¿Qué es una estrategia global de protección de datos?
Una investigación de Gartner® prevé que el 75 % de la población mundial tendrá sus datos personales protegidos con normativas modernas de privacidad en 2024.¹ Su tarea como líder de datos es gestionar con eficacia las políticas y las tecnologías cada vez más complejas para garantizar que los datos confidenciales sean accesibles y estén protegidos. La protección de datos es el término común que incluye la privacidad, la conformidad, la seguridad y la ética de los datos. Utilizar un enfoque holístico en la protección de datos y la ciberseguridad es una garantía contra los ciberataques, incluido el ransomware, y mantiene la conformidad con la normativa para evitar sanciones elevadas, proporcionar una IA fiable y crear experiencias de cliente excepcionales.
En 2022, el coste de las infracciones de datos alcanzó un máximo histórico con un promedio de 4,35 millones de USD², sin tener cuenta los costes ocultos para la reputación de la marca y la lealtad del cliente. Los consumidores quieren proteger sus datos personales, y los responsables de las políticas han respondido con nuevas normativas de privacidad de datos. Las organizaciones no preparadas para esta nueva era de las necesidades de conformidad de los datos podrían pagar un precio muy alto. A medida que surgen más normativas como GDPR, CCPA y LGPD, incorporar una protección integral de datos en la estrategia general de datos se está convirtiendo en una expectativa global para las organizaciones.
Este enfoque no trata solo de ver cómo se recopilan los datos y mantener la conformidad y la privacidad; también implica entender cómo se están utilizando los datos confidenciales en el mundo actual. Obliga a las organizaciones a hacerse preguntas como las siguientes: ¿Es ético recopilar estos datos? ¿Qué estamos haciendo con esta información? ¿Hemos compartido nuestras intenciones con las personas cuyos datos hemos recopilado? ¿Cuánto tiempo y dónde se conservarán estos datos? ¿Estamos capacitados para la gestión de riesgos y luchar contra los avances en malware? Cualquier implicado en el área sector de la recopilación de datos, especialmente los líderes de las organizaciones, debe ser extremadamente versado en este tipo de cuestiones.
"Donde realmente empieza es en los puestos directivos", señala Neera Mathur, ingeniera distinguida, CTO de Soluciones y estrategia de ingeniería de privacidad y datos de confianza de IBM. "Creo que esta famosa frase del CEO de IBM Arvind Krishna lo resume todo: 'La confianza es nuestra licencia para operar'. Cuando alguna persona que trabaja con nosotros proporciona sus datos a IBM y los gestionamos correctamente, por ejemplo, los protegemos de forma correcta y ética, aumentamos su confianza. Para mí, la responsabilidad empieza arriba y se va filtrando a todas nuestras áreas".
Una investigación de Gartner® prevé que el 75 % de la población mundial tendrá sus datos personales protegidos con normativas modernas de privacidad en 2024.¹
En 2022, el coste de las infracciones de datos alcanzó un máximo histórico, con un promedio de 4,35 millones de USD.²
Creo que esta famosa frase del CEO de IBM Arvind Krishna lo resume todo: 'La confianza es nuestra licencia para operar'. Cuando alguna persona que trabaja con nosotros proporciona sus datos a IBM y los gestionamos correctamente, por ejemplo, los protegemos de forma correcta y ética, aumentamos su confianza. Para mí, la responsabilidad empieza arriba y se va filtrando a todas nuestras áreas.
Neera Mathur
Ingeniera distinguida, CTO de Soluciones y estrategia de ingeniería de privacidad y datos de confianza
IBM
Los pilares de la protección de datos
El concepto de protección de datos engloba tres pilares clave —la ética, la privacidad y la seguridad de los datos— que dan soporte a una infraestructura flexible creada para unas normativas y unas expectativas de negocio en constante cambio, así como para mantener la confianza del usuario.
