Articulo tcnico de ISACA de marzo de

2013

-flSACA'

IMPACTOS Y BENEFICIOS
ARTCULO TCNICO
DE ISACA
los profesionales experimentados de negocios

y de n

saben

que si optimizan el uso de grandes conjuntos de datos como

recurso, aportarn un valor de negocios real a los actores de
las
empresas. Es necesario un enfoque Integral de gobierno
y gestin para obtener esos benefiQios y gestionar los riesgos

asociados con la obtencin. el anlisis y el almacenamiento

de informacin confidencial, y con las Impllcancl8s para los
recursos Involucrados

Big Data:

impactos y

Beneficios
Acerca de ISACA
Con ms de 100 000 miembros en 180 pases, ISACA (www.isaca.org) es un proveedor lder global de conocimiento,
certificaciones, comunidad profesional, promocin y educacin en materia de aseguramiento y seguridad de los sistemas de
informacin (information systems, IS), gobierno corporativo y gestin de TI, riesgos relacionados con las TI y cumplimiento
de las normas. Fundada en 1969, ISACA, una organizacin independiente sin nimo de lucro, auspicia conferencias
internacionales, publica ISACA Journal y desarrolla normas internacionales de control y auditora para los IS, lo que ayuda
a sus miembros a asegurar el valor y la confianza en los sistemas de informacin. Tambin desarrolla y certifica destrezas
y conocimientos en TI a travs de las siguientes designaciones mundialmente reconocidas: Certified Information Systems
Auditor (Auditor Certificado en Sistemas de Informacin) (CISA), Certified Information Security Manager (Gerente
Certificado en Seguridad de la Informacin) (CISM), Certified in the Governance of Enterprise IT (Certificado en el
Gobierno de Tecnologas de la Informacin Corporativa) (CGEIT) y Certified in Risk and Information Systems
ControlTM (Certificado en Riesgo y Control de Sistemas de Informacin) (CRISCTM).
ISACA actualiza y expande permanentemente la orientacin prctica y la familia de productos basadas en el marco COBIT.
COBIT ayuda a los profesionales de TI y a los lderes empresariales a cumplir con sus responsabilidades de gestin y gobierno
de las TI, particularmente en las reas de aseguramiento, seguridad, riesgo y control, y a aportar valor al negocio.

Exencin de responsabilidad
ISACA ha diseado y creado Big data: impactos y beneficios (el Trabajo), principalmente como un recurso educativo para
los profesionales de gobierno y aseguramiento. ISACA no garantiza que el uso de cualquier componente del Trabajo asegure
un resultado exitoso. El Trabajo no debe ser considerado como abarcativo de toda la informacin, procedimientos y pruebas
apropiadas ni tampoco como excluyente de otra informacin, procedimientos y pruebas que se aplican razonablemente para
obtener los mismos resultados. Para determinar la conveniencia de cualquier informacin especfica, procedimiento o prueba,
los profesionales de gobierno y aseguramiento debern aplicar su propio criterio profesional a las circunstancias especficas
presentadas por los sistemas particulares o por el entorno de tecnologa de la informacin.
Reserva de derechos
2013 ISACA. Todos los derechos reservados. Ninguna parte de esta publicacin se puede utilizar, copiar,
reproducir, modificar, distribuir, mostrar, almacenar en un sistema de recuperacin ni transmitir de ninguna manera a
travs de
ningn medio (electrnico, mecnico, fotocopiado, grabacin u otros) sin la autorizacin previa por escrito de ISACA. La
reproduccin y utilizacin de toda o parte de esta publicacin estn permitidas nicamente para el uso acadmico, interno y
no comercial, y para los compromisos de consultora y asesoramiento, y debern incluir la referencia completa de la fuente del
material. No se otorga otra clase de derechos ni permisos en relacin con este trabajo.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE. UU.
Telfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrnico: info@isaca.org
Sitio web: www.isaca.org
Enve sus comentarios: www.isaca.org/Big-Data-WP
Participe en el Centro de Conocimiento de ISACA: www.isaca.org/knowledge-center
Siga a ISACA en Twitter: https://twitter.com/ISACANews
nase a ISACA en LinkedIn: ISACA (Oficial), http://linkd.in/ISACAOfficial
Pulse Me gusta en el perfil de ISACA en Facebook: www.facebook.com/ISACAHQ

Big Data: impactos y beneficios

2

Big Data:

