На фото: старший консультант Анджела Вон (Angela Wong) и ведущий исследователь Касси Финдлей (Cassie Findlay)
Данная заметка сотрудников австралийской компании ElevenM Анджелы Вон (Angela Wong) и известного австралийского специалиста Касси Финдлей (Cassie Findlay) была опубликована 20 февраля 2024 года на сайте компании.
В последние месяцы компания ElevenM была завалена запросами от организаций, искавших помощь в разработке стратегий по сокращению объемов хранимых ими данных, в особенности персональных данных. С этими запросами обращались коммерческие организации всех секторов и направлений деятельности, включая финансы, розничную торговлю, авиацию, здравоохранение, а также государственные органы.
После десятилетий лихорадочного накопления данных, и после ряда крупных утечек данных, таких как утечки у компаний Optus ( https://stories.uq.edu.au/contact-magazine/2022/optus-says-it-needed-to-keep-identity-data-for-six-years-but-did-it-really/index.html ), Medibank ( https://www.afr.com/companies/financial-services/medibank-asked-to-delete-data-pay-damages-for-failing-customers-20230209-p5cjd7 ) и Latitude ( https://www.9news.com.au/finance/latitude-cyber-attack-update-new-zealand-privacy-commissioner-data-retention/3774a077-ecea-4e63-8438-b86fe79c5a77 ), сейчас стало заметно, что корпоративная Австралия начала осознавать рисков хранения слишком больших объёмов данных.
Имея это в виду, многие коммерческие организации сейчас ставят перед собой задачу сократить объёмы хранимых ими данных и улучшить стратегическое управление данными.
В этом посте мы расскажем, как эти компании могут отреагировать на данную тенденцию.
Наведение порядка в хранении данных: пора расчистить чердак
Стратегическое управление данными чем-то похоже на управление в домашнем хозяйства теми вещами, которые мы накапливаем с течением времени. Некоторые вещи остаются необходимыми, а другие отравляются в пыльные углы чердака, чтобы как-нибудь потом разобраться с ними и избавиться от хлама (и это «позже» часто так никогда и не наступает).
Поскольку многие коммерческие организации всё чаще приобретают и используют данные для реализации новых возможностей и повышения эффективности, эти данные могут накапливаться, как старые вещи на чердаке.
Подобно вещам на чердаке, большая часть хранящихся в организациях данных находится вне поля зрения, в то время как повседневная деятельность по управлению данными охватывает только данные, что находятся «на поверхности». Между тем, большие объемы данных остаются заархивированными в устаревших системах, больше не имеют особой ценности и, что ещё хуже, представляют собой дремлющий риск.
Помимо проблем с соблюдением законодательно-нормативных требований, плохое управление данными может причинить реальный ущерб физическим лицам (и привести к групповым искам, см. https://www.oaic.gov.au/newsroom/representative-complaints ). В то время, как хорошая практика защиты персональных данных и строгие меры безопасности защищают Ваши данные, хорошее стратегическое управление данными обеспечивает сохранение Вами только того, что Вам действительно нужно, делая тем самым Ваши данные более точными, надежными и удобными для пользователя. Кроме того, кому не понравится жить в чистом и прибранном доме, где всё находится на своих местах, аккуратно организовано, а хлам отбирается и выбрасывается, когда эти вещи перестают быть нужными?
Важность (и ценность) хорошего стратегического управления данными
Около 80% австралийцев при выборе продукта или услуги придают большое значение тому, как их данные собираются, используются и защищаются (см. https://www.oaic.gov.au/engage-with-us/research-and-training-resources/research/australian-community-attitudes-to-privacy-survey/australian-community-attitudes-to-privacy-survey-2023 ). В сочетании с ужесточением административных наказаний за серьёзные и/или неоднократные утечки персональных данных ( https://ministers.ag.gov.au/media-centre/parliament-approves-governments-privacy-penalty-bill-28-11-2022 ) и реформированием законодательства о защите персональных данных ( https://www.ag.gov.au/rights-and-protections/publications/government-response-privacy-act-review-report ), наши клиенты перенацеливают своё внимание на управление данными, придавая стратегическому управлению данными и управлению информацией существенно большее значение.
Одна из интересных вещей, которые мы подмечаем, заключается в том, что получаемые нами запросы на помощь со стратегическим управлением данными поступают от разных структурных подразделений организаций. Группы по защите персональных данных, директора по информационной безопасности, ИТ-подразделения и директора по данным - все они теперь видят, как улучшенное стратегическое управление данными способствует достижению их индивидуальных целей - включая подготовку к предстоящим реформам законодательства о защите персональных данных, снижение риска утечки данных, экономию средств за счёт более эффективного хранения данных и повышение качества данных в интересах поддержки более качественной аналитики данных и инноваций.
Эти группы и подразделения, часто разрозненные, объединяются в вопросах стратегического управлении данными.
С чего начать? Три шага по налаживанию стратегического управления данными
Вхождение в мир стратегического управления данными может показаться сложной и трудной задачей, но это не обязательно должно быть так. Ниже описаны три вещи, которые Вы можете сделать, чтобы начать улучшение стратегического управления данными в Вашей организации.
1. Минимизация данных
Мы все виновны в сборе и хранении вещей «на всякий случай» - вдруг они пригодятся нам в будущем, однако накопление больших объёмов данных, застрявших в устаревших системах и со временем забытых, создает ненужные риски в плане защиты персональных данных.
