Forum Technologii Bankowych | Wydanie Specjalne | Świadomość menedżerów to podstawa racjonalnego zarządzania danymi
Dane są dziś jednym z najcenniejszych zasobów każdej organizacji, zwłaszcza instytucji finansowych. Jakie są najistotniejsze wyzwania, związane z ich przetwarzaniem we współczesnym biznesie?
– Największym wyzwaniem, nie tylko dla sektora finansowego, jest wykreowanie świadomości menedżerów, jak doniosłe znaczenie dla funkcjonowania organizacji ma zarządzanie danymi. Na współczesnym rynku działa coraz więcej podmiotów, których model biznesowy opiera się na gromadzeniu i przetwarzaniu danych, one doskonale zdają sobie sprawę, jak ważne są to zasoby, tymczasem w tradycyjnym biznesie, również finansowym, świadomość w tym zakresie na najwyższych szczeblach zarządczych wciąż jest niewystarczająca. W konsekwencji nie zawsze jest zgoda na wyasygnowanie odpowiednich środków i zaangażowanie kapitału ludzkiego po to, żeby zacząć poprawnie zarządzać danymi w organizacji. Przypomnę, że nie w każdym przypadku jest też łatwo zbudować biznes case albo osiągnąć odpowiedni zwrot z inwestycji, który potwierdzi ekonomiczną zasadność całego przedsięwzięcia w dość krótkim czasie.
I tu poważnym wsparciem paradoksalnie mogą okazać się regulacje. Całkiem zasadne staje się pytanie, czy RODO jest przekleństwem, czy może raczej błogosławieństwem dla biznesu, jako że przepisy te wymuszają uporządkowanie wiedzy o danych osobowych, które mamy w systemach organizacji, jak nimi zarządzamy, kto do nich ma dostęp i w jaki sposób są one przetwarzane. Zasadniczo takie kompleksowe podejście powinno mieć zastosowanie do wszystkich danych, które mają jakiekolwiek znaczenie biznesowe w organizacji, zatem jeśli zaczniemy od danych osobowych, to zacznie się kształtować pewna dobra praktyka, którą później łatwo przenieść na inne obszary. Menedżerowie, jak i inni pracownicy, nabiorą przekonania, że pewne procesy i procedury trzeba zdefiniować w organizacji, żeby tymi danymi, przynajmniej osobowymi, zarządzić.
Obecnie coraz częściej mamy do czynienia z dyskusją, jak właściwie podejść do zarządzania danymi. Czy lepiej zacząć od globalnej definicji data governance w organizacji, od wytyczenia ogólnych celów, by następnie przekładać je na konkretne działania operacyjne. A może odwrotnie, zacząć od małych i prostych działań operacyjnych, które z różnych powodów są dzisiaj ważne i rozwiązują jakieś konkretne problemy, i na ich podstawie nadbudowywać pewną wizję i strategię dalekosiężną. Szczerze powiedziawszy, jestem zwolennikiem tej drugiej opcji. Oczywiście warto mieć kompleksową wizję, natomiast lepiej skupić się najpierw na konkretnych działaniach.
Wspomniał pan, że RODO może stanowić szansę na uporządkowanie zasobów instytucji finansowych. Jak do tego podchodzą osoby odpowiedzialne za data governance w organizacjach?
– W dyskusjach, które prowadziłem z data officerami w wielu firmach powracał jeden wątek. Oni nieoficjalnie cieszyli się z wprowadzenia unijnych przepisów, wskazując, że RODO dało im cenny argument w wewnętrznych dyskusjach z organami zarządczymi organizacji. Po wprowadzeniu w życie rozporządzenia znacznie łatwiej było przekonać decydentów, czemu właściwie data governance jest potrzebny i dlaczego należy go zacząć niezwłocznie wprowadzać. Tak jak wcześniej wspominałem, dyskusja na temat kosztów wprowadzenia zarządzania danymi dotychczas napotykała na silny opór w wielu podmiotach, które nie potrafiły przełożyć sobie data governance na potencjalne, albo nawet i konkretne korzyści, które mogą uzyskać dzięki przetwarzaniu uporządkowanych zbiorów danych osobowych. Regulacje znacząco ułatwiają tę dyskusję, jako że określony poziom uporządkowania zasobów musi być zapewniony niezależnie od faktycznie poniesionych kosztów.
Spotkać też można opinię, że wypełnienie wymogów RODO jest łatwiejsze dzięki zaawansowanym technologiom IT, jak sztuczna inteligencja czy deep learning. Czy sektor finansowy radzi sobie z tym zadaniem bez problemów?
– To zależy w znacznym stopniu od złożoności systemów, wykorzystywanych w poszczególnych organizacjach. Z pewnością w lepszej sytuacji są firmy, które powstawały stosunkowo niedawno i których biznes jest mocno zorientowany na przetwarzanie danych, takie jak fintechy. One od samego początku bardziej świadomie mogły projektować rozwiązania zgodne z tymi regulacjami. W bankach przyjęcie RODO na pewno stanowiło dużo większe wyzwanie, z uwagi na kilkadziesiąt lat różnorakich doświadczeń i rozwijania systemów. W konsekwencji tych wszystkich działań ilość miejsc, w których mogą się pojawić dane oraz sposobów ich przetwarzania jest na tyle duża, że ludzie bez wsparcia technologicznego nie są w stanie ogarnąć tak rozległych zasobów w rozsądnym czasie. W końcu muszą pojawić się narzędzia, które wspierają czy to wyszukiwanie danych, czy też profilowanie, rozumiane jako lepsze zrozumienie tych danych oraz ich wyszukanie, skatalogowanie i wykrycie przepływów danych osobowych pomiędzy systemami. Oczywiście, czynnik ludzki nadal pozostanie potrzebny, żeby opisać usługi biznesowe, które wykorzystują dane osobowe, wskazać właścicieli poszczególnych usług czy systemów, czyli de facto koniec końców zbudować i opisać całą architekturę informacyjną w kontekście przetwarzania danych.
