Auditoría básica de SI: Gestión de datos maestros: Un resumen para los auditores

En una columna anterior se revisaron los dominios de las auditorías de datos e información.¹ Esta columna sigue explorando este tema centrándose en la Gestión de Datos Maestros² (DMBOK) y lo que esta no cubre. El DMBOK debe ser tomado como un complemento a la guía ofrecida en COBIT 5 de ISACA: Habilitando la Información.³

Sin los datos, las aplicaciones y las tecnologías de la información son inútiles. A menudo nos referimos a los datos como un “activo corporativo clave” y sin embargo, siendo intangibles, no siempre se gestionan como si tuvieran valor. Además, los temas relacionados a gobernanza y gestión de datos son complejos y no siempre son comprendidos por el departamento de TI o los propietarios de los datos (o, en otra terminología, los administradores o custodios).

Es probable que los puristas y los especialistas discrepen con las siguientes declaraciones:

• No puede haber conocimiento sin información.
• No puede haber información sin datos.
• Los datos representan “cosas” que pueden ser observadas, medidas, compartidas y registradas.

Aunque sea difícil probar, podemos suponer que la prehistoria humana fue rica en conocimiento e información. Las primeras sociedades humanas, después de todo, sobrevivieron, se desarrollaron y se extendieron por el mundo por tierra y por mar. Esto no se puede explicar sólo por casualidad.

Los registros más antiguos que se conocen son las pinturas rupestres en cavernas, por ejemplo, Lascaux y Chauvet⁴ en Francia, esta última se estima tiene 36.000 años de antigüedad, contiene impresionantes dibujos hechos por una razón desconocida. Estas pinturas se convirtieron gradualmente en medios para representar el lenguaje en formas gráficas⁵ teniendo, las más tempranas de ellas (Sumerias y Egipcias), alrededor de 5.000 años de antigüedad.

La alfabetización masiva (lectura y escritura) continúa expandiéndose por el mundo, pero aún no se ha alcanzado el 100 por ciento. A pesar de este crecimiento, muchas personas siguen siendo funcionalmente analfabetas, incapaces de dar sentido, por ejemplo, a un formulario de impuesto a la renta y a las pólizas de seguro, sin mencionar textos complejos relacionados con algún tema.

Cuando se trata de datos, con miles de millones de personas teniendo acceso a Internet y a las redes sociales, todo el mundo es un potencial creador de contenido. Muchos proporcionan información de calidad, mientras que otros se sienten libres de expresar opiniones, chismes, mala información y desinformación. Los datos de mala calidad deben ser tratados como la basura de la sociedad de la información, y el verdadero problema es la capacidad para separar los elementos de calidad de la basura.

La alfabetización en la calidad de los datos y la validación de estos tiene un largo camino por recorrer. Esto es igualmente cierto en el entorno corporativo, ya que las empresas manejan sus propias colecciones de datos, sin hablar de los grandes datos, la inteligencia de negocios y otros servicios que requieren datos de múltiples fuentes.

Para hacer las cosas más difíciles, la responsabilidad de los datos no siempre es compartida entre los dueños y SI/TI. La calidad de los datos y la gestión del ciclo de vida, desde la adquisición hasta la eliminación, son asuntos empresariales (al igual que la clasificación de datos, las reglas de acceso basadas en roles, etc.), mientras que las TI se ocupan de implementar la gestión de identidades, la seguridad física y lógica, los respaldos, la recuperación ante desastres, etc. A menudo el diálogo entre estas partes deja mucho que desear.

Los auditores están en una posición ideal para determinar la efectividad de estas responsabilidades compartidas e identificar las áreas donde el riesgo del negocio podría ser aún más mitigado.

La familia de productos COBIT 5 incluyen una publicación especial⁶ que cubre algunos de estos temas, y el DMBOK es un marco integral que discute, en varias secciones bien estructuradas (áreas de conocimiento) que abarcan varios cientos de páginas, asuntos de gobernanza de datos.

