El crecimiento explosivo de la información es la característica definitoria más significativa de nuestra era. En esta era de la información, la cantidad de datos, los usos de esos datos, la cantidad de fuentes de datos y las rutas que recorren crecen a tasas exponenciales. El crecimiento crea nuevas industrias para definir, recopilar, acceder, procesar y conservar la información.
En tal entorno, todos reconocen la esencia de la gobernanza de la información (IG, Information Governance), pero cómo llevar a cabo esta tarea masiva es difícil de comprender.
Las organizaciones actuales experimentan un crecimiento explosivo en el volumen y la variedad de los datos que recopilan, procesan y almacenan. Desafortunadamente, muchos no comprenden los tipos de datos que manejan y el valor que tienen. Esto significa que no pueden usarlos ni mantenerlos correctamente. Como resultado, no alcanzan el nivel de éxito que tendrían si mantuvieran una administración adecuada de los datos.
Las organizaciones también pueden sufrir graves consecuencias financieras, legales y de reputación por una mala administración de datos. La gobernanza de la información ayuda a evitar un destino similar.
Entonces, ¿qué es la gobernanza de la información (IG, Information Governance) y qué papel desempeña en el entorno empresarial actual? Esta guía aclara algunas cuestiones sobre la IG, un área emergente de la administración de datos que se centra en el cumplimiento y los procesos empresariales.
La IG se refiere a un enfoque estratégico para maximizar el valor de los datos y mitigar los riesgos asociados con la creación y el uso de información empresarial, así como la capacidad de compartirla. Reconoce la información como un activo organizacional que requiere supervisión y coordinación de alto nivel para garantizar la responsabilidad, la protección, la integridad y la preservación adecuada de la información empresarial.
La IG tiene como objetivo eliminar los silos y evitar cualquier fragmentación en la gestión de la información, lo que garantiza que esta siga siendo confiable y que las organizaciones experimenten un retorno de la inversión en los procesos, la tecnología y las personas que utilizan para administrar la información.
La gobernanza de la información tiene muchas definiciones formales, pero la de Gartner es la más ampliamente aceptada. Gartner define la IG como un marco de responsabilidad que asegura un comportamiento apropiado en la creación, la valoración, el uso, el archivado, la eliminación y el almacenamiento de información. Incluye los estándares, las métricas, los roles, las políticas y los procesos necesarios para garantizar un uso eficaz y eficiente de la información, así como la posibilidad de que las organizaciones alcancen sus objetivos.
Los procesos de la IG ayudan a administrar el uso de los registros de información, como la información de clientes, los registros de empleados, los registros médicos y la propiedad intelectual. Los profesionales de la IG de su empresa deben trabajar con sus líderes y otras partes interesadas en la creación de políticas donde se especifique la forma en que sus empleados deben manejar todos los activos de información corporativa.
Los objetivos críticos de la IG incluyen los siguientes:
Para ayudarle a definir claramente los objetivos y procesos de gobernanza de la información, puede desarrollar marcos para delinear formalmente el enfoque de su organización. El marco describe y responde las preguntas quién, qué, dónde, cuándo, cómo y por qué.
Debe adaptar su marco para que se ajuste a las necesidades únicas de su organización, pero debe definir las áreas que se describen a continuación:
También es vital establecer la forma en que las organizaciones operan y comparten información con sus socios, partes interesadas y proveedores. El marco debe definir las políticas y los procedimientos establecidos para compartir información con terceros, la forma en que el proceso de gobernanza de la información influye en las obligaciones contractuales, y la forma en que se determinará si los socios y terceros cumplen con los objetivos de IG.
Además, el marco debe delinear claramente los procedimientos en caso de fugas de datos, incluida la forma de denunciar infracciones y pérdidas de información, los procesos de recuperación después de un desastre, los detalles específicos de la administración de incidentes, las estrategias de continuidad comercial y la forma de auditar estos procesos de recuperación después de un desastre y continuidad comercial.
Por último, el marco debe describir el proceso de supervisión continua. Incluya planes de control de calidad para los procesos de IG, por ejemplo, cómo supervisará el acceso a la información, medirá el cumplimiento de las normativas, realizará evaluaciones de riesgos, mantendrá la seguridad adecuada y revisará el programa de IG en su conjunto.
Muchas personas y organizaciones consideran que IG y Gobernanza de los datos son lo mismo. Si bien ambos son esenciales para que las empresas alcancen sus objetivos comerciales, y a pesar de cierta superposición entre estos términos, no son idénticos.
La gobernanza de la información obtiene valor comercial para las organizaciones a partir de sus activos de datos. Se trata de las tecnologías y actividades que las organizaciones emplean para maximizar el valor de su información y, al mismo tiempo, minimizar los costos y riesgos asociados.
