Governança de Dados representa a implementação criteriosa de políticas, métricas e padrões destinados a administrar e assegurar a qualidade, segurança, eficácia e eficiência de todo o espectro de dados organizacionais. Em nosso blog, iniciamos a tratar sobre esse assunto no artigo “Dados como Ativos Valiosos: A Importância da Governança de Dados para Empresas de Todos os Portes”. 

Desde o momento de sua geração até o inevitável desfecho de sua jornada, a gestão dos dados ecoa a abordagem aplicada na administração de bens tangíveis, traduzindo a essência da cadeia produtiva digital na qual insumos e produtos finais merecem igual atenção. 

Também vimos que governança de dados é valioso para as empresas se manterem atualizadas, tanto do ponto de vista de conformidade com as leis do cenário de atuação (LGPD no Brasil ou GDPR na Europa, por exemplo), como também para contribuir para resultar em uma grande mudança de cultura data-driven.  

Neste artigo, serão abordadas as melhores práticas para a implementação da governança de dados para proteção dos seus ativos 

Como implementar Governança de Dados: Quais os ingredientes necessários para esta receita? 

A governança de dados é comparável, mas também distinta, a uma receita de bolo. Pense em confeiteiros com diferentes níveis de experiência: os novatos seguem quantidades e instruções da receita de forma precisa, enquanto os mais experientes têm uma visão holística do processo. 

Enquanto os novatos utilizam medidas exatas e passos sequenciais, os veteranos enxergam o conjunto, compreendendo como as quantidades afetam a consistência, o tempo de cozimento, o sabor e a complementaridade com outros pratos. Não há respostas absolutas quanto à quantidade de colheres ou gramas precisas, nem mesmo a marca da farinha; em vez disso, o foco está nos resultados diversos que podem ser alcançados. 

Em governança de dados, nós podemos aplicar a mesma ideia. Apesar de existirem elementos comuns que constituem uma estratégia de governança, muitos fatores devem ser discutidos e racionados de acordo com a própria experiência da companhia: quantas pessoas serão alocadas? Quais ferramentas serão usadas (ou criadas) para auxiliar a implementação e o monitoramento? Qual será a estratégia para definir o ciclo de vida de um produto? 

Tudo isso não implica na inexistência de padrões ou boas práticas. De maneira análoga a adicionar canela a um bolo para um toque de sabor específico, à qual é bem-vinda em certas variações, porém não em outras, é de vital importância exercer um senso crítico ao avaliar o contexto de cada empresa. 

Cada situação deve ser avaliada individualmente. Apesar da disponibilidade de estruturas (frameworks) que agilizam a implementação, é crucial não se eximir de compreender e criar planos personalizados que possam ser adaptados ao projeto em questão. 

Classificando e Protegendo Dados 

Em nosso artigo intitulado “A Importância da Governança de Dados para Empresas de Todos os Portes” do nosso blog, sinalizamos que devemos criar políticas de acesso a dados. Essas políticas devem ser transparentes e de fácil compreensão para os usuários e, para isso, deve-se compreender com quais dados estão sendo trabalhados. 

Antes de qualquer coisa, documente a sua política. Seja ela apenas um grande documento ou um conjunto de informações e suas documentações, é fundamental que haja uma documentação da metodologia de governança. Essa documentação lhe permite: 

• conduzir auditorias internas sobre os processos; 
• ter prontamente um documento para consumo de auditorias externas; 
• ter uma visão extensa de todos os pontos que tangenciam a governança. 

O livro Data Governance: The Definitive Guide, da O’Reilly, traz grande profundidade aos diversos termos apresentados neste blog e é uma forte sugestão de leitura. Alguns pontos sugeridos pelos autores nesse livro são: 

• Quem, dentro ou fora da organização, pode acessar uma categoria de dados; 
• O propósito dos dados dentro da organização, a que papel eles servem; 
• Políticas de retenção de dados: como e por quanto tempo um dado deve ser preservado (também conhecido como ciclo de vida); 
• Políticas de manuseio de dados: quem pode deletar, mover e manusear esses dados; 

• Locais de armazenamento de dados: onde os dados estão sendo armazenados; 
• Políticas de proteção de dados: como garantir que os meus dados estão indo para o lugar certo; 
• Como os dados podem (ou não) ser processados: quais dados podem ser usados para Analytics ou Machine Learning, por exemplo, e quais não podem; 
• Políticas de metadados: dados sobre dados e como catalogar as informações recebidas. 

