Implementando a Governança de Dados: Protegendo Ativos Valiosos
- Por Rox Partner
Governança de Dados representa a implementação criteriosa de políticas, métricas e padrões destinados a administrar e assegurar a qualidade, segurança, eficácia e eficiência de todo o espectro de dados organizacionais. Em nosso blog, iniciamos a tratar sobre esse assunto no artigo “Dados como Ativos Valiosos: A Importância da Governança de Dados para Empresas de Todos os Portes”.
Desde o momento de sua geração até o inevitável desfecho de sua jornada, a gestão dos dados ecoa a abordagem aplicada na administração de bens tangíveis, traduzindo a essência da cadeia produtiva digital na qual insumos e produtos finais merecem igual atenção.
Também vimos que governança de dados é valioso para as empresas se manterem atualizadas, tanto do ponto de vista de conformidade com as leis do cenário de atuação (LGPD no Brasil ou GDPR na Europa, por exemplo), como também para contribuir para resultar em uma grande mudança de cultura data-driven.
Neste artigo, serão abordadas as melhores práticas para a implementação da governança de dados para proteção dos seus ativos
Como implementar Governança de Dados: Quais os ingredientes necessários para esta receita?
A governança de dados é comparável, mas também distinta, a uma receita de bolo. Pense em confeiteiros com diferentes níveis de experiência: os novatos seguem quantidades e instruções da receita de forma precisa, enquanto os mais experientes têm uma visão holística do processo.
Enquanto os novatos utilizam medidas exatas e passos sequenciais, os veteranos enxergam o conjunto, compreendendo como as quantidades afetam a consistência, o tempo de cozimento, o sabor e a complementaridade com outros pratos. Não há respostas absolutas quanto à quantidade de colheres ou gramas precisas, nem mesmo a marca da farinha; em vez disso, o foco está nos resultados diversos que podem ser alcançados.
Em governança de dados, nós podemos aplicar a mesma ideia. Apesar de existirem elementos comuns que constituem uma estratégia de governança, muitos fatores devem ser discutidos e racionados de acordo com a própria experiência da companhia: quantas pessoas serão alocadas? Quais ferramentas serão usadas (ou criadas) para auxiliar a implementação e o monitoramento? Qual será a estratégia para definir o ciclo de vida de um produto?
Tudo isso não implica na inexistência de padrões ou boas práticas. De maneira análoga a adicionar canela a um bolo para um toque de sabor específico, à qual é bem-vinda em certas variações, porém não em outras, é de vital importância exercer um senso crítico ao avaliar o contexto de cada empresa.
Cada situação deve ser avaliada individualmente. Apesar da disponibilidade de estruturas (frameworks) que agilizam a implementação, é crucial não se eximir de compreender e criar planos personalizados que possam ser adaptados ao projeto em questão.
Classificando e Protegendo Dados
Em nosso artigo intitulado “A Importância da Governança de Dados para Empresas de Todos os Portes” do nosso blog, sinalizamos que devemos criar políticas de acesso a dados. Essas políticas devem ser transparentes e de fácil compreensão para os usuários e, para isso, deve-se compreender com quais dados estão sendo trabalhados.
Antes de qualquer coisa, documente a sua política. Seja ela apenas um grande documento ou um conjunto de informações e suas documentações, é fundamental que haja uma documentação da metodologia de governança. Essa documentação lhe permite:
- conduzir auditorias internas sobre os processos;
- ter prontamente um documento para consumo de auditorias externas;
- ter uma visão extensa de todos os pontos que tangenciam a governança.
O livro Data Governance: The Definitive Guide, da O’Reilly, traz grande profundidade aos diversos termos apresentados neste blog e é uma forte sugestão de leitura. Alguns pontos sugeridos pelos autores nesse livro são:
- Quem, dentro ou fora da organização, pode acessar uma categoria de dados;
- O propósito dos dados dentro da organização, a que papel eles servem;
- Políticas de retenção de dados: como e por quanto tempo um dado deve ser preservado (também conhecido como ciclo de vida);
- Políticas de manuseio de dados: quem pode deletar, mover e manusear esses dados;
- Locais de armazenamento de dados: onde os dados estão sendo armazenados;
- Políticas de proteção de dados: como garantir que os meus dados estão indo para o lugar certo;
- Como os dados podem (ou não) ser processados: quais dados podem ser usados para Analytics ou Machine Learning, por exemplo, e quais não podem;
- Políticas de metadados: dados sobre dados e como catalogar as informações recebidas.
Dentro dessas políticas, é importante atribuir sistemas robustos. Um dos itens mais interessantes é o Gerenciamento de Acesso e Identificação de Usuários ‒ também conhecido como IAM, em inglês, Identity and Access Management.
