[Transcrição do webcast] Operacionalizando o mapeamento de dados: de práticas e protocolos a processos comprovados

en flag
fr flag
de flag
pt flag
ru flag
es flag

Nota do Editor: Em 23 de junho de 2021, a HayStackID compartilhou um webcast educacional projetado para informar e atualizar profissionais legais e de descoberta de dados sobre como considerar e operacionalizar processos de mapeamento de dados utilizados no planejamento, preparação e migração de conjuntos de dados complexos que consistem em alto risco, sensíveis, e dados de baixo risco que exigem gerenciamento e migração.

Embora a apresentação gravada completa esteja disponível para visualização sob demanda, é fornecida para sua conveniência uma transcrição da apresentação, bem como uma cópia (PDF) dos slides da apresentação.

[Transcrição do webcast] Operacionalizando o mapeamento de dados: de práticas e protocolos a processos comprovados

Os complexos desafios de governança de informações exigem uma abordagem abrangente e completa para entender o perfil de dados de uma organização por meio das lentes de conformidade, privacidade e litígio. O mapeamento de dados é um componente crítico desse entendimento. As práticas, protocolos e processos em torno desse componente vital podem fazer a diferença entre o conforto ou a preocupação de uma organização em relação ao seu perfil de dados.

Nesta apresentação, especialistas do setor compartilharam como considerar e operacionalizar processos de mapeamento de dados utilizados no planejamento, preparação e migração de conjuntos de dados complexos que consistem em dados de alto risco, confidenciais e de baixo risco que exigem gerenciamento e migração.

Destaques do webcast

+ A importância do mapeamento de dados

+ Estratégia para táticas: Considerações sobre mapeamento de dados

+ Documentação e mapeamento de dados: uma chave para o sucesso

+ Trabalhando no fluxo de trabalho: dos protocolos aos processos

+ Tecnologia importa: ferramentas e técnicas

+ Superando desafios: Conformidade, privacidade e litígio

+ Relatórios: De DSars à descoberta

Apresentando especialistas

+ Jonathan Flood — O Sr. Flood é o Diretor da EU Discovery Ops da HayStackID. Jonathan é um líder de pensamento que trabalhou com escritórios de advocacia de primeira linha na Irlanda, além de fornecedores, instituições financeiras, agências governamentais e órgãos reguladores.

+ Justine Sim - A Sra. Sim é analista de tecnologia da informação da John Deere.

+ Jennifer Hamilton, JD — A Sra. Hamilton é a Vice-GC para Global Discovery and Privacy na HayStackID. Jenny é a ex-chefe da Equipe Global de Evidências da John Deere.

+ Michael Amaral - Como Diretor de Global Client Advisory, o Sr. Amaral lidera o grupo de Tecnologia de Gerenciamento de Privacidade da HayStackID. O Sr. Amaral é um tecnólogo com mais de 20 anos de experiência ajudando empresas a resolver problemas complexos de dados em questões de conformidade, governança, privacidade e litígio.

Transcrição da apresentação

Introdução

Olá, e espero que você esteja tendo uma ótima semana. Meu nome é Rob Robinson, e em nome de toda a equipe da HayStackID, gostaria de agradecer por participar da apresentação e discussão de hoje intituladas Operacionalização do Mapeamento de Dados de Práticas e Protocolos a Processos Comprovados.

O webcast de hoje faz parte dos esforços educacionais mensais da HayStackID realizados na rede BrightTalk e projetado para garantir que os ouvintes estejam proativamente preparados para alcançar seus objetivos de segurança cibernética, forense informática, eDiscovery e revisão legal. Nossos apresentadores especializados para o webcast de hoje incluem três dos principais especialistas no assunto do setor em privacidade e governança em eDiscovery.

Nossa primeira especialista é Jennifer Hamilton. Jenny é a Conselheira Geral Adjunta de Descoberta Global e Privacidade da HayStackID, uma veterana do setor que é muito ativa em associações e grupos consultivos em todo o setor. Jenny também é a ex-chefe da equipe Global Evidence da John Deere. Nossa segunda especialista é Justine Sim, e Justine é analista de tecnologia da informação da John Deere e ela tem uma vasta experiência em expertise operacional em áreas que vão desde mapeamento de dados até respostas DSAR. Por último, mas certamente não menos importante, nosso especialista final é Mike Amaral. E como Diretor de Inovação Tecnológica da HayStackID, ele é um tecnólogo com mais de 20 anos de experiência ajudando as empresas a resolver problemas complexos de dados e conformidade, e assuntos de governança, privacidade e litígio. E também, embora não possa comparecer hoje com base na chegada iminente de uma nova família, também gostaria de reconhecer Jonathan Flood. Jonathan é diretor de eDiscovery Ops da HayStackID e ele foi parte integrante do planejamento e preparação para o webcast de hoje.

Bem-vindo, Jenny, Mike e Justine.

Apresentação principal

Jennifer Hamilton

Obrigado, Rob. Eu realmente aprecio essa introdução fantástica, e estamos muito animados em falar com vocês hoje sobre operacionalizar o mapeamento de dados e aqui está a agenda. Vamos falar sobre a importância do mapeamento de dados, os principais desafios, nossa estratégia de inventário de mapeamento, o processo de fluxo de trabalho, nossa sempre favorita, limpeza e migração de dados e, por último, mas não menos importante, documentação e relatórios.

Então, a questão é: o que é mapeamento de dados? Como qualquer área de assunto específica no mundo da privacidade, eDiscovery, cibernética, litígio, precisamos começar com a configuração da tabela para que possamos fazer uma linha em torno de uma compreensão comum do mapeamento de dados ou fazer um inventário de dados. O que isso significa?

Então, eu vou chutá-lo para Mike Amaral para dar suas opiniões sobre o que é um mapa de dados, na sua experiência, Mike.

Michael Amaral

Jenny, obrigado, e o que é um mapa de dados? Acho que isso depende de quem você pergunta e qual é o objetivo deles. E à medida que passamos pela apresentação, falaremos sobre algumas dessas coisas. Mas realmente, o que é, é... e a pergunta que sempre faço é como sabemos o que precisamos proteger, o que está fora de nossa conformidade, o que é... onde nossos dados se sentam se não entendermos isso. Então, um mapa de dados é realmente um tipo de layout para onde seus dados estão em sua empresa.

Eu ia acrescentar que o mapa não só deveria conter onde os dados estão, mas o que os dados contêm. Então, temos mapas de onde os arquivos estão contidos, mas se não soubermos o que há nesses arquivos, realmente ajuda que saibamos onde eles estão.

Justine Sim

Eu concordaria com isso. Então, acho que tocando no ponto do Mike lá que, dependendo de quem você perguntar, o mapa vai parecer diferente. Então, se eu colocar meu chapéu de descoberta eletrônica, estou focado principalmente em onde - dependendo do caso - os dados internos dos funcionários estão localizados, em comparação com os dados do cliente, em comparação com a garantia e o tipo de dados do sistema e fabricação. Então, quando você olha para ele de uma perspectiva de resposta do titular de dados, geralmente estou mergulhando nas coisas um pouco mais fundo para entender realmente para onde esses fluxos de dados estão indo, como os dados estão recebendo entrada, como eles são exportados ou enviados para outro lugar, se for par, em geral. E então você tem o mundo das operações cibernéticas, que é um outro jogo de bola de tentar descobrir onde estão os dados e, como Mike disse, a melhor forma de protegê-los.