Dentro dessas políticas, é importante atribuir sistemas robustos. Um dos itens mais interessantes é o Gerenciamento de Acesso e Identificação de Usuários ‒ também conhecido como IAM, em inglês, Identity and Access Management. 

Poder gerenciar os usuários com atributos, além de senhas, é fundamental. Se considerarmos que senhas normalmente são ruins, métodos mais robustos de autenticação fazem-se necessários e são fundamentais. 

Um método amplamente usado é a autenticação de múltiplos fatores (MFA) que, especialmente em políticas de alto risco ‒ dados de clientes ou dados financeiros, por exemplo, permite criar camadas extras de autenticação e autorização de um usuário, exigindo (mas não limitado a) biometrias, autorizações expressas por celular ou e-mail, e até mesmo reconhecimento facial. 

Apesar de não existir um guia definitivo para governança, podemos pensar em norteadores, ou seja, diretrizes gerais que devem ser analisadas e adequadas para o negócio em que serão aplicadas. De forma alguma, tais ações devem eximir a realização de pesquisas, assim, seguem alguns passos para essa melhoria contínua: 

Conheça e categorize as suas informações. 

Um ditado traduzido provém: “para governar seus dados, você precisa entender o que são seus dados”. Quais os dados que provém de ou para sua empresa, e quem eles são? 

Conforme as normas ISO IEC 17799 e 27001 da Associação Brasileira de Normas Técnicas (ABNT, 2001) e ABNT (2006), “a informação possui vários níveis de sensibilidade e criticidade […] em termos do quão crítica ela é para a organização como, por exemplo, em termos de integridade e disponibilidade”. Uma sugestão de categorias que pode servir é a divisão em três categorias de dados: 

• Restrita ‒ contém informações que permitem identificar, diretamente, pessoas ou processos de alto valor estratégico para uma empresa; 
• Sensível ‒ contém informações que comprometem, de alguma forma, pessoas ou processos de valor estratégico; 
• Irrestrita ‒ sem restrições de acesso, com outros dados que não incluem as categorias anteriores.

Essas informações podem ser categorizadas utilizando-se ferramentas de automação, como o BigQuery da Google, incluindo tags de política de dados, por exemplo. Isso não exime, porém, a necessidade de uma documentação extensiva, como citado anteriormente. 

Agrupe os seus dados de forma coerente 

Agregue informações como telefones, endereços, registros governamentais (como CPF ou carteira de motorista) dentro de um único “chapéu” ou classe de dados. Assim, num cenário fictício dessas informações, podemos  

Para esse agrupamento, pode ser relevante também existirem ferramentas que cumpram esse papel de forma privada. O objetivo é mapear os dados que existem dentro da sua empresa e categorizá-los a partir de categorias inteligentes ou definidas pela própria companhia, de forma a auditar, rapidamente, pontos de atenção, como riscos de acesso a informações sensíveis. 

Temos como exemplo de serviço o Amazon Macie como uma ferramenta de descoberta e categorização de dados automatizada, com o intuito de proteção de dados sensíveis. Ela permite criar, rapidamente, categorias para os seus dados através de inteligência artificial. 

Outro serviço com esse mesmo objetivo é o Google Cloud DLP, que também permite a identificação e a classificação de dados dentro de um ambiente Google. 

Independente da solução utilizada temos os seguintes pontos para classificação de dados automatizada: 

• Identificar classes de dados na ingestão, criando uma tarefa de classificação nas fontes de dados; 

• Ativar uma tarefa de classificação de dados periodicamente, revisando amostras dos dados. 

Pessoas, Responsabilidades e Processos 

Lado a lado com os dados devem vir os responsáveis por eles. É fundamental estabelecer papéis na companhia para designar responsabilidades e compliance nos processos e sistemas. Assim, algumas sugestões que podem ser realizadas são: 

Crie papéis e funções específicas para as necessidades

Seja LGPD, GDPR ou qualquer tipo de necessidade, é fundamental que se estabeleçam papéis que determinem as suas necessidades e que, principalmente, se adequem à sua realidade. Não adianta criar vinte cargos se a sua empresa não tiver pessoas suficientes para suprir esses cargos. Pense em tópicos como: 

• Qual o objetivo a ser alcançado, ou necessidade a ser suprida? 