Pilar n.º 1
Introducción
Ética de datos
Los valores de la cultura de su organización sobre protección de datos informan de la forma en que se promulgan y ejecutan las políticas de seguridad y privacidad de datos. En Harvard Business School, la "ética de los datos" se define como las obligaciones morales vinculadas a la recopilación, la protección y el uso de información de identificación personal, así como el impacto que tienen estas acciones.³ Para tomar decisiones responsables sobre los datos y promover una IA de confianza, tenga en cuenta los siguientes principios de la ética de los datos.
Propiedad
Propiedad
Una buena ética de datos empieza por saber quién es el propietario de los datos que se están utilizando. Solo porque un usuario le otorgue datos no significa que le ceda su propiedad. El consentimiento es un deber, al igual que el respeto y la protección de los datos. Mantener la integridad de los datos significa no abusar nunca de ellos y eliminarlos tan pronto como finalice su uso.
Transparencia
Transparencia
En términos de protección de datos, la transparencia significa ser claros con los clientes sobre cómo se utilizan sus datos. Según el Pew Research Center, el 81 % de las personas afirman que los riesgos potenciales de la recopilación de datos pesan más que sus beneficios.⁴ Para superar esta desconfianza histórica, capacite a los usuarios para que entiendan los propósitos y el ciclo de vida de los datos de los clientes, y tengan la garantía de que su organización los utilizará correctamente y con las mejores intenciones.
Privacidad
Privacidad
Cuando una empresa recopila información, la almacena y la analiza, esa información no debe ser utilizada, almacenada, compartida, mantenida, retenida o desechada para otros fines que no sean los acordados para los que se obtuvo originalmente. Aquí es donde las estrategias de privacidad de datos entran en juego de nuevo para ayudar a fortalecer la ética de los datos y las políticas de seguridad.
Intención
Intención
Si su organización es un proveedor de soluciones o un proveedor digital, tenga claro siempre su propósito al utilizar inteligencia de máquina y datos. Una IA fiable garantiza que los usuarios entiendan cómo interactúan los datos y la tecnología y por qué la IA toma unas decisiones concretas. Las herramientas para aumentar la confianza en la IA, por ejemplo, los kits de herramientas explicativas, las taxonomías de técnicas de IA y las soluciones de gobierno de IA, permiten a los usuarios conocer sus intenciones para poder confiar en su tecnología, en los procesos y en los resultados del uso de sus datos.
Prevención
Prevención
Las infracciones de datos, los ataques de ransomware y los descuidos son perjudiciales para los clientes y pondrán a prueba su paciencia, su fidelidad y la fe en su organización. Como estos problemas pueden surgir, y lo harán, es vital añadir medidas de protección de gestión de riesgos. Según un estudio de IBM, que las empresas que han desplegado completamente la IA y la automatización como parte de su estrategia de seguridad ahorran un promedio de 3,05 millones de USD en costes de infracción de datos en comparación con aquellas que aún no lo han hecho.
Pilar n.º 2
Introducción
Privacidad de datos
La ética de los datos consiste en establecer una cultura empresarial de comportamientos y prácticas basados en principios para la gestión de datos. Idealmente, esta cultura de ética y conocimientos de datos se adopta en toda la organización y se refleja en sus productos y operaciones.La privacidad de los datos, por otro lado, consiste en definir políticas y prácticas que activen estos comportamientos basados en principios en las personas, los procesos de negocio y la tecnología, y en operacionalizarlos a través del ciclo de vida de los datos, desde la recopilación hasta el almacenamiento. Este método se basa en la creación, y automatización, de una infraestructura sólida de gobierno de datos como parte de un enfoque de data fabric.
La gestión de datos permite conseguir el equilibrio entre limitar el acceso a los datos para garantizar la privacidad y habilitar un acceso más amplio a los datos para mejorar el análisis. Para facilitar el uso de datos en su organización y a la vez proteger contra el acceso no autorizado, necesitará implementar las herramientas de privacidad de datos adecuadas, como por ejemplo controles de acceso a datos. Puede combinarlas con IA, por ejemplo, con la anonimización de datos confidenciales para que puedan utilizarse de forma no identificable, o con el etiquetado datos para permitir la aplicación de políticas.
