W miarę popularyzacji różnych modeli outsourcingu IT, w szczególności XaaS, tracimy wiedzę o tym, gdzie dana informacja faktycznie się znajduje i kto ją utrzymuje, a jednocześnie musimy jako organizacja zachować zdolność do zarządzania danymi. Tutaj warto przyjrzeć się zapisom Rekomendacji D, która wprowadza pewne dobre praktyki i wskazuje kierunki, w jakich powinny rozwijać się firmy odpowiedzialne za zasoby informacyjne.
Patrząc na działalność pionów IT w polskich organizacjach, widać, że generalnie większość z nich nadal samodzielnie realizuje usługi i utrzymuje zasoby własnej organizacji. Udział usług realizowanych na zewnątrz – w ogólnej działalności IT – jest raczej niski. W efekcie, IT samodzielnie zarządza infrastrukturą, aplikacjami i – w pewien sposób – także informacjami. Tymczasem w miarę wprowadzania kolejnych odmian outsourcingu IT, zwłaszcza modeli XaaS, IT zaczyna być organizacją, która w coraz większym stopniu zarządza konsumowanymi przez biznes usługami IT dostarczanymi spoza firmy.
Można wyobrazić sobie takie organizacje, które nie mają własnych zasobów IT, a umowny dział IT pełni wyłącznie funkcję zarządczo-kontrolną. Jego zadania sprowadzają się do ustalania potrzeb i określania sposobu ich spełnienia, bez udziału w faktycznej realizacji usług. W tym kierunku zmierzają światowe trendy. Jednak niezależnie od tego, w jakim modelu działa IT, niezmienna pozostaje kwestia odpowiedzialności za dane. Nawet jeśli oddamy aplikacje i infrastrukturę zewnętrznym podmiotom, to organizacja nadal pozostaje właścicielem i dysponentem danych, a więc jest zobowiązana należycie je chronić.
Nowa perspektywa
W miarę upowszechniania różnych modeli outsourcingu IT, takich jak XaaS ( Everything-as-a-Service) coraz więcej elementów, tradycyjnie dostarczanych przez wewnętrzne IT, zaczyna być przekazywanych spoza organizacji – w szczególności w warstwie aplikacji i infrastruktury. Zjawisko to jednak w znacznie mniejszym stopniu dotyka warstwę danych, ponieważ informacja jest jednym z kluczowych zasobów firmy, na którą dodatkowo nałożone są znaczne ograniczenia regulacyjne, które utrudniają lub wręcz uniemożliwiają powierzenie na zewnątrz zarządzania danymi.
W obliczu tych trendów i zmian, znaczenie procesów zarządzania danymi w organizacji będzie rosło. Zdolność do zarządzania danymi w sposób niezależny od zarządzania „nośnikiem danych”, jakim są aplikacje i infrastruktura, staje się koniecznością. Dla większości firm oznacza to jednak konieczność porzucenia dotychczasowego podejścia do danych. Zarządzanie bytem tak bardzo wirtualnym jak dane jest sporym wyzwaniem. Zważywszy na to, że dane zwykle przechowywane były w jakimś systemie, bazie danych czy dokumencie – przyjęło się podejście, w którym zarządza się danymi w kontekście konkretnego repozytorium. Biorąc pod uwagę trendy opisane wyżej czy zjawiska typu wirtualizacja, takie podejście coraz trudniej jest realizować.
Z tej perspektywy, wprowadzone przez Komisję Nadzoru Finansowego (KNF) w Rekomendacji D wymagania dotyczące zarządzania danymi trafnie oddają światowe trendy i uwzględniają zarządzanie danymi jako obszar, względem którego istnieją zdefiniowane wymagania postrzegane szerzej, niż tylko w kontekście jakości.
W kontekście Rekomendacji D warto podkreślić, że u początków wdrażania jej zapisów w instytucjach finansowych tylko 17% banków uznało za zgodne z wymaganiami w obszarze architektury danych, a jedynie 33% – w odniesieniu do wytycznych dotyczących zarządzania jakością danych. Pokazuje to, że z tymi właśnie obszarami wiąże się największy trud, jeśli chodzi o Rekomendację D. Jest to jednak kierunek w dobrą stronę.