impactos y

Beneficios

Agradecimientos
ISACA desea agradecer a:
Equipo de desarrollo del proyecto
Richard Chew, CISA, CISM, CGEIT, Emerald Management Group, EE.
UU. Keith Genicola, KPMG LLP, EE. UU.
Brian Li, Ernst & Young LLP, CFE, CMCON, EE. UU.
Jothi Philip, CISA, ACA, CISSP, Banco de Inglaterra,
RU
Tichaona Zororo, CISA, CISM, CGEIT, CRISC, CIA, EGIT | Enterprise Governance of IT (PTY) Ltd., Sudfrica
Revisores expertos
Joanne De Vito De Palma, BCMM, The Ardent Group LLC, EE. UU.
Russell Fairchild, CISA, CRISC, CISSP, PMP, SecureIsle, EE. UU.
Rammiya Perumal, CISA, CISM, CRISC, Sumitomo Mitsui Bank, EE. UU.
Lily M. Shue, CISA, CISM, CGEIT, CRISC, CCP, LMS Associates LLP, EE. UU.
Consejo Directivo de ISACA
Gregory T. Grocholski, CISA, The Dow Chemical Co., EE. UU., Presidente Internacional
Allan Boardman, CISA, CISM, CGEIT, CRISC, ACA, CA (SA), CISSP, Morgan Stanley, RU, Vicepresidente
Juan Luis Carselle, CISA, CGEIT, CRISC, Wal-Mart, Mxico, Vicepresidente
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia, Vicepresidente
Ramss Gallego, CISM, CGEIT, CCSK, CISSP, SCPM, Cinturn Negro de Six Sigma, Dell, Espaa, Vicepresidente
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Gobierno de Queensland, Australia, Vicepresidente
Jeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., EE. UU., Vicepresidente
Marc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Blgica, Vicepresidente
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), EE. UU., Expresidente Internacional
Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (jubilado), EE. UU., Expresidente Internacional
John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapur, Director
Krysten McCabe, CISA, The Home Depot, EE. UU., Directora
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich, Australia, Director
Comit de Conocimiento
Marc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Blgica,
Presidente Rosemary M. Amato, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd.,
Holanda Steven A. Babb, CGEIT, CRISC, Betfair, RU
Thomas E. Borton, CISA, CISM, CRISC, CISSP, Cost Plus, EE.
UU. Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, EE. UU.
Jamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer,
RU Salomon Rico, CISA, CISM, CGEIT, Deloitte LLP,
Mxico
Comit de Orientacin y Prcticas
Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, EE. UU., Presidente
Dan Haley, CISA, CGEIT, CRISC, MCP, Johnson & Johnson, EE.
UU. Yves Marcel Le Roux, CISM, CISSP, CA Technologies, Francia
Aureo Monteiro Tavares Da
Silva, CISM, CGEIT, Vista Point,
Brasil
Jotham Nyamari, CISA, Deloitte, EE. UU.
Connie Lynn Spinelli, CISA, CRISC, CFE, CGMA, CIA, CISSP, CMA, CPA, BKD LLP, EE.
UU. Siang Jun Julia Yeo, CISA, CPA (Australia), Visa Worldwide Pte. Limited, Singapur
Nikolaos Zacharopoulos, CISA, DeutschePostDHL, Alemania

Big Data:

impactos y

Beneficios

Agradecimientos (continuacin)
Afiliados y patrocinadores de ISACA y del IT Governance Institute (ITGI)
Foro de Seguridad de la Informacin (Information Security Forum)
Institute of Management Accountants Inc.
Captulos de ISACA
ITGI Francia
ITGI Japn
Norwich University
Socitum Performance Management Group
Solvay Brussels School of Economics and Management
Strategic Technology Management Institute (STMI) of the National University of Singapore
University of Antwerp Management School
ASIS International
Hewlett-Packard
IBM
Symantec Corp.

Big Data:

impactos y

Beneficios

Introduccin
Big data (grandes conjuntos de datos) es un trmino tcnico y de marketing que hace referencia a un activo valioso de la
empresa, es decir, la informacin. Representa una tendencia en tecnologa que lidera el camino hacia un nuevo enfoque en
el entendimiento del mundo y la toma de decisiones de negocio. Estas decisiones se toman en funcin de cantidades muy
grandes de datos complejos, estructurados y no estructurados (por ejemplo, tweets, videos, transacciones comerciales) que se
han vuelto difciles de procesar mediante la utilizacin de herramientas bsicas de bases de datos y de gestin de almacenes
de datos (data warehouse). La gestin y el procesamiento del conjunto de datos cada vez mayor requiere la ejecucin de
software especializado en mltiples servidores. Para algunas empresas, los grandes conjuntos de datos se cuentan en cientos de
gigabytes; para otras, en terabytes o incluso en petabytes, con una tasa de crecimiento y cambio frecuente y rpido (en algunos
casos, casi en tiempo real). Esencialmente el trmino big data se refiere a conjuntos de datos que son demasiado grandes
o que cambian demasiado rpido como para ser analizados mediante tcnicas tradicionales de bases de datos relacionales o
multidimensionales, o herramientas de software comnmente utilizadas para capturar, administrar y procesar los datos en una
ventana de tiempo razonable.
Segn COBIT 5, la informacin es efectiva si satisface las necesidades del consumidor de informacin (considerado un
actor). En el caso de los grandes conjuntos de datos, la empresa es el actor interesado y uno de sus principales intereses es la
calidad de la informacin. Los intereses se pueden relacionar con los objetivos de la informacin en el modelo habilitador de
COBIT 5, que los divide en tres subdimensiones de calidad, que se describen ms adelante en este artculo tcnico. Cuanto
mejor sea la calidad de los datos, mejores sern las decisiones basadas en esos datos; esto finalmente genera valor para la
empresa. Por lo tanto, la gestin de grandes conjuntos de datos debe garantizar la calidad de los datos en todo su ciclo de vida.
Los datos se recopilan para ser analizados, y para buscar patrones y correlaciones que inicialmente pueden no ser evidentes,
pero que pueden ser tiles en la toma de decisiones de negocio. Este proceso se denomina revisin analtica de grandes
conjuntos de datos. Con frecuencia, estos datos son datos personales tiles desde una perspectiva de marketing para
el entendimiento de las preferencias y aversiones de los posibles compradores, y para el anlisis y la prediccin de su
comportamiento de compra. Los datos personales se pueden clasificar en las siguientes categoras:
Datos voluntarios: creados y compartidos en forma explcita por las personas (por ejemplo, perfiles de redes sociales).
Datos observados: capturados mediante el registro de las acciones de las personas (por ejemplo, datos de ubicacin cuando
utilizan telfonos celulares).
Datos inferidos: datos acerca de las personas, basados en el anlisis de informacin voluntaria u observada (por ejemplo,
capacidad crediticia).
El objetivo principal de analizar grandes conjuntos de datos es respaldar a las
empresas en la toma de mejores decisiones de negocio. Los investigadores
que estudian los datos y otros usuarios analizan grandes cantidades de datos, de
transacciones y de otras fuentes de datos, que pueden ser ignorados por el
software de inteligencia financiera tradicional, como registros de servidores web,
informes de actividad de redes sociales, registros de telfonos celulares y datos
obtenidos a travs de sensores. La revisin analtica de datos puede permitir
un enfoque de marketing orientado, que proporciona a la empresa un mejor
entendimiento de sus clientes un entendimiento que influir en los procesos
internos y finalmente, aumentar las ganancias; esto brinda la ventaja competitiva
que la mayora de las empresas buscan.

