La correcta gestión y gobierno de los datos constituye una actividad estratégica en las organizaciones del siglo XXI. La normalización de gobierno del dato se basa en los principios de gobernanza, gestión, calidad, seguridad y privacidad de datos. Y es que un sólido marco de gobierno del dato es esencial para el éxito de la transformación digital, por lo que se están desarrollando una serie de normas técnicas en este ámbito.
Amanda Suo
Responsable de Ciberseguridad. Gestora de proyectos TIC
UNE
Las organizaciones son cada vez más conscientes del valor de los datos y de su importancia estratégica como activo empresarial. Para maximizar el valor y minimizar el riesgo, buscan aumentar la eficiencia utilizando un enfoque coherente y estandarizado a todas las actividades relacionadas con sus datos. Los estándares o normas técnicas se utilizan cada vez más como garantías a terceros de que sus datos están siendo gobernados y gestionados adecuadamente. Un sólido marco de gobierno del dato es esencial para el éxito de la transformación digital, por lo que se están desarrollando una serie de normas en esta área. A lo largo de este artículo se presentan algunas de las más relevantes.
Los datos están avanzando hacia convertirse en el recurso más valioso del mundo. En 2025 se estima que la economía del dato representará el 4 % del PIB y ocupará a unos 750.000 trabajadores en España. Esto sumado a la cantidad exponencial de la generación de datos sitúa a la industria del dato en una de las más prometedoras del futuro. Un buen gobierno del dato es fundamental para garantizar una alta calidad, eficiencia y seguridad en el proceso de transformación digital.
Asociado al dato, aparece el concepto Big Data, utilizado para referirse tanto a las enormes cantidades o conjuntos de datos que se han acumulado en los últimos años como a la creciente capacidad de procesamiento necesaria para analizarlos. Se está convirtiendo en un factor cada vez más importante en la toma de decisiones en todas las industrias y en todos los niveles de gestión. Aunque el Big Data es extremadamente prometedor, su aparición plantea importantes preocupaciones sobre la privacidad, la seguridad y la distribución no equitativa de sus beneficios. Aunque gran parte del alcance del impacto del Big Data está por determinar, es evidente que los estándares de gobierno y gestión de datos serán uno de los pilares principales sobre los que se desarrollará este concepto.
Por todo ello, las organizaciones, reconocen el valor de los datos y su importancia estratégica como activo empresarial. Pero también tienen en cuenta los riesgos y las posibles responsabilidades asociadas a ellos. Para maximizar el valor y minimizar el riesgo, las organizaciones buscan establecer procesos comunes que se apliquen a sus activos de datos a lo largo de su ciclo de vida; proteger adecuadamente los activos de datos y hacer frente a cualquier uso indebido; y mejorar la eficiencia mediante la aplicación de un enfoque estructurado, gestionado, coherente y estandarizado a todas las actividades, operaciones y servicios relacionados con sus datos.
En consecuencia, cada vez se utilizan más normas técnicas para garantizar que los datos de una organización son correctamente gestionados y gobernados tanto internamente como por contrataciones externas.
Agenda España Digital 2025
En el contexto definido por la iniciativa del Gobierno de Datos dentro de la Agenda España Digital 2025, que pretende mejorar la eficiencia y la transparencia de la gestión de datos de los ciudadanos y las empresas, así como el desarrollo de servicios públicos impulsados por los datos, la actividad de normalización cobra especial relevancia. En este sentido, disponer de un conjunto coherente de estándares ayuda a:
Proporcionar un vocabulario compartido para los datos que abarque la ontología, la taxonomía, la semántica, las definiciones y la terminología, permitiendo de este modo la “interoperabilidad” de sistemas.
Estructurar y categorizar los entornos de información y los conjuntos de datos compartidos. Esto puede incluir normas para clasificar y organizar los conjuntos de datos de forma que apoyan “la usabilidad, la recuperación, la explotación y la trazabilidad”.
Proporcionar un sistema de clasificación que permita una diferenciación fiable y/o automatizada de las formas y calidades de los datos, permitiendo un intercambio de datos masivo y seguro.