Jennifer Hamilton

Pouco antes de deixarmos esse conceito, você tocou no pedido do assunto. Você pode definir isso para o público, talvez um nível definido nisso?

Justine Sim

Sim, portanto, a solicitação do assunto estaria em conformidade com as leis de privacidade de dados. Assim, como titular de dados ou cidadão de onde quer que você reside, você pode ter direito a certas proteções quando se trata de seus dados pessoais, e você pode solicitar que uma empresa forneça a você acesso a quais dados eles têm em seu ou uma cópia dele. se você quiser que eles sejam corrigidos, você deseja atualizá-los ou excluí-los, dependendo de qual lei se aplica a você.

Jennifer Hamilton

Excelente, e entraremos em mais detalhes sobre isso em um minuto. Mas acho que o que estou ouvindo, e na minha própria experiência é consistente com o que você está dizendo que realmente depende do público. O que é um mapa de dados? O que é inventário? E para públicos diferentes, um mapa de dados pode significar coisas diferentes ou pode ser usado para coisas diferentes. Então, vamos mergulhar nisso um pouco mais fundo.

Ao fazer isso, estamos analisando o mapeamento de dados, a evolução do mapeamento de dados, devo dizer, em quatro fases diferentes onde se você olhar para o histórico das organizações mapeando seus dados.

Temos a primeira fase que chamamos de Velho Oeste, onde foi essa ideia, essa ideia mais abstrata de, hey, para cumprir as obrigações de eDiscovery, precisamos entender mais sobre nossos sistemas de TI, e mais sobre os dados que temos, para que possamos certificar ao governo ou ao juiz, ou à parte oposta que realizamos uma pesquisa completa e fomos diligentes em nossos esforços de descoberta. E isso está voltando ao início dos anos 2000, quando as opiniões do Zubulake começaram a surgir, e as regras federais foram revisadas, que deixaram claro que os advogados não podiam encolher os ombros quando eram questionados sobre os sistemas de TI de seus clientes, e chutá-lo para o departamento de TI para certificar o que foi pesquisado e o que não foi pesquisado.

Então, isso é o que eu chamaria de Velho Oeste. Abrirei a palavra para ver se você tem outras ideias e experiências em termos dos estágios iniciais da empolgação em torno do mapeamento de dados.

Michael Amaral

Posso acrescentar a isso, Jenny. Como você diz, quando começou, todos nós fomos e começamos a tentar organizar melhor nossos dados quando tivemos que descobri-los. Então, teríamos um layout de um compartilhamento de TI que tinha um departamento de contabilidade, e é aqui que você deve manter seus dados.

Mas, infelizmente, não havia muitos controles em torno de mantê-lo lá. E assim, como descobrimos, ou à medida que continuamos a descobrir, há cada vez mais lugares que os dados parecem ocultar. E assim, esse Velho Oeste então se transformou na segunda fase, que é o Estilo de Auditoria.

As grandes empresas trouxeram grandes empresas para auditar onde todos os seus dados estavam em fluxos de trabalho transacionais, e isso foi ótimo. Foi um ótimo instantâneo do que fizemos quando eles olharam para ele. Mas o problema disso é que ele estava desatualizado assim que foi concluído.

Jennifer Hamilton

Certo, então nos diga o porquê. O que acontece quando você está passando pelo processo? Talvez você possa descrever um pouco mais, pela sua experiência, a mecânica de tentar documentar ou mapear dados? Como você está fazendo isso?

Michael Amaral

É um processo longo e tedioso. Entrevistar pessoas sobre onde você armazena seus dados, e retirar isso de volta e depois verificar se, OK, é aí que os dados são armazenados. Mas quando você terminar o processo de entrevista e o processo de verificação, as políticas mudaram, novos sistemas foram adicionados e isso torna a coisa toda irrelevante.

Foi ótimo olhar para ele, e talvez 75% dele ainda esteja lá, mas não é uma imagem completa de quais são seus dados.

Jennifer Hamilton

Certo, é como em constante evolução. Na minha experiência, e Justine pode entrar também, é que as necessidades do negócio não são tais que a TI está sentada e diagramando onde todos os dados se sentam e em quais servidores estão, em que parte do mundo, que temos essa percepção errada, particularmente como advogados quando começamos essa jornada e começamos entrevistar clientes e conversar com pessoas em TI, como você mencionou Mike, que eles vão saber onde estão os dados e para que nível de granularidade, e que eles têm tudo isso tudo bem diagramado em algum lugar nele. Se você apenas perguntar à pessoa certa, eles vão estalar os dedos e produzir ele.

Então, minha experiência é que não é assim, e você realmente está [quebrando isso de todo o pano]. e parte da razão é que eles precisam documentar para apoiar o negócio é muito diferente das informações que estamos tentando provocar, o que é mais uma compreensão e educação de alto nível sobre onde estão os dados para que possamos encontrar coisas rapidamente à medida que elas surgem. E então, Mike, você apontou que, mesmo que você seja capaz de fazer isso, e é um processo tedioso chegar a esse ponto - e novamente, Justine pode comentar sobre a experiência que ela teve - você obtém este mapa, essa planilha ou esse diagrama que não é realmente preciso no momento em que você chega a esse entendimento com TI sobre o que exatamente você está procurando por eles para documentar.

Justine Sim

Sim, posso acrescentar a isso. Isso definitivamente tem sido muita da minha experiência. Então, começaríamos nesse tipo de fase um/fase dois entrevistando muito da nossa — grande parte da minha experiência é baseada em entrevistar e construir relacionamentos com pessoas, então tentando entender, como você disse, exatamente quem está no comando do quê, e eles podem ter... Custodian A pode ter parte do quebra-cabeça documentado, mas então você tem que conversar com outras três pessoas para chegar à outra pessoa que tem a retenção ou a saída, eu direi, de onde os dados vão. Então, muitas conversas, muita documentação, e pode ser tão simples quanto documentos do Word documentar as entrevistas. Mas eu gosto de pensar na fase um e dois como quase como um bombeiro, e muito disso era dependente do caso.

Então, eu poderia estar apenas olhando para alguns sistemas que são relevantes para esse caso, e depois que esse caso terminar, você meio que segue em frente, e o próximo caso surge e você olha para três diferentes. Mas quando você voltar a precisar do Sistema A do Caso Um, ele está desatualizado e você está apenas repetindo o mesmo processo repetidas vezes.

Eu só ia dizer, eu acho, pois todos nós é avançar para fazer mais com menos e tentar descobrir como operacionalizar isso. Então, usando o planejamento ou os sistemas para abordar esse mapeamento de uma forma que você pode fazer um processo repetível, e obter as informações que você precisa, mas estar em uma postura mais proativa, eu diria, do que sempre jogar o “catch up”.

Jennifer Hamilton

Deixe-me perguntar isso, Justine. Antes do GDPR entrar em vigor, cujo trabalho em TI era manter esse mapa ou informações?

