Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky
Riešenie Data Governance v spoločnosti Avast.
BAKALÁRSKA PRÁCA
Študijný program: Aplikovaná informatika Študijní obor: Aplikovaná informatika
Autor: Ľubomíra Grossertová
Praha, Máj 2021
Prehlásenie
Prehlasujem, že som svoju bakalársku prácu Riešenie Data Governance v spoločnosti Avast vypracovala samostatne a za pomoci v práci uvedených prameňov a literatúry.
Poďakovanie
Chcela by som sa v prvom rade poďakovať pani Ing. Ive Stanovskej za vedenie mojej bakalárskej práce, ako aj poskytovanie cenných rád a konzultácií počas jej vypracovania.
Takisto sa nedá zabudnúť na môjho manažéra a konzultanta Vladimíra Bartáka zo spoločnosti Avast, ktorému patrí vďaka za jeho čas a ochotu venovať sa konzultáciám.
V neposlednom rade poďakovanie patrí mojej rodine a blízkym za ich stálu podporu.
Abstrakt
Táto bakalárska práca sa zaoberá konkrétnym prípadom riešenia oblasti Data Governance v Avaste, globálnej softvérovej spoločnosti pre kybernetickú bezpečnosť s českými koreňmi.
Táto inovatívna spoločnosť sídli v Prahe a používa pokročilú ochranu proti hrozbám, aby ochránila užívateľov pred kybernetickým zločinom a boli na internete všetci v bezpečí.
Na úvod tejto práce je vymedzený pojem Data Governance ako taký, v rámci ktorého sa priblížia princípy tejto oblasti vo všeobecnosti. Ďalej práca pojednáva aj o daných úlohách riadenia dátových zdrojov a ich kvality, spolu s konkrétnymi rolami a metrikami.
V nadväznosti na uvedené princípy a úlohy práca zdôvodňuje výber platformy na konkrétne riešenie, a analyzuje potreby spoločnosti Avast z pohľadu Data Governance z troch hľadísk a to politiky, systémy a dáta. V nich sa sleduje súčasná situácia, nedostatky a nároky na ich riešenie. Na základe tohto postupu sa ďalšia časť práce venuje návrhu riešenia v konkrétnych podmienkach Avastu, podľa ktorého je zobrazená analýza pripravenosti data governance. Riešenie je stavané okolo štyroch komponentov data governance frameworku.
Na záver je zhrnuté celkové hodnotenie priebehu implementácie data governance.
Kľúčové slová
dátový katalóg, dátové zdroje, riadenie dát, rámec riadenia dát
JEL klasifikácia
M15 – Business Administration: IT Management Y10 – Data: Tables and Charts
Abstract
This bachelor thesis deals with a specific case of Data Governance solution in the multinational cybersecurity software company – Avast.
The introduction part defines the term Data Governance, main principles of this area are introduced in general alongside with the given tasks of management of data resources.
Furthermore, it describes the data resources quality together with specific roles and metrics.
The general theoretical introduction is followed by an explanation of platform choice for the specific solution, as well as analysis of Avast's needs from three points of view of Data Governance, namely policies, systems, and data. For each current situation, gaps, approach, and value added are defined. Based on the above-mentioned procedure, the next part of the work is focusing on the solution design for the specific conditions of Avast, followed by the maturity assessment. Solution is built with Data Governance Framework. Finally, the overall evaluation of the implementation of Data Governance is summarized.
Keywords
Data Catalogue, Data Governance, Data Governance Framework, Data Resources
JEL Classification
M15 – Business Administration: IT Management Y10 – Data: Tables and Charts
Zoznam obrázkov
Obrázok 1: Role zamestnancov podieľajúcich sa na riadení dátových zdrojov
(MBI – TG201, 2021) ...18
Obrázok 2: Metriky týkajúce sa riadenia dátových zdrojov (MBI - TG201, 2021) ... 21
Obrázok 3: Zoznam prioritných nedostatkov s detailnejšie popísanými atribútmi (Avast, 2020) ... 25
Obrázok 4: Data Governance Framework (Avast, 2020) ... 32
Obrázok 5: Model pripravenosti a súčasný stav Avastu (Avast, 2020) ... 33
Obrázok 6: Analýza DG Frameworku (Avast, 2020) ... 34
Obrázok 7: Dimenzia ľudia na základe úrovní (Avast, 2020) ... 35
Obrázok 8: Implementačná roadmapa DG v Avaste (Avast, 2020)... 51
Zoznam skratiek
BP bakalárska práca BI Business Intelligence CDO Chief Data Officer DP diplomová práca
DG Data Governance
FIS Fakulta informatiky a statistiky
MVP Minimal viable product - produkt s najmenšou možnou funkcionalitou MBI Management Byznys Informatiky
CRM Customer Relationship management – riadenie vzťahov so zákazníkmi HR oddelenie ľudských zdrojov
GDPR General Data Protection Regulation CCPA Californian Consumer Privacy Act
LGPD Obecný zákon o ochrane osobných údajov 13709/2018 PDPA Personal Data Protection Act
ISO27001 Systém riadenia bezpečnosti informácií UI užívateľské rozhranie
Obsah
Úvod ... 11
Zdôvodnenie výberu témy ... 11
Cieľ práce ... 11
Spôsob dosiahnutia cieľa ... 12
Predpoklady a obmedzenie práce ... 12
Štruktúra práce ... 12
Očakávané prínosy ... 12
1 Rešerše ... 14
2 Vymedzenie Data Governance ... 16
2.1 Definícia ... 16
2.2 Úlohy riadenia ... 17
2.3 Role ...18
2.4 Metriky ... 20
3 Výber platformy ... 22
3.1 OneTrust ... 22
3.2 Ataccama ONE ... 22
3.3 Zdôvodnenie výberu platformy ... 22
4 Analýza potrieb spoločnosti Avast z pohľadu Data Governance ... 24
4.1 Politiky ... 24
4.1.1 Súčasná situácia ... 25
4.1.2 Nedostatky ... 25
4.1.3 Prístup ... 25
4.1.4 Pridaná hodnota ... 26
4.2 Systémy ... 26
4.2.1 Súčasná situácia ... 26
4.2.2 Nedostatky ... 27
4.2.3 Prístup ... 27
4.3.1 Súčasná situácia ... 28
4.3.2 Nedostatky ... 28
4.3.3 Prístup ... 29
4.3.4 Pridaná hodnota ... 29
5 Analýza a návrh riešenia spoločnosti Avast z pohľadu Data Governance ... 31
5.1 Analýza a návrh riešenia v konkrétnych podmienkach Avastu ... 31
5.1.1 Metodológia ... 31
5.1.2 Analýza pripravenosti Data Governance ... 33
5.1.3 Ľudia ... 34
5.1.4 Platforma ... 38
5.1.5 Procesy ... 41
5.1.6 Politiky ... 46
5.2 Implementačná roadmapa ... 50
Záver ... 52
Použitá literatúra... 53
Úvod
Zdôvodnenie výberu témy
Dáta sú kľúčovým aktívom, ktoré Avast vlastní. Každý deň viac ako 435 miliónov užívateľov Avastu na celom svete produkuje údaje rôzneho charakteru. Napríklad keď používateľ interaguje s ktoroukoľvek z aplikácií Avast, údaje o použitom zariadení sa uložia spolu s údajmi o správaní používateľa, ktoré predstavujú aktivitu, ktorá sa v aplikácii vykonala.
Podobne, keď používateľ rozširuje licenciu svojho existujúceho produktu Avast alebo keď si kupuje nový produkt, údaje sa ukladajú do niektorých systémov Avast.
Pochopenie údajov Avastu ide ruka v ruke so správnym obchodným rozhodnutím, napr.
pochopenie správania zákazníka pomôže spoločnosti zistiť, ktorý produkt by sa mal ponúkať ako najlepšia možnosť predaja pre existujúcu bezplatnú verziu produktu a generovať tak vyššie príjmy s optimálnym rozdelením zdrojov. Predtým, ako môžu byť tieto údaje použité, je dôležité ich správne spravovať. Bez správneho riadenia údajov môžu údaje spôsobiť viac škody ako úžitku. Nízka kvalita údajov, duplikovanie údajov vo viacerých systémoch, chýbajúce dátové body - všetky tieto skutočnosti môžu vyústiť do prijímania rozhodnutí, ktoré neprinášajú obchodnú hodnotu, ale skôr naopak. Témou tejto bakalárskej práce je riešenie Data Governance v spoločnosti Avast. Jedná sa o českú nadnárodnú spoločnosť, zaoberajúcou sa online kybernetickou bezpečnosťou, ku ktorej som dostala príležitosť sa pripojiť do Data Governance tímu a v rámci toho získať lepší celkový prehľad o fungovaní nadnárodnej IT spoločnosti pomocou zúčastňovania sa rôznych projektov a riešení úloh.