Poder gerenciar os usuários com atributos, além de senhas, é fundamental. Se considerarmos que senhas normalmente são ruins, métodos mais robustos de autenticação fazem-se necessários e são fundamentais.
Um método amplamente usado é a autenticação de múltiplos fatores (MFA) que, especialmente em políticas de alto risco ‒ dados de clientes ou dados financeiros, por exemplo, permite criar camadas extras de autenticação e autorização de um usuário, exigindo (mas não limitado a) biometrias, autorizações expressas por celular ou e-mail, e até mesmo reconhecimento facial.
Apesar de não existir um guia definitivo para governança, podemos pensar em norteadores, ou seja, diretrizes gerais que devem ser analisadas e adequadas para o negócio em que serão aplicadas. De forma alguma, tais ações devem eximir a realização de pesquisas, assim, seguem alguns passos para essa melhoria contínua:
Conheça e categorize as suas informações.
Um ditado traduzido provém: “para governar seus dados, você precisa entender o que são seus dados”. Quais os dados que provém de ou para sua empresa, e quem eles são?
Conforme as normas ISO IEC 17799 e 27001 da Associação Brasileira de Normas Técnicas (ABNT, 2001) e ABNT (2006), “a informação possui vários níveis de sensibilidade e criticidade […] em termos do quão crítica ela é para a organização como, por exemplo, em termos de integridade e disponibilidade”. Uma sugestão de categorias que pode servir é a divisão em três categorias de dados:
- Restrita ‒ contém informações que permitem identificar, diretamente, pessoas ou processos de alto valor estratégico para uma empresa;
- Sensível ‒ contém informações que comprometem, de alguma forma, pessoas ou processos de valor estratégico;
- Irrestrita ‒ sem restrições de acesso, com outros dados que não incluem as categorias anteriores.
Essas informações podem ser categorizadas utilizando-se ferramentas de automação, como o BigQuery da Google, incluindo tags de política de dados, por exemplo. Isso não exime, porém, a necessidade de uma documentação extensiva, como citado anteriormente.
Agrupe os seus dados de forma coerente
Agregue informações como telefones, endereços, registros governamentais (como CPF ou carteira de motorista) dentro de um único “chapéu” ou classe de dados. Assim, num cenário fictício dessas informações, podemos
Para esse agrupamento, pode ser relevante também existirem ferramentas que cumpram esse papel de forma privada. O objetivo é mapear os dados que existem dentro da sua empresa e categorizá-los a partir de categorias inteligentes ou definidas pela própria companhia, de forma a auditar, rapidamente, pontos de atenção, como riscos de acesso a informações sensíveis.
Temos como exemplo de serviço o Amazon Macie como uma ferramenta de descoberta e categorização de dados automatizada, com o intuito de proteção de dados sensíveis. Ela permite criar, rapidamente, categorias para os seus dados através de inteligência artificial.
Outro serviço com esse mesmo objetivo é o Google Cloud DLP, que também permite a identificação e a classificação de dados dentro de um ambiente Google.
Independente da solução utilizada temos os seguintes pontos para classificação de dados automatizada:
- Identificar classes de dados na ingestão, criando uma tarefa de classificação nas fontes de dados;
- Ativar uma tarefa de classificação de dados periodicamente, revisando amostras dos dados.
Pessoas, Responsabilidades e Processos
Lado a lado com os dados devem vir os responsáveis por eles. É fundamental estabelecer papéis na companhia para designar responsabilidades e compliance nos processos e sistemas. Assim, algumas sugestões que podem ser realizadas são:
Crie papéis e funções específicas para as necessidades
Seja LGPD, GDPR ou qualquer tipo de necessidade, é fundamental que se estabeleçam papéis que determinem as suas necessidades e que, principalmente, se adequem à sua realidade. Não adianta criar vinte cargos se a sua empresa não tiver pessoas suficientes para suprir esses cargos. Pense em tópicos como:
- Qual o objetivo a ser alcançado, ou necessidade a ser suprida?
- Qual o tamanho da necessidade? Quantas pessoas (ou tempo) devem ser alocadas para atingir o objetivo?
- Onde, na hierarquia atual, se encaixam essas posições?
Encaixe estes papéis em grupos
Ao aumentar a granularidade das informações, existe mais controle sobre quem recebe o quê, ou a que níveis ou categorias as informações devem ser levadas. Em termos de sugestão, também podemos separar em três grandes áreas ou grupos de funções:
- Nível executivo: gestão e liderança da companhia, responsáveis pela visão e governança;
- Nível gerencial: gerentes e superiores que executam a visão de governança, estabelecendo metas e métricas;
- Nível operacional: executa e gerenciam atividades para cumprir as metas e métricas estabelecidas pelo nível superior.