Justine Sim

Essa é uma ótima pergunta. Não sei se era o trabalho específico de alguém. Eu acho que cada um... e minha experiência foi que cada proprietário de dados ou proprietário do sistema olharia as coisas de forma diferente. Então, como você disse, a empresa pode não ter a necessidade de ter todas as perguntas que faríamos para um assunto relacionado ao eDiscovery documentado. Eles podem ter onde o sistema está fisicamente localizado, se estiver no local ou fora do local, por quanto tempo as coisas são retidas, mas não necessariamente todas as outras informações que gostaríamos de retirar.

Jennifer Hamilton

Então, o que mudou com o GDPR entrando online?

Justine Sim

Sim, então o GDPR introduziu a ideia, eu diria, ou a noção de que qualquer pessoa poderia aparecer a qualquer momento e pedir, essencialmente, um mapa de dados, uma listagem de quais sistemas você tem e de onde os dados fluem para dentro e para fora. Então, acho que, trouxe muito mais atenção e urgência para pelo menos ter uma ideia, uma ideia de nível base de onde seus dados estão e onde eles se sentam.

Jennifer Hamilton

E então, Mike, por que você não nos leva então... Eu acho que você marca, você descobre, você está descrevendo a fase três, e Mike se você tem algo a acrescentar a isso, e então nos leva para a fase quatro, como é o futuro do mapeamento de dados.

Michael Amaral

Bem, sim, estamos atualmente, hoje, na fase três, e estamos começando a ver algumas ferramentas que realmente nos ajudam a construir esse mapa com todos os tipos de conectores novos e o que eles podem ver e é aí que o mapa está indo. E o que vemos é um índice respiratório vivo de todos os seus dados em tempo real. E isso realmente é o que todos nós gostaríamos de ver que, para conformidade, você tem informações em tempo real sobre documentos que estão prestes a cair da retenção, ou algo mais por privacidade. Sabemos onde estão todos os nossos dados privados. Para resposta cibernética e de violação, se um sistema for invadido, sabemos o que estava naquele sistema, quem estava nesse sistema, e assim, nossos relatórios se tornam mais fáceis.

E para colocar tudo em uma só vida, respirando tipo de ferramenta que a empresa pode usar para todas as suas coisas, acho que é um objetivo muito bom de se ter. Não sei se alguma vez conseguiremos que todos os grupos concordem com uma única ferramenta para usar, mas isso é outra discussão.

Justine Sim

Sim, eu concordo com isso, e eu adicionaria mais uma coisa ao último slide. Eu acho, na minha opinião, e experiência, que a maioria das empresas provavelmente não está em uma única fase. Provavelmente, com os antigos sistemas legados e os novos sistemas chegando a bordo, você está em uma mistura de todas essas fases, se não poucas.

Michael Amaral

E isso fala um pouco sobre o que falamos na fase quatro, por que fizemos essas coisas? Conversamos um pouco sobre, nos primeiros dias, queremos isso para fins legais, e então a conformidade entrou, e agora há privacidade e cibernética. Todos esses grupos diferentes têm sua própria versão do que é um mapa de dados e qual é a melhor maneira de fazê-lo. E acho que isso causa algumas lutas ao olhar para a informação, como um todo.

Jennifer Hamilton

Sim, acho que sim, porque são como quatro quebra-cabeças diferentes, mas com praticamente as mesmas peças, todos são um pouco diferentes. E eu acho que mesmo que você estivesse apenas, no começo, tentando entender melhor onde os dados relevantes estavam localizados, desenvolvendo seu próprio mapa ou seu próprio registro, você realmente não aprendeu a mapeá-lo até depois de já ter começado, e então houve muitas iterações.

Você começa de novo e, OK, agora eu entendo melhor o que estou procurando e quais informações vou precisar disso. É como fazer sua primeira revisão do documento da caixa de faturas de um banqueiro, como você recebe o arquivo do parceiro, e o parceiro diz: “Aqui está, geralmente, sobre o que é o caso, agora revise as faturas e veja se há algo interessante lá, algo relevante”. E então, você passa pelas faturas, e você diz: “OK, esta é uma fatura de engenharia, isso parece realmente relevante, esta é uma fatura completamente não relacionada na contabilidade”. Agora, que entendo melhor depois de examinar os dados, o que preciso saber e desenvolver os problemas, e voltar e revisar.

Então, essa é a minha opinião que é... como Justine disse, você está pulando entre fases, não é uma abordagem linear, você está aprendendo à medida que vai. Você tem que... dois passos à frente, um passo para trás se isso fizer algum sentido em qualquer um desses. E então, como todos esses problemas diferentes se tornaram on-line, registros, gerenciamento de informações ou dia de limpeza de arquivos para conformidade, e eles querem entender onde os dados estão localizados. E então você tem GDPR e CCPA, então agora há outra visão do que é importante incluir no mapa. Então, você está constantemente se movendo para frente e para trás entre iterações de mapas, o que você está coletando, por que está coletando.

Então, vamos avançar aqui e continuar a falar sobre os principais desafios talvez com um pouco mais de detalhes, começando com a formação da comunidade de trabalho. Justine, você tem alguma ideia sobre como isso tem sido um desafio, em sua experiência?

Justine Sim

Sim, então isso, provavelmente direi, é a base de toda a sua existência no mundo do mapeamento de dados. Então, é muito importante. Também pode ser muito desafiador, porque às vezes, como dissemos anteriormente, não é necessariamente a responsabilidade do trabalho de ninguém ou qualquer coisa que eles sintam que estão vinculados ou procurados por promoções de emprego, mas é muito importante ter essas conversas e construir os relacionamentos.

Então, legal, sua equipe jurídica, seus recursos de TI que devem saber onde estão alguns dos dados. Você tem gerenciamento de riscos. Na minha experiência, há muita coisa que pode vir de grupos de governança de dados, coisas assim. Então, é muito... acho que, para mim, vindo de uma formação técnica, era muito mais de ter conversas e construir esse tipo de relacionamento com todos do que eu pensava que seria.

Pensei: “Oh, entraremos, vamos apenas documentar onde esses sistemas estão e serão feitos”, muito técnico, como simples. E tem sido muito mais trabalho e importância na construção do relacionamento e no comitê de trabalho do que eu realmente teria pensado para começar.

Acho que a próxima peça seria apenas entender o risco. E eu acho, Jenny, você tocou um pouco sobre isso antes com a caixa do banqueiro e o tipo de situação de revisão. Você realmente não sabe o que tem ou onde estão os riscos até começar a mergulhar e entender onde estão os dados.

Jennifer Hamilton

Absolutamente, e alinhando as metas, e falamos sobre isso. No mundo cibernético, no mundo dos negócios, a empresa está interessada em onde estão as jóias da coroa. O grande problema que surge em nosso negócio é que ajudamos a localizar informações pessoais, registros de saúde do paciente para determinar qual é o risco em qualquer tipo de conjunto de dados e garantir que essa revisão seja feita com essas metas em mente.