Počas našej spolupráce sa stále zoznamujem s oblasťou Data Goveranance (ďalej aj „DG“), a preto som sa rozhodla prehĺbiť svoje vedomosti vypracovaním tejto práce, ktoré potom môžem následne uplatniť v praxi a byť prínosom pre spoločnosť.
Čitateľovi je poskytnutý proces zefektívnenia Data Governance v konkrétnej spoločnosti, v ktorej už bol predtým zavedený a dané piliere, ktoré je potrebné sledovať pri implementácií.
Cieľ práce
Hlavným cieľom práce je opísať proces zavádzania efektívnejšieho Data Governance v spoločnosti z úrovne „reactive“ na úroveň „proactive“ podľa metodiky 4P Data Governance frameworku (z ang. rámca riadenia dát), ktorá spĺňa prísnejšie kritéria vo všetkých štyroch základných pilieroch a tým zvýšiť vyššie zabezpečenie dát vo firme.
Parciálnym cieľom je spraviť podrobnú analýzu potrieb spoločnosti zo sledovaných troch
podmienkach Avastu prevedená analýza pripravenosti, ktorá je kľúčová pri následnom riešení. Tým sa dostáva časť implementácie na záver, kde je zobrazené celkové hodnotenie.
Výsledkom je dosiahnuť vyššie - proaktívne úrovne data governance v spoločnosti Avast, ako aj automatizácia data governance vrátane dátového katalógu a politík.
Spôsob dosiahnutia cieľa
Pre úspešné dosiahnutie cieľov definovaných v predchádzajúcej kapitole je štúdium a analýza všetkých prameňov a literatúry, ktoré sú uvedené v závere práce. V neposlednom rade je to aj teoretický základ získaný počas štúdia na Vysokej škole ekonomickej v Prahe a tiež konzultácie praktickej časti s manažérmi spoločnosti Avast.
Predpoklady a obmedzenie práce
Predpokladom pre dosiahnutie cieľa je primárne ochota zo strany spoločnosti Avast, konkrétne ľudí z oblasti Data Managementu, ktorí sú kľúčoví pri poskytovaní cenných informácií a poznatkov k danej téme.
Obmedzenie tejto bakalárskej práce je hlavne v tom, že nie všetky dáta sú zverejniteľné a keďže je tento proces implementácie efektívnejšieho Data Governance aktuálne v riešení, niektoré nie sú poskytnuté ani autorke práce.
Štruktúra práce
Štruktúra bakalárskej práce je koncipovaná podľa všeobecných odporúčaní Katedry Informačných technológií Vysokej školy ekonomickej v Prahe.
Po úvodnej kapitole, kde sa práca venuje rešeršiam zdrojov vrátane záverečných prác na príbuzné témy od témy, ktorú som si vybrala ako záverečnú prácu, nasleduje predstavenie všeobecného úvodu do DG, ktoré slúži ako vstupná brána do praktickej časti, kde sa práca zaoberá konkrétnym riešením DG pre spoločnosť Avast, ako aj analýzou potrieb a návrhu riešenia. V závere práce je uvedené celkové hodnotenie úspešnosti stanovených cieľov.
Očakávané prínosy
Očakávaný prínos práce povedie k detailnej analýze potrieb konkrétnej firmy, ktorá má ambíciu zlepšiť a zefektívniť svoj doterajší DG, čím je vytvorený priestor hlavne pre obohatenie autorky v uvedomení si niektorých skutočností, ktoré je možné získať len pri
reálnom riešení určitej problematiky s prepojenou praxou v danej oblasti. Toto povedie k tomu, že autorka získa vedomosti a nové cenné skúsenosti v obore, v ktorom sa do budúcnosti môže ďalej rozvíjať v spoločnosti. Prínos môže byť hodnotný aj ako riešený projekt, ktorý si autorka uvedie do osobného životopisu.
1 Rešerše
Nasledovná časť bakalárskej práce sa zaoberá rešeršou zdrojov z oblasti DG. ktoré sa zaoberajú strategickým riadením dát, dátovou architektúrou, riadením dátovej kvality a ďalšími príbuznými oblasťami označovanými ako Data Governance, ktoré slúžia ako podklad na teoretické vymedzenie danej problematiky.
Jedná sa o diplomovú prácu „Data governance v podnikové praxi“ autora Ing. Michala Frýbu, ktorá sa zaoberá tým, ako sa dá oblasť data governance pokryť komerčnými softwarovými nástrojmi. Autor si kladie za cieľ „analyzovať úroveň pokrytia úloh riadenia dátových zdrojov a ich kvality data governance softwarom a navrhnúť obecne aplikovateľnú implementáciu komerčného riešenia vrátane povinností relevantných profesijných rolí“
(Frýba 2020).
Autorka záverečnej práce MBA programu Data & Analytics for Business Management,
„Řízení datové analytiky v malých a středních podnicích“ zameriava DG hlavne na skvalitňovanie a zvyšovanie pridanej hodnoty Business Intelligence (ďalej BI) riešení a dátovej analytiky. Ďalej sa zameriava na oblasť bezpečnosti dát, GDPR (obecné nariadenie o ochrane osobných údajov) (Špryslová 2021).
Jeden hlavný cieľ a to „analyzovať nástroje podporujúce Big Data Governance nástroje“ a tri vedľajšie ciele si kladie Ing. Leontína Bláhová v diplomovej práci na tému Big Data Governance. Vedľajšie ciele sú „definovať požiadavky na software podporujúci Big Data Governance, definovať vlastné metriky pre nájdenie vhodného nástroja pre Big Data Governance a analyzovať pokrytie funkcionality pre podporu riadenia kvality dát vo vybraných nástrojoch“. V praktickej časti autorka použila výskumy spoločností Gartner a Forrester pre prevedenie analýzy trhu. Na základe stanovených požiadaviek je na porovnanie vybraných celkom päť dodávateľov, z toho traja dodávatelia sú Gartner leaderi, vybraní z niekoľkých Gartner reportov z roku 2015, týkajúcich sa „master data managementu, datové integrace a datové kvality“ a dvaja dodávatelia patria medzi vizionárov (Bláhová, 2016).
Medzi ďalšie kľúčové zdroje na vypracovanie práce slúži tiež MBI (Management Byznys Informatiky) ako dôležitý zdroj informácií. MBI je „portál zameraný na riadenie podnikov a riadenie IT, realizovaný v kooperácii špecialistov z praxe a VŠ (VŠE – KIT, ČVUT – KSI)“
(MBI – Koncepce a návod k použití, nedatované). Portál ponúka veľké množstvo informácií ohľadne riadenia dátových zdrojov a ich kvality spolu s ďalšími dokumentmi súvisiacimi s Data Governance.
Publikácia Data Governance: How to Design, Deploy and Sustain an Effective Data Governance Program (v preklade Data Governance: ako navrhnúť, implementovat a udržať efektívny dáta governance program) od Johna Ladleyho sa zameriava na komplexnú implementáciu programu data governance vo všetkých jeho fázach spolu s vysvetlením, prečo je vôbec dôležité sa touto oblasťou zaoberať (WorldCat, nedatované) (Ladley, 2019).
Unikátnym zdrojom je takisto aj súbor piatich kníh a plagátov s názvom Data a analytika pro 21. století, ktoré poskytujú komplexné informácie o trendoch a tzv. „megaproblémoch“
pri budovaní dát a analytiky pre väčšie spoločnosti. Kniha 3 s názvom Architektura a governance obsahuje rozobrané oblasti modernej architektúry a governance v
„kognitívnej“ dobe, kde časťou o prehľadovej organizačnej štruktúre poskytuje priamy podklad na teoretickú časť práce (Slánský, 2018).
Ďalšou významnou súčasťou zdrojov sú samozrejme interné zdroje firmy Avast, ktoré sú dostupné len pre interných zamestnancov, a slúžia ako hlavný zdroj cenných informácií pri spracovaní praktickej časti bakalárskej práce. Počas vypracovania praktickej časti práce neboli použité konkrétne hodnoty z dôvodu bezpečnosti stále prebiehajúceho projektu implementácie DG v Avaste. Majiteľom použitých zdrojov pre túto bakalársku prácu je Miroslav Umlauf, Chief Data Officer z firmy Avast.
Zhrnutie kapitoly
Uvedená kapitola poskytuje prehľad pomerne najaktuálnejších dostupných zdrojov a záverečných prác, ktoré sa týkajú problematiky správy dát. Z vyššie uvedených zdrojov je zrejmé, že daná oblasť má mnoho riešiteľov. Avšak na rozdiel od záverečnej práci Bc.
Špryslovej MBA, ktorá sa zameriava vyslovene na malé a stredné podniky je v mojej práci uvedené konkrétne riešenie pre nadnárodnú firmu. Taktiež na rozdiel od záverečnej práci Ing. Blahovej, ktorá v nej porovnáva riešenie Ataccama od Talendu, moja bakalárska práca má len stručné porovnanie platformy OneTrust od revolučne novej platformy Ataccama ONE, ktorá je využitá firmou Avast pri implementácií, tým pádom poskytuje aj nové informácie o novej platforme.
