การกำกับดูแลข้อมูลคืออะไร และเหตุใดจึงสำคัญต่อธุรกิจของคุณ

ลองนึกภาพว่าคุณจะทำอะไรได้บ้างถ้าคุณไม่ต้องทำตามกฎและข้อบังคับมากมายในการจัดการข้อมูลธุรกิจของคุณ พนักงานสามารถเข้าถึงข้อมูลได้จากทุกที่ พวกเขาสามารถแบ่งปันข้อมูลลูกค้าระหว่างทีมในลักษณะใดก็ได้ที่ทำให้งานเสร็จเร็วที่สุด ทีมเทคโนโลยีของคุณสามารถมุ่งเน้นไปที่โครงการที่สำคัญโดยไม่ต้องกังวลเกี่ยวกับการสำรองข้อมูล

แต่อันตรายแฝงตัวอยู่ และการไม่ปฏิบัติตามกฎข้อบังคับด้านข้อมูลจะทำให้ธุรกิจของคุณถูกเปิดเผยและเสี่ยงต่อการถูกโจมตีทางอินเทอร์เน็ต ธุรกิจขนาดเล็กมีความเสี่ยงต่ออาชญากรรมทางไซเบอร์โดยเฉพาะอย่างยิ่ง: 43% ของการโจมตีทางไซเบอร์ มุ่งเป้าไปที่ธุรกิจขนาดเล็ก และ 60% ของผู้ที่ตกเป็นเหยื่อของการโจมตีดังกล่าวเลิกกิจการ

ในฐานะผู้นำธุรกิจ คุณมีหน้าที่ปกป้องพนักงาน ลูกค้า และธุรกิจของคุณ

ในการทำเช่นนี้ คุณต้องก้าวขึ้นเกมการจัดการข้อมูลของคุณ

การกำกับดูแลข้อมูลคืออะไร?

การกำกับดูแลข้อมูลเป็นความคิดริเริ่มที่บริษัทใช้เพื่อสร้างและบังคับใช้ชุดกฎและนโยบายที่เกี่ยวข้องกับข้อมูล นโยบายเหล่านี้ครอบคลุมประเด็นต่างๆ เช่น:

• การกำหนดความรับผิดชอบให้กับพนักงานที่รับผิดชอบทรัพย์สินข้อมูล
• ให้หรือจำกัดการเข้าถึงข้อมูลตามความจำเป็น
• การรักษาข้อมูลในลักษณะที่รับรองความถูกต้องและสม่ำเสมอ
• การจัดเก็บข้อมูลของคุณอย่างปลอดภัย
• สำรองข้อมูลของคุณอย่างถูกต้อง
• การปกป้องข้อมูลของคุณจากภัยคุกคามภายในและภายนอก

สิ่งใดก็ตามที่เกี่ยวข้องกับข้อมูลของบริษัทคุณ เช่น ใครเห็น ใครสามารถเข้าถึง และจากที่ใด รวมถึงวิธีการป้องกัน ก็คือการกำกับดูแลข้อมูล

หากคุณต้องการข้อมูลที่มีคุณภาพซึ่งได้รับการปกป้องจากอาชญากรไซเบอร์และใช้งานตามกฎหมายว่าด้วยการแบ่งปันข้อมูล คุณควรให้ความสำคัญกับการกำกับดูแลข้อมูลเป็นอันดับแรก

และประโยชน์ของการกำกับดูแลข้อมูลไม่ได้หยุดอยู่แค่การรักษาความปลอดภัยของข้อมูล การกำกับดูแลข้อมูลสามารถช่วยในเรื่องต่อไปนี้

• การป้องกันข้อมูลไซโล ทำให้เข้าถึงข้อมูลได้อย่างปลอดภัยทั่วทั้งแผนก
• ให้ข้อมูลที่ถูกต้องและสม่ำเสมอผ่านการตรวจสอบและบำรุงรักษาข้อมูลอย่างต่อเนื่อง
• ตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามกฎหมายที่ควบคุมข้อมูล เช่น Sarbanes-Oxley Act หรือ HIPAA