Nós abordamos isso antes, e eu congratulo-me com seus comentários adicionais sobre isso, mas apenas decidindo por onde começar, com quais sistemas começar. E eu sempre brinco sobre uma das primeiras conversas que tive com qualquer pessoa em TI, na minha função anterior, foi realmente uma pergunta para TI, quais sistemas, me conte um pouco sobre nosso ambiente de infraestrutura, que tipos de sistemas temos. E a pergunta de volta ao legal era, bem, qual sistema você quer saber? Você pode nos contar sobre todos eles? E eles são como, não, com qual você quer começar? Bem, eu não sei, o que você tem? Bem, com o que você quer começar?

Então, essa foi a primeira conversa, certo, Justine?

Justine Sim

Sim, acho que essa é uma conversa muito comum de galinha e ovo, e especialmente, eu acho, onde a TI e o legal tendem a girar muito, está respondendo a uma pergunta com uma pergunta.

Então, na minha experiência, a melhor abordagem que tive é escolher algo em alto nível, acho eu, procurando solicitações de descoberta, seja isso ou trabalhando com a equipe de privacidade. Dependendo do chapéu que você está usando, basta escolher um sistema. Se você sabe que este é o meu CRM, meu sistema de clientes, ouço muito sobre isso, então comece por aí. É, eu acho, meio que pegando a peça inicial, você só tem que começar.

Então, isso pode levá-lo a um pouco de uma trilha de coelho, mas ajuda você a mapear. O mapa nunca será uma planilha bonita, ou linear, linha por linha, é realmente uma teia de aranha de sistemas que geralmente estão interconectados de alguma forma ou moda, então escolher, dependendo da sua prioridade. Quando falamos sobre alinhar as metas, então sua prioridade e seus objetivos e simplesmente continuar a partir daí.

Então, se for... novamente, como se fosse relacionado ao assunto dos dados, para a CCPA, começamos com muitos dados de nossos clientes. Onde estão os sistemas de dados de clientes pesados que sabemos que temos? Se for legal e é muito específico para um processo de trabalho, então eu posso começar com um sistema interno de RH.

Jennifer Hamilton

Mike, que conselho você teria com o público, o que é um takeaway, em sua mente, de como decidir por onde começar e, em seguida, nos levar a definir o conteúdo de dados.

Michael Amaral

E eu acho que isso vai... definir por onde começar é... se tivermos um comitê e tivermos a empresa pensando no mapeamento de dados como uma prioridade, não importa por onde começar, é qualquer que seja a prioridade. E isso nos leva a definir o conteúdo dos dados. Para privacidade, quais dados estamos procurando? Isso não significa que, porque estamos procurando apenas dados de privacidade, também não podemos atender às necessidades de litígio, cibernética e conformidade enquanto esses mesmos dados estão sendo passados.

Assim, podemos começar a construir o mapa com muitos de nossos processos atuais, uma vez que definimos, como grupo, quais dados queremos coletar sobre nossos sistemas.

Justine Sim

Concordo. Eu acrescentaria, acho que essa tem sido uma das maiores frustrações quando começamos a lançar um pouco disso - e Jenny, você pode concordar ou discordar disso - foi que alguns dos comentários que recebemos no lado dos negócios foi: “Bem, eu já falei com vários desses outros grupos, por que você está me perguntando isso perguntas novamente?”

Então, para o ponto de Mike, quanto mais você puder reunir seus grupos e alinhar seu comitê de trabalho sobre as metas e o conteúdo dos dados, penso eu, mais fácil de uma implantação você terá em sua empresa.

Jennifer Hamilton

Sim, definitivamente. E então temos o conceito de definir o conteúdo dos dados, então discutimos isso antes. É a mesma coisa, você não sabe necessariamente onde estão as jóias da coroa, é por isso que você está fazendo o exercício, mas você quer começar em algum lugar e então você também... então essas são áreas de risco que identificamos, mas há uma nova área que realmente não identificamos, que são dados de terceiros e fazendo inventário de fornecedores. E [mais] as organizações têm grandes departamentos de gerenciamento de suprimentos e dependem muito de terceiros, contratados e subcontratados, consultores e e-Discovery e provedores cibernéticos como HayStackID, para que você tenha toda essa outra área de dados de terceiros, sem mencionar que já falamos sobre dados de clientes e dados de funcionários onde você tem o risco de precisar começar com a identificação de onde ele está e, como Mike mencionou anteriormente, o conteúdo real.

Vamos passar para a discussão estratégica sobre como fazer seu inventário ou mapear esses itens diferentes. Mike, posso pedir-lhe para nos expulsar e nos levar por um dia na vida de desenvolver sua estratégia em torno disso.

Michael Amaral

Sim, e realmente para começar, seu inventário de dados, é realmente um índice vivo, e não precisa ser até o segundo, mas existem ferramentas suficientes por aí hoje que podem fornecer feedback sobre seus dados diariamente, semanalmente, mensalmente. E uma vez que você faz isso, você realmente tem, o que você disse anteriormente, uma espécie de imagem completa do que está acontecendo em seu ambiente, onde seu PI está armazenado, quais documentos estão ligados ou prestes a cair da retenção. E você pode ir mais longe do que isso com algumas das novas ferramentas.

Mas realmente, é tudo sobre pegar o que você quer... Eu sempre gosto de trabalhar desde o objetivo final de volta. Então, como temos que construir esse índice? Temos que (1) identificar onde os dados ficam e, em seguida, puxá-los — quando os dados ficam lá, temos que verificar os dados para descobrir quais informações podemos retirar deles, se são metadados tradicionais de eDiscovery que nos informam as datas e os tipos de arquivos e onde eles estão sentados. Ou podemos realmente aplicar algumas novas ferramentas de IA e retirar PI e PHI e PII e nos dizer onde isso está localizado em nossos sistemas. Incluindo até verificar os dados em busca de conteúdo e outras coisas que se encaixam na sua conformidade.

No eDiscovery, estamos fazendo a identificação do contrato há um tempo, mas todas as empresas lá fora entendem onde estão todos os dados, onde estão todos os seus contratos ou onde estão todos os seus documentos importantes. Com todas as violações que foram nas notícias ultimamente, você olha para qual é a melhor maneira de proteger o que é mais importante, porque eles são... os criminosos vão encontrar uma maneira de obter seus dados. Não é um se, é um quando. E realmente, queremos saber sobre onde estão minhas informações mais valiosas, e eu posso gastar meu dinheiro realmente protegendo isso, e então, se eles entrarem, talvez eles consigam algo que não tem valor, mas quando eles entram, você sabe qual é sua exposição muito rapidamente com esse tipo de mapa de dados.

Jennifer Hamilton

Estou tirando muito do que você está dizendo, estou ouvindo, tipo de leitura entre as linhas que é importante dimensionar o inventário porque é um índice vivo. Então, você não pode coletar tanta informação que tudo o que você faz é tirar as pessoas do trabalho diário, sentar e inventariar coisas, mas você precisa priorizar com base no risco, e o risco cibernético é obviamente um problema enorme. Está em todos os noticiários. Há uma ordem executiva sobre isso, o G7 está falando sobre isso, e há novas funções sendo criadas mais rapidamente do que podemos preenchê-las, em termos de abordar a parte reativa de uma violação cibernética.

