Данная статья старшего менеджера компании Consilio Карен Хорнбек (Karen Hornbeck – на фото) была опубликована 15 ноября 2022 года в журнале по вопросам кибербезопасности CPO Magazine.
Воздействие пандемии Covid-19 на организации и их сотрудников по всему миру привело к невероятно быстрому изменению того, где и как выполняется работа: вместо офиса работа стала выполняться на дому, а теперь ещё и в преимущественно гибридной среде. После нескольких лет работы по-иному, мы собираемся обсудить значение программы стратегического управления информацией (information governance) в организации и связанных с нею практик.
Хотя как официальная дисциплина стратегическое управление информацией относительно нова, лежащие в её основе принципы не являются чем-то новым. Для организаций всегда было хорошей практикой знать, какую информацию они создают или собирают, где эта информация хранится и кто имеет доступ к ней доступ. Исторически организациям необходимо было всё это знать для того, чтобы они могли эффективно получать доступ к информации для принятия оптимальных деловых решений. Хотя эта потребность по-прежнему является одной из движущих сил сильной программы стратегического управления информацией, в число движущих сил сегодняшнего дня также входят сокращение затрат и рисков, связанных с хранением, судебными разбирательствами, кибербезопасностью и защитой персональных данных.
Сильная программа стратегического управления информацией, разработанная с участием необходимых заинтересованных сторон, основное внимание уделяет реалистичным политикам, основанные на пересечении Вашей организации и наилучших практик, хорошо разработанных технологий и ориентированной на сотрудников программы менеджмента изменений. Такая программа действительно требует времени, денег, а также как внутренних, так и зачастую внешних ресурсов. Большую часть или даже всю работу можно выполнить внутри организации, используя специально выделенные на стратегическое управление информацией ресурсы; следуя «дорожной карте» проектов, направленных на достижение зрелости стратегического управления информацией; и, наверное, самое главное – опираясь на помощь и поддержку со стороны высшего руководства. На практике на полное внедрение надлежащих процессов, технологий и других элементов зрелой программы может уйти много месяцев, а то и годы.
Но и получаемую отдачу невозможно переоценить. Представьте себе среду, в которой вся (или даже большая часть, в контексте данной статьи) информация и данные, созданные или полученные Вашей организацией, известны и задокументированы (ответ на вопрос «что?»). Кроме того, изучены и задокументированы точки, через которые эта информация и данные поступают в организацию и покидают её, и места их хранения (ответ на вопрос «где?»). Также изучены и задокументированы методы, при помощи которых эта информация создаётся, принимается и передаётся (ответ на вопросы «когда?» и «как?»); кто именно имеет доступ к информации внутри организации и кто получает её за пределами организации (ответ на вопрос «кто?») и с какой целью (ответ на вопрос «почему?»). Хотя такой подход может показаться чрезмерным или слишком напористым, именно такая среда должна быть конечной целью Вашей программы стратегического управления информацией.
Почему же необходимо стремиться к такой строгости и точности в понимании информации Вашей организации? Подумайте о следующем:
- Как Вы убедитесь, получив уведомление о судебном разбирательстве, что Вы отбираете и анализируете (в рамках процесса э-раскрытия – Н.Х.) только подпадающую под запрос на раскрытие информацию, которую Вы обязаны предоставить?
- Как узнать, не содержит ли часть информации, которую Вы передаёте адвокату противной стороны или проводящему расследование органу (опять-таки в рамках процесса э-раскрытия – Н.Х.), документы и материалы, которые следовало уничтожить в соответствии с Вашим перечнем видов документов с указанием сроков хранения?
Мой комментарий: Очень странный вопрос! Противной стороне, под страхом жесточайших санкций, должна быть представлена вся относящаяся к делу информация, которая имелась на момент возникновения обязанности провести э-раскрытие. С момента появления такой обязанности и до окончания судебного разбирательства или расследования ничего уже уничтожать нельзя, пусть даже сроки хранения и истекли. Знание того, что часть раскрываемой информации могла быть на законных основаниях уничтожена, будет полезно уже потом, для «разбора полётов» и усовершенствования процессов управления документами и информацией. - Когда Вы отвечаете на запрос потребителя или субъекта персональных данных, как Вы убедитесь, что полностью понимаете то, как Ваша организация получает персональные данные; цели, для которых они собираются; и что Вы храните их только в течение необходимого периода времени?
- Откуда Вы узнаете, какие «теневые» ИТ-технологии т Ваши сотрудники использую из-за того, что сталкиваются со слишком многими уровнями неудобных для использования мер безопасности, мешающими им выполнять свою работу (я не утверждаю, что обеспечение безопасности - это плохо, совсем наоборот; но я предполагаю, что меры безопасности должны быть разумными и сбалансированными, а сотрудники должны быть должным образом обучены)?
Так с чего же начинать? Ваш первый шаг включает два вопроса: определите, кто является Вашим спонсором по вопросам стратегического управления информацией, т.е. тем человеком, который берёт на себя ответственность за успех программы и будет предоставлять как необходимые рекомендации, так и необходимые ресурсы для различных проектов, которые нужно будет реализовать.
Не менее важно определить, кто входит в состав расширенной сети Ваших ключевых внутренних заинтересованных сторон. В их число почти всегда будут входить юридический отдел, служба соблюдения законодательно-нормативных требований, ИТ-служба и представители основных деловых подразделений. Поручите им разобраться с массивом информации, которую они создают и/или получают. Это создаст основу для Вашей карты данных, а также даст возможность анализировать информацию в соответствии с матрицей рисков, обращая особое внимание на тип и объём информации.
Определите, какие проекты необходимы для надлежащего разрешения вопросов, связанных с информацией наиболее высокого риска, - но не упускайте возможности для получения быстрых результатов. Убедитесь, что в каждой зоне Вашей организации у Вас есть люди на нижнем уровне, которые не только разбираются в информации своего направления деловой деятельности, но также проходят дополнительное обучение по вопросам надлежащего установлении и отслеживания сроков хранения, проведения уничтожения либо передачи на архивное хранение, исполнения временных запретов на уничтожение, по вопросам доступа, технологий, безопасности и по другим ключевым темам.
Пандемия коронавируса ярко продемонстрировала необходимость того, чтобы организации в полной мере понимали мир своей информации, и чтобы это понимание ложилось в основу план-графика запуска или совершенствования Вашей программы стратегического управления информацией. И пока мы всё ещё разбираемся с тем, где мы выполняем свою работу, - именно сейчас самое подходящее время для того, чтобы пересмотреть и то, как мы работаем.
Карен Хорнбек (Karen Hornbeck)
Источник: сайт журнала CPO Magazine
https://www.cpomagazine.com/cyber-security/no-better-time-than-the-present-information-governance/
Комментариев нет:
Отправить комментарий