2 Vymedzenie Data Governance
Druhá kapitola tejto bakalárskej práce teoreticky vymedzuje pojem data governance a jeho význam. S tým súvisia aj jednotlivé časti a ďalšie pojmy spojené s úlohami riadenia dátových zdrojov a ich kvality, ktoré sú definované na portáli MBI – Manažment Biznis Informatiky – a ku ktorým predchádza prehľad metrík a faktorov. (MBI – TG201, 2021).
2.1 Definícia
Data governance v doslovnom preklade znamená riadenie dát, alebo správa riadenia dát vo firme. V tejto práci je ale ďalej používaný anglický názov. Vymedzený pojem sa v literatúrach aj odborných článkoch nachádza v podobe viacerých definícií, dokonca je možné nájsť aj články, ktoré sa zaoberajú problematikou rôznych definícií, preto nie je jednoduché ho definovať. „Podľa Johna Ladleyho je DG súborom troch základných konceptov – data managementu, dátovej architektúry a Enteprise Information Managementu (skrátene EIM, v preklade manažment podnikových informácií). Ladley považuje za výstupy zavedenie DG sadu princípov (formou noriem) a politik (formou záväzných pravidiel), pričom odporúča implementáciu DG ako pozvoľný vývojový proces s dopadom do organizačnej štruktúry firmy (MBI – TG201, 2021) (Pejčoch, 2014) (Ladley, 2012).
„Data governance sa rovná strategickej úrovni riadenia dát (poťažmä informatiky), ktorou je takisto ako v prípade ostatných kľúčových aktív nutné zladiť jednak so strategickým riadením týchto aktív, jednak so stratégiou celej firmy“ (MBI – TG201, 2021) (Pejčoch, 2014).
Dôvody, prečo sa zaoberať DG je celá rada. Neustále zvyšovanie objemu dát, čo často ústi v ich nekonzistenciu, ktorú je potrebné identifikovať a vyriešiť ešte skôr ako kvôli nekvalitným dátam dôjde ku chybným či už manažérskym alebo prevádzkovým rozhodnutiam. Stále rastúci počet reportov, self-service či iného typu, generuje potrebu spoločného porozumenia dátam v rámci celej organizácie. Jedná sa napr. o určité biznis pojmy či ukazovatele, ktoré môžu byť napriek oddeleniami rôzne chápané. DG môže byť prvým krokom k identifikácií problémov a definovanie štandardov“ (MBI – TG201, 2021) (Couture, 2018).
Dáta sa stali súčasťou takmer každého oddelenia a obchodných jednotiek vo firmách a DG, ako príklad aj takejto iniciatívy, ktorá to zastrešuje, a vyžaduje si oveľa viac organizačných zmien dôsledne zosúladených s firemnými užívateľmi, rovnako aj s údržbou modelu a vedie to k vytvoreniu jednej multifunkčnej jednotky – tím pre správu údajov (data stewardship tím). (Vojvodic, Hitz, 2019).
Data governance je celofiremný rámec na prideľovanie práv a povinností týkajúcich sa rozhodovania, aby bolo možné adekvátne narábať s dátami ako s majetkom spoločnosti (Otto, 2011). Naozaj efektívne data governance bolo navrhnuté ako kľúčové pri získavaní užitočnosti z centralizovaného používania dát a je rozvíjajúcim sa trendom v riadení podnikových informácií (Cheong & Chang, 2007).
Súvisiace oblasti s data governance
Z podnikovej stratégie vychádza Data Strategy. Úplne nové podnikové stratégie môžu vzniknúť z inovatívneho spôsobu využitia dát, ktoré už reálne existujú v podniku. Je dôležité podotknúť, že dátová a podniková stratégia musia byť vo vzájomnom súlade, nakoľko DG vychádza z dátovej stratégie a následne ju prepája s Data Management (ďalej DM) (Dennis, 2017), pričom Data Management je možné považovať za technickú implementáciu DG (Everett, 2019).
Ucelený pohľad na dátové zdroje, databázy v informatike, ich hlavné väzby a charakteristiky predstavuje Data Architecture. Taktiež zabezpečuje ich systematický rozvoj.
Východiskom pre DG a DM je kvalitne popísaná a zdokumentovaná architektúra, ktorá pre naplnenie cieľov podnikovej stratégie umožňuje úplne zužitkovať moderné technológie (MBI portál). Data Architecture je dôležité chápať ani nie ako súčasť DG, ale skôr ako príbuznú disciplínu, ktorá ale z technologického pohľadu špecifickejšie nazerá na rovnaký problém. Tieto obidve disciplíny by sa mali pribežne rozvíjať a navzájom sa doplňovať (Dennis, 2019).
2.2 Úlohy riadenia
Táto časť bakalárskej práce pojednáva o riadení dátových zdrojov a ich kvality, pričom úloha riadenia je súbor logicky zoskupených činností zameraných na efektívne riadenie dát.
„Cieľom riadenia dátových zdrojov je tak dosiahnuť optimálneho rozsahu a kvality dát pre prevádzkované aplikácie a súčasne nájsť efektívny pomer medzi internými, vlastnými zdrojmi podniku a využitím externých dátových báz a IT služieb. Viaže sa na správu databáz“
(MBI – TG201, 2021).
Prehľad úloh
„Do riadenia dátových zdrojov spadajú typy úloh:
• Analýzy dátových zdrojov – ich umiestnenie, zodpovedných útvarov alebo pracovníkov za dátové zdroje apod. – (Anal.),
• Plánovanie rozvoja dátových zdrojov – (Plán),
• Riadenie externých dát – analýzy dostupných dátových zdrojov na internete, na sociálnych sieťach, v privátnych databázach poskytovaných ako IT služby apod. – (Exter.),
• Riadenie kvality dátových zdrojov – a riešenie prípadných problémov v kvalite dát, konzistencii konsolidácii apod. – (Kval.),
• Riadenie integrácie dát – vzájomných väzieb interných databáz i externých dátových zdrojov – (Integ.)“ (MBI – TG201, 2021).
2.3 Role
Podstata a účel rolí
Role presne určujú, že aké kompetencie a povinnosti bude mať konkrétny pracovník v určitej špecifickej oblasti pri riešení problémov.
Spravidla v každej pracovnej pozícii môže pracovník vykonávať viacero rôznych rolí.
Pracovník na pracovnej pozícii vedúceho IT prevádzky môže vykonávať rolu člena komisie IT Governance, ale tiež aj člena komisie IT nákupu.
Zmyslom rolí je konkretizovať personálnu náročnosť pri realizácii jednotlivých úloh v riadení IT ale aj v obchodnej činnosti. V závislosti od obťažností sú požadované vyššie znalosti a schopnosti. Roliam sú priraďované pracovné činnosti a z toho vyplývajúca zodpovednosť a kompetencie (MBI – RG0, 2021).
Role podieľajúce sa na riadení dátových zdrojov dokumentuje Obrázok 1.
Anal. Plán Exter. Kval. Integ.
Obrázok 1: Role zamestnancov podieľajúcich sa na riadení dátových zdrojov (MBI – TG201, 2021)
Pre túto časť kapitoly sú využité len určité role. Celkový prehľad rolí, ktoré sa viažu k danej oblasti riadenie IT je dostupný na portáli MBI v sekcií Role – úvod a súhrnný prehľad (RG0).
V podnikoch je DG implementované a zabezpečované pomocou niekoľkých kľúčových rolí.
Vo veľkých organizáciách a podnikoch môžu existovať desiatky rôznych DG rolí, ale naopak v stredných a menších podnikoch je v rámci zavádzania DG optimálne určiť maximálne 3 – 4 nižšie definované role (Špyslová, 2021).
Pri zavedení DG v podniku medzi typické Roles and Responsibilities sa zaraďujú:
▪ Chief Data Officer (ďalej CDO, dátový riaditeľ),
▪ Data Owner (vlastník dát),
▪ Data Steward (dátový stevard).
Medzi najdôležitejšie role na strategickej úrovni patrí CDO, keďže je oprávnený ďalej delegovať strategické riadenie na jednotlivých Data Owners, spravidla z radov vrcholového managementu.
V súčasnosti v menších podnikoch rola CDO existuje sporadicky, preto ju vykonáva poverený zamestnanec z vrcholového manažmentu, resp. riaditeľ, pod ktorého obvykle spadá oddelenie dátovej analytiky a BI (Špyslová, 2021). CDO sú ľudia s veľmi dobrými analytickými schopnosťami, majú vynikajúce manažérske a komunikačné schopnosti, dlhoročné skúsenosti z biznis rolí, široký technický prehľad v oblasti dátovej analytiky a IT a tiež majú výborné strategické myslenie (Špyslová, 2021). CDO patrí k relatívne novším roliam, ktorá má hlavnú úlohu zastrešovať všetky aktivity správy dát v organizácii a zabezpečiť, aby organizácia vnímala dáta ako svoj cenný majetok. Berie zodpovednosť aj za etickú stránku práce s dátami a analytikou (Slánsky, 2018). Podľa Gartneru za posledných 7 rokov vzrástla početnosť pozície CDO medzi sledovanými firmami až 100 krát.