E o que estamos falando hoje é desenvolver uma estratégia proativa. Quando os criminosos — ao seu ponto — quando os criminosos acessam ou exfiltram os dados da sua empresa, eles não estão recebendo nada muito empolgante, porque você tem mais controles e proteção sobre as informações de maior risco, os dados dos funcionários, os registros de saúde do paciente e as coisas que talvez possam chegar, o frutas penduradas inferiores não são muito excitantes, e daí. Você não tem necessariamente obrigações de denúncia e pode dormir à noite.

Então, estou tirando muito disso do que você está dizendo. Falamos sobre as ferramentas e você pode nos contar um pouco mais sobre as ferramentas e quais são algumas coisas interessantes que você está vendo especificamente que podem nos ajudar com essa abordagem mais proativa.

Michael Amaral

Temos algumas ferramentas existentes no mercado, somos um parceiro da Nuix, e a Nuix coloca um conjunto muito bom de ferramentas que podem digitalizar dados para esse tipo de informação e fornecê-lo de volta. Não há nenhum tipo de front-end IG nele, ou mapeamento de front-end nele, mas isso pode ser trabalhado com o Nuix e o Elasticsearch, e algumas outras coisas para obter alguma inteligência a partir dos dados. Porque, como você disse anteriormente, apenas ter todos esses dados em um índice é uma coisa, mas como apresentamos isso às pessoas para que elas possam entendê-los e usá-lo para seus negócios. E é aí que algumas das novas ferramentas, um OneTrusts e os BIGIDs do mundo que realmente saíram da privacidade, mas estão começando a ver que construir um mapa de dados total para segurança e governança está se tornando cada vez mais importante. Eles têm boas ferramentas para criar esse fluxo de trabalho em torno do risco de terceiros e garantir que você tenha um inventário de seus fornecedores, quais dados eles têm e tenha um bom mapa conceitual construído. E então você pode digitalizar esses dados e retirar as informações quando necessário.

Mas acho que, também, curiosamente, fomos de... antigamente, tínhamos um departamento de registros com um tipo de superintendente, o gerente de dados daquele departamento de registros. E com os sistemas de TI crescendo muito, não sei se há uma pessoa em qualquer empresa que possa dizer onde estão dados específicos.

Jennifer Hamilton

Acho que esse é um problema que minha equipe teve que me ouvir falar sobre ad nauseum, e esse é o almoço gratuito que pensávamos que íamos conseguir reduzindo o número de assistentes administrativos aos quais todos tínhamos acesso, para nos ajudar a organizar e gerenciar registros. Foi uma forma, bem, nós realmente não precisamos de ajuda de secretariado e a maneira como tínhamos usado isso no passado, à medida que os computadores se tornaram mais prevalentes.

Então, houve algum deslocamento desse trabalho. Você não precisava de alguém para digitar o que estava ditando, para usar um tipo de contexto legal. E assim, os secretários, assistentes administrativos estavam simplesmente organizando os arquivos do caso. Mas mesmo assim, estávamos armazenando cada vez mais informações do caso em nosso computador, e sentimos que o trabalho deles havia sido deslocado. Mas, na minha opinião, entendemos mal qual era o verdadeiro papel deles, o valor de tê-los era nos manter organizados. Advogados e muitos outros profissionais especializados não são bons nisso, e certamente não somos educados em ciências bibliotecárias. Não há sistema Dewey Decimal, não há sistema organizacional quando você entra em uma organização que já está disposta para você dizer: “OK, aqui é onde você vai armazenar essas coisas, e aqui está a estrutura de pastas que é consistente, então use essa estrutura de pastas para armazenar seus arquivos de caso”, novamente, mantendo para um tipo de analogia do departamento de direito. E em vez disso, é como, “Bem, faça o que quiser”.

Meu entendimento do benchmarking ao longo dos anos é que isso é bastante comum, não é o contrário onde as pessoas entram e já há uma estrutura para elas, foi criada por alguém que é um profissional na organização de registros, como tivemos com assistentes administrativos. Então, quando dizemos bibliotecário de dados, é disso que estamos falando, um cientista de dados, um bibliotecário de dados, um assistente administrativo é alguém que é um especialista em informações de registros que pode fornecer isso. Então, é para mim de onde isso está sendo impulsionado. Mas a razão pela qual temos todo esse risco e sabemos onde as coisas estão localizadas é porque ele foi largamente deixado para pessoas que não são especializadas ou essa não é sua competência principal, esse não é o papel principal deles, eles deveriam estar fazendo o trabalho, não descobrindo a melhor maneira de organizá-lo e tê-lo sendo executado de forma consistente em toda a organização.

Então, agora vou sair dessa caixa de sabão, mas uma das sugestões aqui é trazer de volta o bibliotecário de dados ou assistente administrativo e pedir que alguém realmente assuma o comando. Mas eu realmente gosto do futuro para onde isso está indo, Mike, é que me faz pensar que temos uma oportunidade real, agora que temos todas essas ferramentas incríveis, podemos entender melhor o que as pessoas farão com o curso natural de seu trabalho, onde eles estão colocando registros, entendendo por que eles estão colocando-os lá. é porque faz sentido? É porque é fácil e rápido? E podemos desenvolver uma abordagem personalizada para a organização, o tipo de dados e a psicologia de como as pessoas operam quando estão tentando fazer seu trabalho, mas mantêm as coisas em um lugar que possam encontrá-las. Eu acho que esse insight poderia impulsionar um sistema melhor a ser desenvolvido para uma organização, de modo que, então, ele poderia ser conduzido através do DNA da organização, através do grupo de gerenciamento de informações de registros ou do grupo de governança de dados e que as empresas possam começar a obter orçamento para fazer isso, entendendo que isso corta muitos riscos na estrada.

Não sei, Justine, se você tem algum comentário sobre isso, quaisquer exemplos da sua vida em que você acha que qualquer uma dessas estratégias faz a diferença.

Justine Sim

Sim, então eu concordaria com todos os comentários feitos aqui. Eu acho específico para o bibliotecário de dados, uma coisa que eu continuo pensando enquanto falamos sobre algumas dessas ferramentas e recursos disponíveis, que mesmo que um bibliotecário de dados, no sentido de uma pessoa verdadeira, possa não ser uma opção atualmente, então você pode aproveitar algumas dessas ferramentas para se tornar esse bibliotecário de dados para você. você institui algum tipo de avaliação automatizada e os envia para os proprietários, então isso se torna seu inventário e seu índice de vida, onde diferentes grupos podem vir e colaborar em uma ferramenta e obter as informações de que precisam.

Mas o bibliotecário de dados, obviamente, é importante, e isso é, eu sinto que, algumas das vezes o que essas ferramentas estão começando a seguir esse caminho de se tornar aquele bibliotecário para você. e se não, então algum tipo de papel de bibliotecário de dados ou responsabilidade dentro de uma organização, se não for uma pessoa, então é uma adição responsabilidade pelas pessoas aplicáveis.

Jennifer Hamilton

E eu só quero deixar de lado aqui, houve uma pergunta do público. Sim, isso está sendo gravado, e certamente, deixe o fogo apagar e você precisa e volte, mas recebemos as perguntas de qualquer pessoa, então mantenha-as vindo.

