Por Geovanny Cepeda, CEO de Nexo Protec
El gobierno de datos conecta seguridad, negocio y cumplimiento. Al definir responsabilidades, accesos y niveles de criticidad, facilita decisiones más precisas y una gestión de riesgos alineada con el valor de la información.
Puntos de interés
- El gobierno de datos define prioridades y distribuye responsabilidades
- La criticidad del dato orienta la inversión y las responsabilidades
El gobierno de datos debería considerarse un componente central de la estrategia de ciberseguridad. Sin ese sustento, la seguridad pierde contexto. Es como poner puertas blindadas en una casa sin tener claridad sobre qué habitaciones resguardan activos valiosos y cuáles no. El gobierno de datos permite entender qué información existe, dónde está, quién la utiliza y bajo qué reglas. En otras palabras, no se puede proteger aquello que no se conoce, no se clasifica o no se tiene claro quién debe usarlo. A partir de esa visibilidad, la seguridad deja de aplicarse de forma general y empieza a actuar con mayor precisión.
El gobierno de datos define prioridades y distribuye responsabilidades
Aun así, persiste un error frecuente: abordar el gobierno de datos como un proyecto de TI. En la práctica, se trata de un tema de cultura y de negocio. Muchas organizaciones invierten en herramientas esperando resolver el problema, pero el gobierno de datos depende principalmente de procesos y personas. Si las áreas de negocio no asumen que son responsables del dato —y que su calidad tiene impacto directo en los resultados—, cualquier iniciativa termina convirtiéndose en un ejercicio que se documenta, pero no se aplica.
Esa falta de claridad también se refleja cuando se intenta avanzar hacia modelos como Zero Trust. El principio de “nunca confiar, siempre verificar” plantea una pregunta básica: ¿qué se está verificando? Sin inventario ni clasificación, los controles terminan aplicándose por igual, sin distinguir entre información crítica y contenido sin valor estratégico. El resultado suele ser una operación más costosa, poco eficiente y con fricciones innecesarias para el negocio.
La criticidad del dato orienta la inversión y las responsabilidades
Cuando la organización reconoce la criticidad de sus datos, la conversación cambia. Identificar las “joyas de la corona”, como la información sensible o la propiedad intelectual, permite orientar mejor las decisiones. Ya no se trata de proteger todo con la misma intensidad, sino de asignar recursos según el nivel de riesgo. Esto abre paso a controles más robustos donde realmente se requieren, mientras que el resto de la información se gestiona con medidas acordes a su relevancia.
También es posible observar avances cuando se incorporan métricas que permitan entender si el gobierno de datos está generando resultados. La reducción de datos oscuros, la rapidez para detectar accesos no autorizados a información crítica, el nivel de cobertura en la clasificación de datos o la disminución de observaciones en auditorías —especialmente frente a la normativa de protección de datos en Ecuador— ofrecen señales concretas sobre el progreso alcanzado.
En cuanto a roles, el CIO y el CISO cumplen una función de articulación. No son los dueños de los datos, pero sí quienes habilitan su gestión. El primero aporta la arquitectura y la infraestructura; el segundo define los niveles de protección. La responsabilidad sobre los datos permanece en las áreas de negocio, que son quienes los generan y utilizan. Parte del trabajo consiste en acompañar a esos líderes para que asuman esa responsabilidad de forma consciente.
Las tensiones suelen aparecer en la interacción entre negocio y TI. Mientras unas áreas buscan mayor agilidad, otras establecen controles que muchas veces se perciben como limitantes. A esto se suma una dinámica cada vez más visible entre seguridad y cumplimiento, donde el interés por responder a exigencias regulatorias no siempre avanza al mismo ritmo que la protección efectiva de la información.
Para quienes buscan avanzar en este camino, el punto de partida para madurar un gobierno de datos desde la perspectiva de riesgo es el descubrimiento y la clasificación. No intentar gobernar todo el océano el primer día, sino elegir un dominio de datos crítico, por ejemplo, datos de clientes o datos financieros, y realizar un ejercicio para identificar: ¿dónde están?, ¿quién los toca?, ¿están protegidos? Una vez que se demuestra valor reduciendo el riesgo en un área pequeña, el apetito de la organización por extender el gobierno de datos crece de forma natural.