В сфере конфиденциальности данных и проектирования систем не вся ценная информация хранится в формальных системах или базах данных. Значительная часть знаний организации хранится в виде опыта, представлений и неписаных практических решений её сотрудников. Их часто называют коллективными знаниями.
Коллективные знания не задокументированы, но играют большую роль в создании всеобъемлющих моделей данных и интеграции конфиденциальности в проекты систем.
В этом уроке разберёмся в способах сбора, организации и использования данных, которые не фиксируются в системах, и как это повышает уровень конфиденциальности при проектировании.
Зачем и как собирать коллективные знания
Коллективные знания — это информация, опыт и знания сотрудников, которые официально не документируются и не хранятся в структурированных базах данных. Они включают неписаные процедуры, неформальные рабочие процессы, методы решения проблем и культурные традиции, которые влияют на выполнение задач.
Работа с такими данными занимает важное место в концепции Privacy by Design при проектировании системы. Она помогает обнаружить неочевидные угрозы конфиденциальности, учесть реальные процессы и устранить разрыв между политиками и практикой.
И напротив — игнорирование недокументированных процессов грозит получением неточной модели данных. Среди них есть критически важные — их нельзя упускать.
Сбор требует целенаправленного извлечения и документирования информации. При сборе нужно учитывать несколько вещей. Как сотрудники взаимодействуют с коллегами, клиентами, госорганами и заказчиками — удобно ли взаимодействовать, какие проблемы возникают при обмене информацией внутри и вне компании, что хотелось бы улучшить.
В таблице шесть способов сбора данных.
Систематизация коллективных знаний
После сбора данных их систематизируют для анализа и обработки. Сначала сведения распределяют по значимым категориям — о практике обмена данными, рисках, предложениях по улучшению и другим. Это позволяет определить приоритеты.
Например, HealthConnect выяснила, что врачи обмениваются результатами анализов пациентов в мессенджерах — для быстрой консультации. Компания включила использование личных приложений для обмена сообщениями в диаграммы потоков данных. Риски утечки стали очевидны, как и необходимость устранения уязвимости.
Второй шаг — создание центральной базы знаний. Она должна быть защищена от несанкционированного доступа, постоянно обновляться и быть проста для навигации и поиска — чтобы сотрудники регулярно её использовали.
Например, внутренняя вики компании — она должна быть живой, регулярно обновляться с учётом новых результатов и передового опыта.
Создание моделей данных
Теперь знания можно использовать для разработки комплексных моделей — они покажут истинную картину потоков данных в организации.
Разработка точных диаграмм потоков данных
Сперва данные визуализируют — разрабатывают точные диаграммы потоков. Так становятся очевидны все актуальные пути передачи данных, точки соприкосновения с данными и потенциальные уязвимости.
Например, HealthConnect выяснила, что врачи обмениваются результатами анализов пациентов в мессенджерах — для быстрой консультации. Компания включила использование личных приложений для обмена сообщениями в диаграммы потоков данных. Риски утечки стали очевидны — как и необходимость устранения уязвимости.
Совершенствование политики управления данными
С помощью моделей можно усовершенствовать процедуры управления данными — обновить политики для устранения разрывов между документами и практикой, внедрить контроль для снижения рисков и стандартизировать процессы.
Например, HealthConnect разработала новую политику — запретила несанкционированные средства обмена информацией о пациентах и предложила альтернативы.
Программы обучения и повышения осведомлённости
Модели данных позволяют разработать программы обучения сотрудников. Как бы это банально ни звучало, нужно регулярно проводить тренинги по методам безопасной связи и рискам несанкционированного обмена данными. Так сотрудники восполнят знания о надлежащих процедурах обработки данных и важности соблюдения требований.
Использование внедрённых инструментов и практик поощряется, как и общее чувство ответственности за конфиденциальность данных.
Роль коллективных знаний в соблюдении конфиденциальности
Резюмируя — с помощью коллективных знаний можно сформировать точное и целостное понимание механизмов обработки данных в организации. Такой подход выявляет уязвимости, которые могут быть неочевидны при системном анализе.
Ещё подход вовлекает сотрудников в процесс обеспечения соответствия требованиям конфиденциальности — они становятся привержены политикам.
В результате организация способна соответствовать нормативным требованиям. Если она ценит и систематически интегрирует коллективные знания — повышается уровень конфиденциальности, и формируется культура, в которой конфиденциальность становится неотъемлемой частью деятельности.
