Debate sobre el presente de su gobierno, análisis y gestión mediante data driven y la inteligencia artificial en el III Congreso de Auditoria & GRC
La necesidad de mayor cultura de gestión, gobierno y análisis de los datos, la seguridad de los mismos, los modelos matemáticos para toma de decisiones, para que cualquier proceso de decisiones se produzca mediante el data driven, la privacidad y la geolocalización, así como la falta de expertos, profesionales y talento, son las conclusiones de la tercera sesión online del III Congreso de Auditoría & GRC, (Gobierno, Riesgo y Cumplimiento) de la asociación de profesionales de la auditoría, ciberseguridad y privacidad ISACA Madrid Chapter, con 2600 personas inscritas de 19 nacionalidades distintas, para las 5 jornadas del evento celebrado a través de las pantallas.
La jornada comenzó con la ponencia «Seguridad y Privacidad del Dato en Plataformas Analíticas para Compañías Data-Driven» en la que Andrés Diego Hontiveros, Socio responsable de Identity & Data Governance de PwC, quien habló de la evolución de una compañía desde el modelo inicial en el que no se utilizan técnicas analítica para la toma de decisiones en las áreas de negocio, pasando por el modelo analítico desagregado, hasta llegar al Data Driven, en la que el Data HUB lidera la adopción de la analítica en las áreas de negocio, acercando los datos a la toma de decisiones, la impulsión de las ventas y la reducción de costes.
Recordó la importancia de DAMA, el primer estándar de gobierno de los datos, y de los principales retos de las compañías para ser data-driven; establecer y definir los roles necesarios, como la función del CISO, el DPO y el CDO con otros roles que se están desarrollando, la gestión del metadato eficiente como elemento clave para que los requerimientos y procesos de privacidad y seguridad se den adecuadamente.
Atendiendo a la idea generalizada del sector de que los datos, hoy por hoy, son uno de los grandes activos de cualquier empresa, Hontiveros explicó cuáles eran los diferentes bloques de metadatos a tener en cuenta, los procedimientos de seguridad, privacidad y clasificación de los mismos (saber quién accede a ellos, si puede o no, su carácter privado o no, etc) con casos prácticos que ha tenido que gestionar desde su experiencia profesional.
Esta tercera jornada continuó con la mesa redonda «Data-Driven Risk Management», moderada por Romeo A. Sánchez, Chief Technology Security Officer (CTSO) de FEMSA Xpertal (México), una de las más relevantes empresas de ciberseguridad del país centroamericano y de Latinoamérica, con Álvaro Garrido, Chief Security Officer de Grupo BBVA, Francisco Gómez, Cybersecurity Advisor en Devo, Antonio Requejo, Cybersecurity Advisory Director, Financial Services de EY, y José Ramón Monleón, CISO de Orange, como ponentes.
El moderador preguntó cuál de los dos enfoques del análisis de riesgos se trabajaban en las diferentes organizaciones de los miembros de la mesa; el analítico, basado en el volumen de los datos o más basado en aprendizaje y la predicción a través del machine learning.
Antonio Requejo, de EY, arrancó con el argumento de que el apoyo en los datos operativos de las empresas, para que los profesionales del sector realicen la gestión de los riesgos, y aseguró que cualquier proceso de data driven debe sustentarse de una manera más analítica y subjetiva, y basada en el machine learning.
Francisco Gómez, de Devo, habló de la importancia del machine learning y analítica básicos para sacar partido informativo a los datos con los que la empresa trabaja, Romeo A, Sánchez incluyo la visión de los grandes volúmenes de estos datos pero desde el punto de vista de la privacidad y el manejo de datos personales
Por su parte, José Ramón Monleón, de Orange, apuntó que la clave es tener un proceso de anonimización de los datos. Según él, hay que hacer un diseño de los datos que recoges es importante para poder limpiar cuales había de antes en el sistema y así cargar los que se pueden recopilar y los que no.
