GDPR (General Data Protection Regulation), personvernforordningen som trer i kraft i EU- og EØS-landene i mai 2018, stiller krav til enhver organisasjon om at den skal ha kontroll med personsensitive data. Ikke bare skal man ha tradisjonell sikkerhet (brannmurer etc. for å hindre «innbrudd» som kan avsløre slike data, men man skal også ha full kontroll på hvilke data som lagres hvor, og ikke bare i databaser, men også ustrukturerte data. Data i Word, PDF, Excel eller et hvilket som helst annet format er også omfattet! Den oversikten mangler hos de fleste i dag.
Identifisere informasjon
Et naturlig første steg mot å bli i samsvar med GDPR-reglene er derfor å indentifisere alle steder (internt og eksternt, f.eks. i skyløsninger) hvor virksomheten lagrer informasjon, for deretter å gjøre en overordnet kartlegging og analyse av omfang og hvilken type informasjon som finnes lagret. Og det gjelder ikke bare informasjon som er lagret som følge av de rutiner man har, men også informasjon som er mer eller mindre tilfeldig spredd rundt på SharePoint, filservere, i epost, etc.
Manag-E har satt sammen et lite antall tjenester for initiell innsamling og analyse av ustrukturerte data. Vi har valgt en trinnvis tilnærming, hvor formålet er å gi virksomheten innsikt i omfanget av datalagring, hva som lagres og i hvilken grad en er eksponert i forhold til eksterne krav og forordninger (f.eks. GDPR). Kanskje med unntak av de største virksomhetene i Skandinavia, mener vi at det er viktig å strukturere disse første «trinnene» på en slik måte at det får en akseptabel kostnad, varighet og kompleksitet.
Micro Focus ControlPoint
Basis for vårt forslag er Micro Focus ControlPoint produktet, en implementering av IDOL (Intelligent Data Operating Layer) plattformen for datainnsamling, strukturering, kategorisering og analyse. Denne teknologien kommer fra HPE sitt oppkjøp av Autonomy, og plattformen blir vurdert til å være en av de fremste i markedet, bl.a. av Gartner. I første omgang dekker vi følgende lagringsmetoder: Fileshare, SharePoint og MS Exchange data. Løsningen kan senere utvides til å omfatte de fleste vanlige lagringsstrukturer og dataformater (inkludert bilde, lyd og video), samt strukturerte data (databaser).
Våre tjenester
Manag-E kan levere følgende tjenester knyttet til analyse av ustrukturerte data:
- Remote Analysis Agent: Dette er den minst ressurskrevende tjenesten. En «agent» blir installert hos kunden. Denne gjør et uttrekk av metadata fra ett eller flere utvalgte filområder. Nøkkeldata som plassering, filnavn og eier av filen kan «maskeres» (obfuscate) før eksport til Manag-E, slik at det ikke blir med sensitive data. Manag-E vil analysere disse metadata som underlag for en rapport til kunde. I tillegg vil det bli gjennomført en workshop hvor en viser sentrale analysemuligheter i verktøyplattformen, samt anbefaler aktuelle neste steg i prosessen. En slik aktivitet vil typisk han en varighet i kalendertid på ca. 2 uker.
- Eksport av data for analyse: Hvis kunden tillater dette, vil vi kunne overføre et utvalg av filområder til Manag-E datasenter i kontrollerte former, hvor nødvendig server infrastruktur og ControlPoint programvare er installert. Her vil vi gjennomføre indeksering av filområdene på metadata nivå. En vil da få oversikt over struktur, kategorier og omfang (bl.a. omfanget av ROT (Redundant, Obsolete, Trivial), noe som gir informasjon for videre analyse, inkl. analyse av ustrukturerte data. Nest steg er indeksering av innhold basert på utvalgte parametere f.eks. knyttet til personsensitive data. En slik aktivitet kan typisk gjennomføres i løpet av 3 – 5 uker kalendertid, bl.a. avhengig av analysert datamengde og omfanget av innholdsanalysen.
- Installasjon av ControlPoint i kundens miljø: Analyseomfanget her kan være det samme som beskrevet over for eksporterte data. Siden det må etableres lokal infrastruktur hos kunde (en eller flere virtuelle servere), med tilhørende oppsett av tilganger til de utvalgte dataområdene, vil arbeidsomfanget øke noe. En slik aktivitet kan typisk gjennomføres i løpet av 4 – 8 uker kalendertid, igjen avhengig av datamengde for analyse og omfanget av innholdsanalyse. Men gor den beste analysen av ustrukturerte data, og gjør det mulig for kunden å beholed programvaren for permanent «overvåking» av ustrukturete data på angitte filområder.
Aktivitetene over vil vise om det er tilstrekkelig å gjennomføre en fullskala analyse som en engangsaktivitet, eller om det er nødvendig å etablere en mer permanent «Information Management and Governance» funksjon. I det siste tilfellet kan Control Point benyttes for å kategorisere lagret informasjon som grunnlag for å definere policybaserte regler for håndtering av de ulike informasjonstypene. Dette vi være et godt grunnlag for å oppnå en betydelig grad av automatisering av prosessen med å sikre «compliance» f.eks. i forhold til sentrale GDPR krav.
Information Management and Governance (IM & G) får stadig økt oppmerksomhet i flere virksomheter, og GDPR vil virke som en ekstra «trigger» for tiltak på dette området. Slike tiltak vil også kunne gi vesentlige bidrag både til operasjonell effektivitet og nye forretningsmuligheter. GDPR vil medføre et sterkt og fornyet fokus på kontroll av persondata, men vil samtidig kunne bidra med verdifull innsikt som gir grunnlag for å hente ut stor merverdi fra de samme dataene.
For mer informasjon om GDPR, Data Discovery og filanalyse, kontakt salg@managenordic.no.