¿Qué es un enfoque global para la protección de datos?
La investigación de Gartner® prevé que el 75 % de la población mundial tendrá sus datos personales protegidos bajo modernas regulaciones de privacidad en 2024.¹ Su tarea como líder de datos es navegar por políticas y tecnologías cada vez más complejas para que pueda asegurarse de que los datos confidenciales sean accesibles y estén protegidos. Protección de datos es el término que abarca la privacidad, la conformidad, la seguridad y la ética de los datos. Adoptar un enfoque global de la protección de datos y la ciberseguridad es una garantía contra los ciberataques, incluido el ransomware, y mantiene la conformidad normativa para evitar costosas multas, ofrecer una IA confiable y crear experiencias de cliente excepcionales.
En 2022, el costo de las brechas de seguridad de datos alcanzó un máximo histórico, con un promedio de USD 4.35 millones.² Sin contar con los costos ocultos para la reputación de la marca y la lealtad del cliente. Los consumidores quieren que se protejan sus datos personales, y los responsables de las políticas han respondido con nuevas regulaciones de confidencialidad de datos. Las organizaciones que no estén preparadas para esta nueva era de necesidades de conformidad de datos podrían pagar un precio muy alto. A medida que surgen más regulaciones como GDPR, CCPA y LGPD, se está convirtiendo en una expectativa global para las organizaciones incluir la protección de datos global en su estrategia general de datos.
Este enfoque no se limita a analizar cómo se recopilan los datos y mantenerlos en conformidad y en privado, también se trata de entender cómo se utilizan los datos confidenciales en el mundo actual. Obliga a las organizaciones a proponer preguntas como: ¿Es ético recopilar estos datos? ¿Qué hacemos con esta información? ¿Hemos compartido nuestras intenciones con las personas de las que hemos recogido estos datos? ¿Durante cuánto tiempo y dónde se conservarán estos datos? ¿Estamos al día sobre la gestión de riesgos y los avances en malware? Cualquiera que se dedique a recopilar datos, especialmente la dirección de una organización, debería estar muy versado en estas conversaciones.
"En realidad esto empieza desde muy arriba", dice Neera Mathur, Ingeniera distinguida, CTO de confianza de datos y estrategia y soluciones de ingeniería de privacidad, IBM. "La famosa frase del CEO de IBM, Arvind Krishna, es: 'La confianza es nuestra licencia para operar'. Creo que eso lo dice todo. Cuando una persona proporciona sus datos a IBM y los gestionamos correctamente, protegiéndolos de forma adecuada y ética, incrementamos la confianza con la persona que trabaja con nosotros. Para mí, la responsabilidad comienza arriba y luego se filtra a todos nuestros negocios".
La investigación de Gartner® prevé que el 75 % de la población mundial tendrá sus datos personales protegidos bajo modernas regulaciones de privacidad en 2024.¹
En 2022, el costo de las brechas de seguridad de datos alcanzó un máximo histórico, promediando USD 4.35 millones.²
La famosa frase del CEO de IBM, Arvind Krishna, es: 'La confianza es nuestra licencia para operar'. Creo que eso lo dice todo. Cuando una persona proporciona sus datos a IBM y los gestionamos correctamente, protegiéndolos de forma adecuada y ética, incrementamos la confianza con la persona que trabaja con nosotros. Para mí, la responsabilidad comienza arriba y luego se filtra a todos nuestros negocios.
Neera Mathur
Ingeniera distinguida, CTO de confianza de datos y estrategia y soluciones de ingeniería de privacidad
IBM
Los pilares de la protección de datos
Tres pilares principales (ética de datos, confidencialidad de datos y seguridad de datos) funcionan juntos bajo el paraguas de la protección de datos para dar soporte a una estructura flexible diseñada para estar al día de las regulaciones y expectativas empresariales en constante cambio, y para mantener la confianza del usuario.