Mapeie os seus processos
Como destacamos, anteriormente, empresas com vários departamentos, por vezes, referem-se ao mesmo item com vários nomes. Enquanto um departamento de varejo pode se referir ao lucro bruto como “vendas”, o departamento financeiro da mesma companhia pode se referir a “vendas” como o lucro bruto de todos os departamentos combinados.
Observe que, nesse exemplo isolado, já existe uma certa dissonância na informação: isso se escala rapidamente quando se envolvem muitas frentes. Se não houver uma implementação completa e homogênea em todas as frentes, a governança se torna inefetiva.
Nesse ponto, é importante andar lado-a-lado com o processamento de dados, tornando-se importante fazer estas reflexões: A quem (ou o que) pertence determinado conjunto de dados? Quem é o responsável pela qualidade desses dados? Quais os metadados que convém em determinado processo?
Crie e atribua responsabilidades
Como muitas vezes não há espaço para alocar uma pessoa exclusiva para as tarefas de dados, é importante criar responsabilidades.
Quando existem tarefas deixadas sem vínculo a um planejamento estratégico, sem ninguém responsável por elas, não é incomum elas ficarem largadas ou pendentes, ou mal implementadas. Assim, alocar uma pessoa (e um prazo) para realizar essas tarefas gera um senso de responsabilização ou accountability, em inglês, resultando em visibilidade, feedback e progresso ao projeto.
Documente e compartilhe
Como mencionado antes, conhecimento é poder. Conhecer melhor sobre os processos, aliados aos dados que forem coletados e às políticas corretas para seu ciclo de vida, é possível gerar insights e auditar internamente projetos e sistemas em que antes não ocorria visibilidade.
Cultura, Monitoramento e Segurança
Mais importante do que implementar um sistema é mantê-lo. De nada adianta provisionar e gerar ferramentas, sistemas, metodologias, se as pessoas não as usam.
Além disso, há uma certa falta de informação na escala de dados com a qual se trabalha: a volumetria de dados, desde 2006, cresceu exponencialmente; um dado não é meramente um ponto de informação solto.
Dados são uma cadeia de conhecimentos que, se bem usada, pode alavancar uma empresa em direção a uma cultura data-driven; e, se mal usada, pode causar problemas muito grandes.
Como, então, podemos criar uma cultura com as ferramentas em mãos? Como monitorar e auditar o desempenho das estratégias que foram implementadas? Qual a importância da segurança dos nossos sistemas?
Podemos definir uma cultura de dados como “um conjunto de valores, objetivos, atitudes e práticas em torno de dados, sua coleta e manuseio dentro de uma companhia ou organização” (ERYUREK et al., 2021). Nesse contexto, com uma visão alinhada, desde a liderança até o campo operacional, a governança tem mais chances de sucesso do que ser simplesmente uma nova política.
Podemos, dessa forma, propor alguns caminhos norteadores para guiar os primeiros passos na cultura de governança de dados, com monitoramento e segurança adequados:
- Alinhe o benefício com todos da empresa. Não encare o programa de cultura de dados como meramente um custo a mais, mas sim como um investimento para a empresa. Engaje os profissionais de todos os seus níveis operacionais a entenderem a mudança como uma parte da direção da empresa.
- Invista em data literacy. Entende-se como data literacy ou alfabetização de dados, um conjunto de treinamentos que permite aos usuários ler, trabalhar, analisar e argumentar sobre dados coletados e enviados por si ou por um processo. Um conhecimento profundo, que inclui a habilidade de compreender informações a partir de dados, precisa ser introduzido por meio de treinamentos e comunicação interna.
- Tenha um plano de manutenção da estratégia. Comunicação é um elemento chave para todos os processos em uma companhia: quando falamos de um shift cultural tão grande, é importante que não haja apenas a sua implementação, mas a sua manutenção também. Crie planos estratégicos e extensos de informação, feedback e aprimoramento contínuo na empresa.
- Mantenha a agilidade dos processos. Ainda que uma mudança extensa cause empecilhos durante o seu planejamento e implementação, é fundamental manter o nível não somente de qualidade, mas de agilidade da companhia.
Invista em metodologias e relações ágeis não somente para manter um plano e padrão de qualidade, mas também para criar um tempo de resposta em adaptação às novas demandas legais ou contratuais.