Inwentaryzacja pierwszym krokiem
Zarządzanie jakimkolwiek bytem wymaga wiedzy o nim. Dlatego jedną z pierwszych czynności, wskazanych także w Rekomendacji D, jest poznanie grup danych przetwarzanych w organizacji. Jak piszą w Rekomendacji D przedstawiciele Komisji Nadzoru Finansowego, po pierwsze zinwentaryzuj dane, czyli zrozum, jakie masz informacje – niekoniecznie na poziomie pojedynczych rekordów.
Dobrym miejscem, od którego można rozpocząć inwentaryzację, jest hurtownia danych, gdyż to w niej, w sposób uporządkowany, zgromadzony jest przekrój firmowych informacji. Co ważne, po zbudowaniu takiego repozytorium niezbędna staje się jego bieżąca aktualizacja. Ciężar takiej ciągłej inwentaryzacji początkowo jest postrzegany głównie jako koszt, jednak jej prawdziwa wartość pojawia się w momencie, kiedy organizacja przechodzi duże zmiany, takie jak fuzja,czy modernizacja ważnego systemu. Wówczas wsparcie w postaci uporządkowanej wiedzy o danych okazuje się nieocenione.
Które dane są najcenniejsze?
Następnym działaniem oczekiwanym przez KNF jest skategoryzowanie danych wg ich istotności. Pojawia się tu jednak problem wyboru klucza, według którego taka ocena ma być prowadzona. Jednym z możliwych podejść jest takie, w którym istotność danych jest pochodną dwóch kryteriów. Pierwszym jest skala współdzielenia danych, czyli jak wiele procesów biznesowych czy systemów informatycznych je przetwarza, na nich polega. Może się tu więc okazać, że dane dotyczące planów marketingowych są wysoce poufne, ale niekoniecznie mają wysoką istotność. Drugim parametrem jest skala korzyści z wysokiej jakości danych. Pokazuje ona, ile może nas kosztować wykorzystanie błędnych danych, a także na ile warto inwestować w ich czyszczenie.
Przyjęło się, że na zasoby informacyjne patrzy się głównie z perspektywy dokumentów lub systemów, w jakich są gromadzone bądź przetwarzane. Rekomendacja D dostrzega światowe trendy i wprowadza zarządzanie danymi jako obszar, względem którego istnieją zdefiniowane wymagania postrzegane szerzej, niż tylko w kontekście jakości.
Mając określoną istotność, warto na początek skupić swój wysiłek na kilku grupach danych o największej istotności i dla tych grup opracować dokumentację, której wymaga rekomendacja nr 8.2. Chodzi o modele danych, opisujące m.in. zależności pomiędzy ich poszczególnymi elementami oraz przepływy pomiędzy systemami informatycznymi. Należy też mieć odpowiednie zasady (polityki, standardy, procedury itp.) przetwarzania tych danych. Warto w tym miejscu zauważyć, że taka systematyzacja danych jest pracochłonna – należy więc realizować ją w wielu etapach, unikając koncentracji na zbyt wielu obszarach jednocześnie. Dobrze też wykorzystać fakt, że zazwyczaj w organizacjach są obszary, gdzie istnieje już wymagana dokumentacja oraz procesy lub procedury zarządzania danymi. Przykładem takich obszarów często są dane stosowane w sprawozdawczości oraz dane o klientach.
System wzajemnych zależności
Oczekiwany przez KNF zbiór „sformalizowanych zasad zarządzania danymi” wiele osób postrzega jako zbiór niepotrzebnych formalizmów i przysłowiowych „kwitów”. Tymczasem pod tym sformułowaniem kryje się idea systemu zarządzania danymi podobnego do dobrze znanych już systemów zarządzania: jakością (ISO 9001) czy bezpieczeństwem informacji (ISO 27001). Warto w tym podejściu uwzględnić myślenie procesowe i wykorzystać cykl PDCA (Plan-Do-Check-Act), zwany też cyklem Deminga. W ten sposób powstanie w organizacji byt (system zarządzania), który stopniowo obejmie kontrolą całą domenę danych, wdrażając i doskonaląc procesy dotyczące danych oraz budując wiedzę o danych, w szczególności tych najbardziej istotnych.