El objetivo principal de analizar

grandes
conjuntos de datos es
respaldar a las empresas en la
toma de mejores decisiones de
negocio.

Este artculo tcnico ofrece una visin general del impacto que puede tener la recopilacin y la revisin analtica de grandes
conjuntos de datos en una empresa. Identifica los posibles beneficios para el negocio, los desafos, los riesgos, las prcticas
de gobierno y la gestin de riesgos, y ofrece una visin general de las consideraciones de aseguramiento relevantes que se
relacionan con la revisin analtica de grandes conjuntos de datos.

Impacto de los grandes conjuntos de datos en la

empresa
Los grandes conjuntos de datos pueden afectar los modelos de procesos actuales y futuros de muchas maneras. Ms all del
impacto en el negocio, el agregado de datos puede afectar el gobierno y la gestin por encima de la planificacin, el uso, el
aseguramiento y la privacidad:
Gobierno: qu datos se deben incluir y cmo se debe definir y realizar el gobierno de grandes conjuntos de datos?
(Estos temas se analizan ms adelante en este artculo tcnico).
Planificacin: la planificacin implica el proceso de obtener y organizar resultados para:
Justificar los ajustes o las mejoras de los procesos que hasta hace poco podan ser identificados mediante tcnicas de
investigacin especializadas, como los modelos predictivos.
Disear un programa de actividad comercial basado en determinadas condiciones que desencadenan eventos.
Fomentar patrones de compra cuando un comprador investiga sobre productos y servicios.
Utilizar informacin basada en la ubicacin, en combinacin con otros datos recopilados, para orientar la lealtad del
cliente, guiar el trfico, identificar nuevas demandas de productos, etc.
Gestionar inventario justo a tiempo (just-in-time, JIT) en funcin de cambios estacionales o de demanda. Por ejemplo,
una empresa de fabricacin puede ajustar los niveles de produccin para un artculo determinado a partir de que el nmero
de pieza no se pida durante dos das consecutivos.
Gestionar operaciones de firmas de logstica y transporte en funcin de su desempeo en tiempo real.
Gestionar cambios de poltica e infraestructura de TI no planificados que alteran la direccin del respaldo de TI.
Uso: el uso de grandes conjuntos de datos puede variar de una empresa a otra en funcin de la cultura y madurez de la
empresa. Una empresa pequea puede adoptar grandes conjuntos de datos con mayor lentitud porque posiblemente no tenga
la infraestructura necesaria para respaldar los nuevos procesos involucrados. Por el contrario, empresas tales como IBM,
Hewlett-Packard Company (HP) y Amazon.com, han cambiado su direccin en los ltimos aos, de la venta de productos
a la prestacin de servicios y al uso de informacin para orientar las decisiones de negocio. Las empresas que adoptaron los
grandes conjuntos de datos han realizado las inversiones necesarias para transformarse en expertos en informacin, capaces
de identificar demandas de nuevos productos y servicios mediante la explotacin de datos, informacin que convierten en
una ventaja competitiva al ser los primeros en el mercado.
La infraestructura que se construye para respaldar los grandes conjuntos de datos tambin cuenta con mercados cruzados
para respaldar los servicios de computacin en la nube, de manera que los clientes sean socios de negocio (lo que tiene como
resultado la aparicin de frases tales como amienemigos y coopeticin). En otras palabras, los clientes de los grandes
conjuntos de datos pueden ser competidores en un plano geomtrico y socios cooperativos en otro, como cuando Netflix
utiliza la infraestructura de nube de Amazon.com para respaldar el perfeccionamiento de sus medios.
Aseguramiento: la experiencia hace que las empresas desarrollen mejores prcticas de aseguramiento. Una vez que los
lderes desarrollan una estrategia que aprovecha los grandes conjuntos de datos, la empresa puede enfocarse en la definicin
de un marco de aseguramiento para controlar y protegerlos. La principal preocupacin de la organizacin del aseguramiento
es la calidad de los datos, tratados por temas como normalizacin, armonizacin y racionalizacin. (Estos temas son tcnicos
y pertinentes a publicaciones sobre herramientas y tcnicas, y no se tratan en este artculo tcnico).
Privacidad: la proteccin de la privacidad siempre se ha manejado de manera
diferente segn las regiones geogrficas, los gobiernos y las empresas. Las
Las leyes protegen la privacidad leyes protegen la privacidad de las personas y de cualquier informacin que
se obtenga de ellas, incluso si comparten informacin confidencial en forma
de las
inapropiada, como es el caso de la publicacin de informacin privada o no
personas y de cualquier
pblica (por ejemplo, imgenes de tarjetas de crdito, cumpleaos, nmeros
informacin que se obtenga de
de telfono, preferencias personales) en las redes sociales. Independientemente
ellas, incluso si comparten
de la autenticidad de la informacin recopilada a travs las redes sociales, su

informacin confidencial en
forma inapropiada.

recopilacin requiere la proteccin contra usuarios inescrupulosos, as como contra

gobiernos con control excesivo.

Beneficios para la actividad comercial de los grandes conjuntos de datos

Las oportunidades que se obtienen a partir de los grandes conjuntos de datos son
importantes, como tambin lo son los desafos. Las empresas que llegan a
dominar
la disciplina emergente de gestin de grandes conjuntos de datos pueden disfrutar de
importantes retribuciones y distinguirse de sus competidores. En efecto, la
investigacin realizada por Erik Brynjolfsson, economista de la Sloan School of
Management del Massachusetts Institute of Technology (EE. UU.), demuestra que las
empresas que toman decisiones dirigidas por los datos disfrutan de un cinco a un seis
por ciento de impulso en la productividad.1 El uso correcto de los grandes conjuntos de
datos va ms all de la recopilacin y el anlisis de grandes cantidades de datos;
tambin requiere el

Las empresas que llegan a

dominar la disciplina
emergente de gestin de
grandes conjuntos de datos
pueden disfrutar de
importantes retribuciones y
distinguirse de sus
competidores.

entendimiento de cmo y cundo utilizar los datos en la toma de decisiones cruciales.