Tener la arquitectura de datos adecuada, como por ejemplo un data fabric, combinada con una gestión de datos rigurosa, contribuye en gran medida a garantizar que los datos privados sigan siendo privados y seguros, a la vez que permite a los usuarios de datos obtener información útil.
"Su infraestructura de protección de datos tiene que ser extremadamente elástica y tener una gran capacidad de respuesta para hacer frente a las incógnitas de los cambios normativos, los datos de terceros, las regulaciones de IA y cualesquiera que sean los próximos 25 desarrollos", afirma Lee Cox, vicepresidente de servicios, conformidad e investigación en la oficina de privacidad de IBM. "Hay una mayor sinergia entre la privacidad, la ética y el gobierno de los datos de lo que habíamos anticipado. No obstante, la tecnología que tenemos ahora nos permite utilizar con confianza datos a escala con mucha más eficiencia que antes".
Ventajas de la privacidad de datos
Ventajas de la privacidad de datos
La privacidad de los datos es, ante todo, la protección de los datos de los clientes y el mantenimiento de la confianza en un mundo de normativas en constante cambio. No obstante, en el mercado actual, también es un diferenciador de negocio. "La privacidad es parte de una estrategia de ventaja competitiva que afecta a las prácticas en toda la empresa y contribuye directamente a los ingresos a medida que desarrollamos una tecnología que respalda nuestro programa de privacidad a nivel mundial", explica Christina Montgomery, directora de privacidad de IBM.
La introducción de GDPR en 2018 obligó a muchas organizaciones, incluida IBM, a acelerar el desarrollo de sus programas de privacidad. Para una compañía global, un primer paso lógico es armonizar y consolidar los requisitos legales locales en una infraestructura de conformidad de privacidad global. Por ejemplo, al clasificar y consolidar los metadatos de miles de repositorios de datos existentes en un data fabric central, IBM ahora puede determinar rápidamente qué tipos de información personal se están procesando en toda la empresa, quién lo hace y dónde se almacenan los datos. Tener una infraestructura de privacidad unificada (PDF, 4,7 MB) proporciona un enfoque basado en metadatos y una única fuente de verdad de confianza, lo que ha sido fundamental para reducir la exposición de IBM al riesgo normativo.
Aprenda a anticiparse a la normativa de privacidad de datos en constante evolución.
Elementos de privacidad de datos
Elementos de privacidad de datos
Las organizaciones que van más allá de la simple conformidad con la normativa pueden generar confianza entre los clientes y diferenciarse de la competencia. Este enfoque holístico y adaptativo de privacidad de datos proporciona también otras recompensas:
Comprender el riesgo de los datos
Evalúe el uso de datos y riesgos frente a las responsabilidades del cliente y normativas.
Proteger el uso compartido de datos
Proteja los datos personales con controles de ciberseguridad para ofrecer experiencias de confianza.
Automatizar la respuesta a incidentes
Responda eficazmente para remediar problemas de riesgo y conformidad y poder escalar con mayor facilidad.
Pilar n.º 3
Introducción
Seguridad de datos
"La tecnología está evolucionando, pero las amenazas también están creciendo exponencialmente", afirma Mehdi Charafeddine, ingeniero distinguido y CTO global de Servicios de plataforma de datos de IBM. "Afortunadamente, hay formas cada vez más sofisticadas de aplicar la protección de datos y aumentar la privacidad de los datos".
Según Gartner, la seguridad de datos comprende los procesos y las metodologías asociadas que protegen los activos de información confidencial, ya sea en tránsito o en reposo. De esta forma, la seguridad de los datos abarca realmente todas las herramientas y el software utilizado para proteger la privacidad de los datos, ya sea el cifrado, la autenticación multifactor, el enmascaramiento, el borrado o la resiliencia de datos. Sin embargo, establecer controles y políticas apropiados es tanto una cuestión de la cultura de la organización como del despliegue de las aplicaciones y los algoritmos correctos.
Desde el punto de vista de la tecnología, puede salvaguardar los datos con una arquitectura de data fabric, que protege los datos en la "puerta principal" (donde los usuarios interactúan con los datos en el punto de la aplicación) y en su origen o "puerta trasera" (donde se generan y almacenan los datos), por no mencionar en todo el espacio que hay comprendido entre ambas. Este enfoque de puerta principal y puerta trasera es crucial para garantizar que se apliquen las políticas y los controles de seguridad de datos adecuados.
