Una buena gestión de datos para un uso adecuado de los datos

Las empresas modernas producen cada día enormes cantidades de datos. Gracias al procesamiento electrónico de datos (PED), el registro y la organización de la información ya no es un verdadero problema. Los datos de los clientes se pueden registrar en bases de datos y es posible automatizar la gestión del personal. Para ello, basta con proporcionar suficientes datos al ordenador y los sofisticados algoritmos se encargarán del resto.

Pero con la creciente conectividad y el mayor flujo de datos aparecen nuevos problemas. Varios trabajadores tienen que poder acceder a la misma base de datos y, a ser posible, a la vez. No se deben registrar datos repetidos y tienen que poder localizarse en todo momento. Pero, ante todo, tienen que estar protegidos contra las posibles pérdidas causadas por fallos de hardware o un funcionamiento incorrecto, y contra los hackers y otros ladrones de datos en internet. Y, por último, también hay que tener en cuenta los aspectos legales, es decir, los plazos de conservación, el consentimiento informado para el almacenamiento de datos personales y el nombramiento de delegados de protección de datos.

La complejidad de este tema ha motivado el desarrollo de una nueva disciplina dentro del ámbito de la tecnología de la información: la gestión de datos (data management). Asimismo, el campo de la investigación también está progresando en esta materia. La Data Science o ciencia de datos es la nueva rama de la ciencia dedicada, entre otras cosas, a la correcta clasificación y vinculación de los datos, así como a la búsqueda efectiva en bases de datos de gran tamaño.

La gestión de datos establece una serie de requisitos específicos para el manejo de datos digitales. El término se refiere a un proceso general, más que a medidas individuales. Los datos deben organizarse desde el momento de su recopilación e introducción. La minimización y calidad de los datos son dos factores que hay que tener en cuenta. Se debe asegurar la protección del contenido junto con la capacidad de usar los datos de forma efectiva para los fines para los que se han recopilado, es decir, se debe realizar un esfuerzo para no limitar su utilidad práctica. Finalmente, en lo que se refiere a la gestión de datos, debemos preguntarnos también qué datos almacenar y durante cuánto tiempo. Los datos que no sean necesarios se deben poder localizar rápidamente para borrarlos de forma segura.

Para planificar el uso de los datos, primero es necesario preguntarse con qué tipos de datos trabaja tu empresa. En este paso, la clasificación en categorías puede resultar útil para proceder de manera sistemática y no pasar por alto ningún área.

• Datos personales: información relacionada directamente con personas concretas. Los ejemplos más comunes son los nombres, números de teléfono y direcciones. También se incluyen datos de mediciones y hábitos de compra. Puede tratarse de datos de clientes, datos de los propios trabajadores o de terceros. Estos datos requieren una protección especial.
• Datos confidenciales de la empresa: datos internos de la empresa, como información de contabilidad, documentos fiscales y secretos de empresa. Todas las empresas tienen un interés especial por tratar estos datos de forma particularmente cuidadosa. Sin embargo, es perfectamente comprensible establecer, en el marco de la gestión de datos, qué información pertenece a esta área.
• Datos secundarios: datos que se generan por medio de una medida adoptada para otro fin. Un ejemplo es la videovigilancia que normalmente se instala para prevenir intrusiones y robos, pero que también registra las matrículas de los vehículos de los clientes. Otro ejemplo son los protocolos de inicio de sesión de la red de la empresa, que potencialmente almacenan las direcciones IP de los visitantes.
• Datos públicos: datos que se hacen públicos y se difunden de manera intencionada, como la información incluida en la web y en los folletos de la empresa. En este ámbito, es importante cumplir con las normas sobre derechos de autor y la protección de los propios datos, por ejemplo, en lo relativo a las imágenes publicadas, eslóganes publicitarios y logotipos de empresa. Estos últimos pueden protegerse según la Ley 20/2003 de Protección Jurídica del Diseño Industrial (basada en las normas del Estatuto de Propiedad Industrial relativas a modelos, dibujos industriales, y modelos y dibujos artísticos de aplicación industrial).

La gestión de datos tiene el cometido de integrar todos los procesos, desde la recopilación de datos, hasta su clasificación o eliminación, teniendo en consideración la eficiencia y la “vida útil” completa de los datos. De esto deriva el término gestión del ciclo de vida de los datos.

