2017. április 19., szerda

Architekti támogatás a GDPR megfelelőséghez

Az új, EU adatvédelmi szabályozásnak történő megfelelés 2018 májusban válik kötelezővé, de a felkészülést jóval korábban el kell kezdeni ahhoz, hogy a megfelelőség biztosított lehessen. A 2017-es év sok szervezetnél a GDPR-re történő felkészülés jegyében telik majd, ugyanis az új előírások be nem tartása nagy összegű bírságokat vonhat maga után. Az enterprise architect szakemberek jelentős segítséget jelenthetnek a felkészülésben és a megfelelőség folyamatos fenntartásában.

A rendelet

Az EU általános adatvédelmi rendeletének (GDPR, General Data Protection Regulation) pontos címe: Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet). A rendelet teljes szövege elérhető itt

Az Európai Unió eddig irányelvi formában szabályozta az adatvédelmet. A 2018 májusától hatályos GDPR rendeleti szinten szabályozza a kérdést, azaz előírásai minden tagállamra egységesen érvényesek, hatálya pedig minden olyan adatra kiterjed, amellyel azonosítható egy EU-n belüli lakhellyel rendelkező természetes személy. A rendelet megszegéséért kiszabott bírság akár a cégcsoport éves árbevételének 4 százalékát is elérheti.

A rendelet egységes keretet biztosít az európai szintű adatvédelem számára, de több ponton lehetőséget ad a tagállamoknak az egyedi szabályozásra. Továbbra is figyelni kell majd a helyi sajátosságokra, és ennek megfelelően a nemzetközi cégeknek az egyes tagállamokban működő részlegeikre eltérő terhet jelent majd a GDPR bevezetése.
 
Az adatkezelőnek igazolnia kell, hogy kellő gondossággal kezeli és védi a személyes adatokat. Ha egy cégtől kikerülnek az ügyfelei, dolgozói vagy partnerei személyes adatai, a kártérítés alól az adatkezelő csak akkor mentesül, ha bizonyítani tudja azt, hogy semmilyen módon nem felelős az adatszivárgásért. A gyakorlatban ezáltal minden adatkezelési kérdés informatikai kérdést is jelent, hiszen az adatkezelőnek azt kell igazolnia, hogy megfelelő biztonsági rendszereket és folyamatokat használ. A rendelet számos új elvárást fogalmaz meg az olyan szervezetek számára, amelyek az Európai Unió területén, vagy azon kívüli területen, de az Unió polgárai számára adatkezelést végeznek. 
Jelentősebb újdonságok:
  • Személyes adat definíciójának kiterjesztése
  • Személyes adatok kezelésével kapcsolatos üzleti tevékenységek dokumentálásának szükségessége
  • Személyes adatok kockázatokkal arányos védelme
  • Személyes adatokat érintő incidensek kötelező, 72 órán belüli bejelentése
  • Szervezeti adatvédelmi felelős kinevezése
  • Adatok kérés esetén történő kötelező (visszamenőleges) törlése és olvasható formában történő visszaadása.
Természetesen egy olyan megoldás, mely megfelelő architekti tervezésen alapulva egyaránt foglalkozik az adatvédelem szervezeti, szabályozói és technológiai vonatkozásaival is, nem csak a rendelet betűjének felelhet meg (elkerülve ezzel a nagyon jelentős büntetést), de csökkentheti a külső támadások, vagy belső adatlopások és szivárgások valószínűsége is, elkerülve ez által a szervezetet érintő veszteségeket is.

Felkészülés

A GDPR megfelelőséggel kapcsolatos feladatok tehát itt vannak és jobb időben odafigyelni ezekre. Maga a szabályozás szigorú, széleskörű előírásokat tartalmaz az adatvédelem vonatkozásában. Az architektek kulcsszerepet játszhatnak a megfelelőség biztosításában. Ehhez a vállalati architektúra modelleket, architektúra dokumentumokat és architekti eszközöket hatékonyan fel kell tudni használni. Az adatvédelmet architektúra modellek felhasználásával lehet hatékonyan elemezni és fejleszteni.

A rendelet megfogalmazása szerint „személyes adat” az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Vagyis már a cookie használat, illetve a honlap látogatók IP címeinek tárolása is felelősséggel jár.

A GDPR alapelvei:
  • jogszerűség, tisztességes eljárás és átláthatóság
  • célhoz kötöttség
  • adattakarékosság
  • pontosság
  • korlátozott tárolhatóság
  • integritás és bizalmas jelleg
  • elszámoltathatóság

Az architektek szerepe

A GDPR megfelelőség biztosításában hogyan is tud segíteni a megfelelő architektúra, miért az architektúra a megfelelőség kulcsa?
 