Австралийский уполномоченный по информации и по вопросам защиты персональных данных (Australian Information Commissioner and Privacy Commissioner) Анджелин Фальк (Angelene Falk) подчёркивает, что австралийские организации должны «убедиться в том, что они собирают только те персональные данные, которые необходимы для ведения их деловой деятельности» (см. https://www.oaic.gov.au/newsroom/oaic-annual-report-highlights-oaics-work-to-uphold-privacy-and-information-access-rights ). Как недавно отметила директор компании ElevenM и ответственная за практику защиты персональных данных Мелани Маркс (Melanie Marks), см. https://elevenm.com.au/blog/privacy-and-information-security-just-like-salt-and-pepper/ , минимизация данных означает, что в случае утечки данных под угрозой окажется меньше документов. Чем больше данных вы храните, тем больше у вас данных, которые подвергаются рискам в плане безопасности и защиты персональных данных.
2. Перечни обрабатываемых данных (Data processing inventories, DPI)
Организациям следует обследовать и проанализировать свои хранилища данных, поскольку «вы не можете защитить то, о чём не знаете». Перечни обрабатываемых данных (DPI-перечни) дают вам представление об объёмах и содержании данных, хранящихся в вашей организации. рассмотрите жизненный цикл ваших данных: какие данные вы храните, собираете и создаёте, и для каких деловых целей? Где они хранятся и обрабатываются? Как они защищаются, и что происходит, если информация перестаёт быть нужной?
Наличие хорошего DPI-перечня данных в качестве одного из элементов вашей программы защиты персональных данных и стратегического управления данными становится все более важным с точки зрения исполнения законодательно-нормативных требований. Вы можете прочитать нашу серию постов из пяти частей, посвященную таким перечням данных, чтобы узнать об их важности и о том, как разрабатывать, внедрять и поддерживать ваши DPI-перечни (см. https://elevenm.com.au/blog/data-processing-inventories-part-1-why-are-you-collecting-it-in-the-first-place/ ).
3. Хранение в течение установленных сроков и уничтожение по их истечении: перенос старых методов в среды с большими объемами данных
Традиционно используемые для управления регулярно проводимым уничтожением информации инструменты не поспевают за меняющимся технологическим ландшафтом. Политики в отношении сроков хранения и перечни с указанием сроков хранения и действий по их истечении часто не справляются с установлением правил, которые бы определяли конкретные шаги, выполнение которых может быть авторизовано по истечении срока хранения – следует ли по истечении срока хранения удалить данные? Заархивировать их? Провести деидентификацию? Существует разрыв между правилами и их фактической реализацией в системах.
Входе решения этих проблем мы наблюдаем сближение того, что можно было бы назвать традиционными моделями управления информацией и документами, со сстраатегическим управлением данными. Это означает разработку правил хранения и уничтожения таким образом, чтобы они учитывали конкретные потребности в данных и интегрировались с другими мерами и средствами контроля и управления, такими как концепции деидентификации. Это также означает использование результатов усилий по составлению перечней обрабатываемых данных для выявления хранилищ данных с повышенным риском при определении приоритетов в ходе реализации правил хранения и уничтожения. А это означает признание того, что данные, как и все другие формы создаваемой и сохраняемой организацией информации, являются ценным активом, требующим активного управления.
Предлагаемые ныне реформы Закона о неприкосновенности частной жизни (защите персональных данных) (Privacy Act) включают предложение о том, чтобы организации устанавливали в своих политиках или перечнях как минимальные, так и максимальные сроки хранения, - а это означает, что регулирующий орган возложит на организации бремя своевременного уничтожения информации с истекшими сроками хранения.
Мой комментарий: Я не знаю ни одной страны мира, в которой коммерческие организации были бы в принципе готовы заняться установлением максимальных сроков хранения – это намного сложнее, чем установление минимальных сроков, поскольку требуется очень глубокое понимание правовых требований и рисков, особенностей деловой деятельности и её потребностей в документах и информации, при этом в отсутствие возможности положиться на готовые Перечни. Это затратная деятельность, для ведения которой будет сложно найти кадры необходимой квалификации, да ещё придётся всерьёз налаживать работу представительных экспертных комиссий. В то же время есть страны, в которых максимальные сроки хранения действительно устанавливаются для документов и информации государственных органов, обычно посредством издания типовых и ведомственных перечней.
Время генеральной уборки
Организации должны не только реагировать на очевидные риски, но и осознать сложности, связанные с хранением и уничтожением данных.
Помимо рисков безопасности, также встаёт вопрос о том, имеют ли данные по-прежнему какую-либо ценность? Является ли эта информация всё ещё актуальной? Поддерживает ли она прогнозирование в интересах Вашей деловой деятельности? И даже если это так, организациям следует задуматься о том, можно ли использовать эти данные таким образом, чтобы персональные данные были скрыты или обезличены.
Пришло время прийти на чердак со стопкой картонных коробов и очистить его от хлама.
Анджела Вон (Angela Wong) и Касси Финдлей (Cassie Findlay)
Источник: сайт компании ElevenM
https://elevenm.com.au/blog/could-deletion-be-the-hottest-data-trend-of-2024/
Комментариев нет:
Отправить комментарий