- Autor: Roger Sanz
Manager Governance Risk and Compliance (GRC) SIA, an Indra Company. Grupo Seguridad y Ética DAMA España
Accountability de datos en la nube (Seguridad, Principios éticos, Privacidad, Anonimización, Interoperabilidad, Observabilidad Transparencia, Consistencia)
El concepto de accountability dentro del ámbito de las organizaciones no es un concepto nuevo dentro del ámbito de la gestión empresarial. Su aproximación conceptual anglosajona no tiene una traducción exacta al idioma español. El concepto es parecido, dependiendo del contexto, a la rendición de cuentas o disponer de las explicaciones oportunas en todo momento sobre el proceso, los resultados junto los diferentes elementos clave del gobierno/marco de gestión (dependiendo del marco de rendimiento de cuentas) como las personas responsables y las tecnologías empleadas
Durante los últimos años, el concepto se ha ido desarrollando en diferentes ámbitos, teniendo especial relevancia en los aspectos de privacidad y su convergencia en el cumplimiento de las normativas asociadas aplicadas a las prácticas de protección de los datos, gestión de riesgos para los ciudadanos y otros aspectos clave que se encuentran alineados con el marco regulatorio y los organismos de control asociados. No obstante, dicho concepto también se asocia a la soberanía de los datos o de las infraestructuras tecnológicas que dan soporte a los datos durante su ciclo de vida.
Entendemos por accountability de datos en la nube como el conjunto de principios y elementos de práctica y medición que demuestran la actividad de control interna, el correcto desempeño del marco de control relacionado con las infraestructuras y servicios en la nube durante todo el ciclo de vida del dato que sea cual fuere su estado, tanto en tiempo real como a lo largo del tiempo. Así pues, el concepto difiere en gran medida de la auditabilidad del dato dado que dicho concepto se alinea más a los procesos de evaluación puntual/discreta/periódica de la auditoría (interna/externa) y mejora del gobierno o gestión que al propio proceso de control interno (relacionados entre ambos por el concepto de assurance o aseguramiento)
¿Qué es accountability de datos en la nube?
El rendimiento de cuentas tiene mucho más que ver con el modelo de control y establecimiento de la práctica de gobierno y gestión del dato de acuerdo con las prácticas de gobierno necesario en el ecosistema en la nube que con las demandas que puedan precisar las líneas de defensa propiciada por los organismos reguladores competentes en cada caso. Si bien es cierto que la normativa ha proliferado en diferentes ámbitos como (Como ha sucedido con el Data Governance Act Europeo
El cumplimiento legal es uno de los principios de gobierno del dato, pero no es el único factor clave que despliega la necesidad de control en la gestión del dato. En realidad, el rendimiento de cuentas del control interno de gobierno del dato precisa de un entendimiento profundo del funcionamiento de los propios principios de gobierno del dato y de la práctica que, debido a su constante evolución, precisan de una visión enfocada a la convergencia de requisitos. Desde el propio conocimiento académico se puede vislumbrar que, en muchos casos, el cumplimiento legal está siendo la clave para mover a las organizaciones hacia la acción de rendimiento de cuentas interno ó ante el organismo regulador.
No obstante, las iniciativas como la de Cloud Security Alliance para dar valor al concepto de rendimiento de cuentas sobre los servicios, proveedores, responsabilidades, procesos, infraestructuras en la nube deberían de integrarse en un modelo donde las organizaciones data-driven puedan hacer una aproximación entre personas, procesos y tecnología.
¿por qué es diferente el accountability de datos en el entorno de la nube?
La respuesta es sencilla, el ecosistema de datos en la nube provoca cambios sustanciales prácticamente en tiempo real en el gobierno del dato y su alineamiento de responsabilidades. La escalabilidad de los datos en la nube provoca que sea necesario disponer, con mucho mas ímpetu, de un marco de control bien accionado con recursos suficientes y evolucionados de acuerdo con el uso de las tecnologías en la nube.
De hecho, la responsabilidad compartida o los riesgos en la cadena de suministro de los datos pueden ser un elemento clave para dar el valor preciso a los diferentes actores en el ecosistema de datos.
