actividades y procesos como el intercambio de información personal, auditorías de cumplimiento normativo, registros, cronograma de retención, detección electrónica y protección de la privacidad de los datos.

La gobernanza de datos es responsabilidad de TI, pero IG tiene un alcance más amplio. Puede usar IG para satisfacer las necesidades de negocio y de cumplimiento en relación con el uso y la retención de datos, lo que lo convierte en una disciplina estratégica con un papel importante en las reglas y los procesos de gobierno de la empresa.

La aplicación conjunta de IG y la gobernanza de datos puede dar como resultado prácticas de administración de la información que permiten ofrecer un mayor valor empresarial.

¿Por qué es importante la Gobernanza de la Información?

La información es un recurso vital en cualquier organización o empresa. Sin ella, las operaciones empresariales no son posibles. En consecuencia, las empresas invierten en procesos, tecnología y personas para garantizar que la información pueda respaldar a la empresa.

Debido a las importantes inversiones asociadas con la creación, el uso, la protección y la capacidad de compartir la información, las organizaciones la consideran un tipo de activo empresarial, similar a los equipos, los edificios y los recursos financieros necesarios para dirigir la empresa.

La supervisión y el manejo de los recursos o activos es el objetivo principal de cualquier gobierno corporativo. Además, al igual que cualquier otro activo, la información requiere que la administración se asegure de abordar su valor y los riesgos asociados de manera responsable.

La gobernanza de la información proporciona a las empresas un enfoque disciplinado para administrar el valor y los riesgos asociados con la información.

Dado que IG es todavía un campo emergente, existen numerosas preguntas en torno a su rol en los procesos comerciales. Sin embargo, un programa de IG implementado correctamente permite a las organizaciones hacer lo siguiente:

  • Respaldar las necesidades comerciales, las prioridades y los objetivos estratégicos, los que varían según aspectos como la cultura de la organización, los recursos disponibles y el nivel de compromiso de las partes interesadas
  • Evitar las fugas de datos
  • Lograr el cumplimiento normativo y reducir los riesgos asociados como las sanciones
  • Mejorar las capacidades de análisis de datos
  • Mejorar el retorno de la inversión en inteligencia empresarial
  • Generar control sobre los equipos de TI subcontratados y los sistemas en proliferación
  • Aumentar la conciencia de los empleados sobre las políticas de información clave
  • Reducir los costos de almacenamiento de información y de detección electrónica (tecnología de detección de documentos)

Por ejemplo, debido a los desafíos que enfrenta actualmente la industria de la salud en relación con los cambios en la atención, los modelos de pago, los requisitos para establecer asociaciones, las nuevas expectativas de los clientes, la tecnología y el aumento de la regulación, la gobernanza de la información es más esencial que nunca. Es la mejor manera para que la atención médica y las organizaciones afines garanticen que su información sea confiable y puedan confiar en ella para satisfacer todas sus necesidades.

IG permite tomar decisiones basadas en las necesidades de la organización y no en la tecnología. También elimina a los responsables de decisiones por accidente (las personas que poseen datos en un punto particular durante su ciclo), ya que estos suelen tomar decisiones independientemente de las necesidades de otras partes interesadas.

Cómo empezar

Para identificar el mejor punto de inicio de una iniciativa de IG, es necesario encontrar una manera de respaldar los esfuerzos estratégicos de la organización con información y datos confiables.

Generalmente, las organizaciones tienen una misión y una visión que las guían a lo largo de sus actividades comerciales y desarrollan estrategias para lograr sus objetivos. Por lo tanto, al examinar cuidadosamente esas estrategias y objetivos comerciales, es posible obtener un claro indicio sobre dónde y cómo iniciar la iniciativa de IG.

Como no se puede lograr ningún objetivo de la organización sin información útil, el mejor punto de inicio de una iniciativa de IG es identificar un problema (un punto débil) con información que se requiere abordar, o incluso una oportunidad comercial que reduzca costos y mejore los ingresos.

Tal alineación estratégica significa que se deben incluir las necesidades de IG en una estrategia más amplia que permita lograr los objetivos de la organización. Los objetivos pueden ser extensos y variados, como una mejor administración del espacio (bienes raíces), la expansión de las ofertas de servicios a través de la adquisición y la integración de otras empresas, la creación de nuevos protocolos de servicio al cliente o la reducción de los costos.

Dado que IG es un requisito establecido de responsabilidad y derechos para permitir el funcionamiento adecuado de diversos aspectos de la información, la concesión de derechos de decisión determina la propiedad de los datos y las personas que tienen derecho a tomar decisiones al respecto.