Funkcia sa stáva osvojenou, títo ľudia naviac získavajú na vplyve. Asi 30 % riaditeľov pre dáta podlieha iba priamo výkonnému riaditeľovi (CEO), 17 % riaditeľovi informatiky (CIO), 15 % prevádzkovému riaditeľovi (COO) a len minimum má nadriadeného technologického alebo finančného riaditeľa (IITBIZ, 2019).
Data Owner berie zodpovednosť za kvalitu, dostupnosť, popis a bezpečnosť zverenej dátovej oblasti, väčšinou je rekruitovaný z top manažmentu firmy a z toho dôvodu využíva dátových stevardov ku exekúcii tejto zodpovednosti (Slánsky, 2018).
Data Steward dohliada na nastavenie riadenia kvality údajov, je zodpovedný za stotožňovanie údajov na základe reportov o kvalite údajov. Je dobre zorientovaný v obchodnej sfére daného podniku, má vynikajúce organizačné a komunikačné schopnosti, analytické myslenie a tiež výborné technické a technologické znalosti v oblasti dátovej analytiky a IT (Slánský, 2018). Data Steward je teda vykonávateľom aktivít, ktoré vedú k naplneniu požiadaviek od Data Owners. Data Owner môže nominovať aj viacerých Data Stewards, ktorí sú mu nápomocní naplniť obchodné požiadavky pomocou zadefinovania
týchto pravidelných procesov, pričom prípadné problémy a incidenty reportuje na príslušné miesta. Data Operator má výborné technické a technologické znalosti v oblasti dátovej analytiky a IT a tiež praktické schopnosti v IT oblasti, dátovej analýzy a dátovej integrácie (Slánský, 2018).
Master and Reference Data Management je systém správy zodpovedný za kmeňové dáta, teda zabezpečuje dátovou kvalitu, unikátnosť a aktuálnosť záznamov v najdôležitejších tabuľkách, ako je napr. zákazník, produkt, región apod., a to vrátane väzby na transakčné dáta a integrity vzájomných väzieb. Sporadicky sa tiež hovorí o zhotovovaní tzv. Golden Record (zlatého záznamu) (Slánský, 2018).
Data Security Management je súbor nástrojov zabezpečujúcich dôvernosť, dostupnosť a tiež integritu dát (Slánský, 2018). Procesy ako zálohovanie a obnova dát, riadenie prístupu na úrovni dátovej integrácie, monitorovanie neobvyklej aktivity, analytické a vizualizačné vrstvy apod. patria medzi oblasti súvisiace s pôsobnosťou dátových a BI tímov.
2.4 Metriky
Metriky možno definovať ako kritériá určujúce atribúty v softvérovom projekte, ktoré umožňujú hodnotenie vytvoreného produktu a procesu, ktorý sa použil pri jeho tvorbe. Sú významné z hľadiska priebežného monitorovania a vyhodnocovania dátových zdrojov, majú definovaný obsah, mernú jednotku, analytický rozmer - dimenziu.
Najpoužívanejšie metriky sa odvíjajú od dátových parametrov:
• presnosť – percento alebo počet záznamov s chybou, resp. zoznam týchto záznamov,
• hodnota a formát – percento alebo počet záznamov s chybnou hodnotou, resp.
zoznam týchto záznamov,
• unikátnosť – percento alebo počet duplicitných záznamov, resp. zoznam týchto záznamov,
• úplnosť – percento alebo počet záznamov s prázdnou hodnotou, resp. zoznam týchto záznamov,
• aktuálnosť – oneskorenie dát v sekundách, resp. minútach oproti podnikovým požiadavkám,
• dostupnosť – percento alebo počet záznamov, pri ktorých nie je možné dohľadať zmeny, ako napríklad zmazané riadky, resp. zoznam týchto záznamov
• rôzne ďalšie metriky, odrážajúce špecifické potreby konkrétnych podnikov (Špryslová, 2021).
Prehľad metrík spolu s mierou ich významnosti týkajúcich sa riadenia dátových zdrojov zobrazuje Obrázok 2 (MBI – TG201, 2021).
Obrázok 2: Metriky týkajúce sa riadenia dátových zdrojov (MBI - TG201, 2021)
3 Výber platformy
Táto kapitola pojednáva o výbere konkrétneho nástroja pre riešenie data governance v spoločnosti Avast. Výber bol zameraný na dve platformy, ktoré sú svojim spôsobom unikátne. OneTrust bol zvažovaný, pretože je líder v danej oblasti riešenia. Na druhej strane produkty Ataccama sú už zabehnuté vo firemnom prostredí.
3.1 OneTrust
OneTrust je najrýchlejšie rastúca a najbežnejšie používaná technologická platforma, ktorá pomáha organizáciám získať väčšiu dôveru a prevádzkovať programy na ochranu osobných údajov, zabezpečenie, data governance a dodržiavanie predpisov. Viac ako 7 500 zákazníkov, vrátane polovice z rebríčka Fortune 500, používa OneTrust na vytváranie integrovaných programov, ktoré sú v súlade s CCPA, GDPR, LGPD, PDPA, ISO27001 a stovkami svetových zákonov o ochrane súkromia a bezpečnosti.
3.2 Ataccama ONE
Ataccama ONE je robustná platforma založená na AI, ktorá integruje oblasti ako sú Data Discovery & Profiling, Metadata Management (vrátane dátoveho katalógu a obchodného glosára), Data Quality Management, Master Data Management & Reference Data Management, Data Preparation, Big Data Processing & Data Integration. Ataccama ONE ponúka od začiatku možnosť začať s najnutnejšou oblasťou, a v prípade potreby je možno plynulo rozšíriť platformu o vyššie uvedené oblasti.
3.3 Zdôvodnenie výberu platformy
Je zrejmé, že komponenty platformy OneTrust takisto zaisťujú správne usporiadanie dát, ale ich možnosť napojenia na zdrojové systémy bola výrazne obmedzená. Zároveň nepoužívajú pokročilejšie AI na automatické detekcie dát, takže väčšina obsahu musí byť riadená ručne, čo je z dlhodobého hľadiska problém. Na druhej strane Avast už dlhšiu dobu spolupracuje so spoločnosťou Ataccama. Konkrétne využívajú ich produkty MDM (Master Data Management) na centralizovanie zákazníckych účtov a RDM (Reference Data Management) na správu číselníkových dát. Produkt Ataccama ONE je nový produkt spoločnosti Ataccama a jedná sa o komplexný nástroj na riadenie metadát a dátovej integrácie. Výhľad do budúcnosti je taký, že minimálne produkty RDM a ONE sa zlúčia a bude existovať len ONE. Z tohto hľadiska bolo pre Avast rozumnejšie kúpiť produkt ONE, pretože je postavený na platforme integračného nástroja, a z toho dôvodu veria, že ich možnosti ako sa dá napojiť na rôzne systémy sú na lepšej úrovni než konkurenčné. Zároveň
dostal Avast od Ataccamy produkt ONE v režime „early acces“ čo znamená, že sú jediný, kto má tento produkt k dispozícií a celý vývoj vrátane roadmapy Ataccama priamo ovplyvňujú.
Dá sa teda povedať, že im pomáhajú z vývojom ich nástroja.
4 Analýza potrieb spoločnosti Avast z pohľadu Data Governance
V dnešnom rýchlo sa meniacom svete plných informácií sa čoraz častejšie vyskytujú prípady, že sa stráca prehľad o informáciách rôzneho charakteru. To platí ako pre jednotlivých užívateľov, tak aj pre firmy. Obzvlášť, keď sa jedná o nadnárodnú spoločnosť s vysokým počtom zamestnancov, ktorá má sídla v rôznych štátoch s veľkým kvantom interných systémov. Z toho dôvodu je potrebné zamerať pozornosť týmto smerom, pretože vďaka zavedeniu Data Governance získava firma prehľad o svojich aktívach, ktoré vlastní.
Čo sa týka vybavenia, ako napríklad priestory, notebooky, desktopy, stoly a iný hmotný a nehmotný majetok, je to ošetrené zo strany účtovníctva a financií. Medzi aktíva ale patrí aj softvérové vybavenie. Rôzne servery, systémy atď. sú neoddeliteľnou súčasťou firemného vybavenia a majetku. Momentálna situácia v Avaste odpovedá faktu, že nikto poriadne nevie, aké všetky systémy sú používané, alebo či sa náhodou nepoužívajú duplicitne, akú majú hodnotu pre firmu a podobne.
Zároveň sa stále zvyšuje tlak z rôznych vládnych nariadení na zabezpečenie osobných dát.