Pilar número 1
Introducción
Ética de datos
Las opiniones culturales de su organización sobre la protección de datos informan de la manera en que se promulgan y ejecutan las políticas de seguridad y confidencialidad de datos. Harvard Business School define la "ética de los datos" como las obligaciones morales vinculadas a la recopilación, protección y uso de información de identificación personal, así como el impacto que estas acciones tienen. Para tomar decisiones responsables en torno a los datos y promover una IA de confianza, considere los siguientes principios de la ética de los datos.
Propiedad
Propiedad
Entender bien la ética de datos comienza por saber quién es el propietario de los datos que usted está utilizando. Solamente porque un usuario le entregue unos datos no significa que usted sea el propietario. El consentimiento es imprescindible, al igual que la protección de datos y el respeto a los datos. Mantener la integridad de los datos significa no abusar nunca de ellos y deshacerse de los datos en cuanto se acabe con ellos.
Transparencia
Transparencia
En términos de protección de datos, la transparencia significa ser claro con los clientes sobre cómo se utilizan sus datos. Según el Pew Research Center, el 81 % de las personas dice que los riesgos potenciales de la recopilación de datos superan las ventajas.⁴ Para superar esta desconfianza histórica, capacite a los usuarios para que comprendan los propósitos y el ciclo de vida de los datos de los clientes para que se sientan seguros de que su organización los usará correctamente y con las mejores intenciones.
Privacidad
Privacidad
Cuando una empresa recopila información, la almacena y la analiza, esa información no debe ser utilizada, almacenada, compartida, mantenida, retenida o desechada fuera de los propósitos acordados para los cuales fue obtenida originalmente. En este caso, las estrategias de confidencialidad de datos vuelven a entrar en juego para ayudar a reforzar las políticas de ética y seguridad de los datos.
Intención
Intención
Si su organización es un proveedor de soluciones o un proveedor digital, siempre tenga claro su propósito al utilizar los datos y la inteligencia de la máquina. Una IA digna de confianza garantiza que los usuarios entiendan cómo trabajan conjuntamente los datos y la tecnología y por qué la IA toma las decisiones que toma. Las herramientas para aumentar nuestra confianza en la IA (como los kits de herramientas explicativas, las taxonomías de las técnicas de IA y las soluciones de gestión de la IA) ayudan a los usuarios a conocer sus intenciones para que puedan confiar en su tecnología, sus procesos y los resultados de su uso de los datos.
Prevención
Prevención
Las brechas de seguridad de datos, los ataques de ransomware y los descuidos son perjudiciales para los clientes y pondrán a prueba su paciencia, lealtad y fe en su organización. Debido a que estos problemas pueden surgir y lo harán, es vital añadir protecciones de gestión de riesgos. Un estudio de IBM descubrió que las compañías que han implementado completamente la IA y la automatización como parte de su estrategia de seguridad ahorran un promedio de USD 3.05 millones en costos de brechas de seguridad de datos en comparación con las que aún no lo han hecho.
Pilar número 2
Introducción
Privacidad de datos
La ética de los datos trata de establecer una cultura empresarial de comportamientos y prácticas de principios para la gestión de datos. Idealmente, esta cultura de ética y adquisición de conocimientos de datos se adopta en toda su organización y se refleja en sus productos y operaciones. La confidencialidad de los datos, por otro lado, consiste en definir las políticas y prácticas que activan estos comportamientos de principios a través de personas, procesos de negocio y tecnología, y aplicarlas en todo el ciclo de vida de los datos, desde la recopilación hasta el almacenamiento. Este método es la esencia de la creación y automatización de una estructura sólida de gestión de datos como parte de un enfoque de tejido de datos.
La gestión de datos ayuda a encontrar el equilibrio entre limitar el acceso a los datos para garantizar la privacidad y permitir un acceso más amplio a los datos para mejorar el análisis. Para que su organización pueda utilizar los datos sin problemas y, al mismo tiempo, protegerse contra el acceso no autorizado, tendrá que implementar las herramientas de privacidad de datos adecuadas, como los controles de acceso a los datos. Combínelos con IA, como la anonimización de datos confidenciales para que puedan utilizarse de forma no identificable o con el etiquetado de datos para permitir la aplicación de políticas.