Uporządkowane podejście do danych ułatwia odpowiadanie na pytania dotyczące ich jakości – kompletności, aktualności i dostępności. To z kolei daje możliwość mierzenia jakości danych, jej monitorowania oraz podejmowania potrzebnych działań zaradczych. Dzięki temu łatwiejsze staje się zarządzanie tym, co oddajemy na zewnątrz, oraz egzekwowanie warunków przetwarzania danych przez zewnętrzne podmioty.
Organizacja zarządzania danymi
Jedną z istotnych kwestii w zarządzaniu danymi są uczestnicy tych procesów i cała organizacja, która uczestniczy i de facto zarządza obszarem. Kluczową rolą jest właściciel danych, na którym spoczywa odpowiedzialność za grupę danych, która decyduje de facto o politykach i standardach względem tych danych. Ponieważ często właścicielem danych są osoby z poziomu zarządczego, niezbędną rolą staje się opiekun danych, czyli podległa właścicielowi rola, która na poziomie operacyjnym zarządza obszarem danych, np. monitorując kluczowe parametry jakości lub kontrolując stosowanie polityk. Ponad nimi jest komitet zarządzania danymi – ciało gromadzące różnych interesariuszy działań związanych z danymi – jego odpowiedzialnością jest rozwiązywanie wszelkiego rodzaju eskalacji.
Naturalnym miejscem, od którego należy rozpocząć inwentaryzację, jest hurtownia danych. Po zbudowaniu takiego repozytorium niezbędna staje się jego bieżąca aktualizacja. Ciężar takiej ciągłej inwentaryzacji początkowo jest postrzegany głównie jako koszt, jednak jej prawdziwa wartość pojawia się w momencie, kiedy organizacja przechodzi duże zmiany, takie jak fuzja czy modernizacja ważnego systemu.
Aby model usystematyzowanego zarządzania danym w organizacji faktycznie sprawnie funkcjonował, niezbędne są dwie role, które dziś zwykle w organizacjach nie istnieją. Po pierwsze, menedżer zarządzania danymi – ktoś, kto odpowiada de facto za funkcjonowanie całego systemu i procesów Data Governance. Jest to osoba koordynująca powoływanie właścicieli i opiekunów danych, budowanie niezbędnej wiedzy o danych czy funkcjonowanie nadzoru i raportowania z obszaru danych. Druga rola to architekt danych – osoba, której zadaniem jest troska o warstwę danych w obszarze IT – czyli osoba odpowiadająca za architekturę danych. Chodzi o osobę, która rozumie struktury, modele danych i powiązania pomiędzy systemami IT, a także potrafi przełożyć reguły biznesowe na modele danych i zarządzać warstwą integracji. Oczywiście, obie te role muszą blisko ze sobą współpracować.
Architekt danych i menedżer zarządzania danymi powinny być odrębnymi rolami, ponieważ ich kompetencje są znacząco odmienne. Jedna z nich to osoba techniczna, druga – organizacyjna. Wbrew pozorom, obie muszą dobrze rozumieć biznes, zaś architekt musi dodatkowo rozumieć IT. Bez osób realizujących zadania właściwe dla tych dwóch ról – oraz dla komitetu zarządzania danymi – trudno dziś mówić o prawidłowym zarządzaniu danymi. Zresztą, literalne czytanie rekomendacji bez zrozumienia po co to się robi, jaki ma to sens i w jaki sposób powinno współdziałać w organizacji jest pozbawione celowości. Postępujące w ten sposób organizacje za jakiś czas wrócą do tego samego miejsca, gdzie są obecnie.
Po co to wszystko?