A megfelelőséghez a személyes adatok használatáról széleskörű áttekintéssel kell rendelkeznie a szervezetnek: milyen céllal történt az adatgyűjtés, hogyan történt, kiknek van hozzáférésük, hol tárolódnak az adatok, milyen külső felek bevonása történt meg, milyen külső / belső veszélyek léteznek, stb.  Az architektúra az ilyen jellegű információk legfőbb forrása. Ezen kívül az úgynevezett security-by-design elengedhetetlen a biztonságos és a folyamatos megfelelőséget garantáló jövő érdekében.

Az architektúra modellek felhasználhatók a kockázatok csökkentésére és GDPR megfelelőség biztosítására. Rendszeresen elemezni kell a lehetséges veszélyeket és sebezhetőségeket. Fejleszteni kell az enyhítő intézkedéseket összhangban az adatok biztonsági minősítésével. Abban az esetben, ha a biztonsági rendszer megsérül, megfelelő architekti eszközzel megtörténhet a lehetséges hatások felmérése és a megfelelő ellenintézkedések megtétele. Az architektúra modellek hasznosak ezen kívül a megfelelés bizonyítására a szabályozó hatóságok irányába.

Az architektúra modelleket célszerű felhasználni az adatok osztályozására az érintett biztonsági és adatvédelmi attribútumok használatával. Architektúra modellt felhasználhatjuk arra is, hogy bemutassuk a személyes adatok áramlását, elhelyezkedését és feldolgozását az informatikai rendszerekben, üzleti folyamatokban és külső szereplőknél. Modellezhető a felhasználás célja, és ezzel fokozatosan felmérhető az adatok használata szervezeti egységenként, IT alkalmazásonként és munkakörönként.

Az architekti eszközökben a fentiekkel kapcsolatban készített modellekből készíthető például olyan „hőtérkép”, amely megmutatja, hol vannak a legkritikusabb sérülékenységek, mit kell tenni ezekkel kapcsolatban. Fejlett architektúra modellekkel és eszközökkel a vezetői döntések meghozatalához jelentős támogatás nyújtható. Készíthetők olyan riportok vagy akár vizuális „műszerfalak”, amelyek a kockázatok, a megfelelőség szemléltetésére alkalmasak és segítenek a problémák priorizálásában és a megfelelő tevékenységek meghatározásában. Akár a szükséges befektetések összeköthetők az alkalmazások életciklusával is és így egészen komplex ütemtervek készíthetők.

Előnyök

Összefoglalásul, az architekti módszerek és eszközök bevetésével nyerhető előnyök közül kiemeljük:
  • Proaktív közreműködéssel kezeli a biztonsági és adatvédelmi kockázatokat a security-by-design megközelítés révén
  • Hasznosítja a meglévő architektúra modelleket a kockázatelemzéshez
  • Segít abban, hogy ott történjen befektetés a biztonság érdekében, ahol az valóban számít
  • Biztosítja és demonstrálja is a megfelelőséget
  • Segít elkerülni a súlyos bírságot és a jó hírnév elvesztését.

2017. április 2., vasárnap

A sikeres digitális átalakulás hatékony architekti támogatása


A digitális átalakítás ma már nem egy lehetőség hanem egy sürgős feladat. Mindenütt ezt halljuk és ha ennek fejtegetésével foglalkozna ez a blog bejegyzés is, akkor talán már nem is számíthatna érdeklődésre, pont a téma nagyon gyakori előfordulása miatt. Ehelyett arról lesz szó az alábbiakban, hogy hogyan támogatják az enterprise architekt eszközök, módszerek a sikeres digitális transzformációt.  

Hasonlatok, amik rávilágítanak néhány vonatkozásra

Digitális átalakulási kezdeményezésekkel találkozhatunk a vállalati szervezet különféle területein. Ilyen lehet például a marketingesek digitális kezdeményezése, egy digitális prototípus fejlesztés a termelésben vagy például digitális átállási lépések az irodában. Ezek sok esetben lényegében egymástól független, részben párhuzamos tevékenységek, hasonlóan az alábbi ábrához.

Az enterprise architect megközelítési mód a részletek megfigyelésén túl inkább az alábbi képpel jellemezhető.

Mindkét kép ugyanazt a digitális adathordozót mutatta, a képi hasonlat az architekt speciális nézőpontját hangsúlyozta: az egyes (esetleg elszigetelt) kezdeményezések bármilyen sikeresek is, önmagukban nem biztosítják a vállalati szintű digitális transzformáció sikerét.
Egy másik metaforát ide idézve, az enterprise architekti munka egy része hasonló a kösd össze a pontokat játékhoz. Az architekt azonosítja a vállalati architektúra lényeges pontjait és dokumentálja azokat a kapcsolataikkal együtt.