"Muchos de nuestros clientes operan en múltiples zonas geográficas —explica Priya Krishnan, directora de Gestión de productos de gobierno de datos, privacidad de datos y ciencia de datos de IBM—, por lo que sus científicos de datos han querido ejecutar el análisis en diferentes zonas geográficas. Sin embargo, a menudo no pueden compartir los datos debido a problemas de aislamiento o por no tener un gobierno central. Su solución anterior era 'imaginar y simular los datos y hacer sus modelos'. Pero con la implementación del data fabric, una organización puede proporcionar los datos a los científicos de datos con las reglas de gobierno y privacidad adecuadas, para que tengan la sensación de que realmente están ejecutando una iniciativa interorganizativa".
Incorporar medidas de seguridad de datos en la gestión de datos de principio a fin es importante para dar soporte a la seguridad y la privacidad, especialmente para los datos confidenciales. Por ejemplo, pensemos en la investigación médica en un hospital. El hospital puede estar colaborando con expertos de terceros o científicos de datos que necesiten trabajar en aplicaciones o datos específicos sin ver ninguna información regulada o de identificación personal. Las políticas de datos automatizadas basadas en roles permiten la colaboración con diferentes partes, a la vez que protegen los datos desde el punto de vista de la privacidad y la conformidad a nivel de aplicación. Al mismo tiempo, para garantizar una IA fiable, los datos deben estar protegidos en la fuente donde se almacenan, por ejemplo, en la base de datos en el entorno local donde se han recopilado por primera vez. De lo contrario, la información del paciente sería vulnerable si un ciberdelincuente se infiltrara en estos sistemas.
Cuando la seguridad de los datos se aplica correctamente, incorpora personas, procesos y tecnologías y aumenta la confianza en la IA. Explore las siguientes prácticas recomendadas para convertir la seguridad de la información en una prioridad en todas las áreas de la empresa.
Saber dónde residen los datos y quién tiene acceso
Saber dónde residen los datos y quién tiene acceso
Los pasos clave para proteger los datos confidenciales son, entre otros, automatizar la visibilidad, contextualizar, controlar las políticas de acceso e implementar una supervisión continua para identificar vulnerabilidades y riesgos antes de que se conviertan en filtraciones.
Proteger los datos para evitar una filtración catastrófica
Proteger los datos para evitar una filtración catastrófica
Apoye el enfoque de gestión de datos zero trust mediante un conjunto integrado de capacidades que puedan hacer frente a las carencias de ciberseguridad en implementaciones locales o de cloud híbrido como, por ejemplo, la creación de copias de datos automáticas y aisladas de forma segura.
Simplificar la conformidad
Simplificar la conformidad
Abordar el creciente número de normativas de privacidad ya es muy difícil. Mantener al día los informes puede ser una dificultad añadida para su equipo. Simplifique el proceso con la automatización, la analítica y la supervisión de actividades.
¿Dónde empieza la protección de datos?
Comience la estrategia de protección de datos con los siguientes 6 pasos:
1
Movilizar a los altos ejecutivos
Aplicar la estrategia de protección de datos correcta requiere la aceptación de toda su organización, y esa aceptación comienza con el soporte y el liderazgo de los puestos de la cúpula de su organización.
2
Reunir a los equipos ejecutivos
Establezca comisiones estratégicas centradas en la protección de datos. Este paso muestra el compromiso de sus ejecutivos de más alto nivel. Por ejemplo, en IBM, a nivel SVP, el Comité asesor de privacidad y la Comisión de ética impulsan las políticas y crean un sentido de misión en torno a la protección de datos. "Esto nos permite validar nuestra estrategia y también es un gran catalizador para la toma de decisiones e la influencia en el negocio", afirma Cox.