Wysiłek ten jest wart podjęcia nie po to, aby właściwie zarządzać danymi. Nie chodzi też wyłącznie o outsourcing. Istota umiejętnego zarządzania informacjami, politykami i przepływami tkwi głębiej. Przetwarzając coraz większe ilości danych w coraz większej ilości powiązanych wzajemnie systemów bez perspektywy, jaką daje usystematyzowane zarządzanie danymi, rosną nam koszty rozwoju środowiska, bo jesteśmy skazani na to, by za każdym razem odkrywać model danych i przepływy na nowo. Jest to typowy przykład obszaru, który jest ważny, ale nie jest pilny. Konsekwencje finansowe braku usystematyzowanego podejścia i wiedzy o danych zwykle rozpraszają się po wielu systemach czy projektach. Tymczasem mając w organizacji wiedzę o danych, odpowiednio umocowane role mogące podejmować decyzje w odniesieniu do danych, dużo łatwiejsze staje się podejmowanie kolejnych inicjatyw związanych z nowymi pomysłami biznesowymi. Projekt wdrożenia zarządzania danymi można postrzegać jako projekt optymalizacyjny i umożliwiający dynamiczny rozwoju biznesu.
Potrzeba zarządzania danymi ma też drugie dno. W coraz większym stopniu przetwarzamy dane nie tylko nasze i naszych partnerów biznesowych. Niezależnie od sektora jednym ze źródeł przewagi konkurencyjnej jest obecnie wiedza o kliencie. To dlatego kolejne organizacje próbują ze wszystkich dostępnych źródeł pozyskać jak najszersze informacje o klientach.
W tym miejscu zaczyna się pojawiać problem – czy nie wiemy o klientach za dużo? Nie można zabronić pozyskiwania danych z ogólnodostępnych źródeł, ale jeśli zaczniemy je korelować, to możemy dowiedzieć się zbyt wiele i przekroczyć dozwolone prawem ramy. Problem pojawia się szczególnie w obszarze danych osobowych i prywatności, a także informacji pozwalających wiązać anonimowe dane z konkretnymi osobami i wyciągać wnioski, do których zgodnie z prawem, jako organizacja nie jesteśmy uprawnieni (dużo pisał o tym w magazynie ITwiz Wojciech Rafał Wiewiórowski, ówczesny Generalny Inspektor Ochrony Danych Osobowych – przyp. red.). Trudno jednak o taką perspektywę, gdy w organizacji nie ma właścicieli danych, czyli osób postrzegających dane całościowo i rozumiejących ich wartość informacyjną i związane z nimi ryzyka czy wymagania dotyczące ich jakości.
Obszar zarządzania danymi musi być zorganizowany tak, by wnosił realną wartość dla organizacji, w przeciwnym razie zostanie odrzucony przez nią i stanie się zbiorem reguł, które funkcjonują jedynie na papierze. Jednym z podstawowych celów tego obszaru jest zmiana kultury organizacyjnej i podniesienie świadomości w stosunku do danych, podobnie jak od lat dokonuje się to w obszarach zarządzania jakością czy bezpieczeństwem informacji. Skoro deklarujemy, że informacja jest jednym z najcenniejszych zasobów organizacji, to kluczowa staje się umiejętność odpowiedniego zarządzania nią, a w szczególności podnoszenia jej wartości, optymalnego przetwarzania czy zgodnego z prawem gromadzenia lub wymiany z podmiotami zewnętrznymi. Tej zdolności nie da się osiągnąć, nie zmieniając dotychczasowego podejścia. W tę stronę zmierzają zalecenia rozdziału 8 Rekomendacji D, pozostaje pytaniem otwartym: czy zostały one prawidłowo zrozumiane przez sektor bankowy. Niezależnie od tego, wydaje się, że firmy przyszłości nie mają alternatywy – zarządzanie danymi będzie tak samo niezbędne, jak dzisiaj jest zarządzanie usługami czy relacjami z klientem.
Artur Józefiak,
menedżer w dziale IT Strategy, Infrastructure and Security (ISIS) w Accenture