Por otro lado, la gobernanza de datos se refiere al control de la información a nivel de unidad de negocio para garantizar que esta sea precisa y confiable. Sus programas involucran procedimientos para administrar la capacidad de uso, la disponibilidad, la integridad y la seguridad de los datos.
En resumen, la gobernanza de datos impide que la basura entre en juego, mientras que la gobernanza de la información hace referencia a las decisiones que se toman sobre el uso de los datos.
Estos son algunos ejemplos de los tipos de actividades involucradas en ambas áreas para ayudar a ilustrar las diferencias.
La gobernanza de datos es responsabilidad de TI, pero IG tiene un alcance más amplio. Puede usar IG para satisfacer las necesidades de negocio y de cumplimiento en relación con el uso y la retención de datos, lo que lo convierte en una disciplina estratégica con un papel importante en las reglas y los procesos de gobierno de la empresa.
La aplicación conjunta de IG y la gobernanza de datos puede dar como resultado prácticas de administración de la información que permiten ofrecer un mayor valor empresarial.
La información es un recurso vital en cualquier organización o empresa. Sin ella, las operaciones empresariales no son posibles. En consecuencia, las empresas invierten en procesos, tecnología y personas para garantizar que la información pueda respaldar a la empresa.
Debido a las importantes inversiones asociadas con la creación, el uso, la protección y la capacidad de compartir la información, las organizaciones la consideran un tipo de activo empresarial, similar a los equipos, los edificios y los recursos financieros necesarios para dirigir la empresa.
La supervisión y el manejo de los recursos o activos es el objetivo principal de cualquier gobierno corporativo. Además, al igual que cualquier otro activo, la información requiere que la administración se asegure de abordar su valor y los riesgos asociados de manera responsable.
La gobernanza de la información proporciona a las empresas un enfoque disciplinado para administrar el valor y los riesgos asociados con la información.
Dado que IG es todavía un campo emergente, existen numerosas preguntas en torno a su rol en los procesos comerciales. Sin embargo, un programa de IG implementado correctamente permite a las organizaciones hacer lo siguiente:
Por ejemplo, debido a los desafíos que enfrenta actualmente la industria de la salud en relación con los cambios en la atención, los modelos de pago, los requisitos para establecer asociaciones, las nuevas expectativas de los clientes, la tecnología y el aumento de la regulación, la gobernanza de la información es más esencial que nunca. Es la mejor manera para que la atención médica y las organizaciones afines garanticen que su información sea confiable y puedan confiar en ella para satisfacer todas sus necesidades.
IG permite tomar decisiones basadas en las necesidades de la organización y no en la tecnología. También elimina a los responsables de decisiones por accidente (las personas que poseen datos en un punto particular durante su ciclo), ya que estos suelen tomar decisiones independientemente de las necesidades de otras partes interesadas.
Para identificar el mejor punto de inicio de una iniciativa de IG, es necesario encontrar una manera de respaldar los esfuerzos estratégicos de la organización con información y datos confiables.
Generalmente, las organizaciones tienen una misión y una visión que las guían a lo largo de sus actividades comerciales y desarrollan estrategias para lograr sus objetivos. Por lo tanto, al examinar cuidadosamente esas estrategias y objetivos comerciales, es posible obtener un claro indicio sobre dónde y cómo iniciar la iniciativa de IG.
Como no se puede lograr ningún objetivo de la organización sin información útil, el mejor punto de inicio de una iniciativa de IG es identificar un problema (un punto débil) con información que se requiere abordar, o incluso una oportunidad comercial que reduzca costos y mejore los ingresos.
Tal alineación estratégica significa que se deben incluir las necesidades de la IG en una estrategia más amplia que permita lograr los objetivos de la organización. Los objetivos pueden ser extensos y variados, como una mejor administración del espacio (bienes raíces), la expansión de las ofertas de servicios a través de la adquisición y la integración de otras empresas, la creación de nuevos protocolos de servicio al cliente o la reducción de los costos.
Dado que IG es un requisito establecido de responsabilidad y derechos para permitir el funcionamiento adecuado de diversos aspectos de la información, la concesión de derechos de decisión determina la propiedad de los datos y las personas que tienen derecho a tomar decisiones al respecto.
Por lo tanto, al definir propietarios y responsables de tomar decisiones, puede asignar responsabilidad y rendición de cuentas a las decisiones de datos, lo que es probablemente un concepto esencial para implementar al crear una política de IG. La responsabilidad es vital, ya que a medida que aumenta la dependencia de los datos, es posible tomar decisiones comerciales de forma predeterminada, generalmente, mediante el camino más fácil y, a menudo, sin tener en cuenta otras consideraciones.
