Seguridad en Base de
Datos
Facilitador: Edgar Revollo Patón
Condiciones iniciales
Facilitador Edgar Revollo Patón
Metodología Constructivista
El constructivismo propone un paradigma donde el proceso de enseñanza se
percibe y se lleva a cabo como un proceso dinámico, participativo e
interactivo del sujeto, de modo que el conocimiento sea una auténtica
construcción operada por la persona que aprende
Contenido del módulo
Gobierno de Datos
Assessment de Gobierno de Datos
Ciclo de vida de datos
Principios de seguridad en base de datos
Seguridad y calidad de datos
Control de transacciones
Enmascaramiento de datos
Auditoria en Base de Datos
Calendario
Lunes 24.06.19:
Presentación materia
Gobierno de Datos
Assessment gobierno de datos
Martes 25.06.19
Practica grupal de Assessment
Miércoles 26.06.19
Ciclo de vida de datos
Principios en seguridad de base de datos
Calendario
Jueves 27.06.19:
Viernes 28.06.19
Control de transacciones
Seguridad y Calidad de Datos
Lunes 01.07.19
Enmascaramiento de Datos
Auditoria de Base de Datos
Martes 02.07.19
Exposición grupo 1
Exposición grupo 2
Calendario
Miércoles 03.07.19
Exposición grupo 3
Exposición grupo 4
Jueves 04.07.19
Exposición grupo 5
Exposición grupo 6
Viernes 05.07.19
Examen Final
Exposiciones
Introducción
Desarrollo
Ejemplos prácticos
Conclusiones
Examen – Mínimo 10 preguntas
Evaluación y horario
Evaluación
Practica y exámenes de exposición 25 pts.
Trabajo de grupo 35 pts.
Examen final 40 pts.
Horario
Inicio de Clase 19:15
Finalización 21:30 (en lo posible)
Gobierno de
Datos
Facilitador Edgar Revollo Patón
Gobierno de Datos
El Gobierno de datos, es la
gestión global de la
disponibilidad, facilidad de
uso, la integridad y la
seguridad de los datos
empleados en una empresa.
No se refiere a la gestión
táctica de los datos, ni es
un área restringida al
departamento de IT o de la
organización.
Gobierno de
Datos
Objetivo
Es la práctica de organizar e
implementar políticas, procedimientos
y normas para el uso eficaz de los
activos de información, ya sean
estructurados o no estructurados.
Es el proceso de toma de decisiones que
prioriza las inversiones, asigna recursos,
y mide los resultados para asegurar que
los datos se gestionan y despliegan en
la forma adecuada para dar apoyo a las
necesidades del negocio
Gobierno de Datos
Un programa de gobierno de datos incluye:
Un órgano de gobierno o consejo:
Definir los roles de los propietarios o custodios de los activos de datos
Desarrollar políticas para especificar quién es responsable de cada una de las partes o aspectos
de los datos, incluyendo exactitud, accesibilidad, seguridad, coherencia, integridad y
actualización.
Un conjunto definido de procedimientos:
El modo en que los datos se van a guardar
Los sistemas de almacén que se emplearán
Las medidas de seguridad y protección contra accidentes, robo o ataque. Niveles de autorización
de acceso a los distintos tipos de datos.
Un plan de acción para ejecutar estos procedimientos:
Conjunto de controles y procedimientos de auditoría
Gobierno de Datos
Gobierno de
Datos
Metas y Principios:
Definir, aprobar y comunicar estrategias
de datos, políticas, estándares,
arquitectura, procedimientos y métricas.
Realizar el seguimiento que garantice el
cumplimiento con los requisitos
normativos, estándares, arquitectura y
procedimientos.
Patrocinar, controlar y supervisar la
ejecución de los proyectos y servicios de
gestión de datos.
Gestionar y resolver las cuestiones de
seguridad relacionadas con los datos.
Entender y promover el valor de los
activos de datos
Gobierno de
Datos
Roles y Responsabilidades:
Participantes:
Administradores de datos (data stewards)
ejecutivos y de negocio
Profesionales de los datos
Responsables de la gestión de datos
CIOs.