El procesamiento de datos comienza con la recopilación de los datos. En este sentido, cobra importancia el concepto de minimización de datos: solo se debe recopilar la información absolutamente necesaria. Esta obligación se establece también en el Reglamento General de Protección de Datos (RGPD). Por lo tanto, solo se pueden procesar datos si el interesado ha dado su consentimiento o es necesario por razones legales, como en el caso de un acuerdo contractual.

La forma más efectiva de garantizar la calidad de los datos es introducirlos correctamente. Un registro cuidadoso evita preguntas y rectificaciones innecesarias. La información deberá guardarse en el mismo formato en el que se utilizará más adelante. Cada transferencia o conversión puede causar errores en la base de datos.

La elección de la ubicación de almacenamiento y del formato es muy importante. Además del almacenamiento local, es posible elegir la nube como ubicación de almacenamiento. Ambas soluciones tienen sus ventajas y sus inconvenientes. El almacenamiento local es más fácil de proteger contra accesos no autorizados. El almacenamiento en la nube, por otro lado, es escalable y a prueba de fallos. Para los datos de mayor importancia se ofrecen soluciones combinadas.

En el caso de las grandes cantidades de datos, las bases de datos son la primera elección para el archivado. Si se utiliza software especializado, como en contabilidad o gestión de almacenes, no es necesario plantearse la cuestión de la ubicación de almacenamiento. Por último, hay que prestar atención a la compatibilidad con sistemas externos y a las opciones de exportación.

La seguridad de los datos es un asunto importante y complejo en la gestión de datos. Los datos se deben proteger frente a pérdidas, modificaciones accidentales y accesos no autorizados. El Instituto nacional de ciberseguridad (INCIBE) ofrece información útil y muy detallada a este respecto. En su sección Protege tu empresa - Políticas de seguridad, constantemente actualizada, se muestran las políticas y guías que tratan los aspectos y elementos esenciales para aplicar la seguridad en el entorno empresarial. Cada política contiene una lista de comprobación para empresarios, equipos técnicos y empleados. Las políticas están disponibles de forma gratuita. Otra ventaja es que las certificaciones de conformidad con la norma ISO 27001 (como el certificado de seguridad de la información) están en línea con estas políticas y guías.

Los posibles peligros son:

• Daños en el hardware, provocados por incendios, contacto con el agua o sobrecargas
• Pérdida de datos por funcionamiento incorrecto
• Pérdida de datos o imposibilidad de utilizar el sistema debido a software malicioso (troyanos encriptados, robo de datos)
• Pérdida de datos por errores de software
• Pérdida por robo

Para afrontar los distintos riesgos, las soluciones no solo incluyen mecanismos de protección basados en software, sino también medidas de organización como alarmas de incendios y antirrobo.

Se deben respetar los siguientes principios:

• Actualizaciones periódicas: en este sentido, existe una diferencia entre las actualizaciones automáticas y manuales. La ventaja de las actualizaciones automáticas es que no se pueden olvidar. Sin embargo, con las instalaciones manuales se pueden evitar actualizaciones defectuosas.
• Contraseñas seguras: también en este ámbito existen diferentes estrategias. Es conveniente obligar a los trabajadores a utilizar contraseñas complejas. También es una buena idea cambiar las contraseñas periódicamente. Sin embargo, un exceso de complejidad y de frecuencia de cambios puede llevar a los trabajadores a escribir las contraseñas y dejarlas en el lugar de trabajo.
• Estrategia de copias de seguridad: uno de los puntos más importantes es, sin lugar a dudas, contar con una estrategia correcta de copias de seguridad. Los datos importantes deben asegurarse periódicamente y de forma tan completa como sea posible en medios separados físicamente. La seguridad de las bases de datos presentan una dificultad particular. En algunas circunstancias, no es posible copiar archivos abiertos y en funcionamiento. En su lugar, se deben asegurar las aplicaciones en uso con un software especializado como MySQLDump.
• Protección antivirus/firewall: todos los sistemas de TIC deberían disponer de una protección antivirus actualizada. Además, según la complejidad de la red, se debería utilizar un cortafuegos y, si es necesario, un sistema de detección de intrusos.