• Qual o tamanho da necessidade? Quantas pessoas (ou tempo) devem ser alocadas para atingir o objetivo? 
• Onde, na hierarquia atual, se encaixam essas posições? 

Encaixe estes papéis em grupos  

Ao aumentar a granularidade das informações, existe mais controle sobre quem recebe o quê, ou a que níveis ou categorias as informações devem ser levadas. Em termos de sugestão, também podemos separar em três grandes áreas ou grupos de funções: 

• Nível executivo: gestão e liderança da companhia, responsáveis pela visão e governança;  

• Nível gerencial: gerentes e superiores que executam a visão de governança, estabelecendo metas e métricas; 

• Nível operacional: executa e gerenciam atividades para cumprir as metas e métricas estabelecidas pelo nível superior. 

Mapeie os seus processos  

Como destacamos, anteriormente, empresas com vários departamentos, por vezes, referem-se ao mesmo item com vários nomes. Enquanto um departamento de varejo pode se referir ao lucro bruto como “vendas”, o departamento financeiro da mesma companhia pode se referir a “vendas” como o lucro bruto de todos os departamentos combinados. 

Observe que, nesse exemplo isolado, já existe uma certa dissonância na informação: isso se escala rapidamente quando se envolvem muitas frentes. Se não houver uma implementação completa e homogênea em todas as frentes, a governança se torna inefetiva. 

Nesse ponto, é importante andar lado-a-lado com o processamento de dados, tornando-se importante fazer estas reflexões: A quem (ou o que) pertence determinado conjunto de dados? Quem é o responsável pela qualidade desses dados? Quais os metadados que convém em determinado processo? 

Crie e atribua responsabilidades 

Como muitas vezes não há espaço para alocar uma pessoa exclusiva para as tarefas de dados, é importante criar responsabilidades. 

Quando existem tarefas deixadas sem vínculo a um planejamento estratégico, sem ninguém responsável por elas, não é incomum elas ficarem largadas ou pendentes, ou mal implementadas. Assim, alocar uma pessoa (e um prazo) para realizar essas tarefas gera um senso de responsabilização ou accountability, em inglês, resultando em visibilidade, feedback e progresso ao projeto. 

Documente e compartilhe 

Como mencionado antes, conhecimento é poder. Conhecer melhor sobre os processos, aliados aos dados que forem coletados e às políticas corretas para seu ciclo de vida, é possível gerar insights e auditar internamente projetos e sistemas em que antes não ocorria visibilidade. 

Cultura, Monitoramento e Segurança 

Mais importante do que implementar um sistema é mantê-lo. De nada adianta provisionar e gerar ferramentas, sistemas, metodologias, se as pessoas não as usam. 

Além disso, há uma certa falta de informação na escala de dados com a qual se trabalha: a volumetria de dados, desde 2006, cresceu exponencialmente; um dado não é meramente um ponto de informação solto. 

Dados são uma cadeia de conhecimentos que, se bem usada, pode alavancar uma empresa em direção a uma cultura data-driven; e, se mal usada, pode causar problemas muito grandes. 

Como, então, podemos criar uma cultura com as ferramentas em mãos? Como monitorar e auditar o desempenho das estratégias que foram implementadas? Qual a importância da segurança dos nossos sistemas? 

Podemos definir uma cultura de dados como “um conjunto de valores, objetivos, atitudes e práticas em torno de dados, sua coleta e manuseio dentro de uma companhia ou organização” (ERYUREK et al., 2021). Nesse contexto, com uma visão alinhada, desde a liderança até o campo operacional, a governança tem mais chances de sucesso do que ser simplesmente uma nova política. 

Podemos, dessa forma, propor alguns caminhos norteadores para guiar os primeiros passos na cultura de governança de dados, com monitoramento e segurança adequados: 

• Alinhe o benefício com todos da empresa. Não encare o programa de cultura de dados como meramente um custo a mais, mas sim como um investimento para a empresa. Engaje os profissionais de todos os seus níveis operacionais a entenderem a mudança como uma parte da direção da empresa. 