Tener la arquitectura de datos adecuada, como un tejido de datos, combinado con una gestión de datos rigurosa, contribuye en gran medida a garantizar que los datos privados permanezcan privados y seguros, al tiempo que permite a los usuarios de datos obtener insights de ellos.
"Su estructura de protección de datos tiene que ser extremadamente elástica y muy responsiva para hacer frente a las incógnitas de los cambios regulatorios, los datos de terceros, las normativas de IA y cualesquiera que sean los próximos 25 acontecimientos", dice Lee Cox, vicepresidente de servicios, conformidad e investigación, y directora de privacidad de IBM. "Hay una mayor sinergia entre la privacidad y la ética y la gestión de los datos de lo que habíamos anticipado. Pero la tecnología que tenemos ahora nos permite confiar en los datos a escala con mucha más eficacia que antes".
Beneficios de la privacidad de datos
Beneficios de la privacidad de datos
La confidencialidad de los datos consiste ante todo en proteger los datos de los clientes y mantener la confianza ante las cambiantes normativas. Pero en el mercado actual, también es un diferenciador empresarial. "La privacidad forma parte de una historia de ventaja competitiva que afecta a las prácticas de toda nuestra empresa y contribuye directamente a los ingresos a medida que desarrollamos la tecnología que da soporte a nuestro programa de privacidad en todo el mundo", afirma Christina Montgomery, directora de privacidad de IBM.
La implantación del GDPR en 2018 desafió a muchas organizaciones, incluida IBM, a acelerar el desarrollo de sus programas de privacidad. Para una compañía global, un primer paso lógico es armonizar y consolidar los requisitos legales locales en un marco global de cumplimiento de normas de la privacidad. Por ejemplo, al clasificar y consolidar metadatos de miles de repositorios de datos existentes en un tejido de datos central, IBM puede ahora determinar rápidamente qué tipos de información personal se están procesando en toda la empresa, por quién y dónde se almacenan esos datos. Disponer de un marco de privacidad unificado (PDF, 4.7 MB) proporciona un enfoque basado en metadatos y una única fuente de verdad de confianza, lo que ha sido fundamental para reducir la exposición de IBM al riesgo regulatorio. Descubra cómo mantenerse por delante de las normativas de privacidad de datos en constante evolución.
Elementos de confidencialidad de datos
Elementos de confidencialidad de datos
Las empresas que van más allá de la conformidad normativa pueden generar confianza entre los clientes y diferenciarse de la competencia. Este enfoque global y adaptable de confidencialidad de datos proporciona otras recompensas también:
Entender los riesgos de los datos
Evaluar el uso de datos y riesgos frente a las responsabilidades regulatorias y del cliente.
Compartir datos de forma segura
Proteger los datos personales con controles de ciberseguridad para ofrecer experiencias confiables.
Automatizar la respuesta a incidencias
Responder con eficacia para resolver los problemas de riesgo y conformidad y escalar con mayor facilidad.
Pilar número 3
Introducción
Seguridad de datos
"La tecnología está evolucionando, pero las amenazas también están creciendo exponencialmente", afirma Mehdi Charafeddine, ingeniero distinguido y CTO global de servicios de plataforma de datos de IBM. "Afortunadamente, hay formas cada vez más sofisticadas de aplicar la protección de datos y aumentar la privacidad de los datos".
Según Gartner, la seguridad de los datos comprende los procesos y las metodologías asociadas que protegen los activos de información confidencial, ya sea en tránsito o en reposo. Es por eso que la seguridad de los datos trata en realidad de las herramientas y el software utilizados para proteger la confidencialidad de los datos, ya sea con cifrado, autenticación multifactor, enmascaramiento, borrado o resiliencia de datos. Pero establecer los controles y políticas apropiados es tanto una cuestión de cultura de la organización como de implementar las aplicaciones y algoritmos adecuados.
