Revista >> Octombrie 2019 [Nr. 218] >> IT&C

Noi strategii de management date

Bogdan Marchidanu

23 Octombrie 2019

GRC (Governance Risk Compliance) este un nou termen care defineşte o nouă tehnică ce permite organizaţiilor să îşi gestioneze mai bine securitatea şi conformitatea datelor deţinute în arhivele interne de date. Termenul îmbină elemente din zona de guvernanţă, management al riscului şi conformitate, iar tehnica definită de el are ca scop prevenirea mai eficientă a pierderilor de date ca urmare a atacurilor, dezastrelor, furturilor de identitate sau fraudelor.

Ca urmare a creşterii capabilităţilor de diseminare date în interiorul organizaţiilor, tehnica GRC evoluează deja către conceptul de management integrat al riscului (IRM), un concept care furnizează o abordare mult mai holistică a procedurilor legate de securitatea datelor din organizaţii. Practic, acest concept înseamnă un nou set de proceduri care permit unei organizaţii, care conştientizează riscurile cibernetice, să folosească tehnologia şi strategia ca să accelereze luarea de decizii şi performanţele prin intermediul intervenţiei umane şi al registrelor automatizate de acţiune, cele din urmă fiind utilizate pentru a defini un scenariu, urmat de generarea de acţiuni de urmat pentru prevenirea răspândirii unei situaţii periculoase în interiorul organizaţiei.

GRC sau IRM nu sunt încă abordabile de toate organizaţiile. Firmele cu o structură managerială mare şi un număr ridicat de departamente şi angajaţi, în special cele răspândite în mai multe locaţii, sunt cele care obţin cele mai mari avantaje de pe urma acestor tehnici. Organizaţiile mai mici, cu un număr limitat de angajaţi şi departamente, în special cele care îşi desfăşoară activitatea într-o singură locaţie, nu au cum să simtă beneficii tangibile ale noilor concepte.

Studii recente de piaţă arată că mai bine de jumătate din iniţiativele bazate pe date în cadrul organizaţiilor sunt menite eşecului la ora actuală. Mai bine de un sfert din aceste eşecuri sunt datorate lipsei de talente adecvate, o situaţie care este cel mai elocvent prezentată în domeniile comerţului cu amănuntul şi al serviciilor financiare. Iar cele mai comune motive pentru eşecul unor astfel de iniţiative se leagă de consolidarea datelor, migrarea datelor şi conformitatea cu prevederile GDPR.

Cele două concepte de mai sus promit să atenueze astfel de situaţii cu potenţial dramatic pentru organizaţii, chiar dacă între ele există şi diferenţe. În vreme ce GRC este un concept care tinde să opereze eficient în medii izolate, sau silozuri de date cum sunt ele mai bine cunoscute, IRM înţelege că odată cu creşterea diseminării de date din cadrul organizaţiilor evenimentele apărute într-o zonă din organizaţie vor avea repercusiuni în alte zone.

De exemplu, deşi stocarea de date în cloud cade în mod normal în responsabilitatea echipei IT, o situaţie neplăcută apărută poate afecta toate aspectele operaţiunilor unei organizaţii. În mod similar, dacă baza de date a angajaţilor unei companii (care cade în general în sarcina de responsabilitate a echipei de resurse umane) devine indisponibilă, problema poate deveni rapid semnificativă pentru întreaga companie.

Abordarea unificată furnizată de IRM oferă organizaţiilor oportunitatea de a dispune de un nivel mai coeziv de guvernanţă corporatistă. Spre deosebire de GRC, IRM se lipeşte în mod inerent de structura organizaţiei la toate nivelurile, furnizând factorilor de decizie o înţelegere mai bună a ceea ce se petrece, şi permiţând un răspuns mai rapid la ameninţări emergente.

Cele două concepte, şi în special IRM, necesită investiţii semnificative de timp şi resurse înainte de obţinerea beneficiilor. Din nefericire, ca urmare a naturii extrem de tehnice a conceptelor, există la ora actuală pe piaţă relativ puţini oameni care dispun de abilităţile necesare implementării lor eficiente.

Posibilităţile de rezolvare a acestei probleme sunt limitate ca număr. Prima şi cea mai simplă constă în angajarea personalului necesar, cu experienţă în adoptarea conceptelor. Este o măsură consumatoare de capital, însă este cea mai viabilă dacă organizaţiile vor să implementeze conceptele cât mai rapid.