Skip to main content

Webinar su richiesta in arrivo…

Blog

Dota i team di governance dei dati degli strumenti necessari per l'applicazione delle policy

OneTrust presenta il suo approccio per fornire informazioni rapide garantendo allo stesso tempo la conformità

Blair Hutchinson
Principal Product Manager

Two businessmen chatting at a balcony railing

La missione di OneTrust è accelerare l'uso responsabile dei dati. Collaboriamo con aziende che desiderano espandere il proprio utilizzo di IA, analisi e condivisione dei dati, nel rispetto della privacy individuale e garantendo la conformità alle normative in continua evoluzione. Raggiungere questo equilibrio, massimizzando il valore dei dati e minimizzando i rischi, sta diventando sempre più difficile con l'aumento dei volumi di dati e la crescente complessità del panorama normativo. 

Tradizionalmente, la governance si è concentrata sulla documentazione e sui processi manuali. Stiamo cambiando questo paradigma introducendo l'applicazione programmatica delle policy per rendere la governance attuabile nel momento stesso in cui i dati vengono utilizzati. 

 

Perché la governance dei dati non funziona

La maggior parte delle organizzazioni ha investito molto nella catalogazione delle risorse, nella documentazione delle policy e nello sviluppo di quadri di governance. Tuttavia, questi investimenti spesso si traducono in una documentazione della governance piuttosto che un'applicazione. La discrepanza tra le policy documentate e l'utilizzo effettivo dei dati rappresenta un rischio significativo. 

I team che si occupano dei dati devono affrontare pressioni contrastanti: devono fornire rapidamente informazioni approfondite garantendo allo stesso tempo la conformità con una rete sempre più fitta di normative e policy interne. Quando la governance esiste principalmente come documentazione, scollegata dai flussi di lavoro dei dati, crea attriti che rallentano l'innovazione o incoraggiano soluzioni alternative. 

Ma quali sono le conseguenze di un approccio di questo genere? Le organizzazioni devono scegliere tra applicare la governance e rallentare l'innovazione, oppure accelerare l'utilizzo dei dati e accettare un aumento del rischio. Nessuna delle due opzioni è sostenibile. 

 

Le sfide affrontate dai team di governance dei dati

I professionisti della governance dei dati si trovano in una posizione impossibile. 

  1. Lacune nell'implementazione: le politiche definite dai consigli di governance raramente si traducono in controlli tecnici.
  2. Visibilità limitata: una volta concesso l'accesso ai dati, è difficile capire come vengono utilizzati. 
  3. Sfide di scalabilità: i processi di revisione manuale non riescono a stare al passo con l'utilizzo dei dati dell'IA. 
  4. Barriere tecniche: i team di governance non dispongono dei mezzi tecnici per applicare i controlli a livello di query e di trattamento.
  5. Attriti organizzativi: i team di governance sono visti come il ''dipartimento del no'', il che mina l'adozione della governance.

La cosa più preoccupante è che spesso i team di governance non hanno alcun modo pratico per applicare le loro policy nel momento in cui i dati vengono utilizzati. Possono documentare ciò che dovrebbe accadere, ma non dispongono dei mezzi tecnici per garantire un'applicazione coerente.

 

Responsabilizzare i professionisti della governance dei dati

L'applicazione delle policy colma il divario tra l'intento di governance e l'esecuzione operativa. Trasforma la documentazione statica in un'applicazione automatizzata e in tempo reale ovunque si acceda ai dati. L'approccio di OneTrust unifica più contesti, come quello aziendale, normativo, consenso e dati, consentendo ai team di prendere decisioni più rapidamente. Le policy possono essere gestite centralmente, unificando quelle relative a privacy, consenso e conformità all'interno di un'unica piattaforma che può essere applicata all'intero patrimonio di dati di un'organizzazione. Di seguito sono riportate alcune conseguenze di tutto ciò.

  • Applicazione automatizzata: le policy vengono tradotte in controlli tecnici che vengono applicati in base alle modifiche dei dati.
  • Semplicità di utilizzo per gli sviluppatori: l'applicazione avviene senza interrompere i flussi di lavoro esistenti. 
  • Applicazione definita dalla governance: i team di governance mantengono il controllo sulla creazione delle policy e l'automazione garantisce un'implementazione coerente. 
  • Governance ricca di contesto: l'applicazione sfrutta i contesti aziendali, normativi, di consenso e di dati per garantire precisione e conformità.

