Стратегическое управление данными (data governance, DG) необходимо для обеспечения соответствия нормативным требованиям, конфиденциальности, безопасности, надежных аналитики данных и искусственного интеллекта. Однако многие организации до сих пор испытывают с этим трудности, отмечают опрошенные порталом Information Week эксперты.
В некоторых организациях DG все еще остается проблемой: сказываются и операционная разобщенность между отделами, и отсутствие сильного DG-руководства, и постоянно растущий объем данных, и неспособность понять, что такое вселенная данных.
«Некоторые элементы продуманного DG включают в себя понимание различных типов данных, которые могут у вас быть. Как только вы поймете эти типы, вы сможете определить уровень чувствительности данных, классифицировать эту информацию и определить, как лучше всего ее защищать и управлять ею, — говорит Эрих Барлоу, руководитель отдела информационной безопасности организации по стандартизации и сертификации BSI Americas. — Наличие четкого видения бизнес-контекста для сбора и хранения данных также является элементом продуманной DG-стратегии. Разработка такого видения позволяет управлять информацией в соответствии с действующими стандартами и нормативными требованиями, а также дает представление о потенциальной стратегии DG».
Надежная DG-стратегия должна быть направлена на этическое использование данных — чтобы избежать таких проблем, как незаконная дискриминация, и не столкнуться с такими последствиями, как штрафы, потенциальные судебные разбирательства и репутационный ущерб.
«Установление прав собственности на данные и управление ими также является важнейшим элементом продуманной стратегии управления данными, — говорит Барлоу. — Этот процесс помогает улучшить контроль над данными и гарантирует, что используются и управляются только надежные источники».
Арункумар Тирунагалингам, старший менеджер по данным и техническим операциям медицинской компании McKesson, говорит, что для обеспечения суверенитета данных организациям следует разработать политику, включающую определения данных, права доступа и защиту данных, процессы обеспечения соответствия, стандарты качества данных и показатели эффективности для обеспечения соблюдения стандартов. Кроме того, организации должны уметь адаптироваться к новым нормативным требованиям и потребностям бизнеса.
Общие проблемы, с которыми сталкиваются организации
Адам Эннамли, директор по рискам и безопасности General Bank of Canada, говорит, что подход к DG как к инициативе в области ИТ или соответствия нормативным требованиям — самая главная ошибка, которую совершают организации.
«Надежная DG-стратегия должна исходить от бизнеса и служить бизнесу, с упором на то, как данные влияют на принятие решений, — говорит он. — Если DG будет рассматриваться как проект в области технологий, безопасности или регулирования, то бизнес-пользователи могут воспринимать его как бремя, а не как фактор, повышающий ценность».
Еще одна ошибка — пытаться сразу сделать чрезмерно много.
«Слишком многие организации пытаются сразу управлять всеми своими данными, создавая сложные схемы, которые выглядят впечатляюще на бумаге, но на деле не продержатся и недели, — говорит Эннамли. — Вместо этого выберите критически важный бизнес-продукт или процесс, который затем сможет оказать влияние на всю организацию, установите там DG, покажите ощутимые преимущества, а затем расширяйтесь».
Кроме того, DG — это постоянный процесс, а не событие.
«DG — это не проект с конечной датой. Это постоянный гигиенический процесс, который требует постоянного внимания и сосредоточенности, — говорит Эннамли. — Если вы правильно выполните начальную работу, вам не нужно будет создавать целую армию, достаточно собрать разнообразную команду экспертов, которые понимают динамику бизнеса и обладают базовыми знаниями о данных».
Тирунагалингам предупреждает, что можно начать не с того конца, долго игнорируя потребности некоторых ключевых заинтересованных сторон. Результатом этого станет сопротивление внедрению решения и несогласованность политики DG с операционными требованиями бизнеса.
«Начинайте с малого, а потом наращивайте. Поначалу все упростите, чтобы быстро обеспечить ценность для бизнеса, например, повысить точность данных или обеспечить более эффективное соблюдение нормативных требований, — говорит Тирунагалингам. — Поощряйте подотчетность, внедряя DG в бизнес-цели и поощряя ответственность за DG для всех сотрудников».
По словам Барлоу, некоторые организации не понимают, каким объемом данных они обладают, что может помешать реализации эффективной программы DG. Кроме того, они могут не до конца понимать, каким нормативным требованиям нужно соответствовать и какие данные конкретно собираются. Непонимание перерастает в неэффективную программу, которая не отвечает потребностям бизнеса. Это также подвергает данные риску, поскольку меры контроля оказываются неэффективны.
