ILGD

IMPLEMENTANDO UN PROGRAMA
DE
GOBERNANZA DE DATOS
Cesar Mahecha
Manager Regin Andina Varonis
ILGD
Qu es la gobernanza de datos?
Qu es un dato?
Es el nivel de conocimiento ms abstracto: nmeros,
magnitudes, etiquetas.
Ejemplo: temperatura de CPU en cierta computadora, en cierto momento

Qu es informacin?
Son datos que han sido interpretados.
Ejemplo: Si un CPU pasa de 80 C, se daa

Qu es conocimiento?
Es la acumulacin de informacin que puede generar algn
tipo de valor.
Ejemplo: Si un CPU llega a 70 C, enviar una alerta

ILGD
Qu es la gobernanza de datos?
Cmo se usan los datos en una empresa?

Los datos se usan fundamentalmente en procesos de negocios.

La calidad de los datos determinan en gran parte la calidad del proceso
del negocio, y por lo tanto determinan el cumplimiento de las mtricas
de la empresa.

Todo proceso de negocios requiere un input de datos, y casi todos
generan output de datos.



ILGD
Qu es la gobernanza de datos?
La gobernanza de datos es el control de calidad de los datos

El objetivo de la gobernanza de datos es que la persona o sistema
correcto tenga acceso a los datos correctos, en el momento correcto.

El concepto de confidencialidad, integridad, y disponibilidad aplican.

Pero a esto hay que agregarle el concepto de calidad de la informacin.



ILGD
Qu es la gobernanza de datos?
CALIDAD
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
CIDC
ILGD
Qu es la gobernanza de datos?
Cmo sabemos si un dato tiene buena calidad?

Si ayuda a cumplir un proceso de negocios.

Si la calidad de un dato es mala, descarrila un proceso de negocios.

De igual forma, si un dato no forma parte de un proceso de negocios,
no es necesario; y debe ser considerado no til o basura.

Sin embargo, la basura puede ser txica: quiere decir que puede
contener informacin confidencial que puede ser valiosa para
contrincantes y terceros, esto incremente el reiesgo.



ILGD
Qu es la gobernanza de datos?
Definicin formal de gobernanza de datos:

La gobernanza de datos es un sistema de derechos y responsabilidades
para procesos de datos, implementado en base a reglas que describen
quin puede tomar qu acciones con qu datos.

Entonces, para cada dato identificado dentro de los procesos de
negocios de la empresa, se tiene que determinar quin es el
responsable de su confidencialidad, integridad, disponibilidad, y calidad



ILGD
Qu es la gobernanza de datos?
CALIDAD
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
RESPONSABILIDADES
rea
operacional
Sistemas
Infraestruc
tura
Seguridad
Informtica
ILGD
Qu es la gobernanza de datos?
Concepto fundamental de la gobernanza de datos:

Cada dato debe tener un dueo, y la degradacin de CIDC debe tener
consecuencias para ese dueo.

Si alguien se roba un equipo de cmputo, hay consecuencias?
Entonces debe ser igual para los datos de la empresa, que son un activo
igual o ms valiosos.



ILGD
Qu es la gobernanza de datos?
Los datos son activos valiossimos de la empresa

Todos los activos fsicos de la empresa estn etiquetados y catalogados;
por qu no los datos, si tambin son activos de la empresa?



ILGD
El proceso de gobernanza de datos
El gran problema de las metodologas de TI

Demasiada complejidad


ILGD
El proceso de gobernanza de datos
El gran problema de las metodologas de TI

Muchos controles, y difciles de implementar



ISO 27001 tiene 114 controles
Adems estn los controles para
Ley 1581, PCI, SOX, COBIT
ILGD
El proceso de gobernanza de datos
El gran problema de las metodologas de TI

Enfocadas a la documentacin




ILGD
El proceso de gobernanza de datos
El gran problema de las metodologas de TI

Se crean grandes manuales que nunca nadie vuelve a tocar




ILGD
El proceso de gobernanza de datos
El gran problema de las metodologas de TI

Se crean comits que se renen una sola vez, y luego nunca
se vuelven a reunir




ILGD
El proceso de gobernanza de datos
El gran problema de las metodologas de TI

En resumen, son difciles de cumplir mientras estamos
apagando incendios




ILGD
El proceso de gobernanza de datos
El gran problema de las metodologas de TI

Por eso hemos diseado una metodologa enfocada a
resultados prcticos inmediatos, y no a documentacin




