Использование данных в интересах бизнеса при обеспечении их безопасности — сложная тема. Стивен Кейви, соучредитель и главный евангелист Ground Labs, приводит на портале Enterprisers Project советы по решению четырех первоочередных задач.
В 2023 г. CIO оказались на перепутье в отношении того, что некоторые могут считать самым ценным активом компании — ее данных.
С одной стороны, данные чрезвычайно полезны для принятия решений, целевого маркетинга и оптимизации эффективности бизнеса. Но с другой, данные могут быть источником риска. Утечки данных могут оказаться разрушительными, правильное хранение данных — это огромная ответственность, а новые нормативные акты наказывают тех, кто нарушает конфиденциальность данных и соответствие нормативным требованиям.
Какой бы огромной проблемой ни казалось управление данными на этом фоне, CIO могут обеспечить безопасность данных и в то же время в полной мере использовать их преимущества.
Вот четыре основные задачи в области данных, стоящие перед CIO в 2023 г., и способы их решения.
1. Обеспечение соответствия постоянно меняющимся нормативным требованиям
Нарушения данных постоянно попадают в новости, а законодатели отвечают все более жесткими законами — и в результате CIO сталкиваются с информационной перегрузкой. Сегодня действуют многие старые законы о конфиденциальности, а вскоре могут быть приняты новые крупные законы.
Существующие законы постоянно пересматриваются во многих странах, и среди наиболее значительных изменений — резкое увеличение финансовых штрафов. Например, в ноябре 2022 г. Австралия утвердила новый минимальный штраф за неправомерное использование данных в размере 50 млн. австралийских долларов — в 25 раз больше, чем предыдущий максимум.
CIO должны учитывать законы каждого региона, в котором ведут бизнес их компании, и законы, защищающие каждого человека, пользующегося их услугами. Это делает предел погрешности при неправильной обработке данных очень малым, поскольку одно нарушение может повлечь за собой десятки штрафов.
Первым шагом на пути к уверенному противостоянию нормативным требованиям является создание всеобъемлющего перечня данных по всему предприятию. Имея такую информацию, вы сможете определить все законы о защите данных и конфиденциальности, которые касаются вашей организации. CIO cлишком часто удивляются данным, которые они обнаруживают при составлении плана соответствия, и законам, за которые компания несет ответственность.
2. Выявление «слепых зон» в работе с данными
CIO все больше понимают, что они не могут позволить себе иметь скрытые хранилища данных или данные, которые существуют в изоляции. Последние могут быть неизвестны командам, которые вполне могли бы извлечь из них наибольшую пользу, что снижает их ценность. А если есть хранилища данных, которые совершенно неизвестны компании, то защитить их невозможно.
Подвергните сомнению свои прошлые предположения о том, как и где ваша организация хранит и обрабатывает данные. Результаты сквозного процесса обнаружения данных по всей сети выявят ранее неизвестные проблемы безопасности.
Чтобы лучше понять поток данных, откройте линии связи во всей компании. Проведите встречи с сотрудниками всех уровней, включая CISO, менеджера по безопасности, операционного менеджера, менеджера ИТ-сервисов и отдельных ИТ-специалистов, чтобы убедиться, что использование данных и цели всех сотрудников совпадают.
Поинтересуйтесь мнением сотрудников о том, что работает, какие изменения необходимо внести и где могут быть «слепые зоны» в работе с данными. Вовлечение всех отделов, ответственных за данные, повышает уровень знаний и навыков и обеспечивает более сильную стратегию работы с данными в целом.
3. Подготовка к взлому
Развитие искусственного интеллекта и машинного обучения дало злоумышленникам новые инструменты для того, чтобы обмануть бдительных сотрудников и заставить их отказаться от ценной информации. ChatGPT позволяет любому человеку писать формально правильно выглядящие сообщения, а новая технология дипфейков создала угрозу очень убедительных фишинговых атак с использованием аудио- и видеоматериалов.
Все чаще организациям необходимо планировать, когда — а не если — они пострадают от взлома. CIO и CISO должны работать вместе, чтобы продвигать передовые методы обеспечения безопасности данных на всех уровнях бизнеса. Согласитесь, что данные, которые стоит сохранять, имеют определенную бизнес-цель. И используйте такие методы, как анонимизация, шифрование или токенизация, чтобы защитить имеющиеся данные и сделать их бесполезными в случае кражи.
С точки зрения руководства, помогите бизнес-лидерам понять риски, связанные с данными, особенно с критически важными для бизнеса и чувствительной личной информацией, а также важность защиты всех ценных данных.
Может возникнуть сопротивление со стороны директоров по маркетингу (CMO) и других лиц, которые хотят собирать как можно больше данных для реализации их аналитического потенциала, что часто противоречит обязательствам организации по соблюдению нормативных требований и безопасности. Здесь CIO играют решающую роль. Вы можете стать посредником между CISO, ориентированным на ответственность, и CMO, ориентированным на возможности.
Для сотрудников это означает проведение или внедрение эффективного обучения для всей компании. Это обучение, а также беседы и программы повышения осведомленности в масштабах всей компании должны проводиться до того, как злоумышленники попытаются совершить утечку данных, а не после.
4. Действия в условиях сокращения ресурсов и бюджета
Сталкивающиеся с сокращением бюджета и увольнениями компании имеют меньше ресурсов и людей для выполнения того же объема работы. Хотя это может потребовать принятия сложных решений о том, от чего следует отказаться, не торопитесь принимать какие-либо решения. Стоит определить, являются ли текущие операции максимально эффективными или есть способы улучшить то, как фирма справляется с повседневными процессами.
Определение эффективности зависит от того, какие данные генерируют рутинные операции. Например, некоторые функции могут генерировать временные метки, которые можно использовать для определения эффективности этих процессов. Отслеживайте изменения в каждом процессе, просматривая данные временных меток, чтобы определить возможные улучшения.
Дальнейшее повышение эффективности возможно за счет автоматизации. Чтобы автоматизировать процессы, компаниям необходимо понять поток данных в существующих операционных процедурах. Построение автоматизации на этой основе позволяет добиться максимального повышения эффективности при минимальном риске. После того, как ваша организация оптимизирует эффективность там, где это возможно, решите, какие сокращения все же необходимо сделать.
Проблемы, с которыми сталкиваются CIO, существенны, но и отдача от их решения тоже. Если вы знаете, какие нормативные акты применимы к вашей организации, вы сможете разработать план обеспечения соответствия, который поможет избежать штрафов и укрепить доверие сотрудников и клиентов.
Разговор на всех уровнях компании способствует выработке комплексной стратегии работы с данными, которая позволяет сбалансировать потребности бизнеса в данных и ответственность за их защиту. А максимальная эффективность позволяет компаниям снизить влияние ограниченности ресурсов и бюджета на деятельность даже в трудные времена.