Grandes Datos: Recopílelos, Respételos¿Escucha ese ruido? Es el sonido de los grandes datos aspirando 2.5 trillones de bytes de información – datos digitales de la vida cotidiana – estructurados, no estructurados, y semi-estructurados, llenos de oportunidades y también de riesgos.

Los grandes datos se refieren a conjuntos muy grandes y complejos de datos que exceden la ca-pacidad de procesamiento de una infraestructura tradicional de TI, debido a su tamaño, diversidad en el formato y la velocidad de generación. El saber es ya leyenda: La predicción detallada y precisa de los resultados de las elecciones presidenciales de los Es-tados Unidos en el 2012 por Nate Silver, el modelo de predicción de embarazo de Target Corp., el análi-sis de mercadeo diferenciado de Orbitz Worldwide entre los usuarios de Mac y PC.

McKinsey & Co. recientemente reportó que dos ter-cios de los altos ejecutivos encuestados consideran que los grandes datos son una prioridad estratégica. Los bancos emisores de tarjetas de crédito ya están adoptando el análisis de transacciones en tiempo real como una forma de detectar la ciberdelincuencia y el fraude de tarjetas. La misma encuesta de Mc- Kinsey, sin embargo, observó una gran brecha entre lo que las organizaciones quieren hacer con grandes volúmenes de datos y sus capacidades para hacerlo, dada su actual infraestructura de TI y experiencia.

Reconociendo la necesidad de un debate inteligente sobre las oportunidades y los riesgos en torno a este tema, el Instituto de Auditores Internos (IIA) puso a los grandes datos en su mira. La revista “Internal Auditor” (Ia) del Instituto de Auditores Internos examinó las implicaciones de la auditoría interna con relación a los grandes datos en su edición de portada de Febrero 2013, titulada “Big Data”. En el artículo,el autor Russell Jackson apunta a varias áreas de ries- go que los auditores internos deben abordar cuan-do sus organizaciones “se sumergen en los grandes datos”, incluyendo el cumplimiento con las leyes aplicables de privacidad, los riesgos reputacionales, las consi-deraciones de seguridad y las políticas de destruc- ción de datos.

¿Está usted listo?

Del mismo modo, Anthony Chalker, director admi-nistrativo de Protiviti Inc., habló de grandes datos en la Conferencia Anual Internacional del IIA en Julio. En su presentación, “¿Está usted listo para los Grandes Datos?” Chalker describe las complejidades únicas de los grandes datos, no sólo en términos de su

TOPTONEat the

Proporcionando información concisa en asuntos de gobernabilidad a la alta dirección, consejos de administración y comités de auditoría.

Edición 63 | Agosto 2013

TONE AT THE TOP | Agosto 2013

1

TONE AT THE TOP | Agosto 2013

volumen, sino de la variedad de información dis-ponible y la velocidad a la que se recoge.

A diferencia de los datos tradicionales de los ERP, que tienden a ser homogéneos, los grandes datos se basan en una variedad de fuentes, explicó Chalker. Ya sea estén basados en la nube o en instalaciones locales, las infraestructuras de TI deben ser capaces de dar cabida a los datos de una variedad de formas y conver-tirlos en información útil y aplicable. No sólo eso, sino que las empresas deben asegurarse de que se están capturando los datos correctos y entregando en tiempo real a las personas adecuadas.

Chalker desafió a los líderes de la compañía para estar conscientes del talento y la tecnología necesaria para cosechar grandes datos, así como para la gestión de la seguridad y privacidad. Ofreció los siguientes seis consejos:

1. Contrate y desarrolle “escépticos informados” con habilidades analíticas profundas.

2. Asegúrese de que los líderes de TI y espe-cialistas en tecnología adquieran y apliquen

herramientas, técnicas y arquitecturas para analizar, visualizar, vincular y gestionar grandes conjuntos de datos complejos.

3. Incremente la colaboración entre las operacio-nes y TI para analizar y gestionar datos.

4. Identifique y aborde los riesgos éticos, legales y reputacionales alrededor de agregar, asegurar y

analizar personalmente los datos identificables de los clientes, así como cualquier otra propiedad intelec-tual sensible. (Recuerde, sólo porque una empresa puede hacer algo no significa que debería.)

5. Considere cuidadosamente qué información se recoge y lo que se hará con ella.

6. Administre de manera proactiva la capacidad para maximizar el retorno de la inversión.

El Panorama

Como se informó en la Revista Ia del Instituto de Auditores Internos (IIA), los grandes datos no sólo son un riesgo a gestionar, sino que también puede servir como una poderosa herramienta de auditoría. Grandes conjuntos de datos pueden revelar patrones que no pueden ser observados por muestreo tradi-cional. Esto puede ser crucial en la identificación de fraude.

Imagine el beneficio potencial de ser capaz de ver los eventos adversos en el contexto de cómo afectan al firewall, la actividad del servidor y los registros de transacciones de forma colectiva. La imagen combi-nada puede proporcionar una visión más holística de los eventos adversos, así como una valiosa informa-ción sobre cómo se manifiestan en todo el sistema.