Desde un punto de vista tecnológico, puede proteger los datos con una arquitectura de tejido de datos, que los proteja en la "puerta principal", donde los usuarios interactúan con los datos en el punto de la aplicación, y en el origen o "puerta trasera", donde se generan y almacenan los datos, por no mencionar todos los puntos intermedios. Este enfoque de puerta trasera es crucial para garantizar que se aplican las políticas y controles de seguridad de datos adecuados.
"Muchos de nuestros clientes operan en varias áreas geográficas," dice Priya Krishnan, directora de gestión de productos para la gestión de datos, confidencialidad de datos y ciencia de datos en IBM", por lo que sus científicos de datos han querido realizar análisis en todas las áreas geográficas". Pero generalmente no pueden compartir los datos debido a los silos o a la falta de gestión centralizada. Su anterior solución era 'imaginar y simular los datos y hacer sus modelos'. Pero con la implementación del tejido de datos, una organización puede dar los datos a los científicos de datos con las normas de gestión y privacidad adecuadas para que sientan que realmente están llevando a cabo una iniciativa entre organizaciones".
Integrar las medidas de seguridad de los datos en la gestión end-to-end de los mismos es importante para garantizar tanto la seguridad como la privacidad, especialmente en el caso de los datos confidenciales. Por ejemplo, la investigación médica en un hospital. El hospital puede estar colaborando con expertos externos o científicos de datos que necesitan trabajar en datos o aplicaciones específicos sin poder ver ninguna información regulada o de identificación personal. Las políticas de datos automatizadas basadas en roles pueden permitir la colaboración con diferentes partes mientras protegen los datos desde el punto de vista de la privacidad y la conformidad a nivel de la aplicación. Al mismo tiempo, para que la IA sea fiable, esos datos deben estar protegidos en la fuente donde se almacenan, por ejemplo, la base de datos en las instalaciones donde se recopilaron por primera vez. De lo contrario, la información del paciente sigue siendo vulnerable si un ciberdelincuente se infiltrara en estos sistemas.
Cuando la seguridad de los datos se realiza correctamente, incorpora personas, procesos y tecnologías y genera confianza en la IA. Explore las siguientes mejores prácticas para convertir la seguridad de la información en una prioridad en todas las áreas de la empresa.
Sepa dónde residen los datos y quién tiene acceso
Sepa dónde residen los datos y quién tiene acceso
Los principales pasos en la protección de datos confidenciales incluyen la automatización de la visibilidad, la contextualización, el control de las políticas de acceso y la implementación de la supervisión continua para identificar vulnerabilidades y riesgos antes de que se conviertan en brechas.
Proteja los datos para evitar una brecha catastrófica
Proteja los datos para evitar una brecha catastrófica
Dé soporte a un enfoque de confianza cero para la gestión de datos con un conjunto integrado de funcionalidades, que incluye copias de datos creadas automáticamente y de forma segura que pueden hacer frente a las brechas de ciberseguridad en implementaciones de nube en las instalaciones o híbridas.
Simplifique la conformidad
Simplifique la conformidad
Satisfacer el creciente número de exigencias de privacidad ya es bastante difícil. Mantenerse al día con los informes puede ser otra dificultad para su equipo. Simplifique el proceso con la automatización, la analítica y la supervisión de actividades.
¿Dónde empieza la protección de datos?
Empiece su estrategia de protección de datos con los siguientes 6 pasos:
1
Movilice a los altos ejecutivos
Para poner en marcha una estrategia de protección de datos adecuada, es necesario que toda la organización la acepte, y esa aceptación comienza con el apoyo y la gestión desde la cúpula de la organización.
2
Reúna a sus equipos ejecutivos
Cree juntas estratégicas centradas en la protección de datos. Este paso muestra el compromiso de sus ejecutivos de más alto nivel. Por ejemplo, en IBM, a nivel SVP, el Comité asesor de privacidad y la Junta de ética impulsan las políticas y crean un sentido de misión en torno a la protección de datos. "Nos permite validar nuestra estrategia y, también, es un gran catalizador para la toma de decisiones e la influencia en el negocio", afirma Cox.