Las copias de seguridad se deben crear de forma automatizada. De lo contrario, existe un alto riesgo de abandonar la práctica por falta de tiempo, comodidad y olvidos. Los datos importantes deben guardarse de forma gradual con las nuevas versiones. Esto quiere decir que, en un principio, solo se harán copias de seguridad de los conjuntos de datos modificados. Sin embargo, se deberán guardar las versiones antiguas durante un período determinado de tiempo para poder reconstruir los datos en caso de borrado accidental.

Un tema de actualidad es la seguridad de las copias de seguridad archivadas. Los troyanos encriptados intentan comprometer cada unidad de memoria a la que consigan acceder. Si las copias de seguridad se encuentran almacenadas en una red conectada o en un soporte de almacenamiento externo, en el peor de los casos, también quedarán encriptadas. Durante el proceso de creación de copias de seguridad, el sistema se protegerá denegando el acceso a los usuarios normales y a la conexión temporal de medios de almacenamiento.

La protección de datos es diferente de la seguridad de datos, aunque tengan puntos en común. Su objetivo es simplemente impedir el acceso de personas no autorizadas a datos confidenciales. Para ello se debe impedir, por una parte, el acceso, lo cual requiere medidas de seguridad de datos. Por otro, se debe impedir el acceso interno a datos personales. Para ello es necesario gestionar los derechos de acceso en el software utilizado. De esta manera, se denegará el acceso a determinados empleados, o bien los registros de datos solo se mostrarán parcialmente. La encriptación de la transmisión y el archivado de datos ofrecen una protección adicional. Así, los datos confidenciales quedarán protegidos de las personas que accedan al hardware, ya sean ciberdelincuentes o empleados no autorizados.

La gestión de datos debe estar integrada en los procesos empresariales de la manera más práctica e intuitiva posible. De este modo, se consigue una mayor aceptación por parte de los trabajadores y una máxima eficacia. Algunos de los objetivos presentados están relacionados con el aumento de la eficiencia. La recopilación de datos innecesarios cuesta tiempo y puede que incluso moleste al cliente. El almacenamiento organizado y seguro de los datos mejora la productividad.

Por lo tanto, puede ser útil para la empresa adoptar una directiva de gobernanza de datos en la que se establezca cómo la empresa tratará los datos. Esta directiva afectará particularmente a la calidad de los datos y a las posibles mejoras mediante sistemas de ayuda, como la autocorrección. Además, se definirán las expresiones y términos de forma uniforme.

El almacenamiento de los datos que ya no son necesarios es también responsabilidad de la empresa. Afecta a todos los datos con obligación legal de conservación, como las facturas y los documentos fiscales. Por lo tanto, este aspecto debe formar parte del concepto de gestión de datos.

Un almacenamiento separado puede resultar beneficioso. De esta manera, se reduce el volumen de las copias de seguridad actuales y se puede garantizar la protección de los datos. Hay que tener en cuenta que no todos los soportes de almacenamiento son adecuados para el archivado de datos. Por ejemplo, los discos duros tienen que encenderse regularmente para garantizar su funcionamiento. Los soportes ópticos como los CD son sensibles a las influencias externas y tienen una vida útil limitada. La mejor opción son las unidades de cinta con bandas magnéticas. Sus desventajas son los altos costes de adquisición de la unidad de disco y la complejidad de su uso. Por otra parte, presentan la ventaja de que las cintas de seguridad son económicas y tienen una larga vida útil.

Los datos que ya no sean necesarios deben eliminarse. De esta manera, también se elimina la responsabilidad por su seguridad. Para ello, el concepto de gestión de datos debe prever que ciertos datos puedan borrarse de forma selectiva y por separado. Ante todo, los datos personales tienen que eliminarse de forma segura.

El borrado mediante funciones del sistema operativo normalmente solo hace que los datos se sobrescriban o se liberen. En realidad, siguen existiendo en el disco duro hasta que haga falta espacio en el disco y se sobrescriban.