La ventaja competitiva se puede mejorar mucho mediante el aprovechamiento de los datos correctos. Segn un informe de
investigacin realizado por McKinsey2, el valor potencial de los datos en el sector de la atencin sanitaria de los EE. UU.
podra ser de ms de US $300 mil millones cada ao; dos tercios de esta cifra reducira los gastos de atencin sanitaria
nacional en aproximadamente un ocho por ciento.
Se puede obtener beneficios financieros cuando los procesos de gestin de datos se alinean con la estrategia de la empresa;
esto puede requerir la participacin de la alta gerencia para establecer la direccin y supervisar las decisiones importantes.
La revisin analtica de grandes conjuntos de datos puede influir en forma positiva en:
El desarrollo del producto.
El desarrollo del mercado.
La eficiencia operativa.
La experiencia y lealtad del cliente.
Las predicciones de la demanda del mercado.
En la figura 1, se muestra el proceso para obtener acceso a conocimientos comerciales especficos de la organizacin a partir
de los grandes conjuntos de datos.
Figura 1: Cmo abordar los conocimientos comerciales especficos de la organizacin
Beneficios de negocio
Analizar

Mejores decisiones

Agotar datos
Cualquier dato

Adquirir
Descubrir

(redes sociales, registros

de empresas, datos como
servicio [Data as a
Service, DaaS], datos
de los competidores)
Organizar

Predecir

Enormes cantidades de
informacin obtenida de
todas las fuentes
imaginables
Planificar

Faster Action

Mayor innovacin

Ventaja competitiva
ms marcada

1
2

Swalwell, John; Big Data and Intelligent Image Capture Platforms, Technology First, EE. UU., agosto de 2012
Manyika, James; Michael Chui; Brad Brown; Jacques Bughin; Richard Dobbs; Charles Roxburgh; Angela Hung Byers; Big data: The next frontier for innovation,
competition, and productivity, McKinsey Global Institute, McKinsey & Company, EE. UU., mayo de 2011

La empresa debe abocarse de lleno a los grandes conjuntos de datos o comenzar paulatinamente al aparecer pequeas
oportunidades objetivo? Comprar o tercerizar? Estas son estrategias que se deben implementar en funcin de los objetivos
estratgicos y las capacidades existentes de cada empresa. Para las empresas que estn listas para transformar los grandes
conjuntos de datos de un pasivo con prdida de ingresos en un activo con mejora de ingresos, se propone un plan de cuatro
niveles:
1. Tmese un tiempo para elaborar una estrategia: trabaje con los actores y unidades de negocio claves para entender sus
necesidades de datos. Acepte sus opiniones para mejorar los procesos en todo el negocio.
2. Piense analticamente: mejore el equipo de apoyo analtico y asegrese de que los gerentes tengan las aplicaciones y el
acceso que necesitan para analizar de primera mano la informacin crtica para el negocio.
3. Pida lo que se necesita: aproveche las aplicaciones y el software especficos de la industria, siempre que estn disponibles.
Si no se cubren las necesidades, alerte al equipo de gestin y/o a los proveedores de la industria.
4. Invierta para mejorar: equipe la empresa con la tecnologa, el personal y los sistemas/procesos adecuados y necesarios
para optimizar la informacin para contar con una verdadera inteligencia de negocios.

Riesgos y preocupaciones acerca de los grandes conjuntos de datos

Las empresas invierten un capital considerable para desarrollar e implementar la revisin analtica y la medicin de grandes
conjuntos de datos, con el fin de obtener una ventaja competitiva anticipada. Si bien los grandes conjuntos de datos pueden
brindar una ventaja competitiva y otros beneficios, tambin conllevan riesgos importantes. Ahora que las empresas tienen
enormes cantidades de datos estructurados y no estructurados disponibles, la gerencia se debe preguntar lo siguiente:
Dnde debemos almacenar los datos?
Cmo vamos a proteger los datos?
Cmo vamos a utilizar los datos de manera segura y legal?
En la siguiente seccin, se destacan las preocupaciones y los riesgos asociados con los grandes conjuntos de datos.

Los datos inexactos,

incompletos o manipulados en
forma fraudulenta plantean un
riesgo en aumento, ya que las
empresas se hacen cada
vez ms dependientes de los
datos para la toma de
decisiones y la evaluacin de
resultados.

El concepto de gestin de riesgos de grandes conjuntos de datos an se encuentra en

una etapa temprana para muchas empresas, y todava se estn desarrollando polticas de
seguridad y procedimientos en muchas reas. Numerosos ejecutivos de negocio podran
no reconocer que cuanto ms rpido y fcil se pueda obtener acceso a los grandes
conjuntos de datos, mayor ser el riesgo para toda esa valiosa informacin. Para que los
datos se utilicen de manera productiva, los ejecutivos deben prestar especial atencin a
los procesos del ciclo de vida de los datos corporativos; los conocimientos generados
a partir de grandes conjuntos de datos son tan buenos como los datos mismos. Segn
el habilitador de informacin COBIT 5, se debe considerar el ciclo de vida completo
de la informacin y posiblemente se necesiten diferentes enfoques, dependiendo de la

fase del ciclo de vida. El habilitador de informacin COBIT 5 identifica cuatro fases
diferentes (es decir, planificar, disear, construir/adquirir y usar/operar). Los datos
inexactos, incompletos o manipulados en forma fraudulenta plantean un riesgo en aumento, ya que las empresas se hacen ms
dependientes de los datos para la toma de decisiones y la evaluacin de resultados.
Es posible que la necesidad de gestionar los riesgos de los datos dentro de la empresa no se comunique ni entienda claramente
en todos los niveles de gestin. Es esencial destacar que el tratamiento de los riesgos y las preocupaciones acerca de los
grandes conjuntos de datos no se puede ver exclusivamente como un ejercicio desde la perspectiva de la tecnologa de la
informacin. La participacin de toda la empresa, incluido el departamento legal, el de finanzas, el de cumplimiento, el de
auditora interna y otros departamentos de negocio, permite que todos se enfoquen en los objetivos de negocio en la etapa de
planificacin. Por lo tanto, las empresas se pueden enfocar tanto en los aspectos tcnicos como en los de negocio cuando se
trata de de los grandes conjuntos de datos.