• Invista em data literacy. Entende-se como data literacy ou alfabetização de dados, um conjunto de treinamentos que permite aos usuários ler, trabalhar, analisar e argumentar sobre dados coletados e enviados por si ou por um processo. Um conhecimento profundo, que inclui a habilidade de compreender informações a partir de dados, precisa ser introduzido por meio de treinamentos e comunicação interna. 

• Tenha um plano de manutenção da estratégia. Comunicação é um elemento chave para todos os processos em uma companhia: quando falamos de um shift cultural tão grande, é importante que não haja apenas a sua implementação, mas a sua manutenção também. Crie planos estratégicos e extensos de informação, feedback e aprimoramento contínuo na empresa. 

• Mantenha a agilidade dos processos. Ainda que uma mudança extensa cause empecilhos durante o seu planejamento e implementação, é fundamental manter o nível não somente de qualidade, mas de agilidade da companhia. 

Invista em metodologias e relações ágeis não somente para manter um plano e padrão de qualidade, mas também para criar um tempo de resposta em adaptação às novas demandas legais ou contratuais. 

• Cultive a responsabilização. Se não existem culpados, então, todos são culpados. Esse ditado não deve acontecer em uma empresa: cultive sempre a responsabilização de uma pessoa ou uma equipe para os casos relacionados com a cultura de privacidade e estruturação de dados, de forma transparente e com confiança mútua. Transparência e confiança são dois termos que devem ser desenvolvidos desde a raiz para uma cultura bem-sucedida.
  

Implementações Reais de Governança

Dados estão sendo considerados “o novo petróleo”, mas ainda é um recurso que várias empresas têm dificuldade de extrair valor de forma responsável e escalável. 

É importante destacar que ainda existe dissonância entre definições do que é governança (apesar de estar sendo definida determinada maturidade) e suas várias formas de implementá.-la. Além disso, podemos destacar a diferenciação entre setores privados e setores públicos, no quesito de dificuldade e extensão de aplicação. 

No setor privado, não existem muitas dúvidas: IBM e Google são exemplos de empresas que aplicam fortemente os seus critérios de governabilidade de dados com padrões internacionais. 

A Google compartilhou uma série de anúncios para adequação a vários dos seus serviços e guardam também referências para implementar. Enquanto a IBM, esta disponibiliza os seus documentos para auditoria pública. 

No setor público, podemos destacar dois estudos de caso bem relevantes. Um dos primeiros estudos, publicado em 2018, refere-se à implementação de um framework específico de Big Data no Departamento Nacional de Pensionamento da Coréia do Sul. Apesar de não haver muitos detalhes quanto à solução de big data implementada pelo órgão, em 2016, é importante ressaltar as dificuldades encontradas, como: 

• Riscos de integrar em sistemas legado, sendo necessário avaliar o nível de risco associado ‒ principalmente com um órgão que trabalha, primariamente, com dados sensíveis da população; 
• A consequência de um monopólio de informação, refletindo a política de “Governo 3.0” em termos de transparência; 
• A sugestão de um projeto piloto para verificar a aplicabilidade do projeto. 

Outro artigo (CHEONG, 2007) traz critérios e exemplos ricos sobre questões comuns e como resolvê-las, para uma companhia anônima dos Estados Unidos, dos quais se destacam: 

O segundo exemplo de caso de implementação de governança, no setor público, foi apresentado em um artigo para The Australasian Conference on Information Systems, em 2007, onde foram listados critérios e exemplos ricos sobre questões comuns e como resolvê-las, para uma companhia dos Estados Unidos, dos quais se destacam: 

• Gerenciamento de dados reativo, e não proativo: ao invés de reagir às mudanças, a equipe estabelece estratégias para melhorar e manter a qualidade dos dados; 
• Dados não facilmente acessíveis: nem todos os dados são replicados para os bancos de dados adequados, e não há um espelhamento adequado das informações; 
• Dificuldade de encontrar um consenso em padrão de dados: aquisição de uma possível loja de metadados e uma forma de criar aderência para padrões de dados comuns foram soluções pensadas para esse quesito; 
• Falta de consenso para interpretação de dados: uma situação delicada que, nas palavras do autor, “não havia estrutura de governança suficiente para implementar e endossar […] uma política de guardião de dados”. A isso se carregou a ideia de uma própria estrutura simples de dados e de governança, para evitar bottlenecks (termo comum, em inglês, para gargalos de uma linha de produção) e atrasos em projetos futuros e existentes”.
  