Regulácie, ako sú Obecné nariadenie o ochrane osobných údajov (angl. General Data Protection Regulation, ďalej len „GDPR“) a CCPA (Californian Consumer Privacy Act) stále viac tlačia na firmy, aby vedeli, aké dáta o svojich zákazníkoch zbierajú a čo sa s tými dátami deje. Preto, aby sa naplnili požiadavky týchto regulácií, je potrebné urobiť poriadok s dátami, ktoré sú v Avaste. A to je dnes problém. Preto bola zvolená stratégia zanalyzovania firemného ekosystému z hľadiska Data Governance pomocou troch logických entít, ktorými sú firemné politiky, systémy a dáta. Pre každú takúto entitu sa počas priebehu analýzy uskutočnilo detailnejšie preskúmanie, ktorého výsledkom boli tri výstupy. Register politík, systémový register a dátový register.
Z dôvodu citlivosti údajov chránených firmou Avast nebolo autorke práce umožnené uvádzať konkrétne čísla, v niektorých prípadoch iba agregované.
4.1 Politiky
Politiky sú normatívne dokumenty, ktorých cieľom je upraviť správanie ľudí určitým spôsobom. Táto dimenzia sa skladá z politík rôzneho druhu, napríklad z politík priamo zameraných na ochranu údajov, ale aj politiky všetkých oddelení zamerané na úzku problematiku biznis jednotky. Dokonca aj konkrétne politiky často obsahujú informácie súvisiace s DG. Je to determinované možnosťou automatizácie - aspoň čiastočnej - v systémoch a procesoch DG.
4.1.1 Súčasná situácia politík
Napriek tomu, že Avast je liberálnym pracovným prostredím, má mnoho interných politík, štandardov a nariadení. Aj keď nie všetky pravidlá sa týkajú každého, je to stále viac, než môže ktokoľvek pochopiť a dodržovať. Spoločnosť učinila kroky k vytvoreniu transparentnejšieho riadenia interných politík, a to vo forme dokumentov v rôznych formátoch. Na základe fázy objavovania, najdôležitejšie politiky sa zameriavajú na oblasti spracovania údajov, ochrany údajov a informačnej bezpečnosti s presahom do IT, HR a ďalších oblastí. Ukladanie politík nie je jasne definované a komunikované, a preto niekedy nastávajú problémy s verziou politík, ich ukladaním a zdieľaním.
4.1.2 Nedostatky politík
Politiky sú kľúčovou súčasťou programu Data Governance a tzv. objavovacej fázy z hľadiska riadenia. V tejto súvislosti sa analyzovalo prostredie politík a výsledkom bola identifikácia nedostatkov. Priestor na zlepšenie sa našiel v ukladaní a vlastníctve jednotlivých interných politík, ich vymáhanie, monitorovanie, reportovanie a rovnako aj riadení rolí a prístupov súvisiacich s pravidlami vyplývajúcich z týchto politík. Väčšina nedostatkov sa pretavila do iniciatív a stala sa súčasťou konceptu budúceho riadenia s cieľom zmierniť riziká a neefektívnosť, ktoré predstavujú. Na Obrázok 3 sa nachádza kompletný zoznam prioritných medzier s detailnejšie popísanými atribútmi.
Obrázok 3: Zoznam prioritných nedostatkov s detailnejšie popísanými atribútmi (Avast, 2020)
4.1.3 Prístup politík
ID Nedostatky politík Priorita Bude to vyriešené pomocou DG?
1 Viaceré verzie rovnakých politík, len ťažko sa dá nájsť ich najnovšia verzia. Nízka
Áno, pravdepodobne použitím Ataccamy ONE ako zdroja alebo zmenou spôsobu použitia CML na definovanie politík. Vďaka funkcii schvaľovacieho toku bude ľahké sledovať a overovať
všetky zmeny.
2
Ťažko pochopiť, čo je oficiálna politika a čo je iba sprievodca / odporúčané riešenie => Všeobecne by som to dako nazvať „nejasná štruktúra a nomenklatúra normatívnych dokumentov“.
(napr. požiadavky na predintegráciu akvizície, požiadavky na bezpečné zdieľanie údajov Avastu s tretími stranami a ďalšie)
Nízka
Áno, pravdepodobne použitím Ataccamy ONE ako zdroja alebo zmenou spôsobu použitia CML na definovanie politík. Vďaka funkcii schvaľovacieho toku bude ľahké sledovať a overovať
všetky zmeny.
3 Politiky sa nevyvíjajú na základe jednotného procesu, pričom do návrhu a schválenia sú zahrnuté všetky súvisiace strany, skôr každé oddelenie pripravuje svoje politiky bez veľkej spolupráce. Nízka
Áno, pravdepodobne použitím Ataccamy ONE ako zdroja alebo zmenou spôsobu použitia CML na definovanie politík. Vďaka funkcii schvaľovacieho toku bude ľahké sledovať a overovať
všetky zmeny.
4
Medzi vzájomne prepojenými politikami neexistuje automatické zosúladenie, napr. Sprievodca údajmi Avast obsahuje čiastočne rovnaké informácie ako Všeobecné pravidlá ochrany osobných údajov (je to verejná verzia výkladu GDPR), ale ak sa zmení Sprievodca údajmi Avast, je potrebné ich zmeniť aj manuálne v Zásadách ochrany
osobných údajov Stredná
Čiastočne, ale v tejto chvíli sa nedá povedať, že plne pokryje všetky požiadavky. Závislosti medzi politikami je možné nastaviť
v Ataccame ONE 5
Neexistuje žiadny hlavný dokument, ktorý by obsahoval informácie o všetkých účeloch spracovania použitých v Avaste a vzťahu medzi týmito účelmi, dátovými prvkami a systémami. Aj keď sa to priamo netýka politík, pre ich
súlad je to rozhodujúce, pretože tieto informácie je potrebné overeniť. Vysoká
Zoznam sa vytvorí počas tohto projektu a neskôr sa bude spravovať v programe Ataccama ONE, aby ho bolo možné
znova použiť v definícii politík.
6 Policy owners nie sú schopní skontrolovať vplyv svojej politiky na to, ktorých osôb / systémov sa to dotkne, či je politika skutočne „dobrá“,či je definovaná jasne a čo je možné ju použiť / vynútiť. Stredná
Áno, pretože rozhranie Ataccama ONE umožňuje vidieť vplyv danej politiky. Osoba, ktorá definuje politiku, bude dobre rozumieť dopadom, koľko systémov bude ovplyvnených, koľko
aktív atď.
7
Chýbajúce výsledky detekcii zmien je fakt, ktorý vedie k tomu, že potenciálne problémy so zabezpečením sa dajú počas auditu nájsť iba raz ročne, a ak sa problém vyskytne týždeň po audite, existuje veľká hrozba, že bude
vystavený riziku. Vysoká
Áno, vyrieši sa vďaka automatizovanej detekcii a detekcii zmien v Ataccame ONE
spracovanie v danej platforme (viď. časť 3.2 Ataccama ONE). Hlavné ciele registra politík sú:
• Vytvorenie komplexného zoznamu alebo všetkých existujúcich politík a nariadení.
• Kategorizovať a popísať politiky, identifikovať tie, ktoré súvisia s riadením údajov a ochranou a je možné ich aspoň čiastočne preniesť do vynutiteľných pravidiel.
Najskôr boli vyžiadané všetky pravidlá v rámci rozsahu projektu, ale po uvedomení si, že popis a vlastníctvo pravidiel nie je dostatočne jasné na to, aby bolo možné tvrdiť, čo je v rámci rozsahu projektu a čo nie je jeho súčasťou, bol získaný prístup ku všetkým pravidlám a prebehla ich analýza. Počas objavovacej fázy sa diskutovalo aj o politikách so systémovými vlastníkmi a právnymi oddeleniami aj oddeleniami informačnej bezpečnosti, hlavne kvôli získaniu informácií o ich skutočnom použití v systémoch. Iba tie politiky, v ktorých boli náznaky spracovania dát alebo ochranných pravidiel, boli ďalej detailne popísané a označené ako relevantné na upload a správu prostredníctvom platformy (viď časť 4.1 Ataccama ONE). V každej z týchto politík bol uvedený relevantný obsah a údaje, ktorých sa to týka.
4.1.4 Pridaná hodnota politík
Mapovanie politík je dôležité, aby pokrylo všetky príslušné politiky a pravidlá v oblasti Data Governance platformy. Ďalším krokom je identifikácia a vývoj algoritmov pre väčšinu pravidiel týkajúcich sa dát, čo nebude možné bez kompletného zoznamu politík a ich vlastníkov, na ktorých sa bude dať v prípade potreby obrátiť s objasňujúcimi otázkami.
Analýza politík tiež pomohla zostaviť zoznam nedostatkov v politikách, a tak zamerať rozsah ďalšej fázy projektu do najcennejších zlepšovacích aktivít. Politiky ako dokumenty majú malú hodnotu, ak nie sú prepojené s organizačnými rolami a dátovými prvkami, na ktoré je kladený dôraz počas implementácie nápravných opatrení.