ILGD
3. Creacin y revisin de catlogo de datos
4. Asignacin de dueo
5. Asignacin de permisos de modificacin
6. Implementacin de proceso de cambios de
permisos
7. Auditoras de modificaciones
8. Respaldos de datos
9. Archivamiento o eliminacin de datos inactivos.
DATOS ESTRUCTURADOS
DATOS
DESESTRUCTURADOS
DATOS DE MAQUINA
La metodologa ILGD
1. Creacin de Comit de Gobernanza de Datos
2. Junta trimestral de revisin de procesos
ILGD
La metodologa ILGD
Revisin de procesos de negocios para identificar datos



Son los contenidos en bases
de datos de sistemas:
ERP, CRM, etc.
Son los generados
por personas
usando
procesadores de
texto,
hojas de clculo,
diseo grfico,
etc.
Son los datos
generados por
mquinas: bitcoras,
datos SCADA, etc.
DATOS
ESTRUCTURADOS
DATOS
DESESTRUCTURADOS
DATOS DE MAQUINA
ILGD
La metodologa ILGD
Revisin de procesos de negocios para identificar datos



ILGD
La metodologa ILGD
Revisin de procesos de negocios para identificar datos



DATOS
ESTRUCTURADOS
DATOS
DESESTRUCTURADO
S
DATOS DE MAQUINA
Bases
de datos
Big Data
ILGD
La metodologa ILGD
Revisin de procesos de negocios para identificar datos



DATOS
ESTRUCTURADOS
DATOS
DESESTRUCTURADO
S
DATOS DE MAQUINA
Bases
de datos
Big Data
Derivados
Originales
Pueden ser
ligados al
proceso
Muestran que
la aplicacin
no provee
toda la
funcionalidad
requerida por
el usuario
Tambin pueden
ser ligadas al
proceso al
contener
informacin
critica
ILGD
La metodologa ILGD
ERP
Si su ERP comenzara a enviar estados financieros e informacin de sus clientes,
productos, precios y dems por todos lados, se aterraran? Hubiese consecuencias?


Pues sus usuarios ya lo hacen.


ILGD
La metodologa ILGD
Creacin y revisin de catlogo de datos



DATOS
ESTRUCTURADOS
DATOS
DESESTRUCTURADOS
DATOS DE MAQUINA
Metadatos
Servidores de
archivos
Active Directory
Exchange
SharePoint
Dispositivos NAS
Unix/Linux
Aplicaciones
dedicadas
Bases de Datos
Metadatos
Migraciones/arc
hivado
Alertas en
tiempo real
Nube sin riesgo
clasificacin
Flujo de
autorizacin
ILGD
La metodologa ILGD
Asignacin de dueo a cada dato



DATOS
ESTRUCTURADOS
DATOS
DESESTRUCTURADOS
DATOS DE MAQUINA
Responsabilidad


ILGD
La metodologa ILGD
Reduccin de costo


Reduccin de riesgo


Incremento de productividad

$/t
Toda accin en una empresa debe estar subordinada a una:



Ejemplos?


ILGD
La metodologa ILGD
Asignacin de permisos de modificacin



Crear Leer Ejecut
ar
Modifi
car
Mover Borrar
Usuario 1
Usuario 2
Usuario 3
Usuario 4
Usuario N
Crear Leer Ejecut
ar
Modifi
car
Mover Borrar
Crear Leer Ejecut
ar
Modifi
car
Mover Borrar
Crear Leer Ejecut
ar
Modifi
car
Mover Borrar
Crear Leer Ejecut
ar
Modifi
car
Mover Borrar
Crear Leer Ejecut
ar
Modifi
car
Mover Borrar
1
2
3
4
N
Dato
Dos preguntas fundamentales:
1) Para qu requiere el usuario ese permiso con ese dato?
2) Qu pasara si el usuario no tuviera el permiso? Se incrementa el riesgo, se incrementan
los costos, o se reduce la productividad?


