Big Data: impactos y beneficios

Acerca de ISACA®
Con más de 100 000 miembros en 180 países, ISACA® (www.isaca.org) es un proveedor líder global de conocimiento,
certificaciones, comunidad profesional, promoción y educación en materia de aseguramiento y seguridad de los sistemas de
información (information systems, IS), gobierno corporativo y gestión de TI, riesgos relacionados con las TI y cumplimiento
de las normas. Fundada en 1969, ISACA, una organización independiente sin ánimo de lucro, auspicia conferencias
internacionales, publica ISACA® Journal y desarrolla normas internacionales de control y auditoría para los IS, lo que ayuda
a sus miembros a asegurar el valor y la confianza en los sistemas de información. También desarrolla y certifica destrezas
y conocimientos en TI a través de las siguientes designaciones mundialmente reconocidas: Certified Information Systems
Auditor® (Auditor Certificado en Sistemas de Información) (CISA®), Certified Information Security Manager® (Gerente
Certificado en Seguridad de la Información) (CISM®), Certified in the Governance of Enterprise IT® (Certificado en el
Gobierno de Tecnologías de la Información Corporativa) (CGEIT®) y Certified in Risk and Information Systems ControlTM
(Certificado en Riesgo y Control de Sistemas de Información) (CRISCTM).

ISACA actualiza y expande permanentemente la orientación práctica y la familia de productos basadas en el marco COBIT®.
COBIT ayuda a los profesionales de TI y a los líderes empresariales a cumplir con sus responsabilidades de gestión y gobierno
de las TI, particularmente en las áreas de aseguramiento, seguridad, riesgo y control, y a aportar valor al negocio.

Exención de responsabilidad
ISACA ha diseñado y creado Big data: impactos y beneficios (el “Trabajo”), principalmente como un recurso educativo para
los profesionales de gobierno y aseguramiento. ISACA no garantiza que el uso de cualquier componente del “Trabajo” asegure
un resultado exitoso. El “Trabajo” no debe ser considerado como abarcativo de toda la información, procedimientos y pruebas
apropiadas ni tampoco como excluyente de otra información, procedimientos y pruebas que se aplican razonablemente para
obtener los mismos resultados. Para determinar la conveniencia de cualquier información específica, procedimiento o prueba,
los profesionales de gobierno y aseguramiento deberán aplicar su propio criterio profesional a las circunstancias específicas
presentadas por los sistemas particulares o por el entorno de tecnología de la información.

Reserva de derechos
© 2013 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, reproducir,
modificar, distribuir, mostrar, almacenar en un sistema de recuperación ni transmitir de ninguna manera a través de
ningún medio (electrónico, mecánico, fotocopiado, grabación u otros) sin la autorización previa por escrito de ISACA. La
reproducción y utilización de toda o parte de esta publicación están permitidas únicamente para el uso académico, interno y
no comercial, y para los compromisos de consultoría y asesoramiento, y deberán incluir la referencia completa de la fuente del
material. No se otorga otra clase de derechos ni permisos en relación con este trabajo.

ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE. UU.
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: info@isaca.org
Sitio web: www.isaca.org

Envíe sus comentarios: www.isaca.org/Big-Data-WP

Participe en el Centro de Conocimiento de ISACA: www.isaca.org/knowledge-center
Siga a ISACA en Twitter: https://twitter.com/ISACANews
Únase a ISACA en LinkedIn: ISACA (Oficial), http://linkd.in/ISACAOfficial
Pulse “Me gusta” en el perfil de ISACA en Facebook: www.facebook.com/ISACAHQ

Big Data: impactos y beneficios

2
 Big Data: impactos y beneficios

Agradecimientos
ISACA desea agradecer a:

Equipo de desarrollo del proyecto

Richard Chew, CISA, CISM, CGEIT, Emerald Management Group, EE. UU.
Keith Genicola, KPMG LLP, EE. UU.
Brian Li, Ernst & Young LLP, CFE, CMCON, EE. UU.
Jothi Philip, CISA, ACA, CISSP, Banco de Inglaterra, RU
Tichaona Zororo, CISA, CISM, CGEIT, CRISC, CIA, EGIT | Enterprise Governance of IT (PTY) Ltd., Sudáfrica

Revisores expertos
Joanne De Vito De Palma, BCMM, The Ardent Group LLC, EE. UU.
Russell Fairchild, CISA, CRISC, CISSP, PMP, SecureIsle, EE. UU.
Rammiya Perumal, CISA, CISM, CRISC, Sumitomo Mitsui Bank, EE. UU.
Lily M. Shue, CISA, CISM, CGEIT, CRISC, CCP, LMS Associates LLP, EE. UU.

Consejo Directivo de ISACA

Gregory T. Grocholski, CISA, The Dow Chemical Co., EE. UU., Presidente Internacional
Allan Boardman, CISA, CISM, CGEIT, CRISC, ACA, CA (SA), CISSP, Morgan Stanley, RU, Vicepresidente
Juan Luis Carselle, CISA, CGEIT, CRISC, Wal-Mart, México, Vicepresidente
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia, Vicepresidente
Ramsés Gallego, CISM, CGEIT, CCSK, CISSP, SCPM, Cinturón Negro de Six Sigma, Dell, España, Vicepresidente
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Gobierno de Queensland, Australia, Vicepresidente
Jeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., EE. UU., Vicepresidente
Marc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Bélgica, Vicepresidente
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), EE. UU., Expresidente Internacional
Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (jubilado), EE. UU., Expresidente Internacional
John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapur, Director
Krysten McCabe, CISA, The Home Depot, EE. UU., Directora
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich, Australia, Director