En este escenario, el ecosistema internacional de normalización y el español de UNE llevan trabajando ya muchos años en potenciar normas técnicas relacionadas con los datos que se centran en tres áreas clave de actividad: Gobierno de Datos, Gestión de Calidad de Datos, y Calidad de producto software (Datos); destacando también los aspectos de Seguridad y Privacidad de los Datos.
Gobierno de los Datos: ISO/IEC 38505
En 2015 se publicó el estándar ISO/IEC 38500 sobre el Gobierno de las Tecnologías de la Información (TI) para las organizaciones. Esta norma proporciona un marco de seis principios para la toma de decisiones basados en los resultados que se obtienen de monitorizar y evaluar el uso de las TI en una organización. Posteriormente, ha sido complementada en 2017 por la ISO/IEC 38505-1 Gobierno de Datos basado en la ISO 38500 que sigue los principios y modelos del marco de gobierno de TI de la ISO/IEC 38500 y, en 2018 por la ISO/IEC 38505-2 Implementación de la Norma ISO/IEC 38505-1 en la gestión de datos, que proporciona orientación sobre el gobierno de datos.
La Norma ISO/IEC 38505-1 establece el marco de gobierno de datos de una organización y un mapa de responsabilidad de datos que identifica las áreas de la organización en las que debe aplicarse el gobierno de datos (como se muestra en la figura 1).
Figura 1. Esquema de Gobierno de Datos de la Norma ISO/IEC 38505
Gestión de la Calidad de los Datos ISO 8000 y su madurez ISO/IEC 33000
La Norma ISO 8000 establece marcos para mejorar la calidad de los datos. Los marcos pueden utilizarse junto con o en lugar de los sistemas de gestión de la calidad. Cubre las características de la calidad de los datos industriales a lo largo del ciclo de vida del producto, desde la concepción hasta la eliminación. La ISO 8000 abarca tipos específicos de datos, como los datos maestros, los datos de transacción y los datos de producto.
Esta norma se estructura en cuatro partes principales:
- Conceptos generales de la calidad de los datos (ISO 8000-1, ISO 8000-2 e ISO 8000-8)
- Procesos de gestión de la calidad de los datos (ISO 8000-6x). Cabe señalar que la Norma ISO 8000-61 se centra en los procesos de gestión de la calidad de los datos, no tiene procesos específicos de gobierno; y sus modelos de madurez se basan en la norma ISO/IEC 33000.
- Aspectos del intercambio de datos maestros entre organizaciones, que abordan determinados conceptos de calidad (partes 100 a 150)
- Aplicación de la calidad de los datos de producto (PDQ-S) (ISO 8000-311).
La figura 2 presenta un mapa general de la Norma ISO 8000 en el que se pueden ver los detalles.
Figura 2. Mapa general de la Norma ISO 8000
Calidad de los Datos (producto software): ISO/IEC 25012
La Norma ISO/IEC 25012 define un modelo de calidad general para los datos que se representan en un formato estructurado dentro de un sistema de información, y tiene como objetivo presentar una visión integrada de los datos para garantizar la interoperabilidad de los sistemas. Se puede utilizar para detallar los requisitos, establecer medidas, así como para planificar y realizar evaluaciones de la calidad de los datos. La norma se compone de un conjunto de 15 características (atributos de calidad) que se clasifican en dos grupos: inherentes y dependientes del sistema. La Norma ISO/IEC 25012 incluye una clasificación de las características de la calidad de los datos: exactitud, completitud, consistencia, credibilidad, actualidad, accesibilidad, conformidad, confidencialidad, eficiencia, precisión, trazabilidad, comprensibilidad, disponibilidad, portabilidad y recuperabilidad.