การกำกับดูแลข้อมูลที่ดีนั้นสมเหตุสมผล และในบางรัฐ มันคือกฎหมาย

แต่การนำนโยบายการกำกับดูแลการจัดการข้อมูลไปปฏิบัติต้องเป็นความพยายามทั่วทั้งบริษัท พนักงานของคุณเข้าถึงและใช้ข้อมูลทุกวัน ดังนั้นงานของพวกเขาจะได้รับผลกระทบจากนโยบายใหม่ที่คุณดำเนินการ และเมื่อพูดถึงความปลอดภัยของข้อมูล นโยบายการกำกับดูแลข้อมูลของคุณจะมีผลก็ต่อเมื่อ ทุกคน ปฏิบัติตาม มีเพียงคนเดียวและความผิดพลาดเพียงครั้งเดียวในการให้แฮ็กเกอร์เข้าถึงข้อมูลธุรกิจของคุณ

แต่เนื่องจาก “ข้อมูล” สามารถอ้างถึงสิ่งต่าง ๆ มากมาย คุณจะนึกถึงกฎทั้งหมดที่เกี่ยวข้องกับการใช้ข้อมูลและการปกป้องได้อย่างไร ต่อไปนี้เป็นวิธีคิดเกี่ยวกับการกำกับดูแลข้อมูล

วิธีการใช้กลยุทธ์การกำกับดูแลข้อมูลใหม่หรือที่อัปเดต

หากการนำกลยุทธ์การกำกับดูแลข้อมูลไปใช้ดูเหมือนยุ่งยาก นั่นก็เพราะว่าเป็นเช่นนั้น

มันเกี่ยวข้องกับการวางแผน การเปลี่ยนแปลงนิสัย และวิธีแก้ปัญหาที่น่ารำคาญมากมาย เพื่อรักษาความปลอดภัยของข้อมูล และหากคุณตัดสินใจที่จะใช้การกำกับดูแลข้อมูลอย่างจริงจัง จะต้องใช้เวลาและการลองผิดลองถูกอย่างมากเพื่อให้นโยบายถูกต้อง แต่การจัดการกับการละเมิดข้อมูลหรือแย่กว่านั้นจะเป็นเรื่องใหญ่และยุ่งยากมากขึ้น และชื่อเสียงของธุรกิจของคุณอาจไม่มีวันฟื้นคืนกลับมา

ต่อไปนี้คือสิ่งที่คุณควรคำนึงถึงสี่ประการเมื่อคุณใช้หรืออัปเดตนโยบายการจัดการข้อมูล

รู้ว่าเหตุใดคุณจึงสร้างนโยบายข้อมูลใหม่ บางทีคุณอาจพบช่องโหว่ในการรักษาความปลอดภัยข้อมูลของบริษัทของคุณ หรือโครงสร้างธุรกิจของคุณมีการเปลี่ยนแปลง—เช่น พนักงานจำนวนมากขึ้นที่ทำงานจากระยะไกล

เหตุผลเหล่านี้จะช่วยแนะนำคุณไปสู่นโยบายที่จัดการข้อกังวลและเป้าหมายของคุณในการจัดการข้อมูลโดยตรง

ผู้มีส่วนได้ส่วนเสียได้แก่ พนักงาน ลูกค้า นักลงทุน และอื่นๆ ของคุณ สื่อสารการเปลี่ยนแปลงในการจัดการข้อมูลก่อนที่คุณจะนำไปใช้ มีความโปร่งใสเกี่ยวกับวิธีการที่คุณพยายามบรรเทาการหยุดชะงัก แต่การเปลี่ยนแปลงเหล่านี้มีแนวโน้มที่จะส่งผลกระทบ บอกวิธีการและสิ่งที่พวกเขาอาจต้องทำแตกต่างออกไป

ให้ช่องทางการสื่อสารแก่ผู้มีส่วนได้ส่วนเสียเพื่อให้สามารถรายงานข้อบกพร่อง ความท้าทาย หรือปัญหาที่อาจเกิดขึ้นหลังจากที่คุณกำหนดนโยบายการกำกับดูแลข้อมูลใหม่ที่กำลังดำเนินการอยู่

การหาคนที่เหมาะสมเข้ามามีส่วนร่วมมีความสำคัญต่อแผนการกำกับดูแลข้อมูลที่ประสบความสำเร็จ