Por fim, implementar governança não é uma tarefa fácil. Organizar ou reorganizar todos os paradigmas de construção de uma companhia, iniciando do zero ou modificando sistemas que já estão inseridos, pode provar-se um desafio para agilidade e qualidade do serviço. Porém, quando bem provisionada e pensada, é possível alcançar mudanças incríveis, como o aumento de confiabilidade e dinamismo para novos mercados e regulações. Uma cultura data-driven precisa de uma base sólida que, quando provisionada, proveja robustez ao negócio. 

Invista em Data Governance para sua empresa: Conte com a Rox Partner

A Rox Partner é a sua parceira estratégica em Governança de Dados. Oferecemos soluções para garantir a qualidade, segurança e eficiência dos seus dados, mantendo sua empresa em conformidade com as regulamentações essenciais, como a LGPD e a GDPR.
Nossa equipe especializada está pronta para ajudar sua empresa a implementar práticas de governança de dados sob medida, protegendo informações críticas e impulsionando a cultura data-driven. Faça hoje mesmo um upgrade na gestão dos seus dados. Entre em contato conosco e descubra como a Rox Partner pode transformar a maneira como você lida com seus ativos de informação. Seu sucesso começa aqui! 

Fale com a Rox

 

Learn More

A Governança de Dados se tornou um jargão comum entre os grandes players do mercado, Google, Amazon, Microsoft e muitos outros destacam a importância do controle dos dados em uma empresa. 

Muitas vezes não entendemos totalmente o que significa “governar dados”, muito menos como começar a fazer isso. Este artigo pretende iluminar alguns conceitos obscuros dessa tendência da área de Analytics e te ajudar a dar o primeiro passo para o compliance.  

Afinal, o que é a governança de dados? 

Governança de Dados é a implementação de políticas, métricas e padrões para gerenciar e garantir a qualidade, segurança, efetividade e eficiência de todos os dados da empresa, desde a sua aquisição até o seu posterior descarte. É a implementação do ciclo de vida dos dados, que vem se tornando cada dia mais valioso, tanto para empresas já estabelecidas quanto para novas no mercado. 

Dentre algumas das várias vantagens da governança de dados, podemos destacar:

• Embasa decisões baseadas em dados, ou decisões data driven;  
• Mantém a empresa competitiva, seguindo os padrões de qualidade da informação para clientes e stakeholders;
• Cria insights de visualização de negócio, ajudando a otimizar custos
  
• Horizontaliza a informação, aumentando a confiabilidade dos dados de funcionários, usuários e clientes finais;
  
• Mantém a empresa em conformidade com as leis de proteção de dados, como  a LGPD (Lei Geral de Proteção de Dados) e GDPR (Regulamento Geral sobre a Proteção de Dados), em termos de segurança, privacidade, e compliance. 

Quais os Pilares da Governança de dados? 

A Governança de Dados apresenta diferentes modos de implementação (ou frameworks). Vamos segmentá-la nos seguintes pilares, incluindo algumas perguntas norteadoras para reflexão: 

1. Estratégia de dados
   Estabelecer uma visão clara dos objetivos da governança de dados. Por que eu preciso de uma estratégia de dados?
2. Qualidade de dados
   Garantir que os dados são precisos, confiáveis, consistentes e adequados para os seus propósitos. Quais são os problemas que eu tenho com dados e como posso mitigá-los?
3. Segurança de dados
   Proteger dados sensíveis e confidenciais de acesso, vazamento ou uso impróprio. Quais são os meus dados sensíveis?
4. Uso de dados
   Definir e aplicar políticas e controles para acesso, compartilhamento e uso de dados dentro da organização. Quem usa meus dados e para quê?
5. Medição de dados
   Definir indicadores-chave de desempenho (KPIs) e métricas para avaliar a eficácia e o sucesso dos esforços de governança de dados. Como posso medir quais estratégias estão funcionando?