3
Despierte la colaboración
Los consejos estratégicos deben reunirse periódicamente para crear y validar su estrategia de protección de datos. Este proceso mantiene las iniciativas de adquisición de conocimientos de datos en el centro de la protección de datos y los objetivos empresariales. Christopher Giardina, un arquitecto de tejido de datos de IBM enfocado en la gestión de los datos y la privacidad, dice que uno de los mejores modelos de colaboración es entre las oficinas centrales de datos, la oficina del CEO y las oficinas centrales de privacidad.
4
Habilite las líneas de servicio
Anime a los líderes en toda su organización para que se conviertan en una extensión del modelo operacional de protección de datos. Con los consejos estratégicos apropiados, una política de protección de datos centralizada y los servicios educativos y la tecnología necesarios, las líneas de servicio y las unidades de negocios pueden trabajar sincronizadas para llevar a cabo los objetivos de la estrategia de protección de datos.
5
Unifique la estrategia
Una infraestructura madura de protección de datos alinea la organización en el cambio de cultura, y reúne las distintas divisiones y unidades con una estrategia unificada de datos. Si no solamente el CDO, sino que también el CPO y el CIO pueden hablar sobre las ventajas competitivas de la protección de datos, estará creando una justificación de negocios sobre cómo la confianza y la transparencia incrementarán el aumento de los ingresos. “A nivel empresarial, eso significa que debe romper los silos tradicionales dentro de una organización”, dice Cox.
6
Automatice la gestión
Proporcionar protección de datos y privacidad a escala requiere que las organizaciones configuren una estructura de gestión para que los datos sean accesibles y estén protegidos. Una arquitectura de tejido de datos proporciona los métodos que su organización necesita para automatizar la gestión y la confidencialidad de los datos y mantener la resiliencia sin importar lo que traiga el mañana.
Caso de estudio
Una cuestión de confianza
Cuando las personas entienden cómo funciona la tecnología y sienten que es segura y confiable, están mucho más inclinadas a confiar en ella. Consideremos el flujo de trabajo desarrollado por IBM que predijo con precisión cómo responderían los pacientes (positiva o negativamente) a un medicamento contra la enfermedad del intestino irritable (IBD) el 95 % del tiempo. Al combinar datos de pacientes con IBD y técnicas de IA explicables para investigar las respuestas a medicamentos, el conjunto resultante de algoritmos mostró que era posible desbloquear la caja negra de datos de IBD, y entender, prever y explicar cómo las personas que sufren de IBD podrían responder a diferentes medicamentos en el mercado, así como a aquellos medicamentos en desarrollo.
Es un proceso de cambio continuo e iterativo
Un enfoque global para la protección de datos no es un acuerdo único. Es un proceso de cambio continuo e iterativo que evoluciona con leyes y normas variables, necesidades de negocio y expectativas de los clientes. Sepa que sus esfuerzos en curso valen la pena. Está definiendo su estrategia de datos como un diferenciador competitivo que se encuentra en el núcleo de toda organización basada en datos. En última instancia, la protección de datos consiste en fomentar la confianza. Al habilitar una estrategia de datos ética, sustentable y adaptable que garantice la conformidad y la seguridad en un panorama de datos en evolución, está convirtiendo a su organización en un líder del mercado.
Próximos pasos
¿Cómo empezar?
La creación de la arquitectura de datos correcta es un proceso iterativo, y se adaptará y crecerá con el tiempo con su empresa. Estamos aquí para ayudarle.
Notas al pie de página
¹ Gartner identifica las cinco tendencias principales en la privacidad hasta 2024 (enlace externo a ibm.com), nota de prensa, Gartner, 31 de mayo de 2022.² Informe del costo de una brecha de seguridad de datos de 2022 (PDF, 2.4 MB), un informe de Ponemon Institute patrocinado por IBM® Security, julio de 2022.³ 5 principios de ética de datos para empresas, en el blog Business Insights (enlace externo a ibm.com), Harvard Business School Online, 16 de marzo de 2021.⁴ Estadounidenses y privacidad: preocupados, confusos y sentimiento de falta de control sobre su información personal (enlace externo a ibm.com), Pew Research Center, 15 de noviembre de 2019.