กลยุทธ์การกำกับดูแลข้อมูลที่แข็งแกร่งประกอบด้วยความเป็นผู้นำหลายระดับ ในระดับผู้บริหาร คุณมีผู้นำและผู้จัดการอาวุโส ในระดับกลยุทธ์ คุณมี Data Governance Council (DGC) ซึ่งประกอบด้วยบุคคล 1-2 คนจากแต่ละหน่วยหรือแผนก ในระดับยุทธวิธี คุณมี Data Domain Stewards และผู้ประสานงาน Data Steward ในระดับปฏิบัติการ คุณมี Data Stewards ซึ่งเป็นพนักงานของคุณที่ใช้ข้อมูลสำหรับงานประจำวันหรือโครงการ เรามาดูบทบาทต่างๆ กันเพื่อทำความเข้าใจว่าแต่ละตำแหน่งมีหน้าที่อะไรบ้าง

ผู้บริหาร C-suite

บทบาทของพวกเขา : ผู้บริหารระดับสูงของคุณมีหน้าที่รับผิดชอบในการบังคับใช้นโยบายใหม่จากบนลงล่าง และอธิบายผลกระทบของนโยบายใหม่ที่มีต่อรูปแบบธุรกิจในวงกว้างของคุณต่อผู้มีส่วนได้ส่วนเสียของบริษัทของคุณ

ผู้ที่อยู่ในชุด C จะรับผิดชอบส่วนต่างๆ ในองค์กรของคุณ หากคุณเป็นส่วนหนึ่งของบริษัทขนาดเล็ก คุณอาจได้เลือกบริษัทบางส่วนแล้วเพื่อทำหน้าที่ในสภากำกับดูแลข้อมูลของคุณ แต่ผู้บริหารจากองค์กรขนาดใหญ่อาจมอบหมายบทบาทนั้นให้กับผู้จัดการอาวุโสหรือรองประธาน

โดยไม่คำนึงถึง ชุดสูทจำเป็นต้องรู้ว่าเกิดอะไรขึ้นกับข้อมูลของบริษัท โดยเฉพาะอย่างยิ่งเมื่อเกี่ยวข้องกับสุขภาพโดยรวมของธุรกิจ

การกำกับดูแลข้อมูลส่งผลต่อพวกเขาอย่างไร : ผู้บริหารจะต้องปฏิบัติตามกฎเดียวกันกับทุกๆ คนเมื่อพูดถึงข้อมูล แม้ว่าพวกเขาจะมีสิทธิ์เข้าถึงในระดับที่สูงกว่าพนักงานส่วนใหญ่ก็ตาม

พวกเขายังต้องการความเข้าใจที่ดีขึ้นเกี่ยวกับการกำกับดูแลข้อมูล โดยทั่วไป โดยได้รับการอัปเดตจาก DGC เป็นประจำ เพราะเมื่อเกิดปัญหาใหญ่ เช่น การรั่วไหลของข้อมูลหรือการโจมตีทางไซเบอร์ ผู้ที่อยู่ด้านบนสุดจำเป็นต้องรู้ว่าหน้าที่ของตนคืออะไรในการแก้ไขปัญหาและช่วยนำบริษัทกลับมาสู่เส้นทางเดิม เพราะรูปแบบการจัดการและความรู้สึกทางธุรกิจของพวกเขาส่วนใหญ่จะถูกโจมตีเมื่อลูกค้าของคุณต้องการคำตอบ

สภากำกับดูแลข้อมูล

บทบาทของพวกเขา : คณะกรรมการกำกับดูแลข้อมูล (DGC) มีหน้าที่รับผิดชอบในการตัดสินใจระดับสูงเกี่ยวกับข้อมูล นี่คือเนื้อหาที่จะสร้างนโยบายเกี่ยวกับข้อมูลของคุณอย่างแท้จริง

สภาของคุณควรเป็นแบบข้ามสายงาน กล่าวคือ ควรรวมพนักงานจากส่วนต่างๆ ในบริษัทของคุณ เพื่อให้แน่ใจว่าทุกคนที่ใช้ข้อมูลจะถูกแสดง คุณไม่ต้องการให้สภาของคุณสร้างนโยบายที่ป้องกันไม่ให้ทีมใดทีมหนึ่งดำเนินธุรกิจอย่างมีประสิทธิภาพ