Há tanta carne no osso aqui, e eu não quero desmentir, mas eu quero voltar para essa ideia de você tem ferramentas, e então você tem o índice que precisa ser acessível e precisa ser iterativo. E há uma distinção entre a localização e o armazenamento do mapa e tornando-o acessível a pessoas cujo trabalho é atualizá-lo e para as pessoas que precisam dele. e, em seguida, há as ferramentas usadas para rastrear, digitalizar, indexar e organizar os dados para que eles possam ser limpos, migrados ou corrigidos com base em risco.

Mas entre essas duas ferramentas, essas são grandes partes de orçamento e exigem um pouco de engajamento dos funcionários. Falamos sobre papéis. E hoje, o GDPR, a CCPA e outros regulamentos estão gerando mais orçamento para essa área, estamos esperando por isso há algum tempo e agora estamos começando a conseguir nosso desejo. Mas se você tiver algum comentário, Justine, ou Mike, para empresas que... nem todas as empresas podem pagar todas essas ferramentas e como você as ajuda a tomar decisões sobre por onde começar e quais [ferramentas considerar], as ferramentas seriam sua opção. Como eles poderiam fazer isso de uma forma mais econômica?

Justine Sim

Sim, posso dar a primeira facada nisso. Então, eu diria que se eu tivesse orçamento zero e fosse o futuro glim de não conseguir dinheiro, você sempre poderia começar com uma boa e velha planilha, lista, algo assim.

Para mim, a chave para isso, se nada mais, é apenas começar. Você obviamente não estará em conformidade com nada se não tiver nada documentado, então você tem que começar a documentar e criar sua lista. Então, na minha experiência, o que eu descobri é que estou documentando coisas e acompanhando meu tempo e esforços gastos para executar um mapa de dados, então você pode levar isso para sua gerência, seu supervisor, quem quer que você esteja apresentando isso na frente e dizer: “Olha, eu passei 80 horas nisso, e eu tenho dois sistemas documentado, se você quiser estar em conformidade neste espaço, precisamos ter um foco nisso”. Ei, olhe para esta boa ferramenta aqui que pode ajudar a automatizar parte disso ou tirar parte desse fardo, e assim, podemos ser compatíveis em tempo hábil sem contratar mais mão de obra, mais pessoas que continuam fazendo isso manualmente ou alavancar uma ferramenta.

Jennifer Hamilton

Eu acho que o que eu experimentei com você, Justine é que você meio que precisa mergulhar e começar a fazê-lo e, em seguida, demonstrar a quantidade de tempo que essas coisas levam antes que você possa propor um retorno sobre o investimento para qualquer uma dessas ferramentas.

Mike, acho que você tem alguns conselhos úteis para o público sobre isso também.

Michael Amaral

Como Justine e Jenny disseram, você não precisa gastar dinheiro para construir um mapa de dados. Você pode enviar questionários ou conversar com seus colegas funcionários sobre onde os dados são armazenados e qual é o processo, e começar a construir esses dados...

Existem dois mapas, na verdade. Um é onde os dados se sentam e o outro é como os dados fluem, o que é quase tão importante quanto. Quanto tempo ele fica lá? ele é compartilhado com outros sistemas? Ele vai para fora de nossas paredes? Mas você pode fazer tudo isso com questionários para os diferentes chefes de departamento e entender quais dados eles tocam e onde estão e construir uma planilha.

Agora, existem algumas ferramentas baratas, mas se você realmente, como disse Justine, quiser obter um orçamento para isso, escolha um aplicativo que você acha que precisa ser mapeado ou alguns dados não estruturados com os quais você está preocupado e faça um teste executado. Saia e indexe esses dados e retire apenas uma fatia dele, traçar o layout de qual era o risco nesses dados e use-os para obter seu orçamento para suas ferramentas.

Porque se você puder identificar riscos nos dados agora com privacidade e segurança, acho que você pode realmente mover a agulha para obter o que precisa para construir esse índice de respiração vivo.

Jennifer Hamilton

Além disso, abordamos o bibliotecário de dados, certificando-se de que você tem as funções certas envolvidas nesse processo, e o que não fizemos foi discutir quando você está enviando seus questionários, por onde você começa, onde é o maior estrondo para o seu dinheiro. Quais são os tipos de funções que são aptos a responder perguntas sobre o que há em um determinado sistema que é útil para o mapa de dados?

Justine, existem pessoas em particular que são uma espécie de atalho, então você não gira suas rodas apenas vomitando pela empresa e espero que alguém tome tempo para respondê-lo.

Justine Sim

Sim, definitivamente. Então, eu diria que, na minha experiência em que estou, temos proprietários de produtos é o que eles são chamados para cada tipo de sistema de TI, eu diria. Vou dizer que a poção mágica do que estamos fazendo é tentar ter um proprietário de produto de TI e, em seguida, um lado comercial. Então, sinto que é sempre esse equilíbrio entre TI e negócios, ou TI e legal. Dessa forma, você obtém os dois lados da história, bem como a tradução. A peça de tradução, eu sinto que, de um alto nível, parece que deveria ser muito fácil, mas na minha experiência, quando conversamos com apenas um dos papéis sem o outro, acabamos perdendo peças e estamos indo e voltando entre os dois.

Então, eu diria que qualquer um que seja mais do negócio ou talvez, como você disse, chefe de departamento ou processo tipo de lado da ferramenta ou conjunto de dados que você está olhando e, em seguida, a pessoa que está na TI, tipo de administração ou proprietário do produto. Então, sempre dizíamos: “Ei, Jenny, vejo que você é o dono deste sistema, com quem você trabalha no lado de TI para fazer qualquer alteração ou para configurá-lo que tipo de executa o lado administrativo?” E essa era geralmente a questão que nos levaria à outra pessoa.

Jennifer Hamilton

E isso nos leva ao nosso último ponto sobre estratégia é: todos estão usando as mesmas definições, as definições baseadas na tecnologia de marca d'água, muitas delas são nossos termos legais. Então, o ponto de colocar o empresário e a pessoa técnica envolvidas na conversa que tem alguma propriedade ou participação em um sistema está muito bem feito, porque você está falando pelo menos dois idiomas diferentes. Acho que com a privacidade chegando, talvez sejam três idiomas diferentes agora, porque a privacidade nem sempre está em conformidade legal, [inaudível] e está sendo infiltrada, ou eu acho, exfiltrada em toda a organização. Então, todos estão usando termos semelhantes de forma semelhante, mas também de forma diferente e como isso afeta a documentação que você está tentando criar, o mapa de dados se você não estiver na mesma página com o que as coisas significam.

Vamos avançar aqui apenas para um conceito que — o objetivo é desenvolver um processo de fluxo de trabalho, que esse fluxo de trabalho seja impulsionado pelos objetivos dessa equipe e pela estratégia definitiva do negócio. E ser capaz de demonstrar que você está conectando isso tanto às metas do projeto, mas também às metas gerais dos negócios é útil, pois você descreve o que está fazendo e por que está gastando esse tempo, especialmente em grandes organizações onde as pessoas estão usando muitos chapéus diferentes e têm muito trabalho em seu prato .