ILGD
La metodologa ILGD
Implementacin de proceso de cambios de permisos



1. Quin tiene la autorizacin para cambiar cada tipo de permiso para cada dato

2. Por qu el usuario requiere el permiso

3. Por cunto tiempo requiere el permiso

4. Revisin frecuente del status de permisos

5. Pregunta fundamental: por qu tiene este usuario este permiso, y qu efecto tendra si se lo
quitamos? Se incrementa el riesgo, se incrementa el costo, o se pierde productividad?
ILGD
La metodologa ILGD
Auditoras de modificaciones



1. Entregar reporte mensual a dueos de datos, y que firmen como aprobado, o que activen alarma de
cambios no autorizados
2. Entregar reporte a auditora interna
3. Entregar reporte a auditora externa
4. Implementacin de alarmas de modificacin de datos en tiempo real
a. Conectar con SIEM
b. Utilizar soluciones que proporciones estas respuestas automticamente

ILGD
La metodologa ILGD
Respaldo de datos y eliminacin de datos inactivos



1. Implementar plan de respaldo de datos
2. Detectar datos inactivos (6 meses o ms sin uso)
3. Definir qu tipo de datos inactivos se archivarn, y cules se borrarn
ILGD
La metodologa ILGD
La metodologa ILGD es un modelo de madurez

Cada uno de los 24 controles puede tener uno de tres niveles de madurez:
1. No implementado
2. Espordico
3. En proceso
4. Implementado

Si los 24 controles estn implementados, tenemos un 100% de madurez

Las empresas pueden agregar ms controles que encuentren pertinentes

Lo importante es darle seguimiento mensual al nivel de madurez, y tener un responsable del progreso
de cada control con un plan de accin, y objetivos de porcentaje de madurez peridicos.




ILGD
La metodologa ILGD
Modelo de Madurez de Gobernanza de Datos
Datos Estructurados
Datos de Maquina
Datos Desestructurados
ILGD
DECRETO 1377 DE JUNIO 2013 REGULA PARCIALMENTE
LA LEY 1581 DE 2012 PORTECCION DE DATOS
Datos personales: Cualquier informacin concerniente a
una persona fsica identificada o identificable.

APLICA A TODOS LOS SECTORES INDUTRIALES EN
COLOMBIA.

ILGD
DECRETO 1377 DE JUNIO 2013 REGULA PARCIALMENTE
LA LEY 1581 DE 2012 PORTECCION DE DATOS
Artculo 26.- Demostracin. Los responsables del tratamiento de datos personales deben ser
capaces de demostrar, a peticin de la Superintendencia de Industria y Comercio, que han
implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en
la Ley 1581 de 2012 y este decreto, en una manera que sea proporcional a lo siguiente:

1. La naturaleza jurdica del responsable y, cuando sea del caso, su tamao empresarial,
teniendo en cuenta si se trata de una micro, pequea, mediana o gran empresa, de acuerdo con
la normativa vigente.
2. La naturaleza de los datos personales objeto del tratamiento.
3. El tipo de Tratamiento.
4. Los riesgos potenciales que el referido tratamiento podran causar sobre los derechos de los
titulares.

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, los
Responsables debern suministrar a esta una descripcin de los procedimientos usados para la
recoleccin de los datos personales, como tambin la descripcin de las finalidades para las
cuales esta informacin es recolectada y una explicacin sobre la relevancia de los datos
personales en cada caso.

En respuesta a un requerimiento de la Superintendencia de Industria y Comercio, quienes
efecten el Tratamiento de los datos personales debern suministrar a esta evidencia sobre la
implementacin efectiva de las medidas de seguridad apropiadas
ILGD
DECRETO 1377 DE JUNIO 2013 REGULA PARCIALMENTE
LA LEY 1581 DE 2012 PORTECCION DE DATOS
Artculo 27.- Polticas internas efectivas. En cada caso, de acuerdo con las circunstancias
mencionadas en los numerales 1, 2, 3 y 4 del artculo 26 anterior, las medidas efectivas y
apropiadas implementadas por el Responsable deben ser consistentes con las instrucciones
impartidas por la Superintendencia de Industria y Comercio. Dichas polticas debern
garantizar:

1. La existencia de una estructura administrativa proporcional a la estructura y tamao
empresarial del responsable para la adopcin e implementacin de polticas consistentes con la
Ley 1581 de 2012 y este decreto.

2. La adopcin de mecanismos internos para poner en prctica estas polticas incluyendo
herramientas de implementacin, entrenamiento y programas de educacin.

3. La adopcin de procesos para la atencin y respuesta a consultas, peticiones y reclamos de
los Titulares, con respecto a cualquier aspecto del tratamiento.

