多元化案例解析数据保护和治理的探索与实践
当前,很多组织的数据部门日常穷于应付各种需求,同时又面对不少抱怨:查找、组合和分析数据需要太多时间,用户对数据的正确性与时效性不满意,无法轻松回答跨域业务问题。最终导致一直在重复收集、管理和分发相似的不正确和冲突的数据,这些工作昂贵且费力,导致过多的IT成本和过高的复杂度,以及用户对数据资源缺乏信任。
数据是组织的战略资产,组织应该清楚地了解“数据的战略价值”以及如何释放和利用数据来产生积极的业务影响。
企业该如何善用这些数据特点来发挥最大价值?让我们跟随Privacera战略营销总监Myles Suer,从多个业务案例出发,一起探索数据治理的实践与解析吧(文末可领相关发布物)!
是时候该理清头绪了
2011年,在我担任产品经理时,我有机会与惠普的企业架构团队合作。通过这次合作,我注意到这些人和我一样,仅停留在系统思想层面。在这个时候,我得到并阅读了由Jeanne Ross、Peter Weill和David Robertson编写的《企业架构即战略》。这本书让我受益匪浅,感觉现在IT中发生的一切都有意义了。不久后,我接触并真正接受了关于The Open Group TOGAF®标准框架的培训。
我在《企业架构即战略》中获得的重大收获是,深深了解到企业组织的“数据孤岛”问题,以及搭建企业架构的困难。最近的MIT-CISR研究中表明,至今仍有51%的企业限于“孤岛”问题中。Ross也曾对这一问题进行了描述,即“很多公司80%的编程代码专门用于链接不同的系统,并非是创造新功能”。不得不承认的是,这一问题非常普遍,因此导致企业业务架构敏捷度不够,同时缺乏实现数字化转型的资源或能力。
通过上述示例可以发现,采用企业架构模型的重要性不言而喻。Ross等人将其定义为“业务流程和IT基础设施的组织逻辑,反映了公司运营模式的集成和标准化要求”。
此外,这本书中的另一个关于数据治理的描述也值得深思—数据作为公司最重要的资产之一,往往是零散的,容易出错且滞后的。正如他们所感知并建议的那样,需要一条“管道”以系统性、可持续和可扩展的方式收集、输入、清理、集成、处理和保护数据。
以系统性、可持续与可扩展的方式保护数据
大多数公司在保护数据方面都很糟糕。《隐私工程师宣言》将网络安全、数据隐私、数据治理和企业架构置于一个有凝聚力、平易近人的整体中。
在如今的数字时代,数据无处不在,不断扩散,每个数据产品的隐私都是不可处理的。很多系统管理数据治理和访问控制系统不再起作用,因此组织在试图解决这一问题过程中,往往适得其反,制造混乱。以下是一些特定部门的例子:
医疗保健支付者:医疗保健组织部署了粗粒度的安全控制,以保护其不断增长的数据资产。为了分散风险,公司激增数据集,通常具有重复的数据元素,以及每个数据集的不同权利和特权。然而,由于数据重复,这种方法增加了计算、存储和管理成本。同时还增加了工作量。由于数据扩散,安全和审计成本也提高了;这使得几乎无法确保公司数据安全和隐私政策的一致性。
金融服务提供商:金融服务公司需要证明遵守了政府敏感数据处理准则。然而,他们没有统一的方式来识别、标记、保护和监控多个复杂数据资产的客户信息。这造成了安全和访问覆盖范围的漏洞。如果这些漏洞是在审计期间发现的,除了需要在其复杂的数据资产中为所有内部和外部数据建立一致的访问策略,还需要进行细粒度的访问控制,以跟踪和审计对数据的访问,以达到合规的目的。
最终,这三家公司发现,逐个设计安全和隐私系统的工作太大了,必须具体问题具体分析。
数据治理和访问控制
当然,Ann Cavoukian在《设计隐私》中构想的大部分内容仍然奏效。但是,昂贵的费用,让组织暴露在隐私和安全控制的漏洞中。
那么,有什么更好的方法吗?确实有的。但首先我们需要考虑将数据治理和访问控制作为一个系统,通过建立政策和控制系统,将通用控制应用于数据。
以财务部门为例,当在季度末或特定时间范围内控制数据成为很重要的事情时,应该并且可以实施本地化控制。简而言之,随着数字产品的激增,数据也会随之激增。这意味着需要发现整个数据资产的敏感数据,然后应用一致的数据控制。否则,数据保护的工作量将急剧飙升。随着数字时代的发展,让公司实施一个全面的系统视图,充分提供一致的数据治理将尤为重要。
总结
最后,用Marco Iansiti和Karim Lakhani在《人工智能时代的竞争》中所提到的进行总结—为跟上不断变化的数据资产和法规,是时候采取联合数据治理和访问控制的方法,以系统性、可持续和可扩展的方式保护数据,为系统设计安全和隐私了。