4.2 Systémy
4.2.1 Súčasná situácia
V Avaste sú systémy spravované prostredníctvom systémového registra v aplikácií Jira (softwarový nástroj používaný na evidenciu chýb a problémov pri vývoji softwaru alebo riadenia projektov, vyvíjaný spoločnosťou Atlassian) . Spolu s ostatnými registrami, ako sú register dát, infraštruktúry alebo obchodných služieb, sa register zameriava na vytvorenie platformy kontroly nad informačnými aktívami. Bol to hlavný zdroj pre prieskum súčasného stavu a poskytuje dôveryhodný prehľad o súčasnom stave. Pokiaľ ide o systémy, existuje celkom vyše 350 systémov, z toho je väčšina aktívnych, zvyšok vyradený z prevádzky. V systéme je k dispozícii viac než 30 atribútov na popis systémov v registri Jira, pokrývajúce oblasti ako popis, pôvod, vlastníctvo, licencovanie, sieť a správa obnovy dát po tzv. katastrofe pri strate, alebo zmazaní dát.
4.2.2 Nedostatky
Register založený na Jire nie je stopercentne úplný ani správny, čo nie je prekvapujúce vzhľadom na skutočnosť, že správa systémov, údajov a ďalších komponentov je nepretržitá úloha a doteraz bola vykonávaná čisto manuálne. Najdôležitejšie oblasti, na ktoré sa treba zamerať sú tieto:
• chýbajúce systémy - Avast aktívne používa systémy, ktoré nikto nevložil do registra.
• chýbajúci popis - Väčšina systémov má časť dostupných atribútov nevyplnených. To významne znižuje hodnotu, pretože akékoľvek analýzy nebudú ani zďaleka spoľahlivé z dôvodu, že budú pracovať iba s čiastočnými dátami.
• chybný popis - časť vyplnených dát nie je aktuálna a nie je isté, či niekedy bola.
Konkrétny prípad bol zistený o atribúte Technický vlastník, tiež o IT oddelení, ale pravdepodobne to platí aj pre iné oblasti.
• chýbajúce dôležité atribúty – na to, aby bolo možné správne riadiť systémy a rozhodovať sa o ich obchodnom význame a naliehavosti, je potrebné v každom systéme opísať nové atribúty a neobmedzovať sa iba na tieto oblasti: podrobný obsah dát, ochrana dát, mapovanie procesov, objemy a rýchlosť dát, databázová technológia, role užívateľov atď.
4.2.3 Prístup
Dokument systémového registra bol vytvorený za účelom správnej implementácie systému Ataccama ONE, od identifikácie a výpisu všetkých existujúcich systémov, s pochopením príslušných systémov z viacerých uhlov pohľadu, až po priorizáciu a plánovanie jednotlivých systémov alebo systémové skupiny s cieľom vytvoriť plán implementácie. Tento dokument má dva hlavné účely:
1. Zber atribútov potrebných pre stanovenie priorít systémov, MVP a tvorbu plánu (čokoľvek chýbalo v registri Jira a považovalo sa to za potrebné pre rozhodovanie).
2. Príprava počiatočnej verzie systémového registra, ktorý sa nahrá do systému Ataccama spolu s aktualizovanými vlastníkmi systému, čo predstavuje začiatok procesu Data Governance.
Popísané účely sa dosiahli agregáciou viacerých zdrojov - register JIRA, rozhovory s vlastníkmi systému a ich nové individuálne vstupy po obdržaní prístupu k novo navrhnutej šablóne. Najskôr boli aktívne systémy zo zoznamu Jira prevzaté a doplnené o nové atribúty, ktoré by mohli byť potrebné na stanovenie priorít. Nová šablóna sa vypĺňala informáciami zhromaždenými v rozhovoroch s vlastníkmi hlavných oblastí IS v Avaste - Fakturácia a licencovanie, CRM, Financie a HR a Produkt. Z kapacitných dôvodov bol súbor systémového registra zdieľaný s užívateľmi a bola vyžiadaná kontrola a rozšírenie systémového registra od vlastníkov systému a ďalších IT. A nakoniec, systémy dostali prioritu na základe
4.2.4 Pridaná hodnota
Keď sa súbor systémového registra zdieľal s užívateľmi, do dvoch týždňov a asi s 30%
účasťou, bolo zozbieraných 24 novo vložených systémov / komponentov. Odhalenie, že takmer 30 nových systémov bolo nájdených iba od jednej tretiny ľudí, ktorí sa spolupodieľali, naznačuje extrémne vysokú pridanú hodnotu procesu Data Governance.
Keby sa v týchto počiatočných krokoch našlo toľko nových systémov - aktuálny zoznam pozostáva z 128 aktívnych systémov - očakáva sa, že celkový počet bude ešte vyšší, keď sa všetci vlastníci do neho zapoja.
Nové atribúty boli pridané do systémového registra, začali byť vyplňované vlastníkmi a očakáva sa, že sa budú odteraz pravidelne vyplňovať. Nie sú hodné iba pre implementáciu nástroja, ale aj pre architektonické rozhodnutia, správu systémov a ich ochranu údajov a tiež ďalšie činnosti do budúcnosti.
Nakoniec sa celý register so všetkými informáciami vyplnenými do tohto okamihu uploaduje do aplikácie Ataccama ONE a to bude slúžiť ako základňa pre poloautomatickú správu systémov. Spolu s postupmi a pravidlami popísanými v ďalšej kapitole tejto práce to povedie k posunu riadenia systémového prostredia k nástroju, ktorý pomôže zmierniť hlavné problémy popísané vyššie.
4.3 Dáta
4.3.1 Súčasná situácia
Myšlienka katalogizácie dát je v Avaste už dlhšiu dobu. Dátový register bol nastavený v Jire v sekcii „Abstrakty dát“ a naplnená prvými dátami. V súčasnosti existuje niekoľko abstraktov dát, ktoré predstavujú kategórie dát na základe ich primárneho použitia.
Príklady toho môžu byť osoba, faktúra alebo licencia. Tieto subjekty boli v niektorých prípadoch ďalej rozvinuté do podrobnejších prvkov, ktoré predstavujú dátové polia súvisiace s nadradenou entitou, ktoré možno nájsť v niektorých systémoch zo systémového registra. Tu uvedené údaje sa navzájom nevylučujú, to znamená, že rovnaký prvok môže byť prítomný v každej z entít.
4.3.2 Nedostatky
Abstrakty dát založené v Jire nie sú ani zďaleka úplné, je tu iba pár hlavných subjektov, kdežto existuje desiatka ďalších v celom ekosystéme. Nakoľko vyplnenie tohto registra bola jednorazová, čisto manuálna akcia, tento nedostatok nie je prekvapujúci. Avšak, ak sa majú dáta spravovať, musia byť najskôr namapované a pochopené. Hlavné problémy týkajúce sa registra údajov sú:
• chýbajúce entity - v Avaste sú desiatky ďalších dátových entít / kategórií / skupín, ktoré nie sú zatiaľ opísané. To znamená, že o väčšine ich údajov nie je jasné, či vôbec a kde existovali.
• chýbajúce prvky - Mnoho abstraktov dát nemá vyplnené podrobné prvky, ktoré k nim prislúchajú a žiadny z nich ich nemá všetky vyplnené. To výrazne znižuje hodnotu pre Data Governance, pretože popis podrobných prvkov je dôležitejší ako popis skupinových entít.
• chýbajúce dôležité atribúty - pre každý dátový prvok je kľúčové definovať, či ide o prvok osobných údajov alebo dokonca citlivý prvok. Ak sa jedná o citlivý prvok, tak aj jeho klasifikácia ohľadne citlivosti údajov alebo vlastníkov dát. Tieto atribúty nie sú v registri k dispozícii.
4.3.3 Prístup
Dokument o dátovom registri bol vytvorený na podporu implementácie aplikácie Ataccama ONE tým, že doménové údaje obsiahnuté v jednotlivých systémoch sú jedným z kľúčových atribútov používaných pri stanovení systémovej priorizácie, či sú pre biznis kritické a aká ochrana je potrebná. Toto sú dva hlavné účely dokumentu:
1. Analyzovať všetky dostupné zdroje a zhromaždiť čo najviac dátových prvkov z ekosystému Avast, na to aby sa vytvorila počiatočná verzia dátového registra, ktorá sa nahrá do Ataccama ONE a použije sa na popis dát.
2. Pripraviť takú štruktúru dátového registra, aby podporovala jeho samotné použitie pre ďalšie Data Governance účely. To znamená vytvorenie hierarchií, zoznamu potrebných atribútov a rozhodnutí o diskrétnosti.
Popísané účely sa dosiahli agregáciou viacerých zdrojov - Dátovými abstraktmi z Jiry, poskytnutými dokumentami hlavne z InfoSecu – oddelenia informačnej bezpečnosti, právnych oddelení a kombináciou všetkých informácií do novo navrhnutej šablóny. Najskôr sa vzali dátové abstrakty z Jiry a modifikovali sa do novej hierarchickej štruktúry. Nová šablóna potom vyplnila zatiaľ nepokryté atribúty z rôznych interných zdrojov firmy.
