BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Protección de datos en las empresas: Guía esencial
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Extendiendo los controles de gobierno de la información a la nube

El control y la gestión del gobierno de los datos deben residir dentro de la propia organización, y extenderse hacia los repositorios en la nube.

Todas las organizaciones dependen de la información para gestionar sus operaciones del día a día, cumplir con las regulaciones, evaluar el desempeño financiero y supervisar las iniciativas estratégicas. Esta información crítica reside en los registros comerciales de la organización.

Los buenos controles de gobierno de la información son muy difíciles de aplicar al interior de una organización, incluso cuando se utiliza su propio conjunto de herramientas de mejores prácticas. Si bien es posible gestionar los aspectos del ciclo de vida y disposición de la información que reside en la nube, estas reglas se hacen más difíciles de hacer cumplir.

“Un gobierno adecuado de la información requiere un punto centralizado de control, así como una aplicación efectiva de las normas, para que el conjunto de herramientas de gestión de los registros de una organización sea eficaz”, dijo Brent Gatewood, propietario de ConsultIG, en una edición reciente de la revista Information Management. "Hoy en día, los controles instalados con la mayoría de proveedores de SaaS [Software como Servicio] son demasiado genéricos. Los controles establecidos están centrados en la colección y son gestionados, en gran medida, de acuerdo con las reglas del proveedor, no con las de la organización cuya información está siendo almacenada”.

Para satisfacer las necesidades de gobierno de información de la mayoría de las organizaciones, el control y la gestión de los datos en la nube deben residir dentro de la propia organización, y  extenderse a los repositorios basados ​​en la nube. Una herramienta centralizada que gestione las reglas del ciclo de vida para la organización debe tener los ganchos adecuados dentro de los datos que residen en la nube. Estas herramientas necesitan tener una visión completa de la información que es propiedad de la organización para responder a las solicitudes internas y externas.

Según Gatewood, “La realidad es esta: Puede ser que no existan las herramientas, pero las organizaciones están moviendo –o ya han movido– datos hacia la nube. Las relaciones de los datos y los controles de gestión dentro de las organizaciones son más importantes que nunca. A menos que los controles de gestión ya están instalados, es poco probable que las personas vayan a buscar asesoramiento sobre extender sus controles a los repositorios basados ​​en la nube”.

La computación en nube no va a desaparecer. Puede ser una herramienta valiosa, pero es una herramienta que necesita ser comprendida y administrada. Aplicar controles de gobierno de la información, con las relaciones adecuadas en servicios legales y tecnologías y servicios de la información, puede ayudar a administrar razonablemente la información en la nube.

Controles de gobierno de la información: Responsabilidad del proveedor de nube

Gatewood recomienda que las organizaciones que consideran una iniciativa basada en la nube –o están revisando una solución ya existente– busquen respuestas a las siguientes preguntas sobre los contratos, controles de auditoría y puntos de integración:

Contratos

  • ¿Qué servicio estamos contratando y cuáles son las obligaciones de gestión de registros y cumplimiento del proveedor?

  • ¿Qué tipo de controles de datos tiene el proveedor instalados?

  • ¿Cómo es destruida la información?

  • ¿Podemos establecer retenciones mínimas y máximas, y en qué nivel?

  • ¿Hay opciones de destrucción segura?

  • ¿Cuáles son las políticas del proveedor para las copias de seguridad, replicación o  conmutación por error?

  • ¿Cómo confirmamos que la disposición se lleva a cabo de acuerdo a los tiempos establecidos y conforme con nuestras reglas?

Controles de auditoría

  • ¿Cuál es el proceso de auditoría interna del proveedor?

  • ¿Con qué frecuencia es auditado el proveedor por organismos externos?

  • ¿A qué estándares se sujeta el proveedor?

  • ¿Está el proveedor abierto a ser auditado por cumplimiento (de leyes)? (Si no, esto puede ser un signo de problemas más grandes).

Puntos de integración

  • ¿Está el proveedor abierto a la integración con nuestros sistemas y aplicaciones?

  • ¿Se ha integrado el proveedor con algún sistema que proporcione una estructura para el cumplimiento?

Las organizaciones también deben considerar si las políticas y procedimientos del proveedor relacionados con el manejo y gestión de la información son aceptables. Si no lo son, Gatewood cree que la organización debe, ya sea mover los datos hacia otros lugares, o requerir un cambio auditable que satisfaga sus necesidades.

Gatewood también recomienda que las organizaciones requieran un mapa de los datos, que detalle dónde reside la información. Los mapas de datos puede ser complicados, debido a que detallan lo que a menudo es una compleja infraestructura que podría involucrar relaciones con terceros específicas para sus datos, pero el esfuerzo de revisarla definitivamente vale la pena.

Marilyn Bier es directora ejecutiva de ARMA International, una autoridad sobre gobierno y gestión de la información como activos críticos de negocio. Como asociación profesional sin fines de lucro fundada en 1955, ofrece a sus más de diez mil miembros a nivel mundial y a un sinnúmero de clientes externos, la educación, publicaciones y recursos que necesitan para ser capaces de crear, organizar, asegurar, mantener, usar y disponer de la información de manera que se alineen y contribuyan con los objetivos de su organización.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close