La verificacin por parte de la Superintendencia de Industria y Comercio de la existencia de
medidas y polticas especficas para el manejo adecuado de los datos personales que administra
un Responsable ser tenida en cuenta al momento de evaluar la imposicin de sanciones por
violacin a los deberes y obligaciones establecidos en la ley y en el presente decreto.
ILGD
DECRETO 1377 DE JUNIO 2013 REGULA PARCIALMENTE
LA LEY 1581 DE 2012 PORTECCION DE DATOS
Artculo 28.- Vigencia y derogatorias. El presente decreto rige a partir de su publicacin en
el Diario Oficial y deroga las disposiciones que le sean contrarias.

Publquese y cmplase. Dado en Bogot, D. C., a 27 de junio de 2013.
ILGD
DECRETO 1377 DE JUNIO 2013 REGULA PARCIALMENTE
LA LEY 1581 DE 2012 PORTECCION DE DATOS
DATOS
ESTRUCTURADOS
DATOS
DESESTRUCTURADOS
DATOS DE MAQUINA
Derivados
Originales
Datos
personales
Datos
personales
Datos
personales
ILGD
DECRETO 1377 DE JUNIO 2013 REGULA PARCIALMENTE
LA LEY 1581 DE 2012 PORTECCION DE DATOS
Sanciones y multas.- La ley o circular 1581 de 2012 tiene infracciones que sern sancionadas
por el Instituto si las entidades no cumplen con los punto marcados por la Superintendencia de
Industria y Comercio:

Hasta
$600 mil dlares de
multa
ILGD
LEY 1273 DE 2009 LEY 599 DE 2000 - CODIGO
PENAL
CAPITULO I
De los atentados contra la confidencialidad, la integridad y la disponibilidad de los
datos y de los sistemas informticos

Artculo 269A.- Acceso abusivo a un sistema informtico. <Ver Notas del Editor> El que, sin
autorizacin o por fuera de lo acordado, acceda en todo o en parte a un sistema informtico
protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la
voluntad de quien tenga el legtimo derecho a excluirlo, incurrir en pena de prisin de cuarenta
y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales
mensuales vigentes.

Artculo 269C.- Interceptacin de datos informticos. El que, sin orden judicial previa
intercepte datos informticos en su origen, destino o en el interior de un sistema informtico, o
las emisiones electromagnticas provenientes de un sistema informtico que los transporte
incurrir en pena de prisin de treinta y seis (36) a setenta y dos (72) meses.
ILGD
LEY 1273 DE 2009 LEY 599 DE 2000 - CODIGO
PENAL
CAPITULO I
De los atentados contra la confidencialidad, la integridad y la disponibilidad de los
datos y de los sistemas informticos

Artculo 269D.- Dao Informtico. El que, sin estar facultado para ello, destruya, dae, borre,
deteriore, altere o suprima datos informticos, o un sistema de tratamiento de informacin o
sus partes o componentes lgicos, incurrir en pena de prisin de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales
vigentes.

Artculo 269F.- Violacin de datos personales. El que, sin estar facultado para ello, con
provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie,
enve, compre, intercepte, divulgue, modifique o emplee cdigos personales, datos personales
contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrir en pena de
prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios
mnimos legales mensuales vigentes
ILGD
LEY 1273 DE 2009 LEY 599 DE 2000 - CODIGO
PENAL
CAPITULO II
De los atentados informticos y otras infracciones

Artculo 269I.- Hurto por medios informticos y semejantes. El que, superando medidas de
seguridad informticas, realice la conducta sealada en el artculo 239 manipulando un sistema
informtico, una red de sistema electrnico, telemtico u otro medio semejante, o suplantando
a un usuario ante los sistemas de autenticacin y de autorizacin establecidos, incurrir en las
penas sealadas en el artculo 240 de este Cdigo..

Artculo 4o.- La presente ley rige a partir de su promulgacin y deroga todas las disposiciones
que le sean contrarias, en especial el texto del artculo 195 del Cdigo Penal.

Publquese y cmplase.
Dada en Bogot, D. C., a 5 de enero de 2009.

ILGD
LEY 1581
Implicaciones operativas:
ILGD
LEY 1581
Implicaciones legales:
ILGD
LEY 1581
Implicaciones costos y credibilidad:
CONTACT INFO
Cesar Mahecha
cmahecha@varonis.com