Tensión entre CDO y CISO en la explotación segura de datos

Este artículo, escrito por Alasdair Anderson, Vicepresidente en Protegrity, aborda la tensión entre el Chief Data Officer (CDO) y el Chief Information Security Officer (CISO) en el manejo de datos empresariales. Destaca la importancia de equilibrar la explotación de datos para la toma de decisiones y la protección de la información confidencial.

Se señala que la colaboración efectiva entre estos roles es crucial para aprovechar el valor de los datos, garantizando la seguridad y cumplimiento normativo. Además, se resalta cómo la protección extrema de datos por parte de los equipos de seguridad puede afectar negativamente la experiencia del cliente. La cooperación entre equipos se presenta como clave para superar conflictos y lograr una gestión eficiente de datos que beneficie tanto a la seguridad como a la innovación empresarial.

El equilibrio entre la explotación y protección de datos

Los datos se han convertido en el recurso más valioso para las empresas a nivel mundial. Para cualquier compañía que desee mantenerse relevante en el competitivo panorama empresarial actual, los datos deben estar en el centro de cada decisión comercial, permitiendo a la alta dirección revisar iniciativas, tomar decisiones en tiempo real y, si es necesario, revertir acciones. Una respuesta rápida impulsada por información veraz potenciará y mejorará la experiencia del cliente y las ofertas de productos, al tiempo que reduce los costos a través de una mayor eficiencia. En última instancia, esto mejorará los resultados financieros y brindará éxitos a muchas organizaciones.

Sin embargo, para desbloquear el verdadero valor de los datos, es igualmente importante que las organizaciones se aseguren de que los datos confidenciales estén siempre seguros. Para lograr esto, el Chief Information Security Officer (CISO), que actúa como el guardián de los datos para garantizar que sean conformes y seguros, y el Chief Data Officer (CDO), que busca desbloquear y explotar datos, tienen prioridades diferentes y a veces contradictorias. A pesar de esto, deben ser capaces de trabajar juntos hacia un objetivo común para lograr los objetivos estratégicos de la organización y brindar excelentes resultados comerciales y para los clientes. Existen beneficios significativos cuando estos dos roles colaboran y desventajas enormes cuando no lo hacen.

El valor de los datos

Los datos son un recurso crítico para las organizaciones, ayudando a transformar la experiencia global del cliente y ofrecer innovación que supere las expectativas. Según investigaciones globales de Splunk, las empresas que utilizan datos para la innovación, mejorar la resiliencia empresarial y perturbar a la competencia obtienen un margen de beneficio del 9,5%.

Esta innovación impulsada por los datos se basa en tres prácticas clave: recopilación de datos, técnicas de análisis de datos y aprovechamiento de datos en la toma de decisiones. Sin embargo, con la estimación de que se crearán aproximadamente 463 exabytes de datos diariamente para 2025, más que las estrellas observables en nuestro universo, los datos también presentan un desafío significativo para las empresas, especialmente en términos de protección.

Cuando los datos no están protegidos

Si bien los datos proporcionan una ventaja competitiva significativa a las empresas cuando se utilizan adecuadamente, sin las medidas de seguridad adecuadas, pueden ser mal utilizados. Esto no solo erosiona la confianza de los clientes, sino que también pone a la empresa en riesgo de pagar multas por incumplimiento de regulaciones de seguridad de datos.

A medida que los equipos de datos buscan extraer y explotar datos para el beneficio de la organización, es importante tener en cuenta que no todos los datos son iguales. Por lo tanto, se debe implementar un enfoque basado en el riesgo para limitar el acceso a datos sensibles en toda la organización.

El valor de la seguridad de datos

La seguridad de datos empresariales es responsable de proteger la información de una organización contra el acceso no autorizado para garantizar su integridad digital. Esto incluye prestar especial atención a datos sensibles como la Información de Identificación Personal (PII), la Información de Salud Personal (PHI) y la Propiedad Intelectual (IP), y permitir el acceso a datos solo para usuarios autorizados.

Al mismo tiempo, diversas leyes y regulaciones dictan cómo se debe manejar la información personal, como el Reglamento General de Protección de Datos (GDPR) y la Ley de Resiliencia Operativa Digital (DORA), y las empresas que no cumplen corren el riesgo de enfrentar sanciones, multas y, peor aún, perder la confianza del cliente. Por lo tanto, los equipos de seguridad juegan un papel crucial para asegurar que la organización cumpla con los requisitos legales y también satisfaga las expectativas de los clientes en términos de mantener seguros y protegidos sus datos.

Cuando la seguridad bloquea los datos

Con regulaciones más estrictas y violaciones más comunes, los equipos de seguridad están bajo presión para mantener controles que aseguren los datos. En este entorno, no es sorprendente que algunos equipos de seguridad hayan tomado medidas drásticas para garantizar una protección máxima de los datos y minimizar el riesgo de incumplimiento de regulaciones. Alineados con el dicho “Si la única herramienta que tienes es un martillo, tiendes a ver cada problema como un clavo”, algunos equipos de seguridad han restringido todo acceso a datos y otros han eliminado todos los datos de clientes de los sistemas de la empresa para eliminar completamente el riesgo.

Aunque esto puede parecer la opción más segura para cumplir con las regulaciones, hay implicaciones con este enfoque. Principalmente, la experiencia del cliente se ve afectada negativamente y, como los clientes esperan un alto nivel de personalización como parte del compromiso, es posible que no aprecien ser completamente anónimos y tratados como cualquier otro cliente, lo que podría hacer que busquen una experiencia más personalizada en otro lugar.

Superando políticas conflictivas

Para superar el conflicto entre la explotación de datos y la seguridad y ofrecer una experiencia al cliente que cumpla con las expectativas, los equipos de datos y seguridad deben colaborar para lograr un propósito común y alinearse en la cultura organizacional. Para lograr esto, cada equipo debe escuchar y comprender las necesidades respectivas para luego identificar soluciones que contribuyan al éxito del otro equipo.

Una vez logrado esto, los datos pueden segmentarse según el riesgo con controles de acceso en su lugar. Los datos anonimizados deben eliminar identificadores directos (nombres, direcciones) e indirectos (lugar de trabajo, edad) para que no puedan combinarse y revelar la identidad de una persona. Para asegurar aún más los datos, se deben utilizar técnicas como la tokenización o pseudonimización. Esto no solo limita el acceso a datos sensibles, sino que también ayuda a las empresas a cumplir con las regulaciones.

A medida que los datos continúan transformándose de un problema de TI a una fuente valiosa de inteligencia, las empresas que trabajan para eliminar la tensión competitiva entre el CISO y el CDO obtendrán una ventaja competitiva, permitiendo que sus clientes se beneficien de mejores experiencias que generan más oportunidades. La colaboración efectiva entre estos dos roles críticos no solo fortalecerá la seguridad de los datos, sino que también impulsará la innovación y la excelencia en el servicio al cliente, asegurando el éxito a largo plazo de la organización.