Проблемы и рекомендации
Хотя работа с коллективными знаниями даёт значительные преимущества, есть и проблемы. О них следует помнить.
Поощрение открытого общения
Сотрудники могут неохотно делиться информацией о неофициальных практиках из-за страха последствий.
Поэтому нужно создать безопасную среду и убедить сотрудников, что цель — улучшение практики, а не наказание. Также можно обеспечить анонимную обратную связь — она мотивирует на честность.
Во время опросов и интервью важно подчёркивать, что их цель — повышение общей конфиденциальности, а не выделение конкретных людей.
Управление информационной перегрузкой
Сбор обширных качественных данных может оказаться непосильной задачей.
Важно приоритизировать результаты — сперва сосредоточиться на самом важном. Также помогут аналитические инструменты — программы для сортировки и анализа больших объёмов информации. Можно использовать те, которые мы рассмотрели в предыдущих темах.
Баланс между прозрачностью и конфиденциальностью
В ходе открытого обмена информацией тоже важно защищать конфиденциальность.
Убедитесь, что собранные сведения надёжно хранятся, а доступ к ним ограничен. Проверьте, что сам процесс сбора соответствует законам о конфиденциальности данных.
Например, можно всегда анонимизировать полученные от сотрудников данные и хранить их в защищённых системах с ограниченным доступом.
Заключение
Работа с коллективными знаниями — важнейший компонент комплексной стратегии обеспечения конфиденциальности данных. Активно привлекая сотрудников и учитывая их мнение, организация выявляет скрытые риски, улучшает процессы и укрепляет усилия по соблюдению нормативных требований. Совместный подход повышает уровень конфиденциальности данных и способствует формированию культуры, в которой каждый сотрудник чувствует ответственность за защиту конфиденциальной информации.
Рассматривая возможность внедрения этих практик в своей организации, помните — успех работы с коллективными знаниями зависит от открытого общения, тщательной организации информации и практических шагов по интеграции полученных результатов в модели данных и политики. Так вы будете готовы к сложностям соблюдения конфиденциальности в условиях постоянно меняющегося цифрового ландшафта.
Не все знания и практики сотрудников документируются. Такой опыт называется коллективными знаниями. Они включают неписаные процедуры, неформальные рабочие процессы, методы решения проблем и культурные традиции, которые влияют на выполнение задач.
Коллективные знания важно выявлять и учитывать. Это помогает обнаружить неочевидные угрозы конфиденциальности и устранить разрыв между политиками и практикой. Игнорирование недокументированных процессов грозит получением неточной модели данных.
Сбор коллективных знаний требует целенаправленного извлечения и документирования информации. Нужно учитывать, как сотрудники взаимодействуют с коллегами, клиентами, госорганами и заказчиками — удобно ли взаимодействовать, какие проблемы возникают при обмене информацией внутри и вне компании, что хотелось бы улучшить.
Есть шесть популярных способов сбора коллективных знаний — опросы и анкетирование, интервью и фокус-группы, воркшопы и мозговые штурмы, наблюдение и слежка, системы управления знаниями, анализ потоков данных и оргструктуры.
После сбора сведений их систематизируют — распределяют по категориям и создают базу знаний. Первое позволяет определить приоритеты, второе — побудить сотрудников обмениваться опытом с помощью санкционированных средств.
После систематизации создаются комплексные модели данных — они показывают истинную картину потоков информации. Организация разрабатывает точные диаграммы потоков данных, совершенствует политики и разрабатывает программы обучения и повышения осведомлённости.
Весь процесс позволяет сформировать точное и целостное понимание механизмов обработки данных в организации. Такой подход выявляет уязвимости, которые могут быть неочевидны при системном анализе. Организация становится способной соответствовать нормативным требованиям.
Хотя работа с коллективными знаниями даёт значительные преимущества, есть и проблемы. Сотрудники могут неохотно делиться информацией о неофициальных практиках, поэтому нужно создать безопасную среду для сбора.
Сбор обширных качественных данных может оказаться непосильной задачей. Важно приоритизировать результаты — сперва сосредоточиться на самом важном. Также помогут аналитические инструменты — программы для сортировки и анализа больших объёмов информации.
В ходе открытого обмена информацией тоже важно защищать конфиденциальность. Важно убедиться, что собранные сведения надёжно хранятся, а доступ к ним ограничен. Сам процесс сбора должен соответствовать законам о конфиденциальности данных.