Normas transversales para la Seguridad y Privacidad de Datos
La manera en que deben recogerse y utilizarse los datos de forma segura es uno de los temas más controvertidos en los debates sobre el Gobierno del Dato. Las normas desempeñan un papel fundamental para garantizar que se apliquen los principios de la regulación de seguridad de datos (como el Reglamento General de Protección de Datos de la UE (RGPD) y la Ley de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD)) proporcionando a las organizaciones herramientas para demostrar el cumplimiento. Hay algunas normas de seguridad de datos relevantes, como la serie de Normas ISO/IEC 27000, que se centra en los Sistemas de Gestión de la Seguridad de la Información (SGSI) y otras que se centran en la privacidad de los datos:
Seguridad de la Información:
UNE-EN ISO/IEC 27001 Requisitos del SGSI
UNE-EN ISO/IEC 27002 Código de prácticas del SGSI
UNE-EN ISO/IEC 27018 PII en la nube pública
Privacidad y Protección de Datos:
UNE-EN ISO/IEC 27701 Requisitos del SGPI (Sistema de Gestión de la Privacidad de la Información)
UNE-EN ISO/IEC 29100 Marco de privacidad
ISO/IEC 29151 Protección de la información personal. Código de prácticas
UNE-EN ISO/IEC 29134 Evaluación del impacto de la privacidad
ISO/IEC 20889:2018 Técnicas de desidentificación de datos para la mejora de la privacidad
Seguridad y Privacidad por diseño/defecto:
PNE-prEN 17529 Protección de los datos y de la privacidad por diseño y por defecto
ISO/DIS 31700 Protección del consumidor. Privacidad por diseño para bienes y servicios de consumo.
Con la llegada de la era del Big Data, la tecnología digital ha evolucionado de ser una herramienta de desarrollo económico a ser un motor de liderazgo económico. Con este volumen de datos, el potencial de valor empresarial impulsado por los datos es bastante prometedor. El gobierno del dato es un conjunto de actividades que ejercen autoridad y control sobre la gestión de los activos de datos (planificación, seguimiento y ejecución). La normalización de gobierno del dato se basa en los principios de gobernanza, gestión, calidad, seguridad y privacidad de datos. Las normas proporcionan beneficios como la interoperabilidad, la usabilidad, la recuperación, la explotación, la trazabilidad y la privacidad. Además, ayudan a las organizaciones a establecer un sólido marco de gobierno del dato que apoye y potencie su transformación digital, maximizando así el valor de sus activos de datos.
Opinión
Soberanía, confianza y seguridad en la gestión del dato
Carlos Alonso Peña
Director de División
Oficina del Dato
Secretaría de Estado de Digitalización e Inteligencia Artificial
Ministerio de Asuntos Económicos y Transformación Digital
La Oficina del Dato, dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial, creada en el año 2020 (Orden ETD/803/2020) tiene entre sus competencias el diseño de las estrategias y marcos de referencia en materia de gestión de datos, así como la creación de espacios de compartición de datos entre empresas, ciudadanos y Administraciones Públicas de manera segura y con gobernanza homogénea.
La pieza clave donde articular la citada compartición de datos son los espacios de datos. El espacio de datos habilita el desarrollo de la Economía del Dato al facultar su acceso, intercambio y reutilización legítima, posicionando al dato como recurso no rival, cuya utilidad crece según su uso se generaliza en un claro ejemplo de efecto red. Un espacio de datos es un ecosistema donde materializar la compartición voluntaria de los datos de sus participantes dentro de un entorno federado de soberanía, confianza y seguridad, establecido mediante mecanismos integrados de gobernanza, organizativos, normativos y técnicos. El concepto de soberanía es clave, entendiéndose como la capacidad de un participante de mantener el control sobre sus propios datos, expresando los términos y condiciones que regirán sus usos permitidos.
La Oficina del Dato está centrando sus esfuerzos en el apoyo al despliegue de los diferentes espacios de datos sectoriales presentes en las iniciativas europeas y en los diferentes proyectos estratégicos para la recuperación y transformación económica. Este apoyo requiere de definición técnica de modelos de referencia arquitectónicos y del aseguramiento de estándares en cuanto a gobierno, gestión y calidad del dato que habiliten una explotación efectiva de su potencial, y redunden en el concepto clave de confianza anteriormente expresado. La extensa y detallada normativa ISO respecto de las diferentes facetas del dato es un muy buen punto de partida, siendo interesante considerar la conveniencia de su particularización a las necesidades del dominio concreto de los espacios de datos mediante la generación de las oportunas guías de aplicación.