ตัวอย่างเช่น ทีมขายของคุณอาจเข้าถึงข้อมูลลูกค้าที่ละเอียดอ่อนทุกวัน ควรมีใครสักคนจากทีมขายเข้ามาเกี่ยวข้องเมื่อมีการอภิปรายนโยบายใหม่เกี่ยวกับการเข้าถึงข้อมูล หากคุณยกเว้นแผนกต่างๆ คุณจะปล่อยให้พื้นที่ของธุรกิจของคุณอ่อนแอ กลยุทธ์การกำกับดูแลข้อมูลจะใช้ได้ก็ต่อเมื่อครอบคลุมฐานทั้งหมดของคุณ

และโดยเฉพาะอย่างยิ่ง ทีมไอทีของคุณควรเป็นตัวแทนในสภา เนื่องจากพวกเขาจะรับผิดชอบในการจัดเก็บ ทำซ้ำ และรักษาความปลอดภัยข้อมูลของคุณเป็นส่วนใหญ่

การกำกับดูแลข้อมูลส่งผลต่อพวกเขาอย่างไร : เนื่องจากคุณไม่ได้ว่าจ้างสมาชิกสภาชุดใหม่ทั้งหมด ผลกระทบที่ใหญ่ที่สุดของการกำกับดูแลข้อมูลสำหรับ DGC ของคุณจะเป็นงานเพิ่มเติมที่เกี่ยวข้องกับนโยบายข้อมูลและข้อมูล หากมีบางอย่างผิดพลาด สภาจะต้องเข้ามาตรวจสอบปัญหาและเสนอแนวทางแก้ไข

ผู้จัดการทีมและหัวหน้าทีม

บทบาทของพวกเขา: การสื่อสารสองทางระหว่าง DGC และพนักงานที่เหลือในบริษัทของคุณเป็นสิ่งจำเป็น การบังคับใช้นโยบายใหม่ในระดับทีมก็มีความจำเป็นเช่นกัน

ผู้จัดการจำเป็นต้องรู้ว่านโยบายการกำกับดูแลข้อมูลเกี่ยวข้องกับทีมของตนอย่างไรโดยเฉพาะ และพวกเขาจำเป็นต้องสามารถสื่อสารกับสภากำกับดูแลข้อมูลได้เมื่อนโยบายบางอย่างทำให้งานของทีมยากขึ้น

ตัวอย่างเช่น สมมติว่า DGC ของคุณตัดสินใจว่าพนักงานของคุณสามารถเข้าถึงข้อมูลลูกค้าบางอย่างผ่านเครือข่ายส่วนตัวเสมือนขององค์กร (VPN) ของคุณเท่านั้น พนักงานลงชื่อเข้าใช้ VPN เมื่อเข้าสู่ระบบคอมพิวเตอร์ของบริษัท แต่ตัวแทนฝ่ายขายของคุณมักจะทำงานจากที่บ้านและใช้อุปกรณ์ของตนเองเพื่อปิดและอัปเดตข้อเสนอ

ผู้จัดการฝ่ายขายและสภากำกับดูแลข้อมูลจำเป็นต้องหาวิธีแก้ไขเพื่อไม่ให้ข้อมูลลูกค้าถูกบุกรุก แต่ทีมขายยังคงทำงานได้อย่างมีประสิทธิภาพ

การกำกับดูแลข้อมูลส่งผลต่อพวกเขาอย่างไร: ผู้จัดการมักจะเป็นจุดติดต่อแรกหากสมาชิกในทีมร้องขอการเปลี่ยนแปลงนโยบายข้อมูลหรือละเมิดนโยบาย พวกเขาจำเป็นต้องเรียนรู้วิธีสื่อสารความต้องการของทีมเกี่ยวกับข้อมูลอย่างมีประสิทธิภาพ เพื่อถ่ายทอดความต้องการเหล่านั้นไปยัง DGC

พนักงานที่เข้าถึงหรือใช้ข้อมูล

บทบาทของพวกเขา : พนักงานที่เข้าถึงหรือใช้ข้อมูล ซึ่งมีแนวโน้มว่าจะเป็นคนส่วนใหญ่ จำเป็นต้องปฏิบัติตามนโยบายใหม่อย่างจริงจังและพูดออกมาเมื่อนโยบายทำให้งานของพวกเขายากขึ้นอย่างมาก

เช่นเดียวกับผู้จัดการ ผู้ที่ใช้หรือเข้าถึงข้อมูลจำเป็นต้องมีความสามารถในการสื่อสารความต้องการของตน