El DMBOK

Publicado por primera vez en el año 2009, el DMBOK presentó una guía coherente y completa sobre las mejores prácticas en la gestión de datos. En el año 2012 se actualizó para reflejar el crecimiento explosivo de datos, problemas de seguridad y nuevos servicios como la nube, y para añadir varios temas que no fueron incluidos en la primera edición.

Sería bueno si las 430 páginas de la publicación del año 2012 pudieran ser resumidas en algo fácil de asimilar. Las ilustraciones en esta columna intentan hacer exactamente eso en una sola página en forma de un mapa mental,⁷ que se muestra en la figura 1. ¿Está completo? Ciertamente no, pero muestra las 10 áreas de conocimiento cubiertas y los principales elementos discutidos en ellas.

Presentado de esta manera, este gráfico contiene más detalles que el gráfico circular del texto DMBOK (un círculo dividido en 10 segmentos con sólo un título). También es más fácil ver el todo a la vez hacerlo mediante la lectura de la tabla de contenido.

Una característica útil de ambas versiones de la DMBOX es que cada capítulo, es decir, cada área de conocimiento, comienza con un diagrama de resumen utilizando la plantilla que se muestra en la figura 2.

Esto proporciona un resumen de cada área de conocimiento que facilita el estudio completo del DMBOK. Curiosamente, el DMBOX no necesita ser leído secuencialmente, ya que cada área de conocimiento está auto-contenida e invita a un enfoque de estudio “en el momento justo”, en lugar de un enfoque “por si acaso”.

Lo nuevo de DMBOK, en la versión del año 2012, es la evaluación de la madurez de la gestión de datos, basado en la ISO/IEC 15504 de la Organización Internacional de Normalización (ISO)/Comisión Electrotécnica Internacional (IEC), Tecnología de la información–Evaluación de procesos. La publicación de COBIT Modelo de Evaluación de Procesos (PAM): El uso de COBIT 5, es igualmente aplicable.

Qué no Está en DMBOK

En el DMBOK no están cubiertos dos temas relevantes: la asignación de valor a los datos y la gestión de datos de auditoría.

Asignación de Valor a los Datos
En el nivel más bajo, los valores de datos cualitativos, consisten en palabras mientras que los valores de datos cuantitativos consisten en números, idealmente números financieros ya que pueden ser usados para apoyar evaluaciones del retorno de la inversión (ROI) de tecnologías de base de datos, almacenes de datos, aplicaciones de inteligencia empresarial, iniciativas de seguridad de datos, etc. El lector interesado podría considerar el libro de Douglas Hubbard sobre cómo medir algo.⁸ Si bien la clasificación de datos en categorías tales como público, restringido y confidencial está bien establecida, esto no asigna el valor comercial, por ejemplo, de propiedad intelectual.

Un marco de valoración de datos⁹ agrupa los datos de una manera que identifica su importancia para el negocio y, por tanto, el grado en ellos que necesitan ser protegidos y recuperados:

• Misión crítica—Frecuentemente usados, deben tener una disponibilidad muy alta. Si se corrompen o revelan puede tener un impacto alto e inmediato en la empresa (financiero, operacional, reputacional, posiblemente legal).
• Negocio crítico—Uso frecuente, alta disponibilidad, si son divulgados tiene un impacto significativo a largo plazo
• Esencial—Se utilizan periódicamente, están disponibles en un tiempo definido, si son revelados es posible que tenga un impacto a largo plazo
• Consecuencial—Utilizados ocasionalmente, disponibles por un período de tiempo largo, impacto financiero u operativo improbable si son revelados, pero posibles problemas de cumplimiento
• No crítico—Rara vez utilizados, disponibilidad no crítica, con un mínimo o ningún impacto en el negocio si se revelaran
• No importante—Utilizado solo a petición, disponibilidad no crítica, con un mínimo o sin ningún impacto en el negocio si se revelaran
• Desechable—No se usan, sin impacto (y, sin embargo, se mantienen en grandes cantidades como datos oscuros)

En el Blog de Gartner existe una cita interesante sobre los datos oscuros: “Datos oscuros” es el nombre lindo que se les da a todos los datos que una organización reúne y que no forman parte de sus operaciones cotidianas. Es algo antiguo, cosas que aparecieron en el correo que guardaste, “por si acaso”. Se trata de datos que no borraste porque “podrían ser útil en algún momento”.¹⁰ Y, como dice el blogger, los datos oscuros son el sueño de un proveedor de almacenamiento.