Opinión
Data Governance ¡buen vassallo si oviesse buen señor!
Javier Peris
Presidente
Subcomité UNE de Gestión de servicios TI y Gobierno de TI
(CTN 71/SC 40)
Las organizaciones públicas o privadas, de cualquier tamaño o sector que disponen de información confiable adecuadamente gobernada lideran el mercado; y ello no se produce por casualidad. En la Era Digital los datos son la sangre que fluye, renueva y oxigena cada punto de nuestra organización, un activo inmaterial imprescindible para la planificación, operación, mejora, innovación, aprendizaje y toma de decisiones estratégicas. Hoy las organizaciones que pretendan obtener beneficios y quieran adoptar un enfoque estratégico hacia el Gobierno del Dato disponen de normas que les ayudarán a sacarle el máximo logrando sus objetivos estratégicos.
Pero no hay que olvidar que no es lo mismo gobierno que gestión; gestionar es recetar lo que nos pide el paciente, mientras que gobernar es recetar lo que verdaderamente necesita el paciente. El Gobierno de Datos ayuda a los órganos de gobierno de las organizaciones a garantizar que el uso de los datos en toda la organización contribuye positivamente a su rendimiento mediante la innovación en servicios, mercados y negocios; aplicación y funcionamiento adecuados de los activos de datos; claridad de la responsabilidad y rendición de cuentas tanto de la protección como del potencial para añadir valor; y minimización de las consecuencias adversas o no deseadas.
La Gestión de Datos comprende las actividades de definición, creación, almacenamiento, mantenimiento y acceso a los datos y procesos asociados en uno o varios sistemas de información. Estas actividades deben proporcionar los mecanismos necesarios para satisfacer los requisitos que aseguran la calidad de los datos, monitorizar el nivel de calidad de datos, así como reportar al gobierno de datos los valores correspondientes.
A finales del siglo pasado W. Edwards Deming dijo en una ocasión “Sin datos, no es usted más que otra persona con una opinión” a finales del primer cuatro del siglo XXI podemos asegurar que sin datos las organizaciones no son ni siquiera eso. Si desea abrazar la Era Digital y está dispuesto a prestarle la atención que requieren los datos, está de enhorabuena pues Data Governance ¡Buen vassallo si oviesse buen señor!
Opinión
Un buen gobierno del dato, desafío de las organizaciones
María del Carmen Bauset
Responsable gobierno sistemas
Indra
Vocal
Subcomité UNE de Gestión de servicios TI y Gobierno de TI
(CTN 71/SC 40)
En el contexto actual con la evolución al cloud computing, big data analytics o IoT el consumo de los datos en las organizaciones va in crescendo y esto hace más necesario que nunca un buen gobierno del dato. La clave del éxito no está en implantar un big data para gestionar un volumen ingente de datos sin un objetivo o simplemente porque esté de moda. Sino más bien en tener una estrategia clara que aporte valor a la organización considerando el posible uso del dato, la relación costes vs beneficios y plazos.
Implantar una oficina del dato puede ser una palanca que vele por un buen gobierno. Para ello deberíamos empezar definiendo sus funciones, roles y áreas implicadas, así como el modelo de relación con el negocio.
Será fundamental definir una normativa: donde se describan los principios y el modelo de gobierno, los procedimientos de calidad del dato y políticas de uso. En este punto sería más que recomendable apoyarnos con la norma ISO/IEC 38505-1.
Crear una cultura del dato en la organización será otro reto, para ello recomiendo sesiones de sensibilización con los usuarios para difundir las políticas de uso del dato y sus principios. La nueva figura de los “embajadores del dato”, será clave para concienciar a la organización sobre un buen uso del dato.
Por último, otro desafío será elegir una adecuada arquitectura que soporte la estrategia y facilite la evolución del gobierno analítico del dato a soluciones de maching learning cada vez más demandadas por el negocio.