ย้อนกลับไปที่ตัวอย่างก่อนหน้าของทีมขายของเรา มีแนวโน้มว่าตัวแทนฝ่ายขายจะแจ้งว่าไม่สามารถเข้าถึงข้อมูลลูกค้าไปยังผู้จัดการฝ่ายขายของตนได้

พนักงานระดับล่างจำนวนมากจัดการข้อมูลในแต่ละวัน ด้วยเหตุนี้ พวกเขาจึงมีความคิดที่ดีที่สุดว่าต้องการเข้าถึงข้อมูลใด และต้องใช้ข้อมูลดังกล่าวอย่างไร

โดยเฉพาะอย่างยิ่ง ทีมเทคโนโลยีของคุณควรรู้สึกมีพลังที่จะพูดออกมา หากมีข้อผิดพลาดขณะสำรองข้อมูลหรือหากสังเกตเห็นกิจกรรมที่น่าสงสัยในเครือข่ายของคุณ พวกเขาจะเป็นคนแรกที่รู้

การกำกับดูแลข้อมูลส่งผลต่อพวกเขาอย่างไร: นโยบายที่สภากำกับดูแลข้อมูลใช้มีผลโดยตรงต่อพนักงานจำนวนมาก โดยเฉพาะอย่างยิ่งหากพวกเขาเปลี่ยนวิธีการทำงาน ความต้องการของพนักงานควรมีความสำคัญสูงสุดของ DGC หลังจากการรักษาความปลอดภัยข้อมูล

ควรมีการสื่อสารที่สอดคล้องกันระหว่าง DGC ของคุณกับส่วนที่เหลือของธุรกิจ พนักงานควรตระหนักถึงนโยบายใหม่และเข้าใจเหตุผลเบื้องหลัง ตัวอย่างเช่น นโยบายใหม่ข้อหนึ่งอาจเป็นได้ว่าพนักงานไม่สามารถใช้อุปกรณ์ส่วนตัวสำหรับงานที่เกี่ยวข้องกับงานได้อีกต่อไป สิ่งนี้อาจทำให้เกิดความไม่สะดวก แต่การสื่อสาร "เหตุผล" จะช่วยให้พนักงานเข้าใจว่าการไม่ใช้อุปกรณ์ที่เกี่ยวข้องกับงานอีกต่อไปจะรักษาข้อมูลบริษัท (และอุปกรณ์ของพวกเขาให้ปลอดภัย)

ซอฟต์แวร์สามารถช่วยได้อย่างไร

กลยุทธ์การกำกับดูแลข้อมูลที่แข็งแกร่งตระหนักถึงความเสี่ยง: โดยเฉพาะอย่างยิ่งการโจมตีของแรนซัมแวร์กำลังเพิ่มขึ้น อาชญากรรมไซเบอร์ประเภทนี้กำหนดเป้าหมายไปที่ข้อมูลบริษัทของคุณโดยเฉพาะ และเมื่ออาชญากรไซเบอร์มีข้อมูลดังกล่าวแล้ว พวกเขาจะทำลายหรือลบทิ้งหากคุณไม่จ่ายเงินจำนวนหนึ่งให้กับพวกเขา

ค่าไถ่โดยเฉลี่ยอาจทำให้บริษัทของคุณเสียค่าใช้จ่ายประมาณ 2,500 เหรียญสหรัฐ ไม่ต้องพูดถึงต้นทุนของระบบรักษาความปลอดภัยใหม่

กลยุทธ์การกำกับดูแลข้อมูลที่แข็งแกร่งยังตระหนักถึงเครื่องมือที่มีอยู่เพื่อลดความเสี่ยงเหล่านี้

เครื่องมือต่างๆ เช่น ซอฟต์แวร์การกำกับดูแลข้อมูลสามารถช่วยให้ธุรกิจของคุณจัดการ แสดงภาพ และปกป้องข้อมูลได้ เนื่องจากกฎหมายความเป็นส่วนตัวของสหรัฐฯ จำนวนมากยึดตาม GDPR แพลตฟอร์มซอฟต์แวร์ที่สอดคล้องกับ GDPR จึงเป็นเครื่องมือที่มีประโยชน์สำหรับการรับรองการปฏิบัติตามกฎระเบียบ

เครื่องมืออื่นๆ เช่น ซอฟต์แวร์ VPN สามารถมีบทบาทในการปกป้องข้อมูลของบริษัทของคุณด้วยการปกป้องอุปกรณ์ของบริษัทของคุณ