Seguro y Exitoso

Con los grandes datos en la lista de temas críticos de todo el mundo, es fundamental que los profesio-nales de seguridad de TI estén bien informados so-bre la estrategia de la organización relacionada a los grandes datos, los riesgos de seguridad y las opciones de protección disponibles. Además, se debe coordi-nar con los auditores internos de la organización, que pueden jugar un papel importante validando la apli-cación segura y exitosa de esta tecnología emergente. Los auditores internos pueden dar garantías de que

2

Territorio Familiar

A pesar de todo el ruido, los grandes datos siguen siendo, en esencia, datos sin for-mato. Como tal, los principios de gobierno de los Marcos de Control Interno probados durante el tiempo como COSO, aplican. Del mismo modo, el Marco de gobierno de TI de COBIT de ISACA e ITIL pueden ser de utilidad.

Chalker también recomienda el marco de trabajo de la Asociación de gestión de los datos DAMA, el cual identifica los prin-cipios rectores para la gestión de datos, analiza las técnicas ampliamente adopta-das y enfoques alternativos, y destaca los problemas organizacionales y culturales comunes.

Esto es un gran Byte!

A diferencia de los datos tradicionales de los ERP, que se miden en terabytes, los grandes datos se miden en petabytes y exabytes (1 millón de gigabytes y 1 billón de gigabytes, respectivamente.

TONE AT THE TOP | Agosto 2013

la organización ha identificado los riesgos de priva-cidad y cumplimiento, y ha establecido controles adecuados. Además, pueden ampliar sus habilidades de análisis de grandes datos para aprovecharlos en fines de auditoría.

Ejecutivos, miembros del comité de auditoría, y otros miembros de directorios del mismo modo deben estar conscientes de los requisitos de cumplimiento, riesgos de reputación, y las consideraciones éticas en torno a la privacidad y la manipulación de los datos personales sensibles para fines comerciales. La ima-gen de la gerencia es fundamental, y los auditores internos necesitan saber que cuentan con el apoyo del comité de auditoría y los altos ejecutivos en su trabajo para asegurarse de que su organización tiene los controles adecuados para gestionar esta tenta-dora, pero arriesgada ola del futuro.

3

Preguntas que los Directorios deberían hacer

■ ¿La empresa tiene el talento y las capacidades tecnológicas necesarias para recoger, gestionar, analizar y almacenar grandes datos de forma segura y efec-tiva?

■ ¿La empresa tiene una política estable-cida que se ocupa de las consideraciones éticas de recolectar, analizar y utilizar la información confidencial? ¿La política es conocida?

■ ¿La recolección y el uso de grandes datos representa para la empresa riesgos adicionales de cumplimiento?

■ ¿Cuál es la estrategia de la compañía para el uso de los datos que recoge?

■ ¿Dónde se almacenan los datos? ¿Se utilizan terceros? Si es así, ¿cómo están gestionados colectivamente los riesgos?

■ ¿El director de TI es capaz de explicar eficazmente— en términos sencillos— qué son los grandes datos, cómo se al-macenan, cuáles son los riesgos y cómo se gestionan?

? ?

Nueva Encuesta Rápida

¿Qué tan preocupado está usted sobre la exposición al riesgo de la organización en relación con los grandes datos (en una escala de 1 a 5)?

Visita www.theiia.org/goto/quickpoll para responder a la pregunta y ver cómo están respondiendo los demás.

TOPTONEat the

08/131352 TONE AT THE TOP | Agosto 2013

Sobre El IIAEl Instituto de Auditores Internos Inc. (IIA) es una asociación profesional mundial con 180.000 miem-bros en 190 países. El IIA sirve como defensor de la profesión de auditoría interna, pionero de las normas internacionales y principal investigador y educador. www.globaliia.org

Suscripciones a disposiciónVisite www.globaliia.org/Tone-at-the-Top o llame al: +1-407-937-1111 para solicitar su suscripción gratuita.

Comentarios de los lectores Envíe sus preguntas / comentarios a tone@theiia.org.

Contenido del Consejo Consultivo Con décadas de experiencia en la alta dirección y consejo de administración, los siguientes apreciados profesionales proporcionan orientación sobre el con-tenido de esta publicación:

Martin M. Coyne II Nancy A. Eckl Michele J. Hooper Kenton J. Sicchitano

Resultados de la Encuesta Rápida de Junio¿Cuánta confianza tiene usted en el enfoque de la organización para la gestión del talento?

15% = Nada de confianza 24% = Poca confianza 35% = Algo de confianza 22% = Confiado 4% = Mucha confianza

*Basado en 661 respuestas. Esta encuesta no es una muestra científica.

❏ Derechos de autor © 2013 por The Institute of Internal Auditors, Inc., (“El IIA”) estrictamente reservados. Toda reproducción del nombre o del logo del IIA llevará el símbolo de registro de la marca registrada federal de los EE. UU. ®. Ninguna parte de este material podrá reproducirse de ninguna forma sin el permiso escrito del IIA.

❏

❏ El permiso se ha obtenido del titular del derecho de autor, The Institute of Internal Auditors, Inc., 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, U.S.A., para publicar esta traducción, que es la misma en todos los aspectos ma-teriales, como el original, a menos que se apruebe como fue modificado. Ninguna parte del presente documento puede ser reproducida, guardada en ningún sistema de recuperación o transmitida en forma alguna ni por ningún medio, sea electrónico, mecánico, fotocopia, grabación, o cualquier otro, sin obtener previamente el permiso por escrito del IIA.

❏

❏ El presente documento fue traducido por el IIA ECUADOR el 16/9/2013.