3
Fomentar la colaboración
Las comisiones estratégicas deben reunirse regularmente para crear y validar su estrategia de protección de datos. Este proceso mantiene las iniciativas de conocimiento de datos en el núcleo de la protección de datos y los objetivos empresariales. Christopher Giardina, un arquitecto de data fabric de IBM centrado en la privacidad y el gobierno de los datos, explica que uno de los mejores modelos de colaboración se da entre las oficinas centrales de datos, la oficina del CEO y las oficinas centrales de privacidad.
4
Habilitar líneas de servicio
Anime a los líderes de su organización a convertirse en una extensión del modelo operativo de protección de datos. Con las comisiones estratégicas adecuadas, una política centralizada de protección de datos y la tecnología y los servicios de formación necesarios, las líneas de servicio y las unidades de negocio pueden trabajar en sincronía para cumplir los objetivos de la estrategia de protección de datos.
5
Unificar estrategias
Una infraestructura madura de protección de datos mantiene la uniformidad en la organización durante el cambio de cultura, y reúne a las distintas divisiones y unidades con una estrategia unificada de datos. Si no solo el CDO, sino también el CPO y el CIO comprueban las ventajas competitivas de la protección de datos, podrá crear un caso de negocio sobre cómo la confianza y la transparencia aumentarán los ingresos. "A nivel empresarial, eso significa que hay que romper los silos tradicionales dentro de una organización", continúa Cox.
6
Automatizar el gobierno
Proporcionar protección y privacidad de datos a escala requiere que las organizaciones configuren una infraestructura de gobierno para que los datos sean accesibles y estén protegidos. Una arquitectura de data fabric proporciona los métodos que su organización necesita para automatizar el gobierno y la privacidad de los datos, y mantener la resiliencia, sin necesidad de preocuparse por lo que suceda el día de mañana.
Caso de éxito
Una cuestión de confianza
Cuando las personas entienden cómo funciona la tecnología y sienten que es segura y fiable, están mucho más inclinadas a confiar en ella. Consideremos el flujo de trabajo desarrollado por IBM que predijo con precisión cómo responderían los pacientes (positiva o negativamente) a un medicamento para la enfermedad del colon irritable (IBD) el 95 % del tiempo. Al combinar datos de pacientes con IBD y técnicas de IA explicable para investigar las respuestas al medicamento, el conjunto resultante de algoritmos demostró que era posible desbloquear la caja negra de datos de IBD y entender, prever y explicar cómo las personas que sufren IBD pueden responder a los diferentes medicamentos que existen en el mercado, así como a medicamentos en desarrollo.
Un proceso continuo e iterativo
Aplicar un enfoque holístico de protección de datos no es una acción individual, sino un proceso continuo e iterativo que evoluciona según la legislación y la normativa, las necesidades de negocio y las expectativas de los clientes, que son elementos en constante cambio. Tenga por seguro que su esfuerzo continuo vale la pena. Está definiendo su estrategia de datos como un diferenciador competitivo que se encuentra en el núcleo de toda organización basada en datos. En última instancia, la protección de datos consiste en aumentar la confianza. Al permitir una estrategia de datos ética, sostenible y adaptativa que garantice la conformidad y la seguridad en un entorno de datos en evolución, está convirtiendo a su organización en un líder del mercado.
Próximos pasos
¿Cómo empezar?
Crear la arquitectura de datos adecuada es un proceso iterativo, y se adaptará y crecerá con el tiempo con su negocio. Estamos aquí para ayudarle.
Notas a pie de página
¹ Gartner identifica las cinco tendencias principales en la privacidad hasta 2024 (enlace externo a ibm.com), nota de prensa, Gartner, 31 de mayo de 2022.
² Informe sobre el coste de una infracción de datos en 2022 (PDF, 2,4 MB), un informe de Ponemon Institute patrocinado por IBM® Security, julio de 2022.
³ Los 5 principios de la ética de datos para el negocio, en el blog Business Insights (enlace externo a ibm.com), Harvard Business School Online, 16 de marzo de 2021.
⁴ Los estadounidenses y la privacidad: preocupados, confusos y con falta de control sobre su información personal (enlace externo a ibm.com), Pew Research Center, 15 de noviembre de 2019.