En determinados momentos, las empresas pueden resistir las revisiones peridicas de las estrategias relacionadas con los
grandes conjuntos de datos, y las polticas y los procedimientos de seguridad porque la alta gerencia cree que la prctica

actual es suficiente y es reacia a gastar ms si no es necesario. Esta filosofa, sin embargo, es inexacta. La seguridad y
la privacidad juegan un papel cada vez ms importante en relacin con los grandes conjuntos de datos y todos los actores
deben estar atentos a las implicaciones de almacenar y realizar un anlisis cruzado de grandes cantidades de distintos datos
confidenciales. Por otra parte, es imprescindible entender que algunos datos deben considerarse txicos ya que la prdida
de control sobre ellos podra causar un dao a la empresa. Ejemplos de datos potencialmentetxicos son:
Informacin privada o en custodia, como nmeros de tarjetas de crdito; informacin personal identificable, como nmeros
de la seguridad social; e informacin personal de salud.
Informacin estratgica, como propiedad intelectual, planes de negocio y diseos de productos.
Informacin como indicadores clave de desempeo, cifras de ventas, medicin financiera y medicin de produccin, que se
utilizan para tomar decisiones importantes.
Las vulnerabilidades de los datos son especialmente graves para las empresas que confan en los datos personales que genera
o pueden ser modificados por el pblico. Por ejemplo, los datos de las redes sociales pueden ser una fuente altamente valiosa
para evaluar las opiniones de los clientes, para realizar un seguimiento de la eficacia de las campaas de marketing y para
obtener ms informacin sobre los consumidores. Sin embargo, el uso de este tipo de datos personales requerir el tratamiento
de las incertidumbres y los puntos de tensin actuales:
Privacidad: las necesidades de privacidad de las personas varan. Los desarrolladores de polticas se enfrentan a un desafo
complejo cuando desarrollan leyes y regulaciones.
Gobierno global: existe una falta de interoperabilidad jurdica global; cada pas desarrolla sus propios marcos normativos y
legales.
Propiedad de los datos personales: el concepto de derechos de propiedad no se extiende fcilmente a los datos, lo que crea
desafos al establecer los derechos de uso.
Transparencia: demasiada transparencia demasiado pronto presenta el mismo riesgo de desestabilizar el ecosistema de datos
personales que la escasa transparencia.
Distribucin del valor: incluso antes de que el valor se pueda compartir de forma ms equitativa, se requiere ms claridad
sobre lo que verdaderamente constituye valor para cada actor.
Para reducir al mnimo la posibilidad de daos ocasionados por datos inexactos
o fraudulentos, las empresas deben realizar un inventario de todas las fuentes
de datos que incluyen en sus anlisis y evaluar cada fuente con relacin a sus
vulnerabilidades. Los datos se generan pblicamente? Quin tiene acceso a
los datos en cualquier momento antes de que ingresen en el anlisis? Existen
iniciativas para manipular los datos? En el caso de las fuentes de datos
vulnerables, se pueden emplear tcnicas de clasificacin para detectar posibles
puntos de datos fraudulentos y eliminarlos antes de que se diseminen ms.

Para reducir al mnimo la posibilidad

de daos ocasionados por datos
inexactos o fraudulentos, las
empresas deben realizar un
inventario de todas las fuentes de
datos que incluyen en sus anlisis y
evaluar cada fuente con relacin a
sus vulnerabilidades.

Estrategias para abordar los riesgos relacionados con los grandes conjuntos de datos
La estrategia principal para abordar los riesgos es alinear la solucin de la tecnologa con las necesidades de negocio. El marco
COBIT 5 aborda esta estrategia en la cascada de objetivos alineando los factores conductores (drivers) de los actores con sus
necesidades. Estas necesidades se organizan en cascada en relacin con los objetivos de la empresa, luego con los objetivos
relacionados con TI y por ltimo, con los objetivos del habilitador. Existen siete habilitadores que se deben aplicar para ayudar a
la empresa a abordar los riesgos, y mejorar su capacidad para cumplir con sus objetivos de negocio y crear valor para sus
actores.
Cuando las nuevas iniciativas, como la adopcin de grandes conjuntos de datos, se alinean correctamente con el negocio, las
estructuras de gobierno existentes se pueden ajustar fcilmente para abordar la seguridad, el aseguramiento y un enfoque
general, a fin de adoptar nuevas tecnologas. Estos pasos deben incluir: generar una base de talentos, requerir el alineamiento de
las preocupaciones de seguridad de la informacin relacionadas con los grandes conjuntos de datos e iniciar programas piloto

para determinar si la necesidad es crecer internamente o aprovechar los beneficios de la experiencia anterior en grandes
conjuntos de datos. El personal que conoce y utiliza COBIT 5, es decir el habilitador de destrezas y competencias, que sugiere
que la empresa debe saber cul es su base de destrezas actual y planificar lo que debera ser, ser til en la creacin de la base
de talentos.

La creacin de la base de talentos internamente es un pilar fundamental de una mejor prctica. Quin puede entender la
cultura de la empresa, los procesos y el comportamiento de los datos de la empresa mejor que el personal? Los usuarios con
poder y las herramientas que utilizan constituyen un excelente inicio para:
Determinar qu capacidades y recursos internos estn disponibles para asimilar la informacin existente.
Determinar qu herramientas son necesarias para mejorar el proceso de adquisicin y asimilacin de informacin.
Abordar la forma en que se usar la informacin para lograr objetivos tcticos y estratgicos, si se determina que se necesita
informacin nueva y/o diferente.
Desarrollar u obtener programas de capacitacin para el equipo.
Determinar si se necesita un investigador de datos.
Establecer expectativas realistas y crear un plan tctico.
La integracin de la revisin analtica de grandes conjuntos de datos en la gestin de riesgos de negocio y las operaciones de
seguridad no es una tarea fcil. Si bien los grandes conjuntos de datos se han transformado en una dinmica competitiva en una
empresa, tambin han transformado los programas de seguridad de la informacin de la empresa, incluso la manera en que se
desarrollan y ejecutan estos programas de seguridad. Es prudente crear expectativas con los actores en cada paso del trayecto.
Esto ayuda a mitigar el riesgo de prdida de foco para la visin compartida respecto al alineamiento estratgico de negocios.
El riesgo tambin se puede mitigar garantizando la calidad de los datos. El habilitador de informacin COBIT 5 gua a la
empresa a travs del ciclo de la informacin sugiriendo que los procesos de negocio generan y procesan datos, convirtindolos
en informacin y conocimiento y por ltimo, produciendo valor para la empresa mediante la entrega de datos de calidad.
El habilitador de informacin tambin presenta el enfoque, sugiriendo que el primer paso es identificar a los actores y sus
intereses (es decir, por qu les importa o por qu estn interesados en la informacin). Los intereses se pueden relacionar con
los objetivos de la informacin. Los objetivos de la informacin se dividen en tres subdimensiones de la calidad (figura 2).
Figura 2: Subdimensiones de la calidad de los datos

Calidad intrnseca

Precisin
Objetividad
Credibilidad
Reputacin

La adopcin inmediata de la
externalizacin niega a una
empresa la propiedad
intelectual que necesita para
acompaar, gestionar y
controlar el trayecto de los
grandes conjuntos de datos.

Calidad contextual y representativa

Relevancia
Integridad
Actualidad
Cantidad adecuada de informacin
Representacin concisa
Representacin coherente
Interpretabilidad
Comprensibilidad
Facilidad de manipulacin

Calidad de la seguridad/accesibilidad
Disponibilidad/puntualidad
Acceso restringido

La eleccin de un socio es un paso importante hacia la decisin de qu procesos

se deben adoptar finalmente. Es la decisin de hacer o comprar de cada aspecto
del trayecto, desde la capacitacin y la proteccin de la informacin hasta el
proyecto piloto y la transferencia de propiedad intelectual. La adopcin inmediata
de la externalizacin niega a una empresa la propiedad intelectual que necesita
para acompaar, gestionar y controlar el trayecto de los grandes conjuntos de
datos. Como mnimo, cada empresa debe experimentar algunos aspectos de los
grandes conjuntos de datos para obtener el conocimiento y la experiencia para
referencia futura. Los grandes conjuntos de datos pueden cambiar la forma en que
las empresas hacen negocios, e influirn en su negocio, su cultura y sus procesos.
Tambin deben ser un catalizador de la manera en que la empresa selecciona y
cambia los socios.

La seleccin es un primer paso fundamental y puede incorporar diversas estrategias, adems de la seleccin del proveedor de
grandes conjuntos de datos:
Puede generar una alianza estratgica con uno o ms proveedores de tecnologa de grandes conjuntos de datos.
Puede garantizar que las clases de capacitacin sean dictadas por especialistas y no por aquellos que no pueden responder
preguntas fundamentales, y que se utilice la infraestructura de capacitacin que respalde la interaccin prctica.
Puede garantizar que la informacin del curso se comparta con el equipo encargado de los grandes conjuntos de datos y que
ste la revise en forma integral.
El proyecto piloto puede abarcar al instructor y al equipo encargado de los grandes conjuntos de datos, en reconocimiento
al hecho de que el proyecto es realmente un trabajo en curso.
Los procesos de terceros, la gestin de proyectos y los objetivos se pueden alinear con los objetivos y la experiencia de la
empresa.
Se puede participar a los actores del negocio y a la gestin de riesgos para garantizar que se establezcan los controles
correspondientes a los terceros proveedores/socios.
Una vez que la empresa sepa lo que quiere, deber determinar cmo obtener la informacin que necesita. Un agente comercial
de datos es una posible fuente. Algunas empresas que ya estn en el negocio de la informacin sobre empresas, relacionada
con los agentes comerciales, son: Bloomberg, Thomson Reuters, Simmons Market Research y The Nielsen Company.
Si la empresa elige crecer, debe decidir:
Si debe utilizar un agente comercial.
Si va a utilizar un socio para la capacitacin en el proyecto.
Si dar pasos pequeos o saltos gigantes en cuanto a la confianza, a medida que adquiere terabytes.
Qu opciones estn disponibles en materia de socios.
Cules deben ser los entregables del proyecto.
La documentacin del proyecto debe ser un entregable para:
Impedir la dependencia hacia el proveedor/socio.
Demostrar la titularidad de la propiedad intelectual.

Gobierno de grandes conjuntos de datos

El gobierno garantiza la evaluacin de las necesidades,
condiciones y opciones de los actores para determinar
que se alcancen los objetivos integrales y acordados
de la empresa. Adems respalda el establecimiento
de indicaciones mediante la priorizacin y la toma
de decisiones, y la supervisin del rendimiento y el
cumplimiento frente a las indicaciones y los objetivos
acordados. Es muy probable que el alcance del gobierno,
los riesgos y el cumplimiento en una empresa se
expandan para crear un sistema unificado para consolidar
silos y funciones del negocio que permitan el acceso a
todos los datos.
En la figura 3 se muestra el enfoque del gobierno en
todas las etapas del proceso, presente en las bases de
COBIT 5, incluidos los componentes clave de un sistema
de gobierno.

