Datastrategia ja tietoturva: liiketoiminnan kannalta erottamattomat
Datastrategia on kriittinen menestystekijä datan ja data-analytiikan mahdollisuuksien hyödyntämisessä. Tietoturva on datastrategian kulmakivi.
Data ja data-analytiikka muuttavat yritysten liiketoimintamalleja ja kilpailuasetelmia. Samalla ne voivat parantaa yritysten päätöksentekoa ja suoraviivaistaa operatiivisia prosesseja.
Nämä muutokset eivät synny tyhjiössä, saati itsestään vaan edellyttävät strategiaa. Siksi onkin yllättävää, että McKinseyn uusi kyselytutkimus osoittaa, että suuri osa yrityksistä vastaa datan ja data-analytiikan toimintaympäristöä muovaavaan muutokseen ad hoc -luonteisesti tai kertaluonteisin projektein.
Datastrategia
Datastrategia kuvaa mitä yritys haluaa datalla ja data-analytiikalla saavuttaa – miten yritys voittaa kilpailijansa datalla ja miten se tavoitteensa saavuttaa. Tavoitteiden lisäksi datastrategia tai sen toteutussuunnitelmat kuvaavat dataan liittyvät keskeiset periaatteet, mm.:
Mistä dataa saadaan tai kerätään (esim. asiakkailta, asiakkaiden käyttäytymisestä, kumppaneilta)?
Miten kerätystä datasta tuotetaan lisäarvoa?
Miten dataa voidaan hyödyntää yhä uudestaan ja miten sitä voidaan jakaa yrityksen sisällä ja ulkopuolella?
Miten dataa tallennetaan siten, että sitä voidaan hyödyntää, jakaa ja siirtää mahdollisimman helposti (esim. pilvipalveluihin, keskitetysti)?
Miten dataa hallitaan mahdollistaen datan tarkoituksenmukainen ja tehokas käyttö (esim. data on saatavilla kaikille projekteille eikä siiloja organisaation osien välille synny)?
Miten kaikki em. toteutetaan tietosuojalainsäädäntö huomioiden ja asiakkaan yksityisyyttä kunnioittaen?
Jokainen näistä keskeisistä periaatteista linkittyy vahvasti tietoturvaan.
Datastrategia ja tietoturva
Tietoturva on parhaimmillaan datan tarkoituksenmukaisen käytön mahdollistaja. Datastrategiaa luotaessa onkin syytä konsultoida tietoturva-ammattilaisia, jotta data saadaan mahdollisimman laajaan käyttöön turvallisesti ja tietosuoja huomioiden. Seuraavat kolme esimerkkiä kuvaavat datastrategian ja tietoturvan suhdetta:
Datan kerääminen asiakkaiden käyttäytymisestä tai hankkiminen kumppaneilta voi herättää asiakkaissa epäilystä yrityksen toimintaa kohtaa. Selkeä viestintä yrityksen hyvästä tietoturvasta hälventää näitä pelkoja ja rakentaa luottamusta yritykseen.
Pahimmillaan ihmisten käyttäytymistä koskevan datan hyödyntäminen vahingoittaa ihmisten yksityisyyttä, mutta parhaimmillaan datan avulla voidaan tarjota asiakkaille parempia palveluita. Tietosuojan vaikutustenarviointi, DPIA, on keino ihmisten yksityisyyden huomioimiseen datan käytössä. DPIAn tulokset linkittyvät vahvasti tietoturvaan, koska ihmisten yksityisyyttä suojataan pitkälti tietoturvan keinoin.
Liiketoiminnan näkökulmasta datastrategia vastaa usein kysymykseen: voidaanko meidän dataamme hyödyntää muissa yrityksissä siten että tämä ei häiritse yrityksemme kilpailuetua vaan tuottaa etua myös meille? Datan jakaminen yrityksen ulkopuolelle onkin usein hyödyllistä esimerkiksi kumppanuuksien vahvistamiseksi. Silloin dataa pitää kuitenkin jakaa niin, että jakaminen ei tuhoa yrityksen datasta saamaa kilpailuetua. Tämän toteuttamisessa tietoturvalla on keskeinen rooli.
Vanhanaikainen tietoturva voi olla este datan hyödyntämiselle yrityksen sisällä. Siksi datastrategia on luotava siten, että se murtaa vanhanaikaisen tietoturvan yrityksen sisälle rakentamat teennäiset siilot ja mahdollistaa datan saatavuuden niille, joilla on perusteltu tarve datan hyödyntämiseen.
Lyhyesti
Ongelma
Yritys tarvitsee datastrategian datan ja data-analytiikan mahdollisuuksien täysimittaiseen hyödyntämiseen. Yritys kohtaa strategian toimeenpanossa mm. tietosuojaan ja tietojen hyödynnettävyyteen liittyviä liiketoiminnallisia haasteita, jos datastrategia ei sisällä tietoturvaa.
Mistä ongelma johtuu
Kaikki johtajat eivät ole vielä tunnistaneet tietoturvan roolia datastrategin kulmakivenä. Tietoturvan mahdollisuuksia ei analysoida osana datastrategian luomista.
Ratkaisu
Johtajien tulee edellyttää, että riittävä tietoturvaosaaminen sisällytetään datastrategiaprosessiin.