Apesar de serem áreas separadas, perceba que todas elas se comunicam: não há como gerenciar a qualidade dos dados sem ter uma estratégia e sem definir o seu ciclo de vida. 

Igualmente, os ativos de dados devem ser corretamente tratados para serem usados e acessados em conformidade às políticas que a empresa definir. Por fim, os seus dados devem ser integrados e medidos pelos respectivos papéis e métricas para iterar e adequar as métricas de desempenho. 

Quais os benefícios do Data Governance? 

Mudanças em qualquer ambiente empresarial são complexas, demoradas e desgastantes. Porém, implementações de frameworks resultam, comprovadamente, em: 

• Aumento do lucro e participação de mercado (market share);
• Redução de riscos e custos incorridos por leis de privacidade, segurança de vazamentos e responsabilidade civil e regulatória;
• Aumento da confiança nas informações providas pelas organizações;
• Um sistemático aumento da percepção de como o fluxo de informação progride na empresa;
• Aumento da eficiência de projetos de gerenciamento da empresa.

Como implementar a Governança de Dados na minha empresa?  

Com um pouco de pesquisa, percebe-se que existem inúmeras formas de implementar a governança de dados. Não existe um padrão exato para essa ação. Em geral, as empresas criam as suas próprias estratégias, adequadas ao negócio. 

Mas, afinal, como posso implementar a Governança de Dados na minha empresa?  

Como não é possível apresentar uma solução unificada para todo e qualquer caso de trabalho, podemos destacar algumas ações comuns: 

1. Centralize os dados, o máximo possível
   Muitos setores em uma mesma empresa tendem a ter uma versão própria de determinadas informações ou arquivos, como planilhas ou inventários. Proponha sempre centralizar esses dados, para que todos sempre possam acessá-las do mesmo lugar e ter a versão mais atualizada. 
2. Crie políticas de acesso de dados
   Dê apenas o acesso necessário a quem precisa do acesso, e nada mais. Reduzir o escopo de acesso diminui as chances do uso incorreto de dados, reduzindo as chances de vazamentos e perda de integridade das informações.
3. Crie métricas para as suas políticas de dados
   Crie sistemas, estruturas e métodos que te ajudem a medir se as suas políticas estão sendo efetivas para embasar as suas decisões sobre mantê-las ou modificá-las.
4. Mantenha-se a par da legislação vigente
   Seja no Brasil, quando regido pela LGPD, ou na Europa, regido pela GDPR, sempre esteja de olho na legislação para manter compliance com o seu gerenciamento de dados pessoais ou sensíveis.
5.  Mapeie, classifique, catalogue, documente
   Informação é poder: agregue (ou crie) documentações e mapeamentos para entender como os seus dados fluem. De onde vem, para que servem, como podem ser usados, criando uma base de transparência em todos os processos.
6. Estimule a colaboração
   Não implemente apenas as estruturas: demonstre por quê elas são importantes e como elas podem agregar à sua empresa. Engaje todos os envolvidos a entenderem como os seus dados funcionam, realizando treinamentos, motivando a alfabetização de dados (Data Literacy) e uma cultura colaborativa.

E você, está preparado para implementar a Governança de Dados na sua empresa?

Com dedicação, governar os seus dados agregará ao seu negócio maior valor de produto e diminuirá custos e riscos do processo. 

Pensando em implementar um projeto de governança de dados na sua empresa? Conte com a Rox Partner! 

A Rox Partner é uma consultoria especializada em projetos de Governança de Dados e Segurança, destacando-se por sua expertise em ajudar organizações a gerenciar e proteger a integridade e confidencialidade de suas informações de maneira eficaz. Nossos serviços abrangem desde a avaliação e mapeamento dos dados até a implementação de políticas e controles adequados, garantindo a conformidade com as normas e regulamentações vigentes, como a LGPD. 

Com a Rox Partner, você tem a garantia de que seu negócio está em boas mãos quando se trata de governança de dados e segurança. Entre em contato com a gente!

Até a próxima! 

Learn More