Então, vamos falar sobre como pode ser um fluxo de trabalho. Mike, eu não sei se você tem alguma visão sobre isso que gostaria de compartilhar.

Michael Amaral

Novamente, todos esses fluxos de trabalho, como mencionamos o tempo todo, devem ser um fluxo de trabalho contínuo. Para um fluxo de trabalho de limpeza e migração de dados, à medida que estamos construindo o índice vivo, queremos identificar coisas que são duplicativas e, em seguida, queremos dizer: “OK, o que vamos fazer com dados duplicativos? Qual deles queremos manter? Quem tem prioridade? Queremos manter todos eles?” mas, à medida que analisamos os sistemas em busca desses dados, obtemos relatórios sobre duplicatas e recebemos relatórios sobre documentos que estão fora da política de retenção, documentos que estão fora da nossa política de TI. Você tem MP3s em um compartilhamento pessoal, todos os documentos que precisam ter algo feito com eles. Então, você entra e tem que ter... em algum momento temos regras que ou não nos importamos se é sobre nossa política de retenção, está sendo excluída, ou se é isso, fazemos isso. E, em seguida, outros documentos, teremos que fazer com que as pessoas vejam.

Qual é o nosso próximo passo com isso? Queremos levá-los, e OK, queremos manter esses 10 documentos, mas queremos migrá-los para um novo local? Vamos validar o que fizemos e, em seguida, vamos reexecutar o processo e continuar digitalizando, de modo que, à medida que essas coisas acontecem, ele continua continuando repetidas vezes. E enquanto isso está acontecendo, nosso mapa é atualizado. Quando removemos um documento, o mapa precisa ser atualizado. Quando migramos documentos de uma área do sistema para outra, precisamos atualizar o mapa. Temos que validar que tudo está certo e, em seguida, temos que executar novamente o processo.

Jennifer Hamilton

Sim, isso não é brincadeira. Este é um elevador muito pesado. O que você diz, Mike, as coisas estão ficando um pouco mais fáceis com as novas tecnologias e com melhor compreensão dos objetivos desse tipo de fluxo de trabalho, ou a complexidade está aumentando devido ao aumento do volume de dados e do risco crescente do que está em nossos sistemas?

Michael Amaral

Bem, está ficando mais fácil. Agora, temos ferramentas para nos ajudar a identificar dados que estão em risco. Mas o problema é que temos cada vez mais lugares onde os dados estão sendo armazenados. Temos nossos antigos sistemas locais, e a maioria das corporações agora está se movendo para pelo menos alguma forma de nuvem, seja o M365 ou estamos usando o Box na nuvem, estamos usando o Salesforce, temos ferramentas de nuvem que agora estão armazenando os dados de nossos clientes pelos quais somos, em última análise, responsáveis.

A Salesforce tem alguma responsabilidade por isso, mas, em última análise, são os dados de nossos clientes e temos que manter — à medida que os sistemas mudam e temos cada vez mais dados apontados por aí, isso continua crescendo. E assim, o potencial de risco continua crescendo, e é por isso que seu mapa nesse processo precisa continuar crescendo porque você precisa continuar adicionando novos endpoints a ele e entendendo quais são esses dados, e se eles estiverem lá, e para onde precisamos movê-los se não deveriam estar lá. Mas as ferramentas estão facilitando o processo.

Jennifer Hamilton

Em, eu acho, os parceiros fornecedores estão aumentando seu jogo, como o HayStackID, em termos de poder tirar parte desse trabalho da placa de uma organização para que eles não tenham que comprar as ferramentas e implementá-las e desenvolver esse know-how, e que os parceiros, como o HayStackID, estão em uma ótima posição fazendo este trabalho para outras empresas fazerem algum benchmarking natural, para que a organização possa saber onde estamos uns com os outros. Esta foi uma parte muito importante do trabalho interno, foi simplesmente o benchmarking e certificar-se de que você estava acompanhando a experiência do setor de onde você está alocando seus recursos e seu tempo quando você está fazendo apenas algo que você pode fazer internamente versus encontrar o especialista que você pode delegar coisas, mas ainda gerenciar orçamentos e custos. Certas coisas são mais caras de se fazer internamente e menos dispendiosas para fazer internamente.

Onde você vê o futuro - eu vou colocá-lo no local, Justine - onde você vê o futuro desse tipo de trabalho vivendo, porque às vezes ele começa a ser um trabalho feito por um parceiro fornecedor, às vezes ele começa internamente e migra para fora. Essa é uma verdadeira parceria entre o provedor interno e o seu provedor de serviços? Então, eu não sei se você pode começar por onde as coisas estão hoje, na sua opinião, apenas no geral na indústria e onde você acha que ela vai se dirigir. Vai de dentro para fora/de fora para dentro?

Justine Sim

Claro, então eu diria, na minha experiência, a maior parte está atualmente interna. Acho que muito disso é — mesmo o fato de estarmos tendo essa conversa, as pessoas ainda estão tentando envolver a melhor maneira de realizar esse mapeamento de dados e operacionalizá-lo.

Então, eu vejo isso como mais no lado interno atualmente, e penso que — e na minha experiência com muitas coisas — à medida que o processo e os fluxos de trabalho se tornam mais operacionalizados, então o pêndulo começa a balançar para o outro lado. Tão internamente, à medida que estamos melhorando em fazer isso, geralmente os fornecedores, ferramentas e coisas assim, que você pode aproveitar, também estão melhorando em fazer isso. E então se torna uma mistura de eu quero que isso saia completamente, e é apenas algo que eu gerencio por dentro? Ou é uma parceria onde está um pouco dentro e um pouco fora? Então, acho que estamos mais por dentro agora, mas eu me arriscaria a adivinhar que isso começará a balançar para o outro lado à medida que as coisas amadurecem.

Não sei, Mike, se você tem alguma ideia sobre isso.

Michael Amaral

Não, eu concordo, e estamos começando a ver um pouco disso. Com fornecedores como nós, lidamos com dados há muito tempo e, portanto, sabemos como operacionalizá-los, entendê-los e executá-los. E como eu disse anteriormente, se pudermos ajudar no começo a configurá-lo e conseguir seu primeiro tipo de índice e ensiná-lo a mantê-lo vivendo e respirando, isso é ótimo, e você pode aprender o que vai fazer com isso a partir daí. Mas eu acho que vai — como tudo o resto — vai torne-se um serviço como todo o resto por aí e você pode comprar peças ou partes dele, gerenciar algumas delas você mesmo, ou nada disso.

Jennifer Hamilton

Concordo.

Tudo bem, aqui estamos nós, estamos deslizando para o home plate, documentando e relatando. Vamos supor que passamos pela limpeza de dados, remediação, migração e agora o quê? Qual é a fase final do desenvolvimento ou manutenção de um mapa de dados? Justine, você quer começar?

Justine Sim

Sim, então acho que apenas olhando para trás, ou pensando em nossa conversa hoje, novamente, não precisa necessariamente ser o mapa de dados mais bonito que você já viu. Acho que a parte importante é ter a documentação lá e entender que você precisa estar documentando desde o primeiro dia, mesmo que isso pareça entediante, você ficará feliz por tê-la.