Por lo tanto, al definir propietarios y responsables de tomar decisiones, puede asignar responsabilidad y rendición de cuentas a las decisiones de datos, lo que es probablemente un concepto esencial para implementar al crear una política de IG. La responsabilidad es vital, ya que a medida que aumenta la dependencia de los datos, es posible tomar decisiones comerciales de forma predeterminada, generalmente, mediante el camino más fácil y, a menudo, sin tener en cuenta otras consideraciones.

Áreas clave de gobernanza de la información

Debe tener en cuenta las siguientes áreas clave al crear su política de gobernanza de la información:

Política de uso: puede contener muchos riesgos para la seguridad al emplear una política de uso bien definida que detalle específicamente quién puede acceder a los datos y en qué circunstancias.

Responsabilidad: debe crear un puesto como Director de datos o dedicar un departamento a la creación de políticas estándar para garantizar que alguien en su organización sea responsable de las políticas de manejo de datos.

Administración de registros: las grandes organizaciones pueden almacenar hasta 10 petabytes de información al año, lo que es costoso. Con IG, es posible identificar y almacenar los datos que tienen valor y así, ahorrar en costos de almacenamiento.

Cumplimiento: las leyes, las necesidades comerciales y las regulaciones rigen la forma en que se conserva la información. Después de eso, se debe descartar según un cronograma de ciclo de vida establecido en función de los requisitos legales, reglamentarios y comerciales.

Educación: al igual que con todas las demás políticas de la empresa, la capacitación de sus empleados, socios y proveedores sobre su programa IG completa el círculo.

Tecnología: un IG completo también puede abordar el control de TI. Puede proporcionar a los especialistas en TI políticas como la creación de jerarquías de almacenamiento o la obtención de esquemas de acceso debidamente escalados.

Beneficios de la gobernanza de la información

  • Datos más seguros y protegidos. Una política de IG efectiva permite crear reglas, estándares, reglamentos y responsabilidades orientados a mantener los datos seguros y protegidos.
  • La IG aumenta la productividad, ya que facilita la colaboración a través del uso compartido de información de inteligencia.
  • Reducción de los costos. Una política clara de IG permite a la organización ahorrar dinero, ya que se vuelve más exigente sobre qué datos se almacenan, en qué medios se almacenan y por cuánto tiempo. También reduce la duplicación derrochadora de esfuerzos.
  • Acceso eficiente a los datos. La IG permite acceder fácilmente a datos útiles y significativos, ya que estos se encuentran clasificados, protegidos y respaldados por políticas claras.
  • Administración de riesgos. Las políticas de información que clasifican los datos permiten escalar el riesgo según los tipos de datos y enfocar una alta seguridad donde es necesario.
  • Inteligencia empresarial. El acceso fácil y eficiente a los datos históricos y de tendencias permite a los desarrolladores y especialistas en marketing tomar decisiones mejor informadas.
  • Eficiencias en los ciclos de vida. La IG elimina los silos de datos, lo que significa que es posible obtener más valor de los datos en cada punto de su ciclo de vida.
  • Cumplimiento normativo. Sin datos bien clasificados y de fácil acceso, el proceso de recopilación de datos para los requisitos reglamentarios se convierte en una pesadilla.
  • La IG reduce drásticamente los costos de litigio y detección. Permite ejecutar una detección electrónica rápida y exhaustiva, ya que es fácil identificar y acceder solo a la información adecuada.
  • La IG aumenta la agilidad empresarial debido a la mejora de los procesos de toma de decisiones. Describe la forma en que la organización pondrá la información a disposición de los usuarios comerciales, lo que reduce la sectorización y la burocracia.
  • Los ciclos de ventas más cortos aumentan la rentabilidad.
  • Las empresas pueden ofrecer un mejor servicio al cliente. La IG ha establecido el estándar sobre cómo organizar, categorizar y acceder a la información.
  • La IG mejora la productividad de los empleados al proporcionar la menor cantidad posible de versiones de datos o documentos, lo que facilita el almacenamiento y el acceso a la información.

Leyes y reglamentos de gobernanza de la información

A medida que los volúmenes de datos corporativos crecen y las innovaciones tecnológicas expanden continuamente las capacidades comerciales, las regulaciones que imponen leyes y mandatos estrictos sobre el proceso de IG se han convertido en la norma. Esto es cierto para la seguridad y la privacidad de los datos, ya que la información de identificación personal (PIN, Personally Identifiable Information) se ha convertido recientemente en un objetivo masivo para los nefastos ejecutores en línea y piratas informáticos.