Sikeresen végig haladva a kapcsolatokon, érdekes eredmény adódik: az alábbi kép mutatja a munka gyümölcsét.
A részletek összekapcsolásával, a nagyobb összefüggésekben való gondolkodással az architekti munka támogatja a sikeres digitális átalakulást.

A digitális rombolás hullámai

A digitális transzformációval járó rombolás nem valami elszigetelt jelenség. Inkább ismétlődő jelenségek sorozataként figyelhető meg az elmúlt mintegy 30 évben. Különböző iparágakban láthattuk ennek a rombolással járó átalakulásnak nagyon jelentős hullámait.

Az 1990-es években a zene hallgatás és fényképezés, videó készítés és megosztás addigi gyakorlatát rombolták le új szereplők, akik mind a digitális technológiák előnyeit használták.
A 2000-es években újabb területek végzett jelentős rombolást a digitális átalakulás: például a televíziózás, az utazással és álláskereséssel-toborzással kapcsolatos gyakorlat lényegesen átalakult. Elég, ha csak a YouTube példájára gondolunk, vagy arra, hogy az emberek egyre inkább az interneten foglalták a szabadságukkal kapcsolatos dolgokat. A vállalati toborzás is egyre erősebben használta a szociális médiát.
Most a 2010-es években szintén érzékelhetjük a digitális átalakulással kapcsolatos rombolást. A vásárlási szokások átalakulása már a 90-es években megkezdődött, de most a digitális marketing egészen más módon zajlik, mint korábban. A vásárlók is nagyon sok esetben online tevékenységekkel kezdik a vásárlást még olyan esetekben is, amikor esetleg a tényleges beszerzés még hagyományos módon zajlik, mint például egy autókereskedésben. A pénzügyi világ és az egészségügy két olyan nagy terület, ahol napjainkban figyelhetjük meg a legjelentősebb digitális átalakulást.

Digitális architektúra

A digitális átalakulást támogatja a megfelelő digitális stratégia, mely tartalmazza a szervezet digitális pozícionálását, működési modelljét, valamint a versenytársak, fogyasztók és partnerek igényeit és viselkedését. A stratégia sikeres megvalósítását segíti a megfelelő digitális architektúra kidolgozása, amely tartalmazza a jövő üzleti, adat, alkalmazás és technológiai nézeteit a kívánt digitális működés eléréséhez. A digitális architektúrában meghatározott megoldások megvalósítási projektjei teszik végül lehetővé a tényleges digitális átalakítást.  

Referencia modellek

Az enterprise architect módszertanok (mint a TOGAF, melyről már sok vonatkozásban volt szó ezen a blogon is) kiemelik a referencia modellek használatával járó előnyöket. A digitális transzformációval kapcsolatban is készültek hasznos referencia modellek.
Itt két modellt említek röviden: az első magának az átalakulásnak a célszerű modellje, míg a másik az átalakulás révén kialakuló és erősen a digitális technológiákra támaszkodó architektúrára mutat egy referencia modellt.

A diagram kiemeli azokat a külön-külön vizsgálandó, de erősen összefüggő területeket, melyek mindegyike lényeges a sikeres digitális átalakulás szempontjából. A modell azt is hangsúlyozza, hogy a döntések célszerű iránya a „Miért”-től halad egészen a „Hogyan”-ig, érintve minden lényeges szintet.
Egy lehetséges referencia architektúrát mutat az alábbi diagram, kiemelve azt, hogy az architektúra komponensei között együtt találhatóak meg a korábbi hagyományos vállalati képességek, valamint az új digitális képességek is.

Az EA támogatás fókuszterületei

Az enterprise Architect gyakorlat támogatja a digitális átalakulást. Az alábbiakban ennek a támogatásnak néhány kiemelkedő fókusz területét vesszük sorra.
A digitális transzformáció jellemzője, hogy a változások gyorsan történnek és általában az addigi üzleti modell rombolásával járnak. A szervezeten belül ezek a változások több területre kihatnak, például az üzleti működésre, az IT támogatásra, a technológiára stb.
Mind ezekre tekintettel az EA felhasználásával kapcsolatban az alábbi három kiemelt területet vizsgáljuk a továbbiakban:

  • Világos kép, egységes nézet biztosítása
  • EA módszerek, eszközök felhasználása
  • Vállalati agilitás növeléséhez való hozzájárulás