Comité de Conocimiento
Marc Vael, Ph.D., CISA, CISM, CGEIT, CRISC, CISSP, Valuendo, Bélgica, Presidente
Rosemary M. Amato, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., Holanda
Steven A. Babb, CGEIT, CRISC, Betfair, RU
Thomas E. Borton, CISA, CISM, CRISC, CISSP, Cost Plus, EE. UU.
Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, EE. UU.
Jamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, RU
Salomon Rico, CISA, CISM, CGEIT, Deloitte LLP, México

Comité de Orientación y Prácticas

Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, EE. UU., Presidente
Dan Haley, CISA, CGEIT, CRISC, MCP, Johnson & Johnson, EE. UU.
Yves Marcel Le Roux, CISM, CISSP, CA Technologies, Francia
Aureo Monteiro Tavares Da Silva,
CISM, CGEIT, Vista Point, Brasil
Jotham Nyamari, CISA, Deloitte, EE. UU.
Connie Lynn Spinelli, CISA, CRISC, CFE, CGMA, CIA, CISSP, CMA, CPA, BKD LLP, EE. UU.
Siang Jun Julia Yeo, CISA, CPA (Australia), Visa Worldwide Pte. Limited, Singapur
Nikolaos Zacharopoulos, CISA, DeutschePost–DHL, Alemania

3
 Big Data: impactos y beneficios

Agradecimientos (continuación)
Afiliados y patrocinadores de ISACA y del IT Governance Institute® (ITGI®)
Foro de Seguridad de la Información (Information Security Forum)
Institute of Management Accountants Inc.
Capítulos de ISACA
ITGI Francia
ITGI Japón
Norwich University
Socitum Performance Management Group
Solvay Brussels School of Economics and Management
Strategic Technology Management Institute (STMI) of the National University of Singapore
University of Antwerp Management School

ASIS International
Hewlett-Packard
IBM
Symantec Corp.

4
 Big Data: impactos y beneficios

Introducción
Big data (grandes conjuntos de datos) es un término técnico y de marketing que hace referencia a un activo valioso de la
empresa, es decir, la información. Representa una tendencia en tecnología que lidera el camino hacia un nuevo enfoque en
el entendimiento del mundo y la toma de decisiones de negocio. Estas decisiones se toman en función de cantidades muy
grandes de datos complejos, estructurados y no estructurados (por ejemplo, tweets, videos, transacciones comerciales) que se
han vuelto difíciles de procesar mediante la utilización de herramientas básicas de bases de datos y de gestión de almacenes
de datos (“data warehouse”). La gestión y el procesamiento del conjunto de datos cada vez mayor requiere la ejecución de
software especializado en múltiples servidores. Para algunas empresas, los grandes conjuntos de datos se cuentan en cientos de
gigabytes; para otras, en terabytes o incluso en petabytes, con una tasa de crecimiento y cambio frecuente y rápido (en algunos
casos, casi en tiempo real). Esencialmente el término big data se refiere a conjuntos de datos que son demasiado grandes
o que cambian demasiado rápido como para ser analizados mediante técnicas tradicionales de bases de datos relacionales o
multidimensionales, o herramientas de software comúnmente utilizadas para capturar, administrar y procesar los datos en una
ventana de tiempo razonable.

Según COBIT® 5, la información es efectiva si satisface las necesidades del consumidor de información (considerado un
actor). En el caso de los grandes conjuntos de datos, la empresa es el actor interesado y uno de sus principales intereses es la
calidad de la información. Los intereses se pueden relacionar con los objetivos de la información en el modelo habilitador de
COBIT 5, que los divide en tres subdimensiones de calidad, que se describen más adelante en este artículo técnico. Cuanto
mejor sea la calidad de los datos, mejores serán las decisiones basadas en esos datos; esto finalmente genera valor para la
empresa. Por lo tanto, la gestión de grandes conjuntos de datos debe garantizar la calidad de los datos en todo su ciclo de vida.

Los datos se recopilan para ser analizados, y para buscar patrones y correlaciones que inicialmente pueden no ser evidentes,
pero que pueden ser útiles en la toma de decisiones de negocio. Este proceso se denomina revisión analítica de grandes
conjuntos de datos. Con frecuencia, estos datos son datos personales útiles desde una perspectiva de marketing para
el entendimiento de las preferencias y aversiones de los posibles compradores, y para el análisis y la predicción de su
comportamiento de compra. Los datos personales se pueden clasificar en las siguientes categorías:
• Datos voluntarios: creados y compartidos en forma explícita por las personas (por ejemplo, perfiles de redes sociales).
• Datos observados: capturados mediante el registro de las acciones de las personas (por ejemplo, datos de ubicación cuando
utilizan teléfonos celulares).
• Datos inferidos: datos acerca de las personas, basados en el análisis de información voluntaria u observada (por ejemplo,
capacidad crediticia).

El objetivo principal de analizar grandes conjuntos de datos es respaldar a las

empresas en la toma de mejores decisiones de negocio. Los investigadores
que estudian los datos y otros usuarios analizan grandes cantidades de datos, El objetivo principal de analizar grandes
de transacciones y de otras fuentes de datos, que pueden ser ignorados por el conjuntos de datos es respaldar a
software de inteligencia financiera tradicional, como registros de servidores web,
informes de actividad de redes sociales, registros de teléfonos celulares y datos
las empresas en la toma de mejores
obtenidos a través de sensores. La revisión analítica de datos puede permitir decisiones de negocio.
un enfoque de marketing orientado, que proporciona a la empresa un mejor
entendimiento de sus clientes —un entendimiento que influirá en los procesos
internos y finalmente, aumentará las ganancias; esto brinda la ventaja competitiva
que la mayoría de las empresas buscan.

Este artículo técnico ofrece una visión general del impacto que puede tener la recopilación y la revisión analítica de grandes
conjuntos de datos en una empresa. Identifica los posibles beneficios para el negocio, los desafíos, los riesgos, las prácticas
de gobierno y la gestión de riesgos, y ofrece una visión general de las consideraciones de aseguramiento relevantes que se
relacionan con la revisión analítica de grandes conjuntos de datos.

5
 Big Data: impactos y beneficios

Impacto de los grandes conjuntos de datos en la empresa

Los grandes conjuntos de datos pueden afectar los modelos de procesos actuales y futuros de muchas maneras. Más allá del
impacto en el negocio, el agregado de datos puede afectar el gobierno y la gestión por encima de la planificación, el uso, el
aseguramiento y la privacidad:
• Gobierno: ¿qué datos se deben incluir y cómo se debe definir y realizar el gobierno de grandes conjuntos de datos?
(Estos temas se analizan más adelante en este artículo técnico).
• Planificación: la planificación implica el proceso de obtener y organizar resultados para:
– Justificar los ajustes o las mejoras de los procesos que hasta hace poco podían ser identificados mediante técnicas de
investigación especializadas, como los modelos predictivos.
–D  iseñar un programa de actividad comercial basado en determinadas condiciones que desencadenan eventos.
– Fomentar patrones de compra cuando un comprador investiga sobre productos y servicios.
–U  tilizar información basada en la ubicación, en combinación con otros datos recopilados, para orientar la lealtad del
cliente, guiar el tráfico, identificar nuevas demandas de productos, etc.
– Gestionar inventario “justo a tiempo” (just-in-time, JIT) en función de cambios estacionales o de demanda. Por ejemplo,
una empresa de fabricación puede ajustar los niveles de producción para un artículo determinado a partir de que el número
de pieza no se pida durante dos días consecutivos.
– Gestionar operaciones de firmas de logística y transporte en función de su desempeño en tiempo real.
– Gestionar cambios de política e infraestructura de TI no planificados que alteran la dirección del respaldo de TI.
• Uso: el uso de grandes conjuntos de datos puede variar de una empresa a otra en función de la cultura y madurez de la
empresa. Una empresa pequeña puede adoptar grandes conjuntos de datos con mayor lentitud porque posiblemente no tenga
la infraestructura necesaria para respaldar los nuevos procesos involucrados. Por el contrario, empresas tales como IBM®,
Hewlett-Packard Company (HP) y Amazon.com®, han cambiado su dirección en los últimos años, de la venta de productos
a la prestación de servicios y al uso de información para orientar las decisiones de negocio. Las empresas que adoptaron los
grandes conjuntos de datos han realizado las inversiones necesarias para transformarse en expertos en información, capaces
de identificar demandas de nuevos productos y servicios mediante la explotación de datos, información que convierten en
una ventaja competitiva al ser los primeros en el mercado.

La infraestructura que se construye para respaldar los grandes conjuntos de datos también cuenta con mercados cruzados
para respaldar los servicios de computación en la nube, de manera que los clientes sean socios de negocio (lo que tiene como
resultado la aparición de frases tales como “amienemigos” y “coopetición”). En otras palabras, los clientes de los grandes
conjuntos de datos pueden ser competidores en un plano geométrico y socios cooperativos en otro, como cuando Netflix
utiliza la infraestructura de nube de Amazon.com para respaldar el perfeccionamiento de sus medios.
• Aseguramiento: la experiencia hace que las empresas desarrollen mejores prácticas de aseguramiento. Una vez que los
líderes desarrollan una estrategia que aprovecha los grandes conjuntos de datos, la empresa puede enfocarse en la definición
de un marco de aseguramiento para controlar y protegerlos. La principal preocupación de la organización del aseguramiento
es la calidad de los datos, tratados por temas como normalización, armonización y racionalización. (Estos temas son técnicos
y pertinentes a publicaciones sobre herramientas y técnicas, y no se tratan en este artículo técnico).
• Privacidad: la protección de la privacidad siempre se ha manejado de manera
diferente según las regiones geográficas, los gobiernos y las empresas. Las
Las leyes protegen la privacidad de las leyes protegen la privacidad de las personas y de cualquier información que
personas y de cualquier información se obtenga de ellas, incluso si comparten información confidencial en forma
inapropiada, como es el caso de la publicación de información privada o no
que se obtenga de ellas, incluso si pública (por ejemplo, imágenes de tarjetas de crédito, cumpleaños, números
comparten información confidencial de teléfono, preferencias personales) en las redes sociales. Independientemente
en forma inapropiada. de la autenticidad de la información recopilada a través las redes sociales, su
recopilación requiere la protección contra usuarios inescrupulosos, así como contra
gobiernos con control excesivo.

6
 Big Data: impactos y beneficios

Beneficios para la actividad comercial de los grandes conjuntos de datos

Las oportunidades que se obtienen a partir de los grandes conjuntos de datos son
importantes, como también lo son los desafíos. Las empresas que llegan a dominar Las empresas que llegan a
la disciplina emergente de gestión de grandes conjuntos de datos pueden disfrutar de
importantes retribuciones y distinguirse de sus competidores. En efecto, la investigación dominar la disciplina emergente
realizada por Erik Brynjolfsson, economista de la Sloan School of Management del de gestión de grandes conjuntos
Massachusetts Institute of Technology (EE. UU.), demuestra que las empresas que de datos pueden disfrutar de
“toman decisiones dirigidas por los datos” disfrutan de un cinco a un seis por ciento de
impulso en la productividad.1 El uso correcto de los grandes conjuntos de datos va más importantes retribuciones y
allá de la recopilación y el análisis de grandes cantidades de datos; también requiere el distinguirse de sus competidores.
entendimiento de cómo y cuándo utilizar los datos en la toma de decisiones cruciales.

La ventaja competitiva se puede mejorar mucho mediante el aprovechamiento de los datos correctos. Según un informe de
investigación realizado por McKinsey2, el valor potencial de los datos en el sector de la atención sanitaria de los EE. UU.
podría ser de más de US $300 mil millones cada año; dos tercios de esta cifra reduciría los gastos de atención sanitaria
nacional en aproximadamente un ocho por ciento.

Se puede obtener beneficios financieros cuando los procesos de gestión de datos se alinean con la estrategia de la empresa;
esto puede requerir la participación de la alta gerencia para establecer la dirección y supervisar las decisiones importantes.

La revisión analítica de grandes conjuntos de datos puede influir en forma positiva en:
• El desarrollo del producto.
• El desarrollo del mercado.
• La eficiencia operativa.
• La experiencia y lealtad del cliente.
• Las predicciones de la demanda del mercado.

En la figura 1, se muestra el proceso para obtener acceso a conocimientos comerciales específicos de la organización a partir
de los grandes conjuntos de datos.
Figura 1: Cómo abordar los conocimientos comerciales específicos de la organización

Beneficios de negocio

Analizar
Mejores decisiones
Agotar datos

Adquirir
Cualquier dato
Descubrir Faster Action
(redes sociales, registros
de empresas, datos como
servicio [Data as a
Service, DaaS], datos
de los competidores)
Mayor innovación
Predecir
Organizar
Enormes cantidades de
información obtenida de
todas las fuentes
imaginables Ventaja competitiva
Planificar más marcada

1
Swalwell, John; “Big Data and Intelligent Image Capture Platforms,” Technology First, EE. UU., agosto de 2012
2
Manyika, James; Michael Chui; Brad Brown; Jacques Bughin; Richard Dobbs; Charles Roxburgh; Angela Hung Byers; “Big data: The next frontier for innovation,
competition, and productivity,” McKinsey Global Institute, McKinsey & Company, EE. UU., mayo de 2011

7
 Big Data: impactos y beneficios

¿La empresa debe abocarse de lleno a los grandes conjuntos de datos o comenzar paulatinamente al aparecer pequeñas
oportunidades objetivo? ¿Comprar o tercerizar? Estas son estrategias que se deben implementar en función de los objetivos
estratégicos y las capacidades existentes de cada empresa. Para las empresas que están listas para transformar los grandes conjuntos
de datos de un pasivo con pérdida de ingresos en un activo con mejora de ingresos, se propone un plan de cuatro niveles:
1. Tómese un tiempo para elaborar una estrategia: trabaje con los actores y unidades de negocio claves para entender sus
necesidades de datos. Acepte sus opiniones para mejorar los procesos en todo el negocio.
2. Piense analíticamente: mejore el equipo de apoyo analítico y asegúrese de que los gerentes tengan las aplicaciones y el
acceso que necesitan para analizar de primera mano la información crítica para el negocio.
3. Pida lo que se necesita: aproveche las aplicaciones y el software específicos de la industria, siempre que estén disponibles.
Si no se cubren las necesidades, alerte al equipo de gestión y/o a los proveedores de la industria.
4. Invierta para mejorar: equipe la empresa con la tecnología, el personal y los sistemas/procesos adecuados y necesarios
para optimizar la información para contar con una verdadera inteligencia de negocios.

Riesgos y preocupaciones acerca de los grandes conjuntos de datos

Las empresas invierten un capital considerable para desarrollar e implementar la revisión analítica y la medición de grandes
conjuntos de datos, con el fin de obtener una ventaja competitiva anticipada. Si bien los grandes conjuntos de datos pueden
brindar una ventaja competitiva y otros beneficios, también conllevan riesgos importantes. Ahora que las empresas tienen
enormes cantidades de datos estructurados y no estructurados disponibles, la gerencia se debe preguntar lo siguiente:
• ¿Dónde debemos almacenar los datos?
• ¿Cómo vamos a proteger los datos?
• ¿Cómo vamos a utilizar los datos de manera segura y legal?

En la siguiente sección, se destacan las preocupaciones y los riesgos asociados con los grandes conjuntos de datos.

El concepto de gestión de riesgos de grandes conjuntos de datos aún se encuentra en

Los datos inexactos, incompletos o una etapa temprana para muchas empresas, y todavía se están desarrollando políticas de
seguridad y procedimientos en muchas áreas. Numerosos ejecutivos de negocio podrían
manipulados en forma fraudulenta no reconocer que cuanto más rápido y fácil se pueda obtener acceso a los grandes
plantean un riesgo en aumento, ya conjuntos de datos, mayor será el riesgo para toda esa valiosa información. Para que los
que las empresas se hacen cada datos se utilicen de manera productiva, los ejecutivos deben prestar especial atención a
los procesos del ciclo de vida de los datos corporativos; los conocimientos generados
vez más dependientes de los datos a partir de grandes conjuntos de datos son tan buenos como los datos mismos. Según
para la toma de decisiones y la el habilitador de información COBIT 5, se debe considerar el ciclo de vida completo
evaluación de resultados. de la información y posiblemente se necesiten diferentes enfoques, dependiendo de la
fase del ciclo de vida. El habilitador de información COBIT 5 identifica cuatro fases
diferentes (es decir, planificar, diseñar, construir/adquirir y usar/operar). Los datos
inexactos, incompletos o manipulados en forma fraudulenta plantean un riesgo en aumento, ya que las empresas se hacen más
dependientes de los datos para la toma de decisiones y la evaluación de resultados.

Es posible que la necesidad de gestionar los riesgos de los datos dentro de la empresa no se comunique ni entienda claramente
en todos los niveles de gestión. Es esencial destacar que el tratamiento de los riesgos y las preocupaciones acerca de los
grandes conjuntos de datos no se puede ver exclusivamente como un ejercicio desde la perspectiva de la tecnología de la
información. La participación de toda la empresa, incluido el departamento legal, el de finanzas, el de cumplimiento, el de
auditoría interna y otros departamentos de negocio, permite que todos se enfoquen en los objetivos de negocio en la etapa de
planificación. Por lo tanto, las empresas se pueden enfocar tanto en los aspectos técnicos como en los de negocio cuando se
trata de de los grandes conjuntos de datos.

En determinados momentos, las empresas pueden resistir las revisiones periódicas de las estrategias relacionadas con los
grandes conjuntos de datos, y las políticas y los procedimientos de seguridad porque la alta gerencia cree que la práctica

8
 Big Data: impactos y beneficios

actual es “suficiente” y es reacia a gastar más si no es “necesario”. Esta filosofía, sin embargo, es inexacta. La seguridad y
la privacidad juegan un papel cada vez más importante en relación con los grandes conjuntos de datos y todos los actores
deben estar atentos a las implicaciones de almacenar y realizar un análisis cruzado de grandes cantidades de distintos datos
confidenciales. Por otra parte, es imprescindible entender que algunos datos deben considerarse “tóxicos” ya que la pérdida
de control sobre ellos podría causar un daño a la empresa. Ejemplos de datos potencialmente“tóxicos” son:
• Información privada o en custodia, como números de tarjetas de crédito; información personal identificable, como números
de la seguridad social; e información personal de salud.
• Información estratégica, como propiedad intelectual, planes de negocio y diseños de productos.
• Información como indicadores clave de desempeño, cifras de ventas, medición financiera y medición de producción, que se
utilizan para tomar decisiones importantes.

Las vulnerabilidades de los datos son especialmente graves para las empresas que confían en los datos personales que genera
o pueden ser modificados por el público. Por ejemplo, los datos de las redes sociales pueden ser una fuente altamente valiosa
para evaluar las opiniones de los clientes, para realizar un seguimiento de la eficacia de las campañas de marketing y para
obtener más información sobre los consumidores. Sin embargo, el uso de este tipo de datos personales requerirá el tratamiento
de las incertidumbres y los puntos de tensión actuales:
• Privacidad: las necesidades de privacidad de las personas varían. Los desarrolladores de políticas se enfrentan a un desafío
complejo cuando desarrollan leyes y regulaciones.
• Gobierno global: existe una falta de interoperabilidad jurídica global; cada país desarrolla sus propios marcos normativos y legales.
• Propiedad de los datos personales: el concepto de derechos de propiedad no se extiende fácilmente a los datos, lo que crea
desafíos al establecer los derechos de uso.
• Transparencia: demasiada transparencia demasiado pronto presenta el mismo riesgo de desestabilizar el ecosistema de datos
personales que la escasa transparencia.
• Distribución del valor: incluso antes de que el valor se pueda compartir de forma más equitativa, se requiere más claridad
sobre lo que verdaderamente constituye valor para cada actor.

Para reducir al mínimo la posibilidad de daños ocasionados por datos inexactos

o fraudulentos, las empresas deben realizar un inventario de todas las fuentes
Para reducir al mínimo la posibilidad de
de datos que incluyen en sus análisis y evaluar cada fuente con relación a sus daños ocasionados por datos inexactos o
vulnerabilidades. ¿Los datos se generan públicamente? ¿Quién tiene acceso a fraudulentos, las empresas deben realizar
los datos en cualquier momento antes de que ingresen en el análisis? ¿Existen un inventario de todas las fuentes de datos
iniciativas para manipular los datos? En el caso de las fuentes de datos
vulnerables, se pueden emplear técnicas de clasificación para detectar posibles
que incluyen en sus análisis y evaluar cada
puntos de datos fraudulentos y eliminarlos antes de que se diseminen más. fuente con relación a sus vulnerabilidades.

Estrategias para abordar los riesgos relacionados con los grandes conjuntos de datos
La estrategia principal para abordar los riesgos es alinear la solución de la tecnología con las necesidades de negocio. El marco
COBIT 5 aborda esta estrategia en la cascada de objetivos alineando los factores conductores (“drivers”) de los actores con sus
necesidades. Estas necesidades se organizan en cascada en relación con los objetivos de la empresa, luego con los objetivos
relacionados con TI y por último, con los objetivos del habilitador. Existen siete habilitadores que se deben aplicar para ayudar a
la empresa a abordar los riesgos, y mejorar su capacidad para cumplir con sus objetivos de negocio y crear valor para sus actores.

Cuando las nuevas iniciativas, como la adopción de grandes conjuntos de datos, se alinean correctamente con el negocio, las
estructuras de gobierno existentes se pueden ajustar fácilmente para abordar la seguridad, el aseguramiento y un enfoque general,
a fin de adoptar nuevas tecnologías. Estos pasos deben incluir: generar una base de talentos, requerir el alineamiento de las
preocupaciones de seguridad de la información relacionadas con los grandes conjuntos de datos e iniciar programas piloto para
determinar si la necesidad es crecer internamente o aprovechar los beneficios de la experiencia anterior en grandes conjuntos de
datos. El personal que conoce y utiliza COBIT 5, es decir el habilitador de destrezas y competencias, que sugiere que la empresa
debe saber cuál es su base de destrezas actual y planificar lo que debería ser, será útil en la creación de la base de talentos.

9
 Big Data: impactos y beneficios

La creación de la base de talentos internamente es un pilar fundamental de una mejor práctica. ¿Quién puede entender la
cultura de la empresa, los procesos y el comportamiento de los datos de la empresa mejor que el personal? Los usuarios con
poder y las herramientas que utilizan constituyen un excelente inicio para:
• Determinar qué capacidades y recursos internos están disponibles para asimilar la información existente.
• Determinar qué herramientas son necesarias para mejorar el proceso de adquisición y asimilación de información.
• Abordar la forma en que se usará la información para lograr objetivos tácticos y estratégicos, si se determina que se necesita
información nueva y/o diferente.
• Desarrollar u obtener programas de capacitación para el equipo.
• Determinar si se necesita un investigador de datos.
• Establecer expectativas realistas y crear un plan táctico.

La integración de la revisión analítica de grandes conjuntos de datos en la gestión de riesgos de negocio y las operaciones de
seguridad no es una tarea fácil. Si bien los grandes conjuntos de datos se han transformado en una dinámica competitiva en una
empresa, también han transformado los programas de seguridad de la información de la empresa, incluso la manera en que se
desarrollan y ejecutan estos programas de seguridad. Es prudente crear expectativas con los actores en cada paso del trayecto.
Esto ayuda a mitigar el riesgo de pérdida de foco para la “visión compartida” respecto al alineamiento estratégico de negocios.

El riesgo también se puede mitigar garantizando la calidad de los datos. El habilitador de información COBIT 5 guía a la
empresa a través del ciclo de la información sugiriendo que los procesos de negocio generan y procesan datos, convirtiéndolos
en información y conocimiento y por último, produciendo valor para la empresa mediante la entrega de datos de calidad.
El habilitador de información también presenta el enfoque, sugiriendo que el primer paso es identificar a los actores y sus
intereses (es decir, por qué les importa o por qué están interesados en la información). Los intereses se pueden relacionar con
los objetivos de la información. Los objetivos de la información se dividen en tres subdimensiones de la calidad (figura 2).

Figura 2: Subdimensiones de la calidad de los datos

Calidad intrínseca Calidad contextual y representativa Calidad de la seguridad/accesibilidad
• Precisión • Relevancia • Disponibilidad/puntualidad
• Objetividad • Integridad • Acceso restringido
• Credibilidad • Actualidad
• Reputación • Cantidad adecuada de información
• Representación concisa
• Representación coherente
• Interpretabilidad
• Comprensibilidad
• Facilidad de manipulación

La elección de un socio es un paso importante hacia la decisión de qué procesos

La adopción inmediata de la
externalización niega a una empresa
la propiedad intelectual que necesita
para acompañar, gestionar y
controlar el trayecto de los grandes
conjuntos de datos.
se deben adoptar finalmente. Es la decisión de “hacer o comprar” de cada aspecto
del trayecto, desde la capacitación y la protección de la información hasta el
proyecto piloto y la transferencia de propiedad intelectual. La adopción inmediata
de la externalización niega a una empresa la propiedad intelectual que necesita
para acompañar, gestionar y controlar el trayecto de los grandes conjuntos de
datos. Como mínimo, cada empresa debe experimentar algunos aspectos de los
grandes conjuntos de datos para obtener el conocimiento y la experiencia para
referencia futura. Los grandes conjuntos de datos pueden cambiar la forma en que
las empresas hacen negocios, e influirán en su negocio, su cultura y sus procesos.
También deben ser un catalizador de la manera en que la empresa selecciona y
cambia los socios.

10
 Big Data: impactos y beneficios

La selección es un primer paso fundamental y puede incorporar diversas estrategias, además de la selección del proveedor de
grandes conjuntos de datos:
• Puede generar una alianza estratégica con uno o más proveedores de tecnología de grandes conjuntos de datos.
• Puede garantizar que las clases de capacitación sean dictadas por especialistas y no por aquellos que no pueden responder
preguntas fundamentales, y que se utilice la infraestructura de capacitación que respalde la interacción práctica.
• Puede garantizar que la información del curso se comparta con el equipo encargado de los grandes conjuntos de datos y que
éste la revise en forma integral.
• El proyecto piloto puede abarcar al instructor y al equipo encargado de los grandes conjuntos de datos, en reconocimiento
al hecho de que el proyecto es realmente un trabajo en curso.
• Los procesos de terceros, la gestión de proyectos y los objetivos se pueden alinear con los objetivos y la experiencia de la
empresa.
• Se puede participar a los actores del negocio y a la gestión de riesgos para garantizar que se establezcan los controles
correspondientes a los terceros proveedores/socios.

Una vez que la empresa sepa lo que quiere, deberá determinar cómo obtener la información que necesita. Un agente comercial
de datos es una posible fuente. Algunas empresas que ya están en el negocio de la información sobre empresas, relacionada
con los agentes comerciales, son: Bloomberg, Thomson Reuters, Simmons Market Research y The Nielsen Company.

Si la empresa elige crecer, debe decidir:

• Si debe utilizar un agente comercial.
• Si va a utilizar un socio para la capacitación en el proyecto.
• Si dará pasos pequeños o saltos gigantes en cuanto a la confianza, a medida que adquiere terabytes.
• Qué opciones están disponibles en materia de socios.
• Cuáles deben ser los entregables del proyecto.

La documentación del proyecto debe ser un entregable para:

• Impedir la dependencia hacia el proveedor/socio.
• Demostrar la titularidad de la propiedad intelectual.

Gobierno de grandes conjuntos de datos Figura 3: Gobierno en todas las etapas del proceso

El gobierno garantiza la evaluación de las necesidades, Objetivo de Gobierno: Creación de Valor

condiciones y opciones de los actores para determinar
que se alcancen los objetivos integrales y acordados Realización Optimización Optimización
de la empresa. Además respalda el establecimiento de Beneficios de Riesgo de Recursos
de indicaciones mediante la priorización y la toma
de decisiones, y la supervisión del rendimiento y el
cumplimiento frente a las indicaciones y los objetivos
acordados. Es muy probable que el alcance del gobierno,
los riesgos y el cumplimiento en una empresa se
expandan para crear un sistema unificado para consolidar Catalizadores Alcance
silos y funciones del negocio que permitan el acceso a
del Gobierno del Gobierno
todos los datos.

En la figura 3 se muestra el enfoque del gobierno en

todas las etapas del proceso, presente en las bases de
COBIT 5, incluidos los componentes clave de un sistema Roles, Actividades y Relaciones
de gobierno.
Fuente: COBIT 5, ISACA, EE. UU., 2012, figura 8

11
 Big Data: impactos y beneficios

Sin un proceso adecuado de
gobierno de datos, los proyectos
relacionados con grandes conjuntos
de datos pueden provocar muchos
problemas, incluso datos engañosos
y costos inesperados.
Sin un proceso adecuado de gobierno de datos, los proyectos relacionados con grandes
conjuntos de datos pueden provocar muchos problemas, incluso datos engañosos y
costos inesperados. Recién ahora empieza a entenderse el rol del gobierno de datos en
el matenimiento del orden en grandes conjuntos de datos alojados, dada la relativamente
reciente aparición de la tecnología y su asignación al departamento de TI. En consecuencia,
el gobierno de los entornos de grandes conjuntos de datos se encuentra en una etapa inicial
de madurez y existen unas pocas indicaciones de público conocimiento sobre la manera
de llevarlo a cabo con eficacia. Un problema fundamental es que los grupos de grandes
conjuntos de datos están más orientados a la exploración y el descubrimiento de datos que
al análisis y la elaboración de informes de inteligencia convencional de negocios.

Los programas de gobierno de datos proporcionan un marco para el establecimiento de

Los programas de gobierno de
datos proporcionan un marco para
el establecimiento de políticas de
uso de datos e implementación
de controles, diseñados para
garantizar que la información sea
precisa, coherente y accesible.
políticas de uso de datos e implementación de controles, diseñados para garantizar que
la información sea precisa, coherente y accesible. Claramente, un desafío importante en
el proceso de gobierno de grandes conjuntos de datos es la clasificación, el modelado
y el mapeo de los datos a medida que se capturan y almacenan, en particular debido a
la naturaleza no estructurada de la mayor parte de la información. Los datos a menudo
provienen de fuentes externas y la precisión no siempre se puede validar fácilmente;
además, el significado y el contexto de los datos de texto no necesariamente son
obvios. Para muchas empresas, los grandes conjuntos de datos implican una curva de
aprendizaje colectivo para: todos los gerentes de TI, programadores, arquitectos de
datos, modeladores de datos y profesionales del gobierno de datos.

Para ayudar a garantizar que los datos se mapeen correctamente, la tarea se debe asignar a un arquitecto de datos sénior cuyos
conocimientos y experiencia en TI resultarán inestimables en esta compleja actividad.

Durante la fase exploratoria de los proyectos relacionados con grandes conjuntos de datos, que define el valor esperado para
el negocio y conduce a iniciativas formales, las empresas deben considerar las siguientes preguntas fundamentales (según las
articula IBM) dentro de la gestión de la información:
• ¿Reconocemos completamente las responsabilidades asociadas con la gestión de grandes conjuntos de datos?
• ¿De qué manera cambian los grandes conjuntos de datos el concepto tradicional de información como un activo corporativo?
• ¿Cuáles son los requisitos emergentes relacionados con la privacidad?
• ¿Cómo se relacionan los grandes conjuntos de datos con nuestra infraestructura de TI actual?

La discusión que rodea a los grandes conjuntos de datos puede plantearle al director de informática/sistemas (CIO) más preguntas
de las que está preparado para responder. Muchas empresas justifican la falta de políticas adecuadas de gobierno porque creen
que los grandes conjuntos de datos son de alguna manera “diferentes”; de esta forma, eluden el problema. Dicho de forma simple,
a medida que las tecnologías relacionadas con los grandes conjuntos de datos se hacen operativas, en oposición a las tecnologías
exploratorias, necesitan las mismas disciplinas de gobierno que se aplican a los enfoques tradicionales de gestión de datos.

Al implementar un programa de gobierno de la información, se debe evaluar el estado actual y se debe desarrollar el estado
futuro. COBIT 5 puede ayudar a la empresa a abordar tanto esta tarea como otras inherentes al gobierno de grandes conjuntos
de datos. Esto finalmente guiará los esfuerzos de la empresa para crear valor mediante un punto de equilibrio entre el hecho de
obtener beneficios y el de mantener el riesgo en un nivel aceptable.

Consideraciones sobre el aseguramiento en relación con los grandes conjuntos de datos

Los controles relacionados con los grandes conjuntos de datos se pueden agrupar en cuatro categorías:
• Enfoque y entendimiento
• Calidad
• Confidencialidad y privacidad
• Disponibilidad

12
 Big Data: impactos y beneficios

Enfoque y entendimiento
Esta categoría aborda la demostración del tono correcto con los superiores de la Esta categoría aborda la
empresa. Un aspecto importante en este esfuerzo es establecer e implementar una
política de datos. La política (y los procedimientos asociados) deben definir el alcance
demostración del tono correcto
de los datos; establecer un sistema de gobierno y aseguramiento de la calidad de los con los superiores de la empresa.
datos; e identificar criterios cualitativos y cuantitativos para evaluar la precisión, Un aspecto importante en
confiabilidad, integridad y oportunidad de los datos. Sin duda, la empresa deberá este esfuerzo es establecer e
invertir tiempo y dinero para realizar un inventario de todas las fuentes de datos,
evaluar las vulnerabilidades e implementar políticas y procedimientos. Esos costos son
implementar una política de datos.
necesarios cuando se gestionan riegos y se debe considerar el costo de realizar negocios.

El proceso de aseguramiento debe comenzar con la creación de un inventario de

los datos. Una vez realizado el inventario, los datos se deben clasificar según la Cada vulnerabilidad identificada
confidencialidad y relevancia, y se debe crear un flujo de datos. Luego se debe
desarrollar un proceso para identificar las vulnerabilidades del flujo de datos, debe ingresarse en un proceso
una actividad que comienza con la creación de un diagrama de flujo de datos establecido de gobierno de datos
multidimensional respaldado por un diccionario de datos3 que mapea el escenario deficientes para el análisis del
de los datos en toda la empresa. Este proceso debe capturar fuentes de datos
impacto y la probabilidad,
internas y externas, los diversos procesos manuales y automatizados (por ejemplo,
transformación, consolidación) que se realizan con cada conjunto de datos, y su una escalación a la alta dirección
destino y uso finales. Cada vulnerabilidad identificada debe ingresarse en un proceso cuando sea necesario y una
establecido de gobierno de datos deficientes, para el análisis del impacto y la resolución táctica o estratégica.
probabilidad, el escalamiento a la alta dirección cuando sea necesario y una resolución
táctica o estratégica. Además, cada vulnerabilidad necesita un propietario, alguien que
sea responsable de los datos.

Se deben establecer criterios de materialidad que permitan a esos responsables del gobierno de datos identificar los conjuntos
de datos y los elementos más relevantes en los cuales deben enfocar sus esfuerzos. Este proceso también facilitará la creación
de una ruta de escalamiento para la gestión de datos deficientes.

Calidad de los datos

Se deben establecer e implementar controles en todo el flujo de datos para evaluar los datos en cuanto a los criterios de
precisión, confiabilidad, integridad y oportunidad, definidos en la política de datos y en los estándares asociados.

Cuando los datos se extraen de una fuente perteneciente a un tercero, la empresa debe establecer un proceso de acercamiento
contractual para ganar confianza sobre la calidad de los datos. Esto se puede realizar mediante una validación independiente
de los controles de calidad de los datos del tercero o mediante verificaciones independientes de cualquier dato de material
recibido.

Se deben asignar la propiedad y las responsabilidades asociadas con cada conjunto de Dos roles que se podrían definir son
datos de carácter material. Se debe desarrollar una capacitación adecuada para todos el de productor de datos y el de
los integrantes del personal relevante, a fin de concientizarlos de sus responsabilidades
relacionadas con los datos. Por ejemplo, dos roles que se podrían definir son el del consumidor de datos. Un productor
productor de datos y el del consumidor de datos. Un productor de datos proporciona de datos le proporciona datos al
datos al consumidor de datos según los requisitos de calidad predefinidos. El consumidor de datos según los
consumidor debe definir y comunicar los requisitos de calidad esperados con relación requisitos de calidad predefinidos.
a los datos, y tenerlos en cuenta para la validación de los datos que se reciben.

3
 l diccionario de datos también debe documentar todos los elementos de los datos de carácter material y la relación entre ellos, su fuente y su uso, para que se pueda
E
establecer un entendimiento coherente en toda la empresa.

13
 Big Data: impactos y beneficios

Los roles cambian a media que los datos se mueven a través del flujo de datos.

Confidencialidad/Privacidad de los datos

Mediante el proceso de gestión de riesgos de los datos, se deben identificar todos los datos confidenciales y se deben establecer
los controles correspondientes. La naturaleza de la información confidencial podría abarcar desde de información personal a
secretos competitivos. Varias reglas y regulaciones, como la Ley de Protección de Datos (Data Protection Act) del RU de 1998
y las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standards, PCI
DSS) de los EE. UU., rigen la manera en que se deben asegurar los datos confidenciales almacenados y en tránsito.

Se necesitan controles de seguridad de acceso lógico y físico para impedir el acceso no autorizado a los datos confidenciales.
Esto incluye los Controles Generales clásicos de las tecnologías de la información (Information Technology General Controls,
ITGC), como configuración de contraseñas, enmascaramiento total o parcial de datos confidenciales, revisión de accesos
periódicos de usuarios, cortafuegos, seguridad de la puerta de la sala del servidor, registros de acceso al servidor, privilegios
de acceso administrativo y bloqueo de protectores de pantalla.

Se deben utilizar tecnologías de encriptación para almacenar y transferir información altamente confidencial dentro y fuera de
la empresa.

Disponibilidad de los datos

Se deben establecer procesos de recuperación confiables (es decir, probados) ante desastres para garantizar la disponibilidad de
los datos según los criterios del objetivo para la recuperación de datos (recovery point objective, RPO) y el objetivo del tiempo
de recuperación (recovery time objective, RTO), que se definen en un análisis de impacto del negocio.

Conclusión
La cultura de la empresa, que lucha
contra la innovación o la acepta,
requiere un líder para los grandes
conjuntos de datos que entienda
su rol en la innovación o dirección
de la empresa.
• Gestionar proyectos.
• Comunicar bien para abarcar todos los canales de la empresa.
El cambio e innovación constantes son los desafíos que la empresa y el equipo investigador
de datos deben manejar. La innovación amenaza la tradicional “zona de comodidad” de
estabilidad y vida útil. La responsabilidad en relación a que las cosas efectivamente se
hagan (“accountability”) también es una delgada línea que se debe manejar.
La cultura de la empresa, que lucha contra la innovación o la acepta, requiere un líder
para los grandes conjuntos de datos que entienda su rol en la innovación o dirección de
la empresa. Además el líder debe:
• Manejar las expectativas.
• Compensar las conductas y no los resultados.
• Proteger a los investigadores de datos de un control minucioso de la gestión y de los
inversionistas.

No es inusual que los diversos niveles de liderazgo discrepen. Las habilidades para tratar con “delicadeza” a las personas que
alientan un enfoque sobre metas compartidas y un deseo de evitar el fracaso, y no la discrepancia en sí, son necesarias para
dirigir los conflictos dentro de la empresa y entre los miembros del equipo encargado de los grandes conjuntos de datos.

Recursos adicionales y retroalimentación

Visite www.isaca.org/Big-Data-WP para obtener recursos adicionales y utilice la función de retroalimentación para aportar
sus comentarios y sugerencias sobre este documento. Su opinión es muy importante en el desarrollo de las guías de ISACA
para sus miembros y es muy valorada.

14