Proveedores:
Ejecutivos de negocios
Ejecutivos de IT
Administradores de datos
•
Reguladores.
Consumidores:
Productores de datos, trabajadores del
conocimiento, directivos y ejecutivos,
clientes.
Gobierno de Datos
1 . Alcanzar el grado de
comprensión suficiente
de las necesidades
estratégicas
corporativas.
2 . De acuerdo a ellas,
desarrollar y mantener
la estrategia de datos.
4 . Elaborar y aprobar las
políticas de datos, junto
con sus correlativas
normas y la creación de
procedimientos ad hoc .
5 . Revisar y aprobar
arquitectura de datos .
7 . Estimar el valor de
los activos de datos y los
costes asociados .
3 . Establecer los roles
que interactuarán con
los datos dentro del
entorno organizacional
6 . Planificar y
patrocinar los proyectos
y servicios de gestión de
datos.
Gobierno de Datos
Implementar un gobierno de datos efectivo:
Accesible: tiene que garantizar que las personas
pueden acceder a los datos que necesitan en el
momento preciso, encontrándolos en condiciones de
formato adecuadas.
Seguro: debe ser posible garantizar que sólo las
personas son autorizadas pueden acceder a los
datos.
Consistente: con datos sin duplicidades, libres de
redundancias.
De calidad: en términos no sólo de exactitud, sino
también de conformidad con las normas acordadas.
Auditable: capaz de explicar el origen de los datos y
de aportar información
Gobierno de Datos
Para poder implementar de manera
efectiva:
Un patrocinio de alto nivel .
Una estrategia de gestión de datos
Modelos y arquitectura de datos que den
soporte a la riqueza de los metadatos.
Estándares, políticas y principios.
Procesos de gobierno.
Una estructura organizacional donde estén
claros los roles y responsabilidades.
Medios de monitorización y reporting.
Las herramientas necesarias.
Gobierno de Datos
El checklist del gobierno de datos:
Autoridad de la toma de decisiones y
definición de políticas y procedimientos:
asignar niveles apropiados de autoridad a los
administradores de datos, definiendo el
alcance y las limitaciones de esa autoridad de
forma proactiva.
Estándares: adoptar y hacer cumplir las
políticas y procedimientos encuadradas en un
plan de gestión de datos.
Inventarios de datos: inventariar todos los
datos que requieren de protección,
manteniendo este inventario actualizado con
información sobre todos los registros sensibles
y sistemas de datos, previamente clasificados
en función de su prioridad y criticidad.
Gobierno de Datos
El checklist del gobierno de datos:
Gestión del contenido de los datos: gestionar el contenido de los datos para
justificar la recopilación de datos sensibles, optimizar los procesos de gestión de
datos y asegurar el cumplimiento con las regulaciones.
Gestión de registros de datos: especificar las actividades de gestión y de usuario
adecuados relacionados con el manejo de datos para proporcionar a los
administradores de datos y usuarios las herramientas adecuadas para el
cumplimiento de las políticas de seguridad de la organización.
Calidad de datos: asegurarse de que los datos son exactos, relevantes,
consistentes, actualizados y completos para los fines previstos.
Gobierno de
Datos
El checklist del gobierno de datos:
Acceso de datos: definir y asignar
niveles diferenciados de acceso a los
datos a las personas según sus funciones
y responsabilidades. Resulta
fundamental y elemental para evitar el
acceso no autorizado y minimizar el
riesgo de violaciones de datos.
Seguridad de datos y gestión de
riesgos: garantizar la seguridad de los
datos confidenciales y personales
identificables y mitigar los riesgos de la
divulgación no autorizada de estos
datos. Este aspecto debe considerarse
como altamente prioritario para la
consecución de un plan de gobierno de
datos eficaz
Gobierno de Datos
Mejores prácticas del gobierno de datos:
Medir la calidad de los datos de forma
continua.
Lograr el equilibrio de gobernanza de datos
entre TI y las funciones de negocio, así como
entre unidades de negocio y corporativas.
Formalizar una organización del gobierno de
los datos en base a la localización híbrida de
responsabilidades.
Organizar la gestión de datos maestros como
servicio compartido operado de manera
equiparable a una "fábrica de datos"
Implicar a todos los interesados y fomentar su
participación, al fin y al cabo la gobernanza de
datos es una cues- tión de cambio.
Minimizar la burocracia, es preferible utilizar
las estructuras y procesos existentes.
Gobierno de Datos
Las peores prácticas
Enfrentar las necesidades de
negocio a las de IT: las tareas de
gobierno de datos necesitan ser
reconocidas como prioritarias
pero, sin un compromiso real no
tendra éxito.
No actuar en el momento
adecuado: Organizar
prematuramente el marco de
gestión es fundamental antes de
lanzarse a la tarea de crear el
comité.
Ir por todo, literalmente: ni el
objetivo es resolver todos los
problemas de la organización, ni
se debe comenzar por abordar las
cuestiones más complicadas en
referencia a los problemas de
datos.
Gobierno de Datos
Las peores prácticas
Ser demasiado extremista: hay
que evitar situaciones en las
que, o bien el programa es
demasiado alto nivel y las
cuestiones de fondo no se
tratan, o se intentan crear
definiciones y reglas para cada
campo y asunto.
Sobrecargar al comité:
Fallar en la implementación:
los esfuerzos de la gobernanza
de datos no producirán ningún
valor para el negocio si las
definiciones de datos, reglas de
negocio y KPIs se crean pero no
se utilizan en todos los
procesos.
Gobierno de Datos
Las peores prácticas
No ocuparse de la gestión del cambio:
Las organizaciones deben adaptarse
continuamente, partiendo de una
configuración flexible, que ademita y
prevea la necesidad de modificación de
procesos de IT y de negocio.
Asumir que la tecnología por sí sola es
la respuesta
No construir procesos sostenibles: El
fallo de muchas organizaciones es no
establecer un presupuesto que incluya
las necesidades de diseño o en materia
de recursos con miras a sostener el
esfuerzo de gobierno de datos en el
largo plazo.
Ignorar los sistemas paralelos: Los
sistemas de business intelligence y los
registros son una fuente de gran valor en
lo que a datos relevantes se refiere, sin
embargo, no son las únicas.
Assessment
de Gobierno
de Datos
Facilitador Edgar Revollo Patón
EFRP1
¿Cuales es el esfuerzo sobre la gestión de datos?.
Assessment
de Gobierno
de Datos
La forma de alinear los cambios a introducir con las
tareas continuas para garantizar el mantenimiento de los
niveles de productividad
A diferencia de una auditoría, que se centra en el trabajo
hecho en el pasado, una evaluación del gobierno de
datos es el proceso de documentación, conocimientos,
habilidades, actitudes y creencias acerca de este tema;
orientado al futuro.
Diapositiva 28
EFRP1
EDGAR FERNANDO REVOLLO PATON| 24/06/2019
Assessment de Gobierno de Datos
Se deberán analizar tanto
los procesos y sistemas,
como la participación
humana y el enfoque
adoptado por la
organización en cuanto a
gobierno de datos.
Tratará de determinar la
validez y fiabilidad de la
información, a la vez que se
proporciona una manera de
confirmar si los controles
internos del sistema
funcionan como se espera.
Assessment de Gobierno de Datos
¿Cuándo se necesita hacer una evaluación
del gobierno de datos?
Valorar la disposición real de la empresa para
el desarrollo de un almacén de datos u otra
iniciativa de inteligencia de negocio.
Revisar el estado de las capacidades
tecnológicas y de negocio.
Detectar problemas de calidad antes de que
escalen.
Conocer el nivel de la empresa en materia de
gobierno de datos y gestión de la información.
Prepararse para un cambio técnico o de
organización que implique a la gestión de la
información.
Comparar el estado actual de la
infraestructura empresarial con la dirección
deseada su arquitectura de datos, para
ajustar todo aquello que no apoye al negocio
en su crecimiento.
Es importante incidir en la necesidad de que un proyecto de
este tipo no sea sólo iniciativa de IT. Si no sea el área de negocio
quien se dé cuenta de la necesidad de contar con un gobierno
de datos alineado con las metas organizacionales.
Assessment
de Gobierno
de Datos
Un gobierno de los datos ineficaz terminaría afectando al
negocio.
Los dos primeros niveles nivel inicial y nivel repetible, son los
más básicos y en ellos sólo interviene IT.
A partir de ese momento, en los niveles 3, 4 y 5 es donde el área
de negocio ocupa un papel clave estandarizando, midiendo,
controlando y avanzando hacia la excelencia en un ciclo de
mejora continua.
Assessment de Gobierno de Datos
Assessment del gobierno de datos. Una buena evaluación tendría que
incluir, desde los resultados de la ejecución del gobierno, hasta la
valoración de sus técnicas.
Asignar responsables para llevar a cabo el assessment.
Determinar a los propietarios de los datos.
Assessment de Gobierno de Datos
Definir metas. Los objetivos deben ser realistas, alcanzables y estar
justificados.
Establecer indicadores (KPIs) relevantes que ayuden a evaluar el progreso
gracias al análisis de las métricas que aportan. Estos KPIs deben determinarse
de forma consensuada entre los promotores de la iniciativa de evaluación del
gobierno de los datos, los encargados de realizarla y los propietarios de los
datos.
Assessment de
Gobierno de Datos
Procesos Relacionados con la Gestión de
datos.
DM.1. Gestión de requisitos de datos.
Recopilar y validar los requisitos
referentes a los datos necesarios para
gestionar con éxito la organización.
DM.2. Gestión de la infraestructura
tecnológica. Especificar y mantener la
infraestructura tecnológica necesaria
para dar soporte al significado de los
datos compartidos entre las
aplicaciones.
DM.3. Gestión de datos históricos.
Mantener y ejecutar las políticas
necesarias para la gestión de datos
históricos de la organización.
Assessment de Gobierno de Datos
Procesos Relacionados con la Gestión de datos.
DM.4. Gestión de seguridad de datos. Definir y habilitar mecanismos
para hacer posible la confidencialidad, integridad, accesibilidad o
disponibilidad, autenticidad, imposibilidad de rechazo, consistencia,
aislamiento y auditoría de los datos.
DM.5. Gestión de la configuración. Definir los procesos por los que una
organización demanda, determina, aprueba e implementa los planes
alcanzables y evalúa los cambios del ciclo de vida de los datos.
DM.6. Gestión de datos maestros. Identificar los conceptos relevantes
para el dominio del negocio de la organización y el alineamiento de la
estrategia organizacional de datos en torno a dichos datos maestros.
Assessment de
Gobierno de
Datos
Procesos Relacionados con la Gestión de datos.
DM.7. Diseño de datos. Crear un modelo de datos
consistente, completo y extensible que cubra la
visión de los datos de los datos maestros de todas
las unidades organizacionales y que esté alineado
con la estrategia organizacional de datos.
DM.8. Establecimiento de Fuentes y destinos de
datos. Identificar y caracterizar cada una de las
fuentes y destinos de los datos usados en los
procesos de negocio organizacionales, así como los
acuerdos y las interacciones con los proveedores y
clientes.
DM.9. Integración de datos. Asegurar la integridad
de los datos mediante el control de flujo y las
relaciones con los datos transferidos a los sistemas
de aplicaciones o bases de datos.
Procesos Relacionados con la Gestión de la
Calidad de los Datos.
Assessment
de Gobierno
de Datos
DQM.1. Medición de la calidad de datos.
Establecer los recursos necesarios para satisfacer
los requisitos, y medir los niveles de calidad de
datos de acuerdo a los criterios de medición.
DQM.2. Mejora de la calidad de datos.
Implementar un ciclo de mejora continua basado
en el modelo PDCA para la mejora de los datos en
los repositorios organizacionales.
Procesos Relacionados con el Gobierno de Datos.
Assessment
de Gobierno
de Datos
DG.1. Establecimiento de estrategias de datos.
Identificar y priorizar los objetivos de gestión de
datos, y trabajar de acuerdo a esa priorización para
dar soporte a los objetivos estratégicos empresariales.
DG.2. Gestión del ciclo de vida y valor de datos.
Identificar el grado de importancia que tienen los
datos para los diferentes procesos de negocio en las
correspondientes etapas.
Assessment
de Gobierno
de Datos
DG.3. Establecimiento de estándares, políticas, buenas
prácticas y procedimientos. Establecer aquellos
estándares, políticas, buenas prácticas y procedimientos
para la gestión de los datos, gestión de la calidad de datos
y el gobierno de datos a fin de poder dar soporte el mejor
soporte posible a la estrategia de calidad de datos.
DG.4. Gestión de recursos humanos. Gestionar
adecuadamente las necesidades para la formación
específica requerida para los recursos humanos
específicamente destinados a la gestión de los datos,
gobierno de los datos y a gestión de la calidad de los
datos.
Assessment de Gobierno de Datos
DG.5. Gestión de recursos
financieros. Desarrollar planes
para el aprovisionamiento y
mantenimiento de recursos
financieros que puedan dar
soporte a la estrategia de datos
de la organización.
DG.6. Monitorización de las
estrategias organizacionales de
datos. Desarrollar y medir los
indicadores claves para la
monitorización de la
consecución de la estrategia de
gestión de datos y comprobar
que realmente está siendo
alineada a la estrategia
organizacional de datos.
DG.7. Gestión de cambios
en las estrategias de datos.
Mantener coherente la
estrategia organizacional de
datos de acuerdo a la
evolución de los objetivos
estratégicos empresariales.
Assessment de Gobierno de Datos
Nivel de Madurez 0 o Inmaduro: La organización no puede demostrar la implementación efectiva de las
buenas prácticas del modelo de referencia de procesos. Por lo tanto, no hay garantías de que estén
utilizando adecuadamente sus datos.
Nivel de Madurez 1 o Básico: La organización puede demostrar que utiliza un conjunto de buenas prácticas
orientadas a proporcionar el soporte mínimo necesario para la gestión de los datos necesarios en sus
procesos de negocio. Pero no se presta especial atención ni al gobierno de los datos ni a la calidad de datos.
DM.1.Gestión de
requisitos de datos
DM.2.Gestión de
infraestructura
tecnológica
DM.5.Gestión de la
configuración
DM.8.Establecimiento
de fuentes y destinos
de datos.
Assessment de Gobierno de Datos
Nivel de Madurez 2 o Gestionado: La organización puede demostrar que
utiliza un conjunto de buenas prácticas orientadas a garantizar que los datos
usados en sus procesos de negocio están alineados con la estrategia
organizacional. Por lo tanto, hay garantías de que la organización tiene
implementado los procesos necesarios de gobierno de datos mínimo como
para asegurar el éxito en sus procesos de negocio. Esto implica
institucionalizar y ejecutar, no sólo las buenas prácticas de los procesos del
nivel 1, sino además los siguientes procesos
DM.3.Gestión de datos históricos
DM.4.Gestión de seguridad de datos
DG.1.Establecimiento de estrategias de datos
DG.2.Gestión del ciclo de vida y valor de los datos
Assessment de
Gobierno de
Datos
Nivel de Madurez 3 o Establecido: La
organización puede demostrar que utiliza un
conjunto de buenas prácticas orientadas a
gestionar la calidad de los datos para
garantizar que los datos usados en sus
procesos de negocio tienen los niveles
adecuados de calidad. Esto implica que los
procesos de negocio se benefician en la
ejecución de los siguientes procesos, así
como los procesos incluidos en el nivel 2:
DM.9. Integración de datos
DQM.1. Medición de calidad de datos
DM.6. Gestión de datos maestros
DM.7. Diseño de datos
DQM.2. Mejora de calidad de datos
DG.4. Gestión de recursos humanos
Assessment de Gobierno de Datos
Nivel de Madurez 4 o Predecible: La organización puede demostrar que utiliza
un conjunto de buenas prácticas orientadas a monitorizar que las estrategias
organizacionales de datos son realmente efectivas. Para alcanzar este nivel
una organización debe ejecutar todos los procesos del nivel 3 y además el
siguiente proceso:
DG.6. Monitorización de las estrategias organizaciones de datos
Assessment de Gobierno de Datos
Nivel de Madurez 5 o Innovando: La organización puede demostrar que utiliza
un conjunto de buenas prácticas orientadas a garantizar que las estrategias
de datos van evolucionando a medida que evolucionan las estrategias
organizacionales. Una organización estará en nivel de madurez 5, cuando
además de monitorizar sus estrategias de datos (nivel 4), ejecuta los
siguientes procesos orientados a actualizar las estrategias de datos, no sólo
para mejorar defectos conocidos sino que podría ser utilizada para mejorar el
rendimiento global:
DG.5. Gestión de recursos financieros
DG.7. Gestión de cambios en las estrategias de datos.
Assessment de Gobierno de Datos
El nivel de madurez se
computa en función del
nivel de capacidad que
tienen los procesos
incluidos en la
evaluación. El nivel de
capacidad se computa
teniendo en cuenta el
grado de
institucionalización
Para realizar el cómputo
del nivel de capacidad
de dichos procesos hay
que realizar una
inspección de los
distintos tipos de
evidencias (directas,
indirectas, entrevistas y
documentación). Como
resultado del nivel de
capacidad se obtendrá
una calificación de {Not
Achieved (N), Partially
Achieved (P), Full
Achieved (F), Largely
Achieved (L)}
Con respecto a la
mejora, el objetivo de la
organización será
alcanzar un mayor nivel
de madurez
organizacional. Ello
implica institucionalizar
progresivamente cada
vez más procesos y
llevar los procesos
institucionalizados a
niveles de capacidad
mayores
Assessment de
Gobierno de Datos
Que se necesita para el éxito
Apoyo de la alta dirección.
Comunicación entre
departamentos o áreas en
general.
Colaboración entre IT y
negocio.
Participación de los
propietarios de los datos en el
proceso.
Assessment de
Gobierno de
Datos
Al llevar a cabo la evaluación de
gobierno de datos, hay que tener claro
a quién hay que dirigirla.
La alta dirección: como responsables
de la inversión, deben incluirse como
destinatarios número uno de las conclusiones alcanzadas a la hora de rendir
cuentas de las metas que se van
consiguiendo y las finales.
IT: ya que se encargarán de llevar a
cabo el proceso o, si no es una
responsabilidad 100% suya, su
aportación será decisiva.
Propietarios datos: dada su
responsabilidad sobre la información,
tanto si eran conocedores de su
cualidad de data stewards antes de la
evaluación, como si fueron designados a
raíz de iniciarse ésta, siempre han de
mantenerse actualizados.
Assessment de Gobierno de Datos
A. Revisar la documentación básica relativa al gobierno de datos y a la
gestión de metadatos, almacenamiento de datos, modelado de datos de
la empresa y arquitectura, como mínimo. Dependiendo de las prioridades,
el presupuesto y los recursos disponibles, el assessment puede abarcar
todas estas áreas, o centrarse en un subconjunto.
B. Realizar entrevistas con las partes interesadas. IT, negocio y los
propietarios de los datos deben participar activamente, mostrando de
esta forma su compromiso con los objetivos de gobierno de datos en la
organización.
C. Evaluar las necesidades actuales de la empresa en materia de
gobierno de datos, teniendo en cuenta los requisitos reglamentarios o
de cumplimiento, así como los objetivos de negocio más relevantes.
Assessment de Gobierno de Datos
D. Evaluar la arquitectura técnica e infraestructura de negocio, de
modelos de datos, de metadatos, de integración de datos, de seguridad,
de la organización y también los métodos y herramientas de entrega de
datos. En esta fase es preciso evaluar la necesidad de desarrollar nuevas
arquitecturas futuras.
E. Alinear los planes concretos con un enfoque
unificado para el gobierno de datos y su gestión.
F. Recomendar una estrategia global de acción, una
metodología de apoyo y suficiente orientación en base a
las mejores prácticas y estándares de la industria.
G. Comenzar la planificación detallada del plan de
acción en función de los resultados obtenidos en la
evaluación del gobierno de datos.
