metamorworks - stock.adobe.com
Datenmanagement: Gut klassifiziert ist halb sortiert
Mit dem Anstieg der Masse zu verarbeitender Daten steigt die Attraktivität von automatischem Datenmanagement. Dafür müssen Unternehmen erst Fragen zur Klassifizierung klären.
Das Gold des 21. Jahrhunderts ist zwar wertvoll, selten ist es aber nicht. Ganz gleich ob wir online einkaufen, unseren Standort freigeben oder Geld überweisen: Ständig produzieren wir unzählige Daten. Sie gewinnbringend zu nutzen, verlangt aber eine aufwendige Vorarbeit und einen enormen Kraftakt – insbesondere für große Organisationen.
Dort fallen im Zuge verschiedenster Prozesse riesige Datenmengen an, meist unstrukturiert auf dem SharePoint, File Servern oder in der Cloud. Doch in dem Maße, in welchem Daten fleißig bearbeitet, archiviert, vervielfältigt und versandt werden, sinkt die Transparenz bezüglich vorhandener Datenkategorien, der Informationsmenge oder deren Wertigkeit für das Geschäft stetig.
Mit der richtigen Klassifizierung Compliance-Vorgaben erfüllen
Damit Daten und Informationen gesammelt und verwertet werden können, müssen Verantwortliche zunächst die organisatorischen Voraussetzungen schaffen und für die Klassifikation dieser Daten sorgen. Eine Vorarbeit, die sich auszahlt, denn klassifizierte Daten erleichtern es beispielsweise der IT-Abteilung, Compliance-Vorgaben – die sich bereits je nach Region unterscheiden können – umzusetzen und kritische Informationen angemessen zu schützen. So können Unternehmen ihre Datensätze effizient nutzen, analysieren, Datenintegrität gewährleisten und Audits ohne größeren Aufwand bestehen.
Ordnung ist das halbe Leben
Doch wo fängt man dabei an? Das Zauberwort heißt Struktur: Wer sein Datenchaos ordnet und klassifiziert, schafft einen idealen Ausgangspunkt für künftige Automatisierungs- und Kontrollaktivitäten.
Nur so lassen sich Prozesse effizient steuern, automatisieren und bestmöglich nutzen. Wer seine Datenklassifizierung Tool-gestützt – zum Beispiel mit dem Support durch künstliche Intelligenz (KI) – vornimmt, kann eine große Mengen verschiedenartiger Informationen strukturieren.
Das gilt sowohl für Daten, die sensibel, schützenswert und archivierungsbedürftig sind, als auch für Informationen, die wenig oder sogar überhaupt nicht gebraucht werden und daher gelöscht werden können.
Nach welchen Kriterien lassen sich Daten klassifizieren?
Nicht nur die regulatorischen und gesetzlichen Anforderungen spielen bei der Datenklassifizierung eine übergeordnete Rolle. Genauso entscheidend sind die Kritikalität und Risikobetrachtungen für die Organisation, den Kunden und das Produkt, für welches diese Daten generiert werden. Unabhängig davon, welcher Branche ein Unternehmen angehört, helfen die folgenden Fragen, um den Einstieg in die Datenklassifizierung zu erleichtern:
- Welcher Personenkreis ist autorisiert, auf welche Daten lesend oder schreibend zugreifen?
- Welcher Personenkreis ist für die Daten verantwortlich, gibt es im Unternehmen die Rolle des Data Owner?
- Für welche Daten müssen Änderungen nachvollziehbar sein?
- Welche Daten müssen gesichert werden?
- Welche Daten müssen wie lange verfügbar bleiben oder gesichert werden? Ist beispielsweise eine Archivierung über 30 Jahre erforderlich?
- Welche Daten müssen nach einem bestimmten Zeitraum gelöscht werden, zum Beispiel nach maximal 60 Tagen?
- Welche Daten dürfen ausschließlich in einer bestimmten geografischen Region (wie Europa, Deutschland) gespeichert werden?
- Welche Daten werden für einen Geschäftsprozess erstellt und verarbeitet?
Außerdem sollten unternehmen klären, welche konkreten Daten und Datenkategorien von ihrem IT-System verwaltet werden. Handelt es sich zum Beispiel um Personendaten, Forschungsdaten oder Daten zu wirtschaftlichen Kennzahlen?
Auf Basis dieser Fragen und den damit gewonnenen Erkenntnissen lassen sich zum Beispiel Regeln definieren, die als Grundlage für Robotic Process Automation (RPA) eine automatisierte Datenmigration in die Zielstruktur ermöglichen. Denkbar wäre auch, maschinelles Lernen (Machine Learning) zu implementieren, das aus vorgegebenen Merkmalen und Mustern wiederum selbst Regeln ableitet.
„Das Zauberwort heißt Struktur: Wer sein Datenchaos ordnet und klassifiziert, schafft einen idealen Ausgangspunkt für künftige Automatisierungs- und Kontrollaktivitäten. Nur so lassen sich Prozesse effizient steuern, automatisieren und bestmöglich nutzen.“
Rebecca Faisst, Syncwork
Von der Datenklassifizierung zum Datenmanagement
Die Antworten auf die genannten Fragen liefern wichtige Ausgangspunkte für die zukünftige Datenmanagementstrategie. Welche Datensicherungs-, beziehungsweise Backup-Strategien nutze ich? Welche Berechtigungskonzepte (Autorisierung und Authentifizierung) werden benötigt? Und wie sieht die passende Systemarchitektur (Cloud- oder On-Premises-Lösung) aus? Darüber hinaus unterstützt und beeinflusst die Datenklassifizierung das Erarbeiten von Strategien für das Business-Continuity-Management (BCM), der Reproduzierbarkeit von Daten, der Archivierung und Dekomissionierung.
Ordnung schaffen – und halten
Richten Unternehmen die Voraussetzungen ein, um ihre Daten stetig zu prüfen, gegebenenfalls zu überarbeiten und neu zu klassifizieren, bewirken sie, dass Sicherheitsmaßnahmen dem Stand der Technik und dem aktuellen Risikoumfeld entsprechen, aber auch, dass sie Änderungen, zum Beispiel im Hinblick auf Wert und Sensibilität von Daten, schnell umsetzen können.
Es ist empfehlenswert, klassifizierte Datenbestände regelmäßig zu überprüfen, damit Altdatenbestände ohne Nutzen nicht kostspielig gespeichert und verwaltet werden müssen. Übrigens sollten auch Klassifizierungsrichtlinien und -verfahren immer wieder kontrolliert werden.
Fazit: Daten sind das Gold des 21. Jahrhunderts. Dieses Gold zu schürfen mag viel Kraft kosten. Doch es lohnt sich, ein eigenes, regulatorisch konformes Datenmanagement zu entwickeln und Prozesse effizient zu steuern.
Über die Autoren:
Die Autorinnen Rebecca Faisst, Management Consultant, und Dr. Yulia Zhukova, Consultant, sind als Expertinnen für Datenklassifizierung bei der Syncwork AG tätig.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.