Junto con las disposiciones del RGPD, existen otras normas que obligan a las empresas a proteger los datos. Si se confirma que su incumplimiento es la causa del uso ilícito de los datos personales, el propietario o sus representantes serán los responsables. Las siguientes son las leyes básicas:

• LOPD: Ley Orgánica 3/2018 de Protección de Datos
• Ley 19/2013, de 9 de diciembre: ley de transparencia, acceso a la información pública y buen gobierno
• Real Decreto Legislativo 1/2010, de 2 de julio: ley de Sociedades de Capital

Según el RGPD, hay que designar a un delegado de protección de datos cuando el tratamiento lo lleve a cabo una autoridad u organismo público; cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala, y cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos.

La manera de organizar la gestión de datos depende del tamaño de cada empresa. En el mercado existen distintos enfoques de soluciones integradas. Algunos están dedicados especialmente al análisis y el uso óptimo de los datos existentes, por ejemplo, con fines publicitarios. Otro enfoque persigue el aumento de la productividad mediante el uso de todos los datos disponibles. Los posibles tipos son:

• Sistemas de planificación de recursos empresariales (ERP, por sus siglas en inglés): este sistema ofrece el enfoque más completo. Registra y tiene en cuenta todos los recursos de la empresa. Dichos recursos están formados por el personal, las herramientas de trabajo y los materiales. Los fabricantes comerciales más conocidos son SAP, Sage, Oracle y Microsoft. Sin embargo, también existen soluciones de software gratuitas como Odoo u OpenZ.
• Master Data Management (gestión de datos maestros central): centralización y actualización de los datos fundamentales de una empresa. Estos incluyen los datos de los trabajadores, los datos de los clientes y la información sobre las herramientas de trabajo. El objetivo es tener una calidad de datos homogénea que propicie una mayor facilidad de uso. Este enfoque se utiliza principalmente en sistemas ERP.
• Sistemas de gestión de contenidos (SGC): el tipo de sistema de gestión de información predominante, por ejemplo, en forma de una intranet central para la empresa. Gracias a su gran flexibilidad, también es posible introducir otros aspectos como la gestión de formularios y la integración de bases de datos.
• Sistemas de gestión documental (SGD): forman parte de la gestión de datos. Proporcionan formularios y ofrecen funciones como el almacenamiento y archivado.

Data management es un proceso dinámico y debe adaptarse constantemente a las necesidades del momento. Ahí radica la aparición de nuevos desafíos.

Las cantidades de datos siguen aumentando. Como consecuencia, aumentan también los requisitos de escalabilidad de almacenamiento y capacidad de copias de seguridad, así como el orden y la accesibilidad de los datos necesarios. Cuando más datos se puedan recopilar, más importante se vuelve la minimización de datos. El filtrado de la información importante debe estar cada vez más en un primer plano.

Los responsables de los sistemas de redes están cada vez más expuestos a nuevos riesgos. Los robos de información mediante ingeniería social y los sabotajes mediante troyanos encriptados son solo algunos de los posibles riesgos. Cuanto más digitalizada está la base de datos de una empresa, más dependiente se vuelve del funcionamiento de los sistemas empleados. Por eso es importante estar constantemente informados sobre los nuevos riesgos y tomar precauciones en caso de fallos en el hardware o de no poder acceder al propio sistema.

La implantación del RGPD ha creado mucha incertidumbre y ha supuesto un gasto importante para las empresas. Sin embargo, es probable que le sigan más disposiciones o que las modificaciones a las leyes existentes requieran ajustes, algo que también puede afectar al concepto de gestión de datos.

Las modificaciones en la estructura o en los procesos de una empresa deben, en cualquier caso, tenerse en cuenta en la gestión de datos. Se deben tomar precauciones cuando se utilicen sistemas ampliables o que sean fáciles de migrar. La formación periódica de los trabajadores en cuanto a gobernanza de datos interna implica gastos adicionales.

Por supuesto, la gestión de datos requiere nuestro tiempo y que dejemos a un lado nuestra actividad principal. Sin embargo, si se aborda con medidas específicas, enseguida queda claro que resulta muy útil y necesaria. Ayuda a cumplir con las obligaciones legales, aumenta la seguridad de los datos o incrementa la eficiencia de los procesos de trabajo. Es, por lo tanto, un tiempo bien invertido.