Então, a outra parte disso, que eu diria, que é importante é que nunca esteja completa, nunca será feita. Você pode ter um sistema concluído por enquanto, mas acho que, como estivemos discutindo, ele terá que ser atualizado e mantido em frente. Então, acho que ter essa mentalidade de melhoria contínua e saber que é um processo circular certamente é útil.

Mas, eu acho que, no final, resumir a história, você deve ter algum tipo de mapa, seja uma planilha, é algo que está em uma ferramenta que você pode visualizar. Muitas dessas ferramentas têm relatórios de que você pode simplesmente clicar em um botão e elas saem com um mapa, um mapa literal de onde seus conjuntos de dados estão localizados. Você só precisa ter algo que você possa defender, que possa fornecer a alguém e se sentir confortável defendendo que é aqui que seus dados estão e como eles estão fluindo.

Jennifer Hamilton

Mike, acho que você tinha algo a acrescentar a isso.

Michael Amaral

Concordo, e realmente, com a documentação, queremos tornar este um processo repetível, porque ele tem que ser repetido. E tudo muda à medida que você passa por ele. À medida que as regulamentações mudam, quais relatórios você precisa divulgar mudarão. Seu mapa mudará à medida que novos sistemas forem adicionados e os sistemas antigos forem removidos. E o que se encontra nesses sistemas pode mudar à medida que esses sistemas são atualizados ou alterados ou onde armazenam os dados pode ser diferente.

Depois que o processo for documentado, você o repete repetidas vezes. E eu sei que já dissemos muito isso, mas é muito importante que essa coisa esteja atualizada, então quando algo acontece, é uma solução fácil e rápida para isso, e as informações estão prontamente disponíveis e você sabe qual é sua exposição quando isso acontece.

Jennifer Hamilton

Então, como discutimos ao longo da chamada, e acho que podemos terminar em uma boa nota lá, é realmente sobre identificação de riscos, mitigação de riscos, não ser desviado porque a enormidade desse trabalho com detalhes ou informações que não são importantes para gerenciar o risco e, em seguida, desenvolver o seu próprio abordagem e metas específicas da organização. E não sendo muito detalhado, como mencionei, mas não ser muito genérico e ter que voltar para o poço repetidamente. Você não quer continuar fazendo ping nas mesmas pessoas repetidamente sobre perguntas semelhantes e ocupar muito do seu tempo e graça. Então, definitivamente há um ato de equilíbrio.

Eu percebo que, se eu puder ir para uma pergunta, esta será a nossa última discussão é: “Qual é a estrutura de dados preferida para um mapa de dados se quisermos executar análises nele?” Essa é uma excelente pergunta. Mike, você tem alguma visão sobre isso?

Michael Amaral

Bem, eu vou te dar o padrão, depende. Mas, novamente, qual ferramenta de análise você vai executar? Se você conseguir obter dados sobre seu inventário para qualquer tipo de formato estruturado, então um CSV, um Excel, seja lá o que for, há maneiras de puxar isso em ferramentas como o Elastic com um painel Kibana nele para executar algumas análises avançadas. Ou o Qlik Sense tem uma espécie de ferramenta de BI, você pode colocá-los em algumas das ferramentas de business intelligence da Microsoft para executar análises sobre isso.

Então, eu acho que, basicamente, se você conseguir um formato estruturado onde você entende quais campos você está armazenando e quais dados eles contêm, você pode aplicar qualquer uma dessas ferramentas a ele.

Jennifer Hamilton

Maravilha. Algum comentário de encerramento, principais dicas para o nosso público?

Michael Amaral

Sim, se eu tiver um, é encontrar um lugar e começar. Sempre a parte mais difícil é começar. Depois de começar, tudo começará a fluir, porque você não — para usar um ditado antigo — você não sabe o que não sabe. e assim, há tanta inteligência lá fora apenas dentro dos dados e onde nós os armazenamos e quem tem acesso a ele, que quanto mais rápido você chegar a um mapa, mais rapidamente você será capaz para usar isso.

Jennifer Hamilton

Eu acrescentaria a isso que é... o benchmarking pode ser uma grande ajuda aqui, entender que as organizações podem ter um perfil de risco diferente e estar atento a isso. Mas aqueles que têm um perfil de risco mais alto também, geralmente, têm alguma experiência sob o cinto na realização dessas atividades, e tentaram muitas das ferramentas porque têm orçamentos maiores e riscos maiores.

Portanto, não tenha medo de se conectar com seus colegas ou com organizações de benchmarking que têm alguma energia em torno desse tipo de discussão.

Justine.

Justine Sim

Sim, eu acrescentaria... então acho que ambos são ótimos e, junto com esse complemento, comece a ter as conversas internamente. Como o poder de ter um grupo de departamentos ou um grupo de colegas com um objetivo semelhante é ótimo. Eu acho que você estaria em uma posição muito melhor para fazer melhorias e maturidade em torno desse programa, bem como se você precisar de recursos ou orçamentos adicionais, ou o que você tem.

Mas tenha as conversas. Eu acho que as pessoas podem assumir que esses espaços são diferentes e porque precisam de dados diferentes que eles simplesmente vão sair sozinhos. Mas, na verdade, acho que todos são muito melhor servidos tentando trabalhar juntos.

Jennifer Hamilton

O trabalho em equipe prevalece. Essa é uma ótima nota para terminar. Esteja ciente de que estamos aqui para você, adoraríamos ajudá-lo. Se você quiser saber mais sobre nossas capacidades infinitas, entre em contato conosco. Se você quiser falar um pouco mais sobre isso, obviamente, estamos energizados sobre isso, somos apaixonados por isso, há muito espaço em branco ao seu redor, então é uma área para continuar a conversar e inovar, e ver os frutos do trabalho em termos de gestão de riscos de cada organização.

Fechamento

Excelente, Jenny. Este é Rob Robinson e eu gostaria de agradecer a você e a toda a equipe pelas excelentes informações e insights de hoje. Também queremos agradecer a todos e a cada um de vocês que tiveram a oportunidade de participar. Sabemos o quão valioso é o seu tempo e agradecemos que você compartilhá-lo conosco hoje.

Como Jenny mencionou anteriormente na apresentação, o conteúdo de hoje está sendo gravado para visualização futura, e uma cópia dos materiais de apresentação estará disponível para todos os participantes ou visitantes do BrightTalk ou do site HaystackID. E a versão sob demanda estará disponível imediatamente após o webcast.

Também esperamos que cada um de vocês tenha a oportunidade de participar do nosso próximo webcast mensal. Isso está agendado para 13 de julho às 12h, e será sobre o tópico de descoberta e revisão de violação de dados como parte de respostas a incidentes defensáveis. Então, esperamos que você possa participar. Você pode se registrar no site HayStackID.

E novamente, obrigado por participar do webcast de hoje, e isso conclui formalmente o webcast de hoje. Tenha um ótimo dia.

CLIQUE AQUI PARA BAIXAR OS SLIDES DA APRESENTAÇÃO

2021.06.23 - HayStackID - Mapeamento de dados operacionalizante - Webcast - Comprimido

CLIQUE AQUI PARA VER A APRESENTAÇÃO SOB DEMANDA