Наш мир продолжает наполняться данными, поэтому важные корпоративные документы должны храниться организованно и в безопасности. Опрошенные порталом InformationWeek эксперты дают советы, как правильно выстроить стратегию управления ими.
Стратегия управления корпоративной информацией не является целостной, если она не включает в себя эффективную политику хранения данных (data retention policy, DRP). По сути, DRP — это просто система правил хранения, накопления и удаления информации, которую организация генерирует и обрабатывает. Что далеко не просто, так это ее разработка, которая должна быть всеобъемлющей, управляемой и совместимой с текущими и изменяющимися требованиями законодательства и отраслевыми нормами.
DRP не только снижает риск того, что организация нарушит установленные требования, но и может принести огромную пользу. «DRP снижает затраты, связанные с соблюдением нормативных требований, а также с потенциальными судебными разбирательствами, — объясняет Энди Ганди, управляющий директор консалтинговой компании Kroll. — Она также снижает внутренние затраты на оборудование для хранения ненужных данных, а также на персонал для управления данными и серверами».
По словам Педро Феррейры, доцента кафедры ИС Колледжа Хайнца при Университете Карнеги-Меллона, DRP имеет фундаментальное значение для развития знаний. «Хорошая DRP обеспечивает хранение всех собранные данные таким образом, чтобы их можно было использовать в будущем», — отмечает он.
Когда возникают юридические, нормативные вопросы или вопросы безопасности, уже слишком поздно приводить данные организации в порядок, предупреждает Скотт Рид, руководитель отдела управления рисками и финансовыми консультациями в области управления информацией компании Deloitte: «Имеющая место в большинстве организаций цифровая свалка данных, размещенных в локальных дата-центрах или разбросанных по облаку, — это бомба замедленного действия, несущая расходы и риски». Чтобы предотвратить неблагоприятные события, предприятиям следует активно управлять данными и исправлять их в соответствии с надежным и тривиальным процессом, который определяется DRP. Кроме того, для бесперебойной и упорядоченной работы организациям необходимо научиться эффективно работать с документами — создавать, использовать и утилизировать их. «DRP и график хранения являются ключевыми инструментами для создания эффективных процессов», — говорит он.
Планирование DRP
Первым шагом на пути к созданию комплексной стратегии DRP является определение конкретных потребностей бизнеса, которым она должна соответствовать. Следующим шагом должен стать обзор нормативных актов, применимых ко всей организации. «Назначьте группу лиц, представляющих различные бизнес-практики, чтобы провести инвентаризацию данных и разработать план внедрения и поддержания DRP, которая отвечает требованиям вашего бизнеса и в то же время соответствует нормативным требованиям», — советует Ганди.
Контролировать разработку и внедрение DRP на предприятии должен директор по данным (CDO), считает Феррейра. «Однако все, кто имеет дело с данными, должны знать о внедренных механизмах, чтобы они способствовали реализации DRP, — добавляет он. — Внедрение надежной DRP может быть решением сверху вниз, но для этого требуется поддержка на всех уровнях организации».
По словам Рида, заинтересованные стороны из различных отделов (администрация, юридический, ИТ, безопасность, конфиденциальность и др.) должны иметь возможность высказать свое мнение о DRP предприятия. Кроме того, к рассмотрению рекомендаций по предлагаемым временным периодам может быть привлечен внешний юрисконсульт, считает он. При разработке или обновлении политик следует помнить, что нормативные требования за последние несколько лет значительно изменились и, скорее всего, в обозримом будущем продолжат меняться. Развитие технологий также создает новые проблемы. «Появляются новые системы, другие выводятся из эксплуатации, что значительно меняет ландшафт данных, — говорит он. — Чтобы быть актуальными, политики и процедуры должны включать положения о регулярном обновлении».
Типы данных, которые должны быть включены в политику, зависят от конкретных областей (права, нормативных требований, предписаний), которые предприятие должно соблюдать. «Например, глобальной компании может потребоваться GDPR, поэтому соблюдение конфиденциальности зависит от географического аспекта, — говорит Гутам Беллиаппа, вице-президент по разработке данных и ИИ Capgemini Americas. — Определенные требования к хранению и комплаенсу, такие как HIPAA или PCI, могут зависеть от отраслевой принадлежности компании». Самая большая ошибка, которую допускают организации при разработке DRP, заключается в том, что они смотрят на проект изнутри или руководствуются только интуицией. «Посмотрите на законы, правила и нормы, которые должны соблюдаться, — говорит он. — Создайте политику, которая сбалансирует все цели по всем этим иногда противоречивым требованиям».
Выводы
Универсального способа создания DRP не существует. «Ключом к эффективному соблюдению требований является создание, внедрение и поддержание программы с четкими протоколами, — утверждает Ганди. — Подход, какую бы форму он ни принимал, должен быть достаточно гибким, чтобы соответствовать требованиям и стратегиям бизнеса и одновременно обеспечивать защиту данных».
Чтобы политики не была перегружены лишней информацией, выделите наиболее важные наборы данных и разработайте в их отношении политику, рекомендует Митч Кавальски, старший директор по управлению безопасностью, рисками и комплаенсу Sungard Availability Services. «Приоритет должен отдаваться конфиденциальным данным, включая кадровые и финансовые документы, — советует он. — Если данные важны для вашего бизнеса, то они, скорее всего, важны и для регулирующих органов, и политика должна гарантировать, что эти наборы данных будут охвачены».