«Это особенно актуально, если собираемые данные представляют собой метаданные с веб-сайтов или приложений. Часть этой информации находится под контролем регулирующих органов, поэтому предприятию, возможно, придется применять дополнительные меры контроля, чтобы соответствовать их требованиям, — говорит Барлоу. — Еще одна проблема — найти подходящую схему, которая соответствовала бы потребностям как предприятия, так и его клиентов. Существует множество стандартов, но некоторые из них носят рекомендательный характер, в то время как другие являются предписывающими и требуют соблюдения требований конкретного государства. Это, в свою очередь, означает, что меры контроля, требуемые конкретным стандартом, могут оказаться дорогостоящими для предприятия».
Он отмечает, что организации, работающие в высокорегулируемых отраслях, таких как здравоохранение и финансы, плохо справляются со сбором данных. «Как правило, они собирают избыточное количество данных, которые не нужны для их услуг, и поскольку они их собирают, они должны управлять ими. Некоторые из этих компаний не знают, что эта информация может быть конфиденциальной и требовать специального ухода, например, шифрования в состоянии покоя или в пути, поэтому они тратят больше, чем предусмотрено бюджетом», — говорит Барлоу.
Кто должен возглавлять DG
В организациях по-разному подходят к вопросу DG, поэтому оно возлагается на множество различных ролей. Это может быть руководитель отдела комплаенса или конфиденциальности, CISO, существующая функция управления рисками, CIO или CTO, или другая роль. Барлоу считает, что CISO — лучший выбор.
«Во многих организациях сотрудники службы ИБ имеют все возможности для решения конкретных вопросов, которые могут возникнуть при работе с данными или их хранении, — говорит он. — Кроме того, ИБ-команды могут помочь организациям понять различные требования, относящиеся к их бизнес-данным. Сотрудники службы ИБ обладают практическими знаниями о том, как реализовать различные меры безопасности, требуемые конкретными стандартами управления данными».
Если в организациях есть директора по безопасности данных или по защите данных, их тоже следует привлечь к разработке методологии и управлению данными, поскольку они понимают всю сложность данных и то, как придерживаться различных международных стандартов и местных норм. Барлоу также рекомендует привлекать к работе юридическую службу, поскольку именно судебные разбирательства стали причиной того, что некоторым компаниям пришлось разработать стандарты управления данными.
Эннамли говорит, что добровольные или назначенные распорядители данных — это хорошая идея только на бумаге, поскольку она редко срабатывает из-за конкурирующих приоритетов и предпочтений. «Вам нужны преданные своему делу, целеустремленные люди, которые будут анализировать данные, процессы, операции и выстраивать важные связи между технологическими активами, информационными активами и подразделениями, создающими бизнес-ценность, транслируя требования и разрабатывая четкое, прагматичное взаимодействие в обоих направлениях», — поясняет он.
Тирунагалингам утверждает, что сильное DG-руководство исходит исключительно от директоров по данным и аналогичных высокопоставленных спонсоров, которые должны обеспечивать межведомственное сотрудничество.
«Такой человек гарантирует, что DG-стратегия реализуется в соответствии с бизнес-целями и что высшее руководство одобряет эту стратегию, — говорит он. — Сотрудничество имеет огромное значение: бизнесмены, ИТ-команды, специалисты по управлению данными, юристы и т. д. — все они необходимы. Обеспечить целостность политики с точки зрения решения и удовлетворения технических, юридических, операционных и других задач организации призван комитет по управлению, члены которого рекомендуются на межфункциональной основе».
Советы для успеха
Учитывая все возрастающую зависимость аналитики, ИИ и обоснования бизнес-стратегии от данных, организациям, которые еще не определили и не внедрили стратегию DG, следует сделать это прямо сейчас.
«Контроль над данными будет иметь решающее значение, когда компании начнут разрабатывать или использовать новые и развивающиеся технологии, основанные на данных, такие как ИИ и квантовые вычисления, — говорит Барлоу. — Решение вопросов безопасности на ранних этапах также поможет обеспечить доступность информации для использования развивающимися технологиями в будущем. Контроль над данными и решение вопросов безопасности принесут пользу как вашему бизнесу, так и клиентам, поэтому информация должна быть точной и легкодоступной для включения в различные модели и алгоритмы обучения».
Эннамли, в свою очередь, подчеркивает необходимость простоты. «Самый главный совет по DG — сосредоточиться на том, чтобы сделать управление удобоваримым, понятным, практичным, без жаргонизмов и полезным для конечных пользователей, — говорит он. — Если управление станет препятствием для получения ценности, люди неизбежно найдут способы обойти его, поэтому будьте прагматичны и реалистичны в своем подходе».
И не следует забывать о важности межфункционального сотрудничества. Без сильного руководства в области DG и участия правильных людей организации рискуют непреднамеренно использовать или прямо эксплуатировать данные во вред организации и ее заинтересованным сторонам.