También insistió en que hay que establecer quién va a trabajar con esos datos. “Nos gusta trabajar con datos agregados; -explicó- el reto es cómo gestionarlos de forma anonimizada y que den el mejor resultado para la empresa”.
Falta de talento e inteligencia artificial
Por su parte, Álvaro Garrido, como responsable de todo lo relacionado con la seguridad tanto física como ciber en BBVA, desde su visión como banco, aseguró que uno de los retos actuales es la necesidad de revertir en los procesos de negocio las formas primitivas de tratar estos datos. Garrido explicó que en su organización ya han superado el concepto de digitalización y comienzan a trabajar en terrenos inexplorados.
Así, trabajan en una democratización del dato, al que le afectan múltiples restricciones legislativas locales además de las propias del negocio bancario. También explicó que ahora están comenzando a ver la extraordinaria dimensión de los datos en su entidad, la utilización de la nube, el cruzado de los mismos y el gobierno de todo esto.
“Gestionar diferentes legislaciones no es sencillo (por diferentes países) al igual que tampoco lo es encontrar talento y expertos en todo esto” dijo.
Los participantes estuvieron de acuerdo en que usar las herramientas será cada vez más fácil. No obstante, ante la pregunta sobre los datos que no tenemos y cómo nos pueden afectar, Francisco Gómez mostró su experiencia sobre las ocasiones en las que se realizan “análisis de los riesgos y las amenazas, que no sabes que lo son, y que se trabajan con inteligencia artificial.
Mediante pequeñas conexiones, que no te genera una anomalía registrada, pero que son capaces de determinar ciertos patrones que te ayudan a ver si estás teniendo un ataque o riesgo”.
En este sentido, J. R. Monleón apuntó la idoneidad de la discriminación de datos útiles, incluidos los de negocio, y Requejo incidió en la capacitación de las personas para discriminar si un dato es o no relevante.
Los participantes coincidieron en el que la falta de talento y de preparación es uno de los problemas endémicos de la profesión cuando Romeo A. Sánchez, como moderador, introdujo el debate de que está de moda hablar de inteligencia artificial, ya que “parece que vende”.
Según explicó, el análisis de riesgos de los datos está soportado por la tecnología, pero hay diferencia entre Inteligencia Artificial, un concepto general, en el que las máquinas llevan a cabo tareas tratando de emular la inteligencia de las personas, mientras que el machine learning forma parte de la IA, pero logra que una máquina aprenda por sí sola.
Monleón especificó que la inteligencia artificial significa toma de decisiones y por ahora esto no se produce salvo en pequeñas cuestiones, aunque sí ocurrirá en un futuro. No todas las empresas que hablan de inteligencia artificial y que venden que la utilizan lo hacen de verdad “porque no es solo qué datos analizamos y presentamos, sino cómo lo hacemos”, dijo.
“Esto ha sido más un arte que una ciencia durante muchos años –explicó Garrido– pero poco a poco vamos abandonando la intuición y la subjetividad por los datos objetivos”.
Y Francisco Gómez apostilló que “La IA está lejos de lo que hacemos ahora con los datos, pero llegará el día que serán definitivas para tomar decisiones, detectar un riesgo y gestionarlo”.
Los miembros de la mesa virtual comentaron alguno de los casos prácticos de aplicación en cada una de las compañías para las que trabajan. Según José Ramón “la mejor manera de atacar a una empresa es atacarle sus datos a través de una fuente abierta y modificar sus decisiones”.
Alvaro Garrido habló también de la tendencia en las grandes empresas de nube para gestionar los análisis y luego aplicarlos a los sistemas de la propia organización, como camino para que los controles funcionen solos a la hora de cumplir mejor con la legislación reguladora.
En su intervención, Requejo de la necesidad de tener un centro único o única versión de gestión de datos, para tenerlos todos bien gestionados, así como un diccionario de los mismos (qué es una visita, una venta, o cualquier otro dato que aporta información).
Puedes ver la sesión que te resumimos en este enlace:
Por @LuisjaSanchez, Periodista Jurídico.