Dentro de una aproximación práctica, de acuerdo con el modelo de ecosistema computacional nube seleccionada, es posible que las responsabilidades, la actitud de control y rendimiento sea evidentemente diferente. Además, si sumamos la escalabilidad de las soluciones cloud y su constante evolución, nos encontramos ante la tormenta perfecta donde la regulación está un paso por detrás de la realidad y no hablamos exclusivamente de los aspectos de privacidad o derechos de los ciudadanos, sino de la realidad de la interoperatividad, la anonimización, la pseudoanonimización, la ética (no solo los principios sino la ética en la práctica profesional) en el uso de datos, el cifrado y un largo etcétera que debería entenderse desde los principios del buen gobierno del dato y no tanto desde potenciales principios heredados desde requisitos discretos aislados de la privacidad, la seguridad o en tipo de intercambio en la cadena de suministro del dato. Ese aislamiento teórico de la realidad puede ser nefasto para la correcta adecuación de los requisitos de rendimiento de cuentas y responsabilidad.
Si los mecanismos reguladores no se encuentran definidos desde principios adaptables a la evolución del uso y la técnica, así como a los cambios sociales es difícil poder indicar que sea una garantía para el cumplimiento ni tampoco es un mecanismo que permita adaptar la realidad del dato si no se materializa en un correcto posicionamiento que priorice y facilite los principios rectores del bueno gobierno del dato.
¿más regulaciones es mejor gobierno de dato en la nube?
Mas regulación no frenará un uso inadecuado contra los intereses de los ciudadanos si no está complementada con una agenda clara para la ciudadanía donde las organizaciones que hagan una explotación masiva extraterritorial de datos personales, información clasificada o cualquier otro activo de datos soberanos tenga como consecuencia la interrupción total de sus operaciones.
Mas sanciones no van a frenar el uso inadecuado de los datos por el apetito de riesgo de muchas organizaciones. Así pues, cuando el problema de riesgo ya no responde a la tolerancia real donde el balance de uso adecuado/no adecuado está en la interpretación del propio regulador, es posible que nos encontremos ante una nueva situación donde el rendimiento de cuentas sobre los datos no va a ser precisamente en tiempo real y el ejercicio de los derechos de los ciudadanos quede relegado al formalismo y no a las posibilidades del avance de la tecnología.
¿La solución está en la regulación del dato exclusivamente?
La regulación estricta y la obligatoriedad de cumplir con los principios rectores de accountability del dato en las organizaciones que procesen datos clave (no exclusivamente los relacionados con la privacidad sino todos aquellos que puedan significar un uso sensible de los mismos) bajo una perspectiva multidisciplinar y adaptable en el tiempo es parte de la solución. La solución exclusivamente regulatoria es del siglo XX y lejana a la necesidad. Ya no es solo una cuestión de avance tecnológico sino de imperativo social de adopción de la innovación tecnológica.
¿Se puede llegar tarde a la innovación de la interoperabilidad de datos en la nube?
Llegar tarde como sociedad a aspectos tan clave como la soberanía del dato, la protección avanzada de los flujos de datos o los mecanismos de datos abiertos es, sin duda, un atraso dentro de la revolución del dato en la que nos encontramos.
Lo mismo puede suceder con otros avances como el uso e interoperabilidad de la inteligencia artificial, la robótica, nanotecnología o cualquier otro elemento disruptivo de innovación que se presente dentro del escenario. Muchas veces, las restricciones sobre los avances tecnológicos no contemplan la visión práctica de la realidad. Otros autores han avisado con certeza anteriormente.
Afortunadamente, iniciativas como Gaia-X permiten articular un ecosistema de datos con un catálogo federado que garantiza un intercambio de datos soberanos creando un ecosistema donde la solución ha sido pensada desde una visión multidisciplinar de sus casos de uso lo que va a permitir que las organizaciones dentro del ecosistema evolucionen adecuadamente mediante sinergias y adopción de mejores prácticas, entre otras ventajas.
¿Existe un criterio unificado para la determinación del marco de rendimiento de cuentas de datos en la nube?
La iniciativa del grupo de trabajo de seguridad, ética, cumplimiento e interoperabilidad de DAMA España trabaja intensamente en dicho objetivo.
Aunando esfuerzos para disponer, lo antes posible, de un modelo de gobierno y gestión del dato basado en el DMBOK de DAMA puede permitir, sin lugar a duda, la adecuación de los principios rectores de accountability de datos en la nube con el ecosistema de datos.
No obstante, ese esfuerzo compartido merece toda la atención de la sociedad, los sectores privados y el sector público, en especial mediante el liderazgo de la oficina del gobierno de dato para la adopción de la estrategia europea del dato en la nueva era digital. No cabe duda que el liderazgo de la oficina es la pieza clave para su avance.