Világos kép, egységes nézet biztosítása

A tipikus helyzethez hozzá tartozik, hogy eltérő stratégiák, megközelítések vannak jelen a szervezetben. A különböző fejlesztési projektek, team-ek kommunikációja gyakran nehézkes. Ugyanakkor a digitális átalakítás kapcsán úgyszólván minden érintett: a vállalati folyamatok, a működés, az informatikai megoldások stb. Így aztán könnyen felmerülhet a „Tyúk vagy a tojás dilemma” is.
Az EA a vázolt helyzet kezeléséhez egy világos, áttekinthető kép és egységes nézet biztosítását hangsúlyozza, amihez az alábbiakat biztosítja:
  • Nézetek használata – az EA módszertanok részletesen kidolgozták az érintett felek nézőpontjai és az azokhoz tartozó nézetek előállításának gyakorlatát.
  • Építőelemek meghatározása – a komplex architektúráknak kisebb építőelemekre történő lebontása illetve építőelemekből új architektúrák kialakítása az EA működés bevált gyakorlatát képezik
  • Architektúra megállapodások kidolgozása és használata – a jobb kommunikáció és együttműködés egyik biztosítéka az architektúra megállapodások használata az architektúra módszertanokban. Ez az egyik módja annak, hogy a független kezdeményezések hatékonyan véghez vihetők legyenek.

EA módszerek, eszközök felhasználása

Az EA módszerek és bevált architekti munkát támogató eszközök hasznosak a digitális átalakulás támogatására.
A részletesen kidolgozott architektúra fejlesztési folyamat (mint például a TOGAF ADM), a lépéseket, be- és kimeneteket pontosan leíró módszer, a világos taxonómia fontos segítség ennek során. A konzisztens részekből összeálló, teljeskörű és mindenhol tökéletesen illeszkedő architektúra tervek készítését lehetővé tevő bevált szoftver eszközök, és a már bizonyított fogások, gyakorlatok mind komoly segítséget jelentenek.
Az érintettek kezelése az egyik fontos EA eszköz. Segít az érintettek meghatározásában, annak rögzítésében, hogy ki, hogyan érintett. Az elkészítendő architektúra nézeteket az érintettek nézőpontjai alapján határozza meg.
Azt, hogy mit szeretnénk elérni (akár inkrementumokban) nagyon fontos tisztázni. Az architektúra vízió fogalma és elkészítésének gyakorlata ehhez jelentős segítség.
Megfelelő ütemterv elkészítése sokkal hatékonyabban végezhető az EA módszertan felhasználásával, ahol ez a teljes architektúra fejlesztési folyamatot átfogó tevékenységként részletesen ki van dolgozva.
Az EA gyakorlatban bevált repozitórium építés gyakorlata nagyon hasznos a digitális átalakulás végrehajtása során például a hatékonyabb haladás érdekében, hogy legközelebb még jobban kezeljünk azonos vagy hasonló problémákat.

Vállalati agilitás növeléséhez való hozzájárulás

Napjainkban a vállalatok sokkal dinamikusabb környezetben működnek, mint korábban. Másrészről az is az agilitás hajtó erejét adja, hogy manapság sokkal nagyobb lehetőség van agilisnak lenni a rendelkezésünkre álló információk és eszközök birtokában.
Az eddig kifejtettek segítenek az agilitás fokozásában és az inkrementális növekedés megvalósításában. A fokozatos változtatásokhoz a legfontosabb támogatást az alábbiak adják:
  • Egységes koherens nézet biztosítása, azzal együtt, hogy független szálakon történnek változtatások
  • Az architektúra változtatások megfogalmazása és kezdeményezése egy egységes vízió (vagy víziók piramisa) alapján
  • Hatékony EA repozitórium használata olyan módon, hogy minden iteráció és független szál hozzá járuljon a közös célhoz. Természetesen ez nem öncélú szempont, de egyike a fontos szempontoknak.
A digitális transzformáció során végig nagyon fontos, hogy világos céllal rendelkezzünk. Ennek kisebb elérhető részekre bontásában az architekturális dekompozíció fontos szerepet kap.  Az egyes iterációk során a vállalat stabilitásának folyamatos fenntartásához az EA módszerek jelentős segítséget jelentenek. Az esetleges szükséges átmeneti kitérők ellenére a az üzleti előnyöknek a több iteráció folyamán is láthatónak és mérhetőnek kell lenni.

A digitális átalakulás és a szabványok

A digitális átalakulás architekti támogatása során nagy jelentősége van a szabványoknak. Konkrétan az enterprise architect szakmai tevékenységek vonatkozásában az alábbiakat emelhetjük ki:
  • TOGAF – The Open Group Architecture Framework
  • ArchiMate – az architektúra modellezés szabványos grafikus nyelve
  • IT4IT – az IT, mint üzleti egység kezelésének gyártó független modellje
A fenti szabványokról többször volt már szó korábbi blog bejegyzéseimben. (TOGