8.2 СВОЙСТВА ДАННЫХ И ВИДЫ РИСКОВ
Данные как актив (об этом см. раздел 1.2) имеют уникальные характеристики: в отличие от материальных активов их, например, нельзя исчерпать, они не изнашиваются и легко копируются. C этими особенностями данных связаны и риски при работе с ними
1. Данные неосязаемы
Материальные активы можно потрогать, они находятся в определенном месте. Данные — нематериальный и неосязаемый актив, поэтому их характеристики сложно оценить.
Риски: несерьезное отношение к данным, отказ воспринимать их как актив, недостаточное внимание к данным, снижение их качества. При этом некачественные данные несут серьезную угрозу, поскольку приводят к неверным управленческим решениям.
Способы снижения риска:
- формирование процедур и метрик для контроля качества данных (см. разделы 7.2, 7.3);
- организация службы контроля качества данных;
- проверка одних одних датасетов другими датасетами и иногда внешними данными (кросс-валидация);
- просветительская работа, разъясняющая важность данных и их особые свойства как актива.
2. Данные неисчерпаемы
они не расходуются при использовании, в отличие от материальных и от некоторых видов нематериальных активов (например, лицензий).
Риск: на управление данными не выделяется достаточно средств. Возникает ложное впечатление, что управление данными не требует особых затрат. CDO или другому ответственному сотруднику непросто обосновать выделение средств — нужно понимание особенностей данных на уровне руководства организации.
Способы снижения риска:
- выделение отдельного бюджета на управление данными;
- создание организационной единицы для управления данными (см. об этом раздел 5.1);
- проработка риска на уровне комитета по данным.
3. Данные имеют ценность
которую можно рассматривать в широком смысле как важность, значимость или полезность данных для организации и потребителей. Ценность данных не зависит напрямую от их возраста: они не могут испортиться, как земля, здания или оборудование. Однако их ценность со временем может меняться, причем в обе стороны.
Риск: обесценивание. Эксплуатация обесцененных данных приводит к ненужным тратам финансовых и трудовых ресурсов.
Способы снижения риска. Данные, утратившие свою ценность, следует выводить из активного обращения, архивировать и не использовать при наличии других, более ценных. Универсальной методики переоценки данных как актива не существует; ее следует проводить в ходе регулярного анализа процессов в организации. Иными словами, анализируя процессы на предмет их эффективности или соответствия процессной модели, следует задавать вопрос: насколько необходимы те или иные потоки данных в процессе?
Необходим регулярный пересмотр ценности наборов данных, а именно:
- в случае повышения ценности — придание более высокого приоритета таким наборам данных при принятии управленческих решений, перемещение их в более быстрые хранилища, усиление защиты и т. п.;
- в случае снижения ценности (например, при накоплении большого массива неиспользуемых данных) — принятие решения о выводе данных из эксплуатации и их архивации;
- регулярный анализ и аудит существующих процессов в компании.
4. Данные можно копировать (реплицировать)
без потери ценности и использовать для различных целей. Множество людей могут одновременно использовать одни и те же данные, что невозможно с материальными активами или финансовыми ресурсами.
Риск: репликация неверных данных или некорректная трактовка данных после репликации могут умножать ошибки. Недостаточно описанные данные могут неправильно трактоваться или неправильно использоваться после копирования. Не обновленные вовремя данные также могут приводить к ошибкам в их использовании. Копирование ошибочных данных может привести к экспоненциальному росту управленческих ошибок.
Способы снижения риска: создание паспортов для наборов данных с их детальным описанием.
5. Данные порождают новые данные
это верно для анализа данных, для выявления новых признаков при обогащении одних данных другими и т. д.
Риск: рост количества ошибок. Некоторые оперативные данные требуют дополнительной проверки (валидации другими данными); такие данные часто называют «горячими». Несвоевременное, раннее использование невалидированных данных может привести к росту ошибок. При интеграции бывает и обратная ситуация: в исходных системах в момент интеграции может не быть нужных наборов данных. Фактически при извлечении новых признаков или использовании «горячих» данных без должного контроля качества данных и регламентации их использования появляется риск роста количества ошибок в данных. Отдельно следует обратить внимание на то, что из нескольких наборов данных, по отдельности не содержащих ПДн, коммерческую или государственную тайну, при объединении и анализе иногда можно извлечь такую чувствительную информацию.
Способы снижения риска:
- паспортизация наборов данных с отражением возможных новых признаков, которые могут быть выявлены при анализе;
- определение порогов качества (толерантности) в паспортах, сигнализация при недостижении порогов качества;
- использование моделирования для проверки качества данных
- контроль качества данных (см. раздел 7.3).
6. Данные сложно восстанавливать
Их легко скопировать и отправить куда угодно, но в случае уничтожения восстановить их будет крайне затруднительно.
Риск: потеря данных. Потеря данных может привести к приостановке деятельности, а в некоторых случаях и к катастрофам.
Способы снижения риска:
- резервное копирование данных;
- повышение отказоустойчивости и катастрофоустойчивости ИС.
7. Данные используются многократно
Данные не расходуются при использовании, поэтому их можно использовать многократно.
Риск: утечка. Хищение данных обычно незаметно, так как использование или копирование данных (см. риск 4) часто не оставляет никаких следов.
Способы снижения риска:
- создание ролевой модели доступа к данным (см. раздел 8.3);
- ведение журналов доступа к информационным системам;
- применение специальных инструментов контроля утечки данных (Data Loss Prevention, DLP).
Суперриск: «феодализм данных» (см. раздел 4.5). В закрытых «колодцах данных» в организации, доступ к которым излишне ограничен, данные не только существенно снижают свою ценность, замедляют процессы, но и не позволяют увеличивать ценность, приумножать данные. При создании ролевой модели в организации должен быть использован принцип максимально возможной открытости наборов данных.