Nakoniec boli pridané niektoré prvky, ktoré sa v takom ekosystéme očakávajú na rozšírenie základu dostupných obchodných podmienok pre budúce použitie. Každý prvok v registri bol potom mapovaný na stupne klasifikácie C1 až C4 (viď časť 5.1.2 Analýza pripravenosti Data Governance)
4.3.4 Pridaná hodnota
Hlavnou výhodou tohto mapovania aktuálneho stavu je aktualizácia a rozšírenie súčasných iniciatív. Zatiaľ čo tvorenie niektorých dátových katalógov sa začalo v rôznych odvetviach, dátový register Ataccama si kladie za cieľ byť najkomplexnejší, centrálne riadený tímom
dôsledku uľahčí prácu. Ďalšia výhoda spočíva v tom, že dátový register je nevyhnutným predpokladom správneho registra politík a s tým súvisiacich pravidiel implementácie – na základe toho musia byť dátové entity vhodne objavené a popísané tak, aby sa k tomu vzťahovali pravidlá prístupu a retencie. Tak ako veľa účelov spracovania, a teda aj retenčné pravidlá, sú špecifické pre daný systém, je pre systémový register nevyhnutný komplexný register dát, aby bolo možné popísať obsah každého systému prepojeného s Ataccamou ONE.
Zhrnutie kapitoly
Na úvod tejto kapitoly boli predstavené viaceré dôvody, či už je to rýchlo narastajúci objem informácií, ktoré sa stávajú neusporiadanými a neprehľadnými, alebo je to zvyšujúci sa tlak z rôznych vládnych nariadení na zabezpečenie osobných dát, ktoré prispeli k tomu, aby došlo k implementácií efektívnejšej a vyššej úrovne DG v Avaste. Z toho dôvodu bola prevedená analýza potrieb spoločnosti z hľadiska troch logických entít, a to politiky, systémy a dáta, ktoré boli zanalyzované na základe súčasnej situácie, nedostatkov, prístupu k riešeniu a pridanej hodnote riešenia, čo bolo aj cieľom kapitoly.
5 Analýza a návrh riešenia spoločnosti Avast z pohľadu Data Governance
5.1 Analýza a návrh riešenia v konkrétnych podmienkach Avastu
5.1.1 Metodológia
Na základe vyššie popísaných vstupov uskutočnených vo fáze objavovania aktuálneho stavu IS, bol definovaný koncept Data Governance. Cieľom bolo zamerať sa na definíciu Data Governance frameworku (Avast, 2020) a konkrétne pokrytie dvoch hlavných oblastí ochrany údajov –politiky riadenia prístupu a vykonateľných politík na to, aby sa zabezpečila znalosť, transparentný manažment a bezpečnosť všetkých firemných údajov. Riešenie je stavané okolo štyroch komponentov, ktoré spolu vytvárajú komplexný a vzájomne prepojený ekosystém ľudských a technologických opatrení na zabezpečenie plynulého procesu data governance. To sú:
1. Ľudia (role a zodpovednosti, organizačná štruktúra), 2. Platforma (systémy, technológie),
3. Procesy (postupy, scenáre),
4. Pravidlá (štandardy, realizovateľné a nerealizovateľné).
Dimenzie tohto 4-piliérového (ďalej „4P“) Data Governance frameworku predstavujú samostatné, ale nenahraditeľné zložky. Aby rámec priniesol požadované výsledky, je potrebné zamerať sa na všetky tieto štyri oblasti. Každá zložka je ďalej popísaná nižšie v jednotlivých sekciách. Samozrejme, aby sa do tohto návrhu dalo zahrnúť čo najviac funkčnosti a hodnoty je popísaný cieľový stav. Je však dôležité pochopiť, že nedochádza k dokončeniu DG – je to nepretržitý proces prebiehajúci v cykle návrhu, implementácie, monitorovania a zlepšovania ako je zobrazený na Obrázok 4.
Pre presnejšie vymedzenie danej problematiky sú obrázky pochádzajúce z interných zdrojov Avastu, nachádzajúce sa v tejto kapitole zobrazené v anglickom jazyku, pretože v praxi sa termíny neprekladajú do slovenského jazyka.
Obrázok 4: Data Governance Framework (Avast, 2020)
Model pripravenosti na Obrázok 5 pre tento 4P Data Governance framework zobrazuje aktuálny stav a ďalšie plánované kroky na dosiahnutie štádia Level 3 (ďalej aj L3).
Obrázok 5: Model pripravenosti a súčasný stav Avastu (Avast, 2020)
5.1.2 Analýza pripravenosti Data Governance
Na základe informácií získaných z objavovacej fázy bol model pripravenosti aplikovaný na súčasný ekosystém DG v Avaste. V nasledujúcej tabuľke je uvedená pripravenosť každej zo štyroch dimenzií s popisom, prečo bola daná dimenzia nastavená na zobrazenú úroveň.
Farebná škála sleduje vyspelosť spoločnosti v každej dimenzii, zatiaľ čo šedá je priestor na zlepšenie, ktorý ešte nie je dosiahnutý. Celková úroveň Avastu na Obrázok 6 sa určuje ako priemer jednotlivých dimenzií, pretože idú ruka v ruke a jeden nemôže dosiahnuť podstatne vyššiu úroveň bez ostatných. Keďže v niektorých dimenziách je úroveň iba 0 až 1, iné už pokrývajú aktivity od úrovne 2 a teda celková východisková pozícia Avastu pred zavádzaním nového Data Governance bola nastavená na level 1. Cieľom bude v konečnom dôsledku zvýšiť túto úroveň na level 3, v ktorej už činnosti budú automatizované, procesy definované a sledované a DG budú vykonávať ľudia s jasne definovanými rolami a zodpovednosťami.
Obrázok 6: Analýza DG Frameworku (Avast, 2020)
5.1.3 Ľudia
Dimenzia ľudia je zameraná na ľudí, ktorí sa priamo podieľajú na programe Data Governance s plnou alebo čiastočnou alokáciou. Cieľom je poskytnúť spoločnosti Avast predstavu o tom, ako by jednotlivé role mohli vyzerať, aká je ich štruktúra / hierarchia a aké sú potenciálne hlavné zodpovednosti. Existuje niekoľko všeobecných konceptov organizačných modelov Data Governance, ktoré sa tiež v tomto prípade používajú ako základ, avšak sú tu tiež uvedené a popísané špecifické role namapované na presné objekty Data Governance programu v Avaste. Obrázok nižšie popisuje všeobecný koncept:
Obrázok 7: Dimenzia ľudia na základe úrovní (Avast, 2020)
Z Obrázok 7Chyba! Nenašiel sa žiaden zdroj odkazov. je vidieť, že existujú role rôznych úrovní, založené na úrovni abstrakcie a vplyvu na celý program.
Strategická úroveň
DG Committee - výbor DG - už existuje výbor DG, ktorý v súčasnosti tvoria CIO, CTO, CISO a niekoľko ďalších zamestnancov spoločnosti Avast na úrovni C alebo C-1 a DPO. Toto nastavenie sa zhoduje s bežnou štruktúrou a je dobrým východiskovým bodom pre ďalší vývoj programu. Výbor je kľúčovým orgánom pre rozhodovanie a riadenie projektov v rámci programu DG, mali by sponzorovať a schvaľovať jednotlivé aktivity a projekty a zabezpečovať komunikáciu a ich prijatie biznis jednotkami. Výbor je zodpovedný za kolaboráciu lokálneho tímu s prípadnými externými stranami.
DPO (Data Protection Officer) - keďže hlavným účelom Data Governance je zosúladiť interné činnosti s externými nariadeniami, DPO ako odborník na oblasť ochrany údajov je kľúčová osoba na podporu výboru DG s odborným posudkom a radou. Interpretujú nariadenia a vytvárajú zoznam povolených účelov spracovania, právnych základov, klasifikácie osobných údajov atď., vyšetrujú problémy a odpovedajú na požiadavky. DPO môže byť členom výboru DG, ale mal by konať nezávisle od ktoréhokoľvek iného oddelenia.
Taktická úroveň
Data Domain Stewards - jeden za agregovanú dátovú doménu (kategóriu) - osoba zodpovedná za určitú dátovú doménu naprieč viacerými systémami a/alebo oddeleniami, pokiaľ ide o jej obsah, využitie a ochranu. Sú zodpovední za popis obsahu domény a
Registry Owners - vlastníci registrov - každý z nasledujúcich rolí by mal byť manažérom Avastu minimálne na taktickej úrovni, aby bol schopný efektívne delegovať úlohy vyplývajúce z povinností v registri vlastníkov a presadzovať práva vyplývajúce z ich rolí.