- Cultive a responsabilização. Se não existem culpados, então, todos são culpados. Esse ditado não deve acontecer em uma empresa: cultive sempre a responsabilização de uma pessoa ou uma equipe para os casos relacionados com a cultura de privacidade e estruturação de dados, de forma transparente e com confiança mútua. Transparência e confiança são dois termos que devem ser desenvolvidos desde a raiz para uma cultura bem-sucedida.
Implementações Reais de Governança
Dados estão sendo considerados “o novo petróleo”, mas ainda é um recurso que várias empresas têm dificuldade de extrair valor de forma responsável e escalável.
É importante destacar que ainda existe dissonância entre definições do que é governança (apesar de estar sendo definida determinada maturidade) e suas várias formas de implementá.-la. Além disso, podemos destacar a diferenciação entre setores privados e setores públicos, no quesito de dificuldade e extensão de aplicação.
No setor privado, não existem muitas dúvidas: IBM e Google são exemplos de empresas que aplicam fortemente os seus critérios de governabilidade de dados com padrões internacionais.
A Google compartilhou uma série de anúncios para adequação a vários dos seus serviços e guardam também referências para implementar. Enquanto a IBM, esta disponibiliza os seus documentos para auditoria pública.
No setor público, podemos destacar dois estudos de caso bem relevantes. Um dos primeiros estudos, publicado em 2018, refere-se à implementação de um framework específico de Big Data no Departamento Nacional de Pensionamento da Coréia do Sul. Apesar de não haver muitos detalhes quanto à solução de big data implementada pelo órgão, em 2016, é importante ressaltar as dificuldades encontradas, como:
- Riscos de integrar em sistemas legado, sendo necessário avaliar o nível de risco associado ‒ principalmente com um órgão que trabalha, primariamente, com dados sensíveis da população;
- A consequência de um monopólio de informação, refletindo a política de “Governo 3.0” em termos de transparência;
- A sugestão de um projeto piloto para verificar a aplicabilidade do projeto.
Outro artigo (CHEONG, 2007) traz critérios e exemplos ricos sobre questões comuns e como resolvê-las, para uma companhia anônima dos Estados Unidos, dos quais se destacam:
O segundo exemplo de caso de implementação de governança, no setor público, foi apresentado em um artigo para The Australasian Conference on Information Systems, em 2007, onde foram listados critérios e exemplos ricos sobre questões comuns e como resolvê-las, para uma companhia dos Estados Unidos, dos quais se destacam:
- Gerenciamento de dados reativo, e não proativo: ao invés de reagir às mudanças, a equipe estabelece estratégias para melhorar e manter a qualidade dos dados;
- Dados não facilmente acessíveis: nem todos os dados são replicados para os bancos de dados adequados, e não há um espelhamento adequado das informações;
- Dificuldade de encontrar um consenso em padrão de dados: aquisição de uma possível loja de metadados e uma forma de criar aderência para padrões de dados comuns foram soluções pensadas para esse quesito;
- Falta de consenso para interpretação de dados: uma situação delicada que, nas palavras do autor, “não havia estrutura de governança suficiente para implementar e endossar […] uma política de guardião de dados”. A isso se carregou a ideia de uma própria estrutura simples de dados e de governança, para evitar bottlenecks (termo comum, em inglês, para gargalos de uma linha de produção) e atrasos em projetos futuros e existentes”.
Por fim, implementar governança não é uma tarefa fácil. Organizar ou reorganizar todos os paradigmas de construção de uma companhia, iniciando do zero ou modificando sistemas que já estão inseridos, pode provar-se um desafio para agilidade e qualidade do serviço. Porém, quando bem provisionada e pensada, é possível alcançar mudanças incríveis, como o aumento de confiabilidade e dinamismo para novos mercados e regulações. Uma cultura data-driven precisa de uma base sólida que, quando provisionada, proveja robustez ao negócio.
Invista em Data Governance para sua empresa: Conte com a Rox Partner
A Rox Partner é a sua parceira estratégica em Governança de Dados. Oferecemos soluções para garantir a qualidade, segurança e eficiência dos seus dados, mantendo sua empresa em conformidade com as regulamentações essenciais, como a LGPD e a GDPR.
Nossa equipe especializada está pronta para ajudar sua empresa a implementar práticas de governança de dados sob medida, protegendo informações críticas e impulsionando a cultura data-driven. Faça hoje mesmo um upgrade na gestão dos seus dados. Entre em contato conosco e descubra como a Rox Partner pode transformar a maneira como você lida com seus ativos de informação. Seu sucesso começa aqui!
Conheça a Rox School
Somos especialistas em cuidar dos seus dados, oferecendo soluções inovadoras e parcerias com os maiores nomes da tecnologia para manter você sempre à frente.