Figura 3: Gobierno en todas las etapas del proceso

Objetivo de Gobierno: Creacin de Valor

Realizacin
de Beneficios

Optimizacin
de Riesgo

Catalizadores
del Gobierno

Optimizacin
de Recursos

Alcance
del Gobierno

Roles, Actividades y Relaciones

Fuente: COBIT 5, ISACA, EE. UU., 2012, figura 8

Sin un proceso adecuado de

gobierno de datos, los
proyectos relacionados con
grandes conjuntos de datos
pueden provocar muchos
problemas, incluso datos
engaosos y costos
inesperados.

Los programas de gobierno de

datos proporcionan un marco
para el establecimiento de
polticas de uso de datos e
implementacin
de controles, diseados para
garantizar que la informacin
sea precisa, coherente y
accesible.

Sin un proceso adecuado de gobierno de datos, los proyectos relacionados con

grandes conjuntos de datos pueden provocar muchos problemas, incluso datos
engaosos y costos inesperados. Recin ahora empieza a entenderse el rol del
gobierno de datos en
el matenimiento del orden en grandes conjuntos de datos alojados, dada la relativamente
reciente aparicin de la tecnologa y su asignacin al departamento de TI. En
consecuencia, el gobierno de los entornos de grandes conjuntos de datos se encuentra en
una etapa inicial de madurez y existen unas pocas indicaciones de pblico conocimiento
sobre la manera
de llevarlo a cabo con eficacia. Un problema fundamental es que los grupos de grandes
conjuntos de datos estn ms orientados a la exploracin y el descubrimiento de datos
que
al anlisis y la elaboracin de informes de inteligencia convencional de negocios.
Los programas de gobierno de datos proporcionan un marco para el establecimiento de
polticas de uso de datos e implementacin de controles, diseados para garantizar que
la informacin sea precisa, coherente y accesible. Claramente, un desafo importante en
el proceso de gobierno de grandes conjuntos de datos es la clasificacin, el modelado
y el mapeo de los datos a medida que se capturan y almacenan, en particular debido a
la naturaleza no estructurada de la mayor parte de la informacin. Los datos a menudo
provienen de fuentes externas y la precisin no siempre se puede validar fcilmente;
adems, el significado y el contexto de los datos de texto no necesariamente son
obvios. Para muchas empresas, los grandes conjuntos de datos implican una curva de
aprendizaje colectivo para: todos los gerentes de TI, programadores, arquitectos de
datos, modeladores de datos y profesionales del gobierno de datos.

Para ayudar a garantizar que los datos se mapeen correctamente, la tarea se debe asignar a un arquitecto de datos snior cuyos
conocimientos y experiencia en TI resultarn inestimables en esta compleja actividad.
Durante la fase exploratoria de los proyectos relacionados con grandes conjuntos de datos, que define el valor esperado para
el negocio y conduce a iniciativas formales, las empresas deben considerar las siguientes preguntas fundamentales (segn las
articula IBM) dentro de la gestin de la informacin:
Reconocemos completamente las responsabilidades asociadas con la gestin de grandes conjuntos de datos?
De qu manera cambian los grandes conjuntos de datos el concepto tradicional de informacin como un activo corporativo?
Cules son los requisitos emergentes relacionados con la privacidad?
Cmo se relacionan los grandes conjuntos de datos con nuestra infraestructura de TI actual?
La discusin que rodea a los grandes conjuntos de datos puede plantearle al director de informtica/sistemas (CIO) ms
preguntas de las que est preparado para responder. Muchas empresas justifican la falta de polticas adecuadas de gobierno
porque creen
que los grandes conjuntos de datos son de alguna manera diferentes; de esta forma, eluden el problema. Dicho de forma
simple, a medida que las tecnologas relacionadas con los grandes conjuntos de datos se hacen operativas, en oposicin a las
tecnologas exploratorias, necesitan las mismas disciplinas de gobierno que se aplican a los enfoques tradicionales de gestin de
datos.
Al implementar un programa de gobierno de la informacin, se debe evaluar el estado actual y se debe desarrollar el estado
futuro. COBIT 5 puede ayudar a la empresa a abordar tanto esta tarea como otras inherentes al gobierno de grandes conjuntos
de datos. Esto finalmente guiar los esfuerzos de la empresa para crear valor mediante un punto de equilibrio entre el hecho de
obtener beneficios y el de mantener el riesgo en un nivel aceptable.

Consideraciones sobre el aseguramiento en relacin con los grandes conjuntos de

datos
Los controles relacionados con los grandes conjuntos de datos se pueden agrupar en cuatro categoras:
Enfoque y entendimiento
Calidad
Confidencialidad y privacidad
Disponibilidad

Enfoque y entendimiento
Esta categora aborda la demostracin del tono correcto con los superiores de la
empresa. Un aspecto importante en este esfuerzo es establecer e implementar una
poltica de datos. La poltica (y los procedimientos asociados) deben definir el alcance
de los datos; establecer un sistema de gobierno y aseguramiento de la calidad de los
datos; e identificar criterios cualitativos y cuantitativos para evaluar la precisin,
confiabilidad, integridad y oportunidad de los datos. Sin duda, la empresa deber
invertir tiempo y dinero para realizar un inventario de todas las fuentes de datos,
evaluar las vulnerabilidades e implementar polticas y procedimientos. Esos costos son
necesarios cuando se gestionan riegos y se debe considerar el costo de realizar negocios.
El proceso de aseguramiento debe comenzar con la creacin de un inventario de
los datos. Una vez realizado el inventario, los datos se deben clasificar segn la
confidencialidad y relevancia, y se debe crear un flujo de datos. Luego se debe
desarrollar un proceso para identificar las vulnerabilidades del flujo de datos,
una actividad que comienza con la creacin de un diagrama de flujo de datos
multidimensional respaldado por un diccionario de datos3 que mapea el escenario
de los datos en toda la empresa. Este proceso debe capturar fuentes de datos
internas y externas, los diversos procesos manuales y automatizados (por ejemplo,
transformacin, consolidacin) que se realizan con cada conjunto de datos, y su
destino y uso finales. Cada vulnerabilidad identificada debe ingresarse en un proceso
establecido de gobierno de datos deficientes, para el anlisis del impacto y la
probabilidad, el escalamiento a la alta direccin cuando sea necesario y una resolucin
tctica o estratgica. Adems, cada vulnerabilidad necesita un propietario, alguien que
sea responsable de los datos.

