[ad_1]
Присоединяйтесь к лидерам в Бостоне 27 марта на эксклюзивном вечере общения, идей и бесед. Запросите приглашение здесь.
Сегодня у предприятий есть огромные возможности использовать данные по-новому, но они также должны следить за тем, какие данные они хранят и как их используют, чтобы избежать потенциальных юридических проблем. Даже с развитием генеративного искусственного интеллекта организации несут ответственность не только за защиту своих данных, особенно личных данных, но также за стратегическое управление и удаление старой информации, которая сопряжена с большим риском, чем ценностью для бизнеса.
Forrester прогнозирует удвоение объема неструктурированных данных в 2024 году, отчасти благодаря искусственному интеллекту. Но меняющаяся среда данных и растущие затраты на взломы и нарушения конфиденциальности требуют критического взгляда на то, как создать эффективную и надежную стратегию хранения и удаления данных.
Взрывной рост данных и растущие затраты на взломы
Хотя ожидаемый объем данных растет, растет и стоимость утечки данных и нарушений конфиденциальности. Преступники, использующие программы-вымогатели, захватывают высокочувствительные медицинские и правительственные базы данных, в том числе взламывают австралийские суды, медицинскую компанию из Кентукки, 23andMe и крупные предприятия, такие как Infosys, Boeing и поставщика услуг безопасности Okta. Эти нарушения также становятся все дороже: IBM обнаружила, что средняя общая стоимость взлома в 2023 году составила 4,45 миллиона долларов, что на 15% больше, чем в 2020 году.
Для эффективного управления данными организациям необходимо разработать политику удаления устаревших данных. С появлением искусственного интеллекта руководители могут спросить, следует ли когда-либо что-либо удалять, учитывая будущие возможности. Но чем дольше компания хранит данные, тем больше возможностей для утечки данных или штрафов за нарушение закона о конфиденциальности. Первым шагом к минимизации этого риска является всесторонний анализ того, как компания использует свои данные, а также нюансы и ощутимые преимущества стратегии хранения данных.
Зачем удалять устаревшие данные?
Организации часто вынуждены удалять устаревшие данные из-за юридических требований, которые являются основой законов о защите данных. Правила предписывают хранить персональные данные только до тех пор, пока это необходимо, что заставляет компании устанавливать политику хранения с периодами, которые различаются в зависимости от сферы бизнеса. Помимо снижения юридической ответственности, удаление устаревших данных может снизить затраты на хранение.
Выявление устаревших данных
Лучший способ определить, какие данные можно считать устаревшими, а какие будут иметь постоянную ценность для бизнеса, — начать с карты данных, в которой указаны источники и типы входящих данных, какие поля включены и в каких системах или серверах находятся данные. хранится на. Комплексная карта данных гарантирует, что компания знает, где хранятся персональные данные, типы обрабатываемых персональных данных, какие типы данных защищенной или специальной категории обрабатываются, предполагаемые цели обработки данных, а также географическое расположение обработки и применимые системы.
Полноценная инвентаризация и классификация данных являются основой надежной программы обеспечения конфиденциальности и помогают обеспечить происхождение данных, необходимое для понимания того, как данные проходят через системы компании.
Как только компания получит карту своего массива данных, юридические и технические группы могут работать с заинтересованными сторонами, чтобы определить, насколько ценными могут быть конкретные данные, какие нормативные ограничения применяются к хранению этих данных и потенциальные последствия в случае утечки этих данных. нарушены или сохраняются дольше, чем необходимо.
Большинство заинтересованных сторон, естественно, не захотят ничего удалять, особенно когда технологии меняются так быстро. Обсуждение удаления и хранения должно быть сосредоточено на том, что наиболее полезно для бизнеса. В качестве примера представьте себе группу аналитиков данных в финансовом учреждении, которая хочет обеспечить обучение моделей приемлемости кредитования на как можно большем количестве данных. К сожалению, такой подход противоречит целям законов о защите данных и конфиденциальности.
Реальность такова, что, учитывая, насколько изменились процентные ставки, практика кредитования и индивидуальные обстоятельства потребителей, данные 20-летней давности могут не дать точной оценки сегодняшних потребителей. Этой компании, возможно, лучше сосредоточиться на других источниках последних данных, таких как обновленная кредитная информация, чтобы определить точную оценку риска.
Современный рынок коммерческой недвижимости действительно выявляет эту проблему. Многие модели прогнозирования рисков были обучены на данных до пандемии, до системного перехода к онлайн-покупкам и удаленной работе. Чтобы уменьшить количество неточных прогнозов, обсудите с заинтересованными сторонами, как данные становятся устаревшими и менее ценными с течением времени и какие данные наиболее отражают сегодняшний мир.
Обработка устаревших данных: определение, удаление или деидентификация
Чтобы решить, как долго хранить данные, начните с позитивных юридических обязательств в отношении ведения финансовой отчетности или отраслевых правил в отношении транзакций, которые влекут за собой личные данные. Ознакомьтесь с законом о сроках исковой давности, чтобы определить, как долго хранить данные, если они необходимы для защиты от потенциального судебного иска, и храните только те персональные данные, которые необходимы для потенциальной защиты в суде, например журналы транзакций или доказательства согласия пользователя, а не каждые часть данных об отдельных пользователях.
Когда пришло время удалить менее ценную информацию, данные можно удалить вручную в зависимости от периода хранения для каждого типа данных, определенного в графике хранения. Автоматизация процесса с помощью политики очистки повышает надежность. Также возможно использовать процесс деидентификации для удаления идентифицируемых личных данных или использовать полностью анонимные данные, но это добавляет новые проблемы.
По-настоящему деидентифицированные данные обычно подпадают под исключения в законах о защите данных, но для того, чтобы это сделать правильно, необходимо удалить так много ценности, что ее уже не останется для использования. Деидентификация требует удаления уникальных и прямых идентификаторов, таких как SSN и имя, а также косвенных идентификаторов, включая такую информацию, как IP-адреса клиентов. Например, чтобы соответствовать стандарту HIPAA по защите безопасной гавани, организация должна удалить список из 18 идентификаторов. Организация может захотеть попробовать этот подход для поддержания производительности модели аналитики или искусственного интеллекта. Но важно сначала обсудить плюсы и минусы с заинтересованными сторонами.
Как избежать распространенных ошибок
Самая большая ошибка, которую допускают предприятия при работе с устаревшими данными, — это торопить процесс и игнорировать всесторонние обсуждения. Владельцам проектов необходимо противостоять желанию ускорить процесс и признать, что правильная обратная связь от нескольких групп имеет важное значение. Компании должны сотрудничать с отделами по юридическим вопросам, конфиденциальности и безопасности, а также с бизнес-лидерами, чтобы получить обратную связь о том, какие данные необходимо хранить, и избегать политики и графика хранения, которые непреднамеренно удаляют что-то, что нужно компании. Легче сократить периоды хранения с течением времени и сохранить меньше личных данных, но как только они исчезнут, они исчезнут, поэтому дважды отмерьте и один раз отрежьте.
Как мы уже отмечали выше, при работе с устаревшими данными необходимо учитывать несколько соображений, включая сопоставление основных данных и их происхождение, определение критериев срока хранения и разработку способов эффективной реализации этих политик. Решение сложностей удаления данных требует стратегического и осознанного подхода. Понимая юридические, кибербезопасные и финансовые последствия, организации могут разработать надежную стратегию хранения данных, которая не только соответствует нормативам, но и эффективно защищает свои цифровые активы.
Сет Бэти — специалист по защите данных и старший управляющий советник по конфиденциальности в Fivetran.
[ad_2]
Источник