Las leyes de privacidad han comenzado a expandirse a nivel mundial y a crear nuevas obligaciones de control de la seguridad de la información. Muchas industrias han quedado sujetas a regulaciones que requieren la retención de las comunicaciones y los registros electrónicos durante un período mínimo. Estas regulaciones incluyen directivas de agencias federales como el Departamento de Justicia y la Agencia de Protección Ambiental o la Comisión de Bolsa y Valores.

Los requisitos de informes regulatorios también exigen a las organizaciones que proporcionen un registro anual de cumplimiento detallado. Un proceso de administración de registros comerciales sólido proporciona evidencia para demostrar el cumplimiento.

Además, las reglas de cumplimiento, como la Ley de Prácticas Corruptas en el Extranjero, exigen a las organizaciones que acrediten la autenticidad de sus programas y registros de IG.

Existen numerosos requisitos de la industria y el gobierno relacionados con la seguridad de los datos, la administración de registros y la retención de datos que pueden afectar su estrategia de IG. A continuación se presentan algunas de las leyes esenciales que todas las organizaciones que operan en los EE.UU. deben conocer.

  • Ley Sarbanes-Oxley de 2002 (SOX): es una regulación crítica que se aplica a todas las empresas públicas. SOX estandariza las prácticas de administración de registros sin excepción. Requiere la implementación de controles sobre el proceso de mitigación de riesgos y los registros financieros corporativos. También estipula que las empresas deben conservar los registros comerciales por al menos cinco años.
  • Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, Health Insurance Portability and Accountability Act): se aplica a los proveedores de atención médica, así como a las organizaciones de información médica y otras entidades y socios comerciales cubiertos que almacenan, administran y transmiten información médica protegida.
  • Ley de Registros Federales (44 USC 31) y estatutos relacionados: exigen que las agencias federales creen registros completos que documenten todas sus actividades. También deben archivar registros de prácticas seguras de almacenamiento, recuperación eficiente y eliminación adecuada.
  • Ley Gramm-Leach-Bliley (GLBA): requiere que las instituciones financieras protejan la información personal no pública de sus clientes. Deben almacenar los registros financieros de forma segura hasta que ya no se necesiten. Posteriormente, deben destruirlos para garantizar que nadie pueda acceder a ellos.
  • Ley de Cumplimiento Fiscal de Cuentas Extranjeras (FATCA, Foreign Account Tax Compliance Act)
  • Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS, Payment Card Industry Data Security Standard)
  • Reglas Federales de Procedimiento Civil

Medición del progreso de la gobernanza de la información

Las herramientas de evaluación, como el modelo de madurez de IG y el modelo de referencia de IG, ayudan a las empresas a medir el progreso de su gobernanza de la información. El modelo de referencia de IG proporciona a corporaciones, asociaciones industriales, firmas de analistas y otras partes interesadas una herramienta que les permite comunicarse con las partes interesadas sobre los procesos, las prácticas y las responsabilidades de su programa de IG.

Por otro lado, el modelo de madurez de IG se basa en los ocho Principios de mantenimiento de registros generalmente aceptados de ARMA.El modelo de madurez define las características de varios niveles del programa de mantenimiento de registros que abarcan de IG estándar a transformacional. El objetivo de las organizaciones es alcanzar el nivel de transformación superior donde las estrategias de IG se integran en la infraestructura corporativa general o los procesos comerciales para ayudar a impulsar la contención de costos, los servicios al cliente y la ventaja competitiva.

Conclusión

La IG es un requisito establecido de responsabilidad y derechos para permitir el funcionamiento adecuado de varios aspectos de la información, incluidas la creación, la valoración, el uso, el almacenamiento, la eliminación y el archivado de datos. Para usar los datos de manera efectiva, la IG incluye políticas, propósitos, procesos y estándares que ayudan a las organizaciones a lograr sus objetivos.

La gobernanza de la información aporta a las organizaciones un beneficio y un valor significativo, especialmente a medida que su recopilación de datos y almacenamiento crecen y la supervisión regulatoria aumenta. El desarrollo y la implementación de una estrategia de IG sólida ayuda a las organizaciones a garantizar la disponibilidad de datos, controlar los costos, mitigar los riesgos cibernéticos y cumplir con los desafíos regulatorios. Comience hoy mismo antes de que su organización sufra una brecha de seguridad, se enfrente a una demanda, no apruebe una auditoría o sufra daños en su reputación.

Los clientes de Veritas componen el 98% de la lista Fortune 100, y NetBackup™ es la opción número 1 para las empresas que buscan realizar respaldos de grandes cantidades de datos.

Descubra cómo Veritas mantiene sus datos completamente protegidos a través de cargas de trabajo virtuales, físicas, en la nube y heredadas con los servicios de protección de datos para empresas.