Per i professionisti della governance, ciò significa che le policy da loro definite vengono applicate automaticamente. Possono vedere come vengono applicate le policy e misurarne l'efficacia in tutta l'organizzazione. Ciò consente loro di concentrarsi sulla progettazione delle policy piuttosto che sulla loro applicazione manuale. L'applicazione delle policy trasforma la governance in un fattore abilitante per il business, consentendo alle organizzazioni di agire rapidamente senza compromettere la fiducia. 

 

Come funziona l'applicazione delle policy

Il prodotto OneTrust Data Policy Enforcement si integra direttamente con le moderne piattaforme di dati. Il motore di applicazione delle policy applica in modo programmatico controlli nativi a ciascuna piattaforma. Ad esempio, Snowflake utilizza le funzioni esterne e le policy di accesso alle righe di Snowflake, mentre Databricks si integra con il controllo degli accessi e gli ACL delle tabelle di Unity Catalog. 

 

Screenshot of the Data Governance violations summary page

Identificatori personali non mascherati trovati nel Riepilogo delle violazioni

 

In primo luogo, i dati devono essere classificati e i metadati resi disponibili in OneTrust. Se non l’hai già fatto, Scoperta e rilevamento dei dati di OneTrust fornisce una vasta libreria di classificatori per dati strutturati e non strutturati. I team di governance possono segnalare le violazioni nei casi in cui i dati sensibili non dispongono dei controlli tecnici necessari. 

 

Screenshot of the Data Governance create and apply policy action screen

Creazione e applicazione di una policy con regole definite dall'utente

 

Per applicare una policy, un utente definisce le regole in un linguaggio leggibile dagli esseri umani. Ad esempio, si potrebbe scrivere: ''Maschera questa colonna con ****** per tutti i gruppi di utenti eccetto HR_MANAGERS, SYSADMIN e ACCOUNTADMIN''. Queste policy vengono poi tradotte in controlli tecnici specifici per la piattaforma e applicate direttamente alle risorse di dati nel sistema. Ciò significa che gli individui e gli agenti che interrogano i dati hanno un accesso appropriato e dettagliato in base alla loro identità.

 

Screenshot of the Data Governance resolved violations screen

Riepilogo delle violazioni risolte

 

L'applicazione viene aggiunta al registro di controllo immutabile, consentendo ai team di governance dei dati di gestirne la definizione nel contesto della policy pertinente.

 

Esempio concreto: come sviluppare modelli di IA utilzzando i dati in modo responsabile

Immagina che un team di data science stia sviluppando un modello di previsione dell'abbandono dei clienti utilizzando dati sensibili provenienti da più fonti. Il team deve costruire un modello accurato rispettando il GDPR, la CCPA e le policy di etica dei dati dell'organizzazione. 

 

La sfida 

Questo modello di IA richiede i seguenti dati: 

  • dati demografici e personali dei clienti; 
  • cronologia delle transazioni con dettagli finanziari; 
  • interazioni con il servizio clienti, compresi i commenti testuali; 
  • dati comportamentali del sito web, compresi i flag di consenso per scopi di marketing. 

Senza l'applicazione delle policy, il team di governance dei dati deve affrontare numerose sfide: 

  • le revisioni manuali delle richieste di accesso ai dati creano colli di bottiglia che durano settimane; 
  • applicazione incoerente delle regole di mascheramento tra le diverse piattaforme di dati; 
  • incapacità di applicare le preferenze di consenso in tempo reale quando si accede ai dati; 
  • mancanza di un audit trail che colleghi l'utilizzo dei dati a specifici scopi di modellizzazione. 

 

In che modo l'applicazione delle policy può rivoluzionare le operazioni

Con OneTrust Data Policy Enforcement, il team di governance può definire policy che vengono applicate automaticamente ogni volta che si accede ai dati. 

  1. Filtraggio delle righe basato sul consenso: quando un data scientist effettua una query sui dati dei clienti, le righe vengono filtrate automaticamente in base allo stato del consenso.
  2. Mascheramento delle colonne: i dati personali sensibili vengono mascherati automaticamente in base al ruolo dell'utente e alla finalità dichiarata.
  3. Accesso basato sulla finalità: il team di governance imposta le policy in base alla finalità dichiarata di ''sviluppo di un modello di previsione del tasso di abbandono''.
  4. Coerenza tra piattaforme: le stesse policy si applicano in modo coerente, indipendentemente dal fatto che i dati risiedano in Snowflake, Databricks o siano accessibili tramite uno strumento di BI. 

Ciò consente al team di data science di iterare rapidamente sul proprio modello di IA, mantenendo la conformità con i complessi requisiti normativi. La governance diventa un fattore che aiuta l'innovazione piuttosto che un ostacolo. 

 


Altre risorse che potrebbero interessarti