Auditoría de la Gobernanza de Datos
A fin de auditar la gobernanza de datos, uno podría considerar el Marco de Auditoría de Datos¹¹ desarrollado por el Instituto de Tecnología e Información Avanzada de Humanidades (HATII) de la Universidad de Glasgow (Escocia, Reino Unido) y su metodología DAF (Data Audit Framework) asociada, ambos disponibles para descarga gratuita.¹²

Además, los auditores pueden confiar en el DMBOK y COBIT 5: Habilitando la Información¹³ para formular un plan de auditoría que examine:

• Cuáles de las 10 áreas de conocimiento han sido implementadas
• El grado en que las sub áreas individuales han sido implementadas
• El grado en que se definen e implementan las funciones y responsabilidades de las distintas partes que se muestran en la figura 2
• La madurez evaluada de los distintos procesos del área de conocimiento

Conclusiones

Si los datos son realmente un recurso corporativo tendría sentido manejarlos como tales. Entonces, ¿cómo la administración puede seguir justificando una situación en la que los datos oscuros duplican los datos críticos de la misión y del negocio, donde la gobernabilidad de los datos es débil y los grandes datos siguen dominando los medios? Por el contrario, los muebles antiguos de oficina, que están almacenados en un sótano, tienen asignado un código de barra y se inventarían y se muestran como activos en las cuentas contables.

Notas Finales

¹ Gelbstein, E., “The Domains of Data and Information Audits,” ISACA Journal, vol. 6, 2016, https://www.isaca.org/resources/isaca-journal/issues
² The Data Management Association, DAMA-Data Management Body of Knowledge Framework, 6 March 2014, https://www.dama.org/sites/default/files/download/DAMA-DMBOK2-Framework-V2-20140317-FINAL.pdf
³ ISACA, COBIT 5: Enabling Information, USA, 2013
⁴ La Grotte Chauvet-Pont d’Arc, Ardeche, http://archeologie.culture.fr/chauvet/
⁵ Robinson, A.; The Story of Writing: Alphabets, Hieroglyphs & Pictograms, Thames & Hudson, UK, 2007
⁶ Op cit, ISACA
⁷ Buzan, T.; B. Buzan; The Mind Map Book: How to Use Radiant Thinking to Maximize Your Brain’s Untapped Potential, Plume, USA, 1996
⁸ Hubbard, D. W.; How to Measure Anything: Finding the Value of “Intangibles” in Business, Tantor Audio, USA, 2014
⁹ Croy, M.; “The Business Value of Data,” Disaster Recovery Journal, 22 November 2007
¹⁰ White, A.; “Dark Data Is Like That Furniture You Have in That Dark Cupboard,” Gartner Blog Network, 11 July 2012, http://blogs.gartner.com/andrew_white/2012/07/11/dark-data-is-like-that-furniture-you-have-in-that-dark-cupboard/
¹¹ Jones, S.; A. Ball; C. Ekmekcioglu; “The Data Audit Framework: A First Step in the Data Management Challenge,” International Journal of Data Curation, vol. 3, no. 2, 2008
¹² Jones, S.; S. Ross; R. Ruusalepp; “Data Audit Framework Methodology,” Humanities Advanced Technology and Information Institute, University of Glasgow, Scotland, United Kingdom, 2009, www.data-audit.eu/DAF_Methodology.pdf
¹³ Op cit, ISACA