• Data Catalogue Owner - vlastník dátového katalógu - minimálne jedna rola na delegovanie úloh a získanie väčšieho detailnejšieho prehľadu. Vlastník zodpovedá za správu a údržbu dátového katalógu uchovávaného v Ataccame, ako aj všetky kópie alebo sekundárne záznamy vedené na inom mieste. Ako je ďalej uvedené v kapitole 4.2.4 Platforma, program Ataccama ONE bude obsahovať hierarchické záznamy viacerých komponentov súvisiacich so systémami a ich obsahom. Hlavnou úlohou je zabezpečenie toho, aby bola architektúra aj obsah stále aktuálny a zosúladený s cieľmi programu. Vlastníci identifikujú nedostatky brániace plynulému používaniu registra a požadujú nápravné opatrenia od zodpovedných strán, zvyčajne vlastníkov dát alebo systému.
• Business Glossary Owner - vlastník obchodného glosára - minimálne jeden, možno viac rolí, zodpovedných za tvorbu a udržovanie Obchodného glosára, zjednoteného miesta uchovávania všetkých obchodných podmienok. Má dve hlavné úlohy, ktoré možno rozdeliť do rôznych rolí, a to:
1) zber a popis všetkých dátových prvkov v prostredí Avastu a ich zoskupenie do kategórií a skupín,
2) priradenie regulačných atribútov, ako napr. účel, právny základ, retencia alebo obchodná služba pre každý z prvkov (vo vzťahu k osobitným systémom). Cieľom týchto úloh je zabezpečiť, aby bol slovník pojmov zrozumiteľný a aktuálny.
• Policy Register Owner - vlastník registra politík - osoba zodpovedná za správu a údržbu registra politík vedeného v Ataccame, ako aj samotné ukladanie politík v Avast Confluence. Hlavnou úlohou je udržiavať architektúru aj obsah aktualizovaný a zosúladený s cieľmi Data Governance programu. Identifikujú nedostatky brániace plynulosti používania registra a požadujú nápravné opatrenia od zodpovedných strán, zvyčajne vlastníkov politík. Zosúladenie medzi archívom Confluence, zásadami Ataccama a pravidlami presadzovania týchto politík je kľúčové.
Platform Owner - vlastník platformy - mala by existovať určená rola pre vlastníka hlavnej platformy Data Governance, keďže Ataccama ONE bude miestom, kde sa budú spravovať všetky štyri dimenzie Data Governance. Táto rola je na rozhraní medzi rolou IT a DG, pretože kombinuje technické znalosti systému s implementovanými procesmi riadenia.
Od vlastníka Ataccamy sa očakáva, že vyhodnotí schopnosti platformy, súčasné využitie, identifikuje a spracuje nahlásené problémy a požiada o ďalší vývoj potrebný na pokrytie novo vznikajúcich potrieb.
Operačná úroveň
Data Stewards - sú odborníci v jednej alebo viacerých dátových kategóriách. To znamená, že majú prakticky na starosti správu dát, aby sa ubezpečili, že sú prístupné na všetkých miestach, riadne popísané a klasifikované a dostupné tam, kde je to potrebné vo formáte požadovanom pravidlami politiky. Kvalita údajov je tiež súčasťou ich zodpovednosti. Oni priamo uskutočňujú nápravu všetkých problémov zistených v oblasti, za ktorú zodpovedajú.
Policy Owners - vlastníci politík - každá skupina politík, ktorá je zvyčajne zoskupená podľa oddelení, musí mať vlastníka, ktorého zodpovednosťou je úplnosť a platnosť všetkých zmlúv v rámci ich oblasti špecializácie. Hľadajú vnútorné a vonkajšie podnety na zmeny politiky, zabezpečujú ich začlenenie do súvisiacej politiky, sledujú dosah politík a v prípade automatizovateľných politík, definujú obchodné pravidlá automatického presadzovania.
Registry Item Owners - vlastníci položiek v registri - toto je všeobecne opísaná operačná rola, z čoho vyplýva, že každá položka uvedená v ktoromkoľvek z registrov musí mať niekoho priradenú zodpovednosť. Vlastníci dát boli uvedení osobitne, pretože dáta sú kľúčovým komponentom, ale aj každý systém, systémový komponent, obchodná služba, umiestnenie alebo fyzické aktívum musia patriť osobe, ktorá je potom schopná poskytnúť podrobné informácie, dokumentáciu a viesť proces súvisiaci s Data Governance. Osobitná pozornosť by sa mala venovať vlastníkom systému a vlastníkom komponentov, ktorí budú zodpovední za reportovanie nového systému a spoluprácu pri prepojení tohto komponentu na platformu za účelom katalogizácie jej údajov.
Process Analyst - procesný analytik - rola, ktorá má hlboké znalosti procesov DG a je schopná sledovať ich vykonávanie v rámci platformy. Procesní analytici hľadajú rozdiely medzi definíciou a exekúciou procesu, reportujú tieto zistenia nadriadenému orgánu na základe oblasti, ktorej sa týkajú. Tiež vytvárajú reporty o využití platformy, využití dát, vykonávajú testovanie zmien z obchodného hľadiska atď.
Expert z Ataccama ONE - v počiatočných fázach by túto úlohu mala zastávať externá strana, ktorá má znalosti o nástroji Ataccama ONE. Na prvom mieste bude zodpovednosť tejto osoby podporovať nastavenie platformy, definovať a implementovať procesy a pravidlá. Ďalej by to mal byť odborník, na ktorého sa môžu zamestnanci obrátiť s akýmikoľvek otázkami ohľadom nástroja, a poskytovať svoje znalosti na zaškolenie interných rolí súvisiacich s platformou. Túto rolu by postupne mal prevziať interný zamestnanec.
Úroveň podpory
Data Governance Office - tím podporných rolí vrátane riadiacich pracovníkov súvisiacich projektov, IT podpora na vytváranie spojení a prístupov, odborníci na oblasti potrebné počas samostatných tém zameraných na oblasť systému, databázový a projektový členovia súvisiacich projektov, ale nesúvisiacich primárne s Data Governance. Pripravujú vstupy alebo objasňujú otázky požadované hlavnými rolami DG a pomáhajú včas dosiahnuť
architektúre alebo stratégii programu by nikdy nemali byť neobsadené alebo nepriradené.
Väčšina z týchto rolí nie je full-time rolou, ale vyžaduje aj ďalšiu zodpovednosť ľudí v iných organizačných rolách. Tento program a zodpovednosti z neho vyplývajúce by však pre nich nemali mať menšiu prioritu, čo by sa malo v prípade, že sa tak stane, považovať za porušenie povinností osoby.
5.1.4 Platforma
Riešenie problémov v DG si vyžaduje systematický prístup k definovaniu požadovaných výsledkov, mapovanie týchto výsledkov na súčasný stav spoločnosti a podporu používateľov a zároveň každodenné zlepšovanie úrovne pripravenosti Data Governance. V tomto procese hrá platforma rozhodujúcu úlohu, keďže bude hlavným nástrojom podporujúcim všetky zúčastnené strany. Ataccama ONE sa použije ako primárne riešenie pre Data Governance na:
1. Definovanie cieľov (definované výborom DG)
2. Dokumentáciu aktuálneho stavu (všetky subjekty príslušné DG)
3. Mapovanie cieľov do súčasného stavu (štandardy, spustiteľné a nevykonateľné)
4. Proaktívne presadzovanie DG (postupy, scenáre)
Všetky budúce rozšírenia súčasného stavu by mali byť namapované do jednej z týchto 4 kategórií uvedených vyššie a mali by sa prekonzultovať s expertom z Ataccama ONE, aby mohlo byť navrhnuté efektívne riešenie a konfigurácia Ataccama ONE mohla byť adekvátne upravená.
Definovanie cieľov
Defaultná konfigurácia Ataccama ONE obsahuje iba definíciu politík, ale môže byť jednoducho rozšírená tak, aby umožňovala správu cieľov, návodov/pokynov, obchodných pravidiel alebo všeobecných rozhodnutí výborom DG. Na základe súčasných zistení sa očakáva, že Ataccama ONE sa použije na definovanie:
1. Regulácie (napr. GDPR) - úložisko všetkých predpisov, ktoré musí Avast dodržiavať. Bude obsahovať právne predpisy a tiež regulačné požiadavky Londýnskej burzy cenných papierov. Regulácie budú zložené z viacerých politík, ktoré zabezpečia ich dodržiavanie
2. Certifikácie (napr. ISO 27001) - archív všetkých frameworkov a certifikácií, ktoré Avast chce dodržiavať. Certifikácie budú pozostávať z viacerých politík, ktoré umožnia dosiahnuť súlad
3. Politiky (napr. Postup klasifikácie a spracovania informácií) - predstavujú podrobne zamerané politiky na niektoré konkrétne problémy. Samotná politika je neštruktúrovaný dokument s podrobným popisom všetkých dotknutých častí, ale je obohatený aj o ďalšie informácie, ako napríklad vlastníctvo a hlavne vymáhanie.
