Устаревшие данные: как управлять и безопасно удалять

Устаревшие данные перегружают ресурсы хранилища и представляют собой потенциальный риск для безопасности. Опрошенные порталом InformationWeek эксперты обсуждают, как можно безопасно и надежно избавиться от ненужных данных.

Больше данных — больше рисков, отмечает Элизабет Наммур, соучредитель и генеральный директор компании Teleskope, специализирующейся на кибербезопасности. «В условиях действия таких нормативных актов, касающихся конфиденциальности, как GDPR, организациям необходимо бдительно защищать все конфиденциальные данные, иначе они рискуют получить крупные штрафы за их несоблюдение, — поясняет она. — На самом деле выбора нет — не стоит хранить то, что вам не нужно».

По словам Джули Мунгаи, менеджера по безопасности и соблюдению нормативных требований компании BARR Advisory, при выборе стратегии работы с данными руководители предприятий всегда должны отдавать предпочтение качеству, а не количеству. «Это означает, что необходимо продолжать хранить только те данные, которые являются точными и соответствуют нормативным требованиям, — отмечает она. — Все остальное устаревает, а затраты на хранение устаревших данных значительно превышают выгоды».

Удаление устаревших данных помогает организациям минимизировать как юридические, так и нормативные риски. Хранение устаревших данных — рискованное дело, предупреждает Мунгаи. «Регулярное удаление устаревших данных также помогает компаниям сократить расходы, более эффективно использовать свои ресурсы и, что, возможно, наиболее важно, укрепить доверие клиентов», — считает она.

Накопление большого количества устаревших данных также может привести к высоким затратам на хранение, проблемам управления данными и повышенному риску безопасности. Кроме того, хранение большого количества устаревших данных может стать тяжелым бременем для конечных пользователей. «Поиск нужной информации усложняется, если приходится просеивать избыточные или устаревшие данные», — говорит Лаура Куруп, главный директор Accenture Federal Services по инновациям в области науки о данных.

Надежная идентификация

Надежный способ выявления устаревших данных — это периодический анализ всех собранных данных с последующим составлением политики хранения с учетом их конфиденциальности и необходимости в них. По словам Мунгаи, все данные, которые не нуждаются в хранении, должны быть незамедлительно удалены. «Например, компания может настроить систему проверки личности таким образом, чтобы удалять данные сразу после проверки», — поясняет она. Другим примером может быть удаление данных о точном местоположении пользователей через 30 дней, если эти данные отслужили свой срок. «Автоматизация этих процессов может помочь компаниям избежать сбора большого количества устаревших данных», — отмечает Мунгаи.

Многие организации хранят огромные объемы неструктурированных данных, включая архивы электронной почты и файловые хранилища, которые могут содержать значительное количество устаревших данных. Инструменты аудита данных, анализ метаданных и аналитика использования могут помочь организациям просеять большие хранилища. «Если данные старые и к ним не обращались в течение значительного времени, то, скорее всего, они устарели», — говорит Куруп. Для разработки комплексной политики хранения и удаления данных она советует ИТ- и бизнес-подразделениям совместно выработать определение понятия «устаревшие» для различных типов данных.

По словам Бет Фулкерсон, партнера по вопросам конфиденциальности и защиты данных юридической фирмы Culhane Meadows, для обеспечения полного соответствия требованиям конфиденциальности организациям следует создать карту данных, в которой будут перечислены все типы персонально идентифицируемой информации, собираемой, обрабатываемой, хранимой или передаваемой. «Аналогичным образом может быть разработана политика управления данными с привлечением различных заинтересованных сторон для разных типов данных и с учетом законов, требующих их удаления, а не хранения», — говорит она.

Более безопасное обращение

Лучший способ обращения с устаревшими данными — это минимизация их объема. «Заранее установите сроки хранения и автоматизируйте удаление данных, — советует Мунгаи. — Сокращая объем собираемых данных до необходимого минимума, организации значительно снижают риск непреднамеренного хранения ненужных данных». Она также рекомендует использовать автоматизированные методы хранения и удаления данных, например, настраивать графики хранения таким образом, чтобы данные автоматически удалялись при достижении определенных критериев. «Такой подход эффективен, поскольку является проактивным, а не реактивным», — отмечает Мунгаи.

По мнению Куруп, организациям следует планировать архивирование или удаление данных задолго до того, как они устареют. «Создание эффективной программы управления данными позволяет организациям управлять жизненным циклом данных с момента их получения или создания, — поясняет она, — Если данные эффективно управляются и маркируются, а также существует политика хранения и удаления данных, то архивирование и удаление данных может происходить регулярно и даже быть автоматизировано».

Ошибка многих организаций заключается в том, что удаление данных рассматривается только как технологическая задача. По словам Куруп, хранение данных может также влиять на ИТ-бюджет, что может послужить стимулом для решения проблемы устаревших данных. Любое эффективное решение требует тесного сотрудничества с руководителями предприятий. Она предупреждает, что простое выявление старых или редко используемых данных еще не означает, что они устарели. «Без тесного взаимодействия с руководством компании добиться консенсуса по вопросу удаления данных может быть сложно», — отмечает Куруп.

Ключевые компоненты

Ключевыми компонентами успешной программы управления данными являются обучение и управление изменениями. «Корректировка поведения пользователей, связанного с электронной почтой, хранением файлов, тегами и общим доступом, может оптимизировать управление данными и значительно сократить количество создаваемых устаревших данных, — говорит Куруп. — Для достижения успеха организации должны работать над улучшением пользовательского опыта выполнения этих повседневных задач, а не просто устанавливать новые политики и процедуры».