Digital enterprise governance lifecycle

16·Ago·2017

|

El control de la información en el Governance tradicional sigue un ciclo que se retroalimenta y que se divide en cuatro fases esenciales del ciclo de vida de la información corporativa: la creación y captura de datos; el almacenamiento y protección del acceso; encontrar, usar y compartir; y archivar o destruir los datos.

La experiencia de Raona se sintetiza en tres procesos transversales a este ciclo de vida y definimos el Governance en una primera parte de definición, una segunda de seguimiento y una última de realización de acciones correctivas.

Estas etapas, sin alterarse, presentan una lista de conceptos y acciones muy distinta en el nuevo Digital Enterprise Governance, que comporta replantear totalmente su gestión y alcance. De hecho, más que un proceso estático con un inicio y fin que se revisa periódicamente, se ha pasado a un proceso iterativo y ágil integrado en el día a día de las empresas.

Según el nuevo modelo de ciclo de vida propuesto por Gartner, partner de Raona, son 3 los procesos continuos que deben ejecutarse en paralelo para garantizar que tenemos una cobertura adecuada de nuestro Governance sobre los sistemas de información corporativos en cualquier momento de su ciclo de vida.

 

  1. Strategize & Invest

El modelo tradicional de Governance tenía en este proceso el Core de su existencia. La definición de roles y responsabilidades mediante las tradicionales “Fichas”, marcaba una relación fija entre responsable, plataforma y contenido, Cada dato tenía su sitio predefinido y un responsable que aceptaba el rol y era garante de su integridad. Un modelo proveniente de las buenas prácticas de los modelos de seguridad tradicionales que se han mostrado rígidos e ineficientes en la actualidad.

Este modelo implicaba establecer los entornos afectados por el Governance –dejando fuera todo aquello que no estuviera estructurado- y definir una política de comunicación, de soporte y un mecanismo de cambios que fueran claros y aceptados. El responsable del Governance tenía que establecer múltiples re- uniones de definición con los distintos departamentos y cualquier cambio en los sistemas de información, requería su intervención y aprobación.

La flexibilidad, el cambio constante y la diversidad de formatos y plataformas cambia totalmente este enfoque en el Digital En- terprise Governance para pasar a hablar de la sensibilidad de la información. Los roles se sustituyen por la definición de la sensibilidad de los datos gestionados, dejando de tener un res- ponsable para pasar a tener un nivel de protección según su na- turaleza y contenido. Así, la foto de un empleado, un comentario en una red social o un documento de resultados corporativos tienen niveles de sensibilidad diferentes que se miden en una escala establecida.

Cada nuevo contenido pasa a ser catalogado e identificado au- tomáticamente mediante etiquetas, conceptos y palabras clave que permiten establecer su nivel de sensibilidad, así como su origen y autor, pudiendo rastrear quién lo publicó por primera vez, cómo se ha compartido y en qué momento ha salido del pe- rímetro de comunicación que se haya establecido. Por su parte, el perímetro de comunicación incorpora las plataformas, he- rramientas y personas a las que puede llegar un tipo de conteni- do, delimitando en futuras fases cuando estamos permeando la seguridad del sistema.

La etapa de “Invest” pasa a ser permanente. En una empresa en movimiento, los tipos de contenido aparecen incesantemente retroalimentados por la etapa de “Performing” que los identifica y establece en qué casos debemos activar nuevas definiciones que controlen la información.

  1. Executing

En el Governance tradicional, esta etapa era la consecuencia de la primera. Una vez establecidas las reglas se ponía en marcha el sistema y se realizaba la gestión, basada en dar permisos a los usuarios y los procesos de aprobación y delegación habituales en una empresa jerárquica. El responsable de Governance pasa- ba a ser un árbitro que mediaba entre las distintas partes y que resolvía las problemáticas que iban apareciendo, sancionando a aquellos que incumplían las políticas y normas. Dado que los entornos eran propios, acotados e impermeables, la labor era estanca y poco dada a cambios y evoluciones.

Un Digital Workplace basado en plataformas cloud se ve afecta- do por contínuas novedades sobre las que no tenemos control y la integración permanente de entornos públicos, corporativos y privados como las redes sociales. De esta forma, los almace- najes en la nube, la compartición integrada en las aplicaciones y la asignación automática de permisos dejan de tener sentido. El usuario reclama una agilidad que no podemos ofrecerle desde la perspectiva tradicional, teniendo que cambiar de paradigma completamente y empezar a pensar en ellos como colaboradores necesarios de nuestro Governance.

El Digital Enterprise Governance enfoca sus esfuerzos en la com- petencia digital, es decir, dar libertad a los usuarios y capacidad de acción. En concreto, darles más y mejores herramientas junto con toda la formación posible para que actúen conscientemen- te y aprovechen todas las funcionalidades de las plataformas. El usuario pasa a aceptar unas normas generales de protección de datos de la empresa y a tener acceso a muchos más datos que antes. Pero como es sabido, mayor libertad y poder implica más responsabilidad. Por eso, el usuario debe ser consciente de sus actos y conocer sus consecuencias.

La tarea del responsable de Governance se centra en formar e informar. Esto se traduce en dar a conocer los niveles de sensi- bilidad de la información y qué canales y niveles de acceso se deben corresponder con cada uno para que el usuario sepa usar adecuadamente el arsenal de herramientas a su alcance.

  1. Performing

Esta etapa siempre ha sido la más compleja y donde acostum- bran a fallar las políticas del Governance. La razón es que los procesos una vez definidos se vuelven rígidos y los cambios implican demasiada gente para ser ágiles. El control y la super- visión de las políticas se vuelve un fin más que un medio y se pierde la orientación a aportar valor al negocio.

Las herramientas se centran en auditar, reportar y controlar los permisos para que se estén aplicando bien las políticas defini- das, desde una perspectiva policial muchas veces.

El Digital Enterprise Governance se centra en la reacción inmediata: detectar las fugas de contenido, corregirlas lo antes posible y establecer las medidas de corrección para que el usuario responsable no vuelva a sobrepasar el perímetro de comunicación establecido. El número de incidentes reales es muy pequeño y suelen ser causados por negligencias, por lo que un mecanismo de supervisión y alerta es suficiente en la mayoría de casos.

Las herramientas para el responsable de Governance deben ser muy distintas. Por ejemplo, extensiones inteligentes que sepan detectar en base a las taxonomías establecidas y su sensibilidad cuando se ha producido una fuga y puedan contenerla sin interacción de ningún usuario.

Esta nueva generación está en plena ebullición y forma parte del núcleo operativo del Digital Workplace. Los mecanismos para implementar este nuevo paradigma son muchos y evolucionan de manera constante, por lo que sus nuevas tendencias merecen un apartado aparte junto con las experiencias reales de Raona en este campo, desarrolladas en clientes reales que han empezado a implantar este modelo.