Mówiąc o data governance w dzisiejszym świecie trudno pominąć kwestię chmury. Co oznacza migracja do clouda z punktu widzenia przetwarzania i ochrony danych?
– Tutaj również daje się zauważyć sprzężenie zwrotne pomiędzy otoczeniem regulacyjnym a jakością oferowanych rozwiązań. Te usługi i systemy chmurowe, które powstały już w nowych uwarunkowaniach skuteczniej wspierają zarządzanie danymi. Z drugiej strony, pojawia się nowe wyzwanie, jako że dane nie są już przechowywane tylko w jednej lokalizacji wewnątrz organizacji, ale wypływają poza firmę. W przypadku podmiotów działających na rynkach zachodnioeuropejskich bardzo rzadko mamy do czynienia z jedną aplikacją w chmurze czy nawet jedną konkretną chmurą, najczęściej spotykana jest strategia multicloud, która powoduje, że mamy wielu dostawców usług chmurowych, wiele systemów i wiele aplikacji, w których dane klientów czy kluczowe dane biznesowe zaczynają się pojawiać. Musimy być świadomi, w których systemach i dlaczego te dane się pojawiają. Z drugiej strony dzisiaj nie jest problemem skorzystanie z kolejnej chmury, dokupienie kolejnej usługi, skonfigurowanie sobie aplikacji i włożenie tam naszych danych. Najistotniejszym zadaniem jest kontrolowanie tego, gdzie nasze dane biznesowe zaczynają trafiać. Biznes, jeśli nie może znaleźć rozwiązania wewnątrz organizacji, a potrzebuje przetworzyć dane, w sposób naturalny potrzebuje jakiejś chmury, która oferuje bardzo szybką konfigurację rozwiązania, wprowadzenia tam danych i ich przetwarzania. Ale potrzebna jest ta świadomość w kontekście data governance: czy te dane możemy tam przenieść, w jakim reżimie możemy je przenieść, a jeżeli je przeniesiemy, to jakie tam dane się znajdują, na jak długo i czy możemy je nadal przetwarzać.
Czy data governance może być istotnym wsparciem w obsłudze współczesnego, coraz bardziej roszczeniowego, klienta, który najchętniej chciałby uzyskać wszystko natychmiast i na jeden klik?
– Tutaj dochodzimy do pewnego konfliktu. Z jednej strony RODO wyraźnie wskazuje, że trzeba każdorazowo uzyskać zgodę klienta na konkretny rodzaj przetwarzania jego danych, z drugiej strony pojawiają się nowe szanse biznesowe stwarzane przez możliwości systemów, które dzisiaj są wykorzystywane w firmach, w szczególności coraz popularniejsze algorytmy sztucznej inteligencji. Należy jednak pamiętać, iż kluczowe znaczenie ma w dalszym ciągu dostęp do danych. Nie wystarczy mieć klientów i dobry algorytm, trzeba jeszcze dysponować danymi, które pozwolą temu algorytmowi przetworzyć informacje o kliencie, odpowiednio go poznać, w jakimś stopniu przypisać do konkretnego wzorca zachowań, by następnie móc reagować proaktywnie na jego zachowania. I tutaj znowu pojawia się data governance, który pozwala dobrze zarządzić wiedzą na temat posiadanych danych o klientach, w jakich systemach i w kontekście jakich działań zostały one zebrane. Jeżeli to mamy dobrze poukładane, to nie jest dla nas dużym wyzwaniem, żeby te wiedzę zgromadzić w jednym miejscu i udostępnić zaawansowanym algorytmom.
Regulacyjny przewrót w bankowości to z jednej strony RODO, z drugiej PSD2. W jakim stopniu ten drugi akt prawny wpływa na data governance?
– Z punktu widzenia konkretnej organizacji PSD2 nie przyniesie istotnych zmian. Oczywiście, data governance ułatwi nam podjęcie decyzji, które dane i w jakim zakresie możemy albo powinniśmy udostępnić, by zrealizować usługi przewidziane przez nowe przepisy. Myślę, że kluczowe znaczenie będzie mieć zaufanie do organizacji, które zaczynają wymieniać się między sobą informacjami o kliencie. Z jednej strony chciałbym, żeby mój bank był postrzegany jako bezpieczna organizacja, która dba o moje dane, nie wypuszczał ich zbyt łatwo, z drugiej strony oczywiście chciałbym skorzystać z usługi, która pozwoli wykorzystać informacje o moich transakcjach finansowych. Innymi słowy, chciałbym móc przekazać pewne informacje do fintechu, który może mi coś ciekawego zaproponować, ale pod tym warunkiem, że fintech jest też świadomą organizacją, że potrafi zarządzać danymi i ich bezpieczeństwem i sposobem wykorzystania tych danych, które mu udostępnię. Wydaje się, że PSD2 tylko otwiera kanały komunikacyjne, niemniej bardzo ważne będzie, żeby każda z tych organizacji, które będą wpięte w łańcuch wymiany informacji, potrafiła się w pewien sposób certyfikować, że potrafi dobrze zarządzać danymi i ich bezpieczeństwem.