Jak krok po kroku przeprowadzić audyt Dark Data w firmie?
Wyobraź sobie rozległe archiwum, którego nikt od lat nie otwierał. Może kryć w sobie skarby, a może jedynie stertę bezużytecznych dokumentów. Podobnie jest z Dark Data w firmach – zbiorem informacji gromadzonych przez lata, często zapomnianych, niedostępnych i, co najważniejsze, nieanalizowanych. Problem w tym, że ta ciemna materia może generować niemałe ryzyko, szczególnie w kontekście RODO. Z drugiej strony, audyt i odpowiednie zagospodarowanie tych danych może odblokować ukryty potencjał i przynieść wymierne korzyści.
Krok 1: Zidentyfikuj i zlokalizuj ciemne zakamarki danych
Pierwszym krokiem w audycie Dark Data jest po prostu znalezienie jej. Brzmi banalnie? Być może, ale to wcale nie takie proste zadanie. Dark Data może czaić się w różnych miejscach: starych serwerach, zapomnianych bazach danych, dyskach zewnętrznych dawno odeszłych pracowników, a nawet w chmurze – w miejscach, do których nikt nie ma już dostępu lub po prostu o nich zapomniał. Zacznij od rozmów z działem IT, a także z poszczególnymi działami biznesowymi – marketingiem, sprzedażą, HR. Zapytaj ich o stare systemy, archiwizowane projekty, kopie zapasowe. Sporządź szczegółową listę potencjalnych lokalizacji.
Spróbuj wykorzystać narzędzia do skanowania sieci i systemów w poszukiwaniu nieużywanych plików i folderów. Możesz użyć metadanych, takich jak data utworzenia lub ostatniej modyfikacji, aby zidentyfikować potencjalnie ciemne dane. Pamiętaj, żeby wziąć pod uwagę zarówno dane strukturalne (bazy danych), jak i niestrukturalne (dokumenty tekstowe, arkusze kalkulacyjne, prezentacje, e-maile). Nie zapomnij o danych generowanych przez maszyny, logach systemowych i danych sensorycznych.
Krok 2: Stwórz inwentarz i skataloguj Dark Data
Kiedy już zidentyfikujesz potencjalne źródła Dark Data, czas na ich skatalogowanie. Stwórz inwentarz, który będzie zawierał informacje o lokalizacji danych, ich formacie, szacunkowej ilości, właścicielu (jeśli jest znany) oraz datach powstania i ostatniej modyfikacji. Im bardziej szczegółowy inwentarz, tym łatwiej będzie w kolejnych krokach ocenić wartość i ryzyko związane z tymi danymi. Użyj arkusza kalkulacyjnego lub dedykowanego narzędzia do zarządzania danymi, aby uporządkować informacje. Dodaj kolumnę z krótkim opisem zawartości – np. kopie zapasowe poczty e-mail z lat 2010-2015, dane klientów z kampanii marketingowej 2018, logi serwera aplikacji X.
To kluczowy etap, więc poświęć mu odpowiednio dużo czasu. Dobra inwentaryzacja to podstawa do podejmowania świadomych decyzji dotyczących dalszego postępowania z Dark Data. Pamiętaj, że celem nie jest dogłębna analiza zawartości na tym etapie, ale raczej stworzenie mapy skarbów, która pozwoli na efektywne zarządzanie procesem audytu.
Krok 3: Oceń ryzyko i wartość Dark Data
Mając skatalogowane Dark Data, musisz ocenić, czy te dane w ogóle mają jakąś wartość i jakie ryzyko się z nimi wiąże. W kontekście RODO, szczególnie ważne jest zidentyfikowanie, czy Dark Data zawiera dane osobowe. Jeśli tak, to jakie i jak wrażliwe? Czy firma ma podstawę prawną do ich przechowywania? Czy dane są odpowiednio zabezpieczone? Brak kontroli nad danymi osobowymi to prosta droga do naruszenia RODO i wysokich kar.
Z drugiej strony, zastanów się, czy Dark Data może mieć jakąś wartość biznesową. Czy zawiera informacje, które mogą pomóc w podejmowaniu decyzji, optymalizacji procesów, identyfikacji nowych możliwości biznesowych? Może w starych logach serwera kryją się informacje o błędach, które wciąż występują w systemie? A może w archiwizowanych danych sprzedażowych znajdziesz zapomniane trendy i insighty o klientach? Ocena wartości Dark Data jest bardziej subiektywna i wymaga zaangażowania osób z różnych działów firmy, które mogą spojrzeć na te dane z różnych perspektyw.
Przy ocenie ryzyka i wartości, warto zastosować prostą macierz. Na jednej osi umieść skalę ryzyka (np. niskie, średnie, wysokie), a na drugiej skalę wartości (np. brak wartości, niska wartość, wysoka wartość). Dzięki temu łatwiej będzie Ci priorytetyzować działania – dane o wysokim ryzyku i niskiej wartości powinny zostać usunięte jak najszybciej, a dane o wysokiej wartości i niskim ryzyku mogą zostać poddane dalszej analizie.
Krok 4: Zaplanuj i wdroż działania – od czyszczenia po wykorzystanie
Po ocenie ryzyka i wartości Dark Data, czas na konkretne działania. W zależności od wyników audytu, możesz podjąć różne kroki:
- Usunięcie: Dane o wysokim ryzyku i niskiej wartości powinny zostać bezpowrotnie usunięte. Upewnij się, że proces usuwania jest zgodny z RODO i obowiązującymi przepisami prawa. Zastosuj odpowiednie metody kasowania danych, aby uniemożliwić ich odzyskanie.
- Archiwizacja: Dane, które muszą być przechowywane ze względów prawnych lub regulacyjnych, powinny zostać odpowiednio zarchiwizowane i zabezpieczone. Upewnij się, że dostęp do tych danych jest ograniczony tylko do upoważnionych osób.
- Migracja i integracja: Dane o wysokiej wartości mogą zostać przeniesione do centralnego repozytorium i zintegrowane z istniejącymi systemami. Dzięki temu staną się dostępne dla analityków i użytkowników biznesowych.
- Anonimizacja lub pseudonimizacja: Jeśli dane zawierają dane osobowe, ale ich dalsze przetwarzanie jest uzasadnione, rozważ anonimizację lub pseudonimizację. Dzięki temu zmniejszysz ryzyko związane z naruszeniem RODO.
Niezależnie od podjętych działań, ważne jest, aby udokumentować cały proces audytu Dark Data. Stwórz raport, który będzie zawierał informacje o celach audytu, metodologii, wynikach, podjętych działaniach i rekomendacjach na przyszłość. Pamiętaj, że audyt Dark Data to proces ciągły, a nie jednorazowe działanie. Regularne przeglądy danych i aktualizacja inwentarza pomogą Ci utrzymać kontrolę nad informacjami w firmie i minimalizować ryzyko związane z Dark Data. No i, kto wie, może przy okazji odkryjesz jakąś zapomnianą żyłę złota!