Debe tener en cuenta las siguientes áreas clave al crear su política de gobernanza de la información:
Política de uso: puede contener muchos riesgos para la seguridad al emplear una política de uso bien definida que detalle específicamente quién puede acceder a los datos y en qué circunstancias.
Responsabilidad: debe crear un puesto como Director de datos o dedicar un departamento a la creación de políticas estándar para garantizar que alguien en su organización sea responsable de las políticas de manejo de datos.
Administración de registros: las grandes organizaciones pueden almacenar hasta 10 petabytes de información al año, lo que es costoso. Con IG, es posible identificar y almacenar los datos que tienen valor y así, ahorrar en costos de almacenamiento.
Cumplimiento: las leyes, las necesidades comerciales y las regulaciones rigen la forma en que se conserva la información. Después de eso, se debe descartar según un cronograma de ciclo de vida establecido en función de los requisitos legales, reglamentarios y comerciales.
Educación: al igual que con todas las demás políticas de la empresa, la capacitación de sus empleados, socios y proveedores sobre su programa IG completa el círculo.
Tecnología: un IG completo también puede abordar el control de TI. Puede proporcionar a los especialistas en TI políticas como la creación de jerarquías de almacenamiento o la obtención de esquemas de acceso debidamente escalados.
A medida que los volúmenes de datos corporativos crecen y las innovaciones tecnológicas expanden continuamente las capacidades comerciales, las regulaciones que imponen leyes y mandatos estrictos sobre el proceso de IG se han convertido en la norma. Esto es cierto para la seguridad y la privacidad de los datos, ya que la información de identificación personal (PIN, Personally Identifiable Information) se ha convertido recientemente en un objetivo masivo para los nefastos ejecutores en línea y piratas informáticos.
Las leyes de privacidad han comenzado a expandirse a nivel mundial y a crear nuevas obligaciones de control de la seguridad de la información. Muchas industrias han quedado sujetas a regulaciones que requieren la retención de las comunicaciones y los registros electrónicos durante un período mínimo. Estas regulaciones incluyen directivas de agencias federales como el Departamento de Justicia y la Agencia de Protección Ambiental o la Comisión de Bolsa y Valores.
Los requisitos de informes regulatorios también exigen a las organizaciones que proporcionen un registro anual de cumplimiento detallado. Un proceso de administración de registros comerciales sólido proporciona evidencia para demostrar el cumplimiento.
Además, las reglas de cumplimiento, como la Ley de Prácticas Corruptas en el Extranjero, exigen a las organizaciones que acrediten la autenticidad de sus programas y registros de IG.
Existen numerosos requisitos de la industria y el gobierno relacionados con la seguridad de los datos, la administración de registros y la retención de datos que pueden afectar su estrategia de IG. A continuación se presentan algunas de las leyes esenciales que todas las organizaciones que operan en los EE. UU. deben conocer.
Las herramientas de evaluación, como el modelo de madurez de la IG y el modelo de referencia de IG, ayudan a las empresas a medir el progreso de su gobernanza de la información. El modelo de referencia de IG proporciona a corporaciones, asociaciones industriales, firmas de analistas y otras partes interesadas una herramienta que les permite comunicarse con las partes interesadas sobre los procesos, las prácticas y las responsabilidades de su programa de IG.
Por otro lado, el modelo de madurez de la IG se basa en los ocho Principios de mantenimiento de registros generalmente aceptados de ARMA.El modelo de madurez define las características de varios niveles del programa de mantenimiento de registros que abarcan desde la IG estándar a la transformacional. El objetivo de las organizaciones es alcanzar el nivel de transformación superior donde las estrategias de IG se integran en la infraestructura corporativa general o los procesos comerciales para ayudar a impulsar la contención de costos, los servicios al cliente y la ventaja competitiva.
La IG es un requisito establecido de responsabilidad y derechos para permitir el funcionamiento adecuado de varios aspectos de la información, incluidas la creación, la valoración, el uso, el almacenamiento, la eliminación y el archivado de datos. Para usar los datos de manera efectiva, la IG incluye políticas, propósitos, procesos y estándares que ayudan a las organizaciones a lograr sus objetivos.
La gobernanza de la información aporta a las organizaciones un beneficio y un valor significativo, especialmente a medida que su recopilación de datos y almacenamiento crecen y la supervisión regulatoria aumenta. El desarrollo y la implementación de una estrategia de IG sólida ayuda a las organizaciones a garantizar la disponibilidad de datos, controlar los costos, mitigar los riesgos cibernéticos y cumplir con los desafíos regulatorios. Comience hoy mismo antes de que su organización sufra una brecha de seguridad, se enfrente a una demanda, no apruebe una auditoría o sufra daños en su reputación.