Questo articolo dedicato alla Data Governance, è stato recentemente pubblicato sul Magazine Cybersecurity Assintel:
Il ritorno di attualità della qualità e della sicurezza dei dati: la Data governance come disciplina emergente
La governance e la qualità dei dati gestiti nelle aziende stanno assumendo crescente rilevanza per svariate motivazioni, per evidenti esigenze di disporre di informazioni corrette per favorire mirate decisioni di business, per ragioni di efficienza nello svolgimento dei processi interni senza dover impegnare tempi eccessivi nel reperimento e controllo delle informazioni trattate, e, fatto non secondario, per ragioni di compliance alle normative che sempre più richiamano la responsabilità del management aziendale nella “creazione” e “utilizzo” di informazioni che possono determinare, ad esempio, violazioni di sicurezza con possibili sanzioni (come nel caso di GDPR), o errori nelle pratiche commerciali e negli adempimenti bilancistici.
Questo scenario si può applicare a tutte le aziende di tutti i settori economici, ma è particolarmente rilevante per le aziende che appartengono a settori regolamentati come il settore bancario (Circolare Bankit 285/2013) e assicurativo (Regolamento IVASS N° 38 del 2018). Tali settori hanno da sempre operato come apripista di mercato per svariate motivazioni, fra le quali la presenza di Normative internazionali, in particolare Basilea per il settore bancario e Solvency per il settore assicurativo, che nel tempo si sono focalizzate sull’impatto dei servizi informatici per il business, dall’IT risk management, alla sicurezza informatica, alla business continuity. Non è casuale che il già citato Regolamento IVASS preveda due sezioni dedicate alla Cybersecurity e alla Data Governance.
Anche alcune Norme (come ISO 25012) e alcuni Framework internazionali (come Cobit19 dedicato all’IT Governance) trattano tematiche riconducibili rispettivamente alla “Qualità dei dati” e al “Data management”.
La Norma ISO 25012 “appartiene” alla “famiglia” di Norme ISO 25000 dedicata allo sviluppo software e alla qualità di dati e identificata con la sigla SQuaRE (Systems and Software Quality Requirements and Evaluation). La Norma ISO 25012 (Data quality model), pubblicata nel 2008 e aggiornata nel 2019, indica 15 requisiti da rispettare nei trattamenti informatici dei dati, descritti all’interno della Norma. Alcuni di questi requisiti relativi alla sicurezza delle informazioni, come integrità, disponibilità e riservatezza, sono previsti anche da altre Norme ISO dedicate alla sicurezza delle informazioni, alla business continuity e all’IT service management. E’ interessante, al riguardo, considerare che la adozione da parte delle aziende della Norma ISO 25012 può essere oggetto di un Attestato di conformità da parte di Enti di certificazione accreditati e, in questa logica, costituire la comprova di un corretto approccio di “Controllo Interno” in azienda, per quanto relativo ai dati di business sulla base dei quali sono prese decisioni e, fatto non marginale, per le implicazioni di compliance nei trattamenti di dati personali, come ad esempio il principio di “Accountability” richiamato nel Capitolo 5.2 di GDPR.
Il già citato Cobit, nella versione aggiornata nel 2019, ha inserito una specifica sezione dedicata a 10 processi di “Data Management”, che rappresentano diversi aspetti da considerare nella progettazione, realizzazione e gestione di applicazioni: definizione di una strategia aziendale e delle responsabilità nella gestione dei dati, stesura di un dizionario dei dati, gestione dei metadati (aspetto rilevante del Regolamento e-Privacy di prossima pubblicazione), strategia di qualità da adottare, profilazione dei dati in termini di metodologie e strumentazione, assessment sulla qualità dei dati, adozione di un approccio di “cleaning” dei dati, identificazione del ciclo di vita del dato, archiviazione e “retention” dei dati, e infine “back up and restore”.
Quali le implicazioni per le aziende? Da sempre il dato è stato il “driver” dell’automazione, non a caso l’informatica negli anni sessanta era identificata come “Data processing”, e ora con la recente evoluzione delle tecnologie ICT, dalla già diffusa business intelligence, ai Big data, all’Iot, alla digitalizzazione dei processi e alla robotica, all’Intelligenza artificiale, la gestione del dato presenta una rilevanza ancor più fondamentale. Si potrebbe dire “nulla di nuovo all’orizzonte”, considerando che concetti come “modello dei dati”, “dizionario dei dati” , “data administrator”, erano già pratiche o ruoli di attualità negli anni settanta, epoca di diffusione dei servizi on line e dei data base nei sistemi informatici aziendali. L’aspetto interessante da considerare è che l’avvento di Internet negli anni novanta non si è accompagnato ad una adeguata attenzione al “dato” da parte delle aziende, come se fosse “scontata” la sua integrità, disponibilità e riservatezza (requisiti fondanti della sicurezza delle informazioni, come già sottolineato). Il ritorno di attenzione al “dato” è stato favorito negli anni duemila dagli adempimenti di Governance e Compliance richiesti, a vario titolo, alle aziende, che hanno trovato nella disponibilità di Norme e standard internazionali un concreto aiuto per indirizzare le soluzioni richieste. In questo percorso che sta subendo una forte accelerazione a fronte della incessante evoluzione delle tecnologie e della cybersecurity, l’azienda dovrebbe considerare che l’Informatica non è solo hardware e software, ma anche l’insieme di metodologie che consentano alle organizzazioni di disporre di un patrimonio informativo affidabile, gestito secondo i principi di qualità, sicurezza, efficienza, efficacia e compliance. Ne deriva, inevitabilmente, l’esigenza di una adeguata sensibilizzazione e formazione su tali tematiche da parte dei managers e dei professionals aziendali coinvolti nella costruzione, gestione e utilizzo delle banche dati.