Esta categora aborda la

demostracin del tono
correcto con los superiores
de la empresa. Un aspecto
importante en
este esfuerzo es establecer e
implementar una poltica de
datos.

Cada vulnerabilidad
identificada debe ingresarse
en un proceso establecido
de gobierno de datos
deficientes para el anlisis
del impacto y la
probabilidad,
una escalacin a la alta
direccin cuando sea
necesario y una resolucin
tctica o estratgica.

Se deben establecer criterios de materialidad que permitan a esos responsables del gobierno de datos identificar los conjuntos
de datos y los elementos ms relevantes en los cuales deben enfocar sus esfuerzos. Este proceso tambin facilitar la creacin
de una ruta de escalamiento para la gestin de datos deficientes.

Calidad de los datos

Se deben establecer e implementar controles en todo el flujo de datos para evaluar los datos en cuanto a los criterios de
precisin, confiabilidad, integridad y oportunidad, definidos en la poltica de datos y en los estndares asociados.
Cuando los datos se extraen de una fuente perteneciente a un tercero, la empresa debe establecer un proceso de acercamiento
contractual para ganar confianza sobre la calidad de los datos. Esto se puede realizar mediante una validacin independiente
de los controles de calidad de los datos del tercero o mediante verificaciones independientes de cualquier dato de material
recibido.
Se deben asignar la propiedad y las responsabilidades asociadas con cada conjunto de
datos de carcter material. Se debe desarrollar una capacitacin adecuada para todos
los integrantes del personal relevante, a fin de concientizarlos de sus responsabilidades
relacionadas con los datos. Por ejemplo, dos roles que se podran definir son el del
productor de datos y el del consumidor de datos. Un productor de datos proporciona
datos al consumidor de datos segn los requisitos de calidad predefinidos. El
consumidor debe definir y comunicar los requisitos de calidad esperados con relacin
a los datos, y tenerlos en cuenta para la validacin de los datos que se reciben.

Dos roles que se podran

definir son el de productor de
datos y el de consumidor de
datos. Un productor de datos
le proporciona datos al
consumidor de datos segn los

requisitos de calidad predefinidos.

3

El diccionario de datos tambin debe documentar todos los elementos de los datos de carcter material y la relacin entre ellos, su fuente y su uso, para que se pueda
establecer un entendimiento coherente en toda la empresa.

Los roles cambian a media que los datos se mueven a travs del flujo de datos.

Confidencialidad/Privacidad de los datos

Mediante el proceso de gestin de riesgos de los datos, se deben identificar todos los datos confidenciales y se deben establecer
los controles correspondientes. La naturaleza de la informacin confidencial podra abarcar desde de informacin personal a
secretos competitivos. Varias reglas y regulaciones, como la Ley de Proteccin de Datos (Data Protection Act) del RU de
1998 y las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security
Standards, PCI DSS) de los EE. UU., rigen la manera en que se deben asegurar los datos confidenciales almacenados y en
trnsito.
Se necesitan controles de seguridad de acceso lgico y fsico para impedir el acceso no autorizado a los datos confidenciales.
Esto incluye los Controles Generales clsicos de las tecnologas de la informacin (Information Technology General
Controls, ITGC), como configuracin de contraseas, enmascaramiento total o parcial de datos confidenciales, revisin de
accesos peridicos de usuarios, cortafuegos, seguridad de la puerta de la sala del servidor, registros de acceso al servidor,
privilegios de acceso administrativo y bloqueo de protectores de pantalla.
Se deben utilizar tecnologas de encriptacin para almacenar y transferir informacin altamente confidencial dentro y fuera de
la empresa.

Disponibilidad de los datos

Se deben establecer procesos de recuperacin confiables (es decir, probados) ante desastres para garantizar la disponibilidad de
los datos segn los criterios del objetivo para la recuperacin de datos (recovery point objective, RPO) y el objetivo del
tiempo de recuperacin (recovery time objective, RTO), que se definen en un anlisis de impacto del negocio.

Conclusin
La cultura de la empresa, que
lucha contra la innovacin o la
acepta, requiere un lder para
los grandes conjuntos de datos
que entienda
su rol en la innovacin o
direccin de la empresa.

El cambio e innovacin constantes son los desafos que la empresa y el equipo

investigador de datos deben manejar. La innovacin amenaza la tradicional zona de
comodidad de estabilidad y vida til. La responsabilidad en relacin a que las cosas
efectivamente se hagan (accountability) tambin es una delgada lnea que se debe
manejar.
La cultura de la empresa, que lucha contra la innovacin o la acepta, requiere un lder
para los grandes conjuntos de datos que entienda su rol en la innovacin o direccin de
la empresa. Adems el lder debe:
Manejar las expectativas.
Compensar las conductas y no los resultados.
Proteger a los investigadores de datos de un control minucioso de la gestin y de los
inversionistas.

Gestionar proyectos.
Comunicar bien para abarcar todos los canales de la empresa.
No es inusual que los diversos niveles de liderazgo discrepen. Las habilidades para tratar con delicadeza a las personas que
alientan un enfoque sobre metas compartidas y un deseo de evitar el fracaso, y no la discrepancia en s, son necesarias para
dirigir los conflictos dentro de la empresa y entre los miembros del equipo encargado de los grandes conjuntos de datos.
Recursos adicionales y retroalimentacin
Visite www.isaca.org/Big-Data-WP para obtener recursos adicionales y utilice la funcin de retroalimentacin para aportar
sus comentarios y sugerencias sobre este documento. Su opinin es muy importante en el desarrollo de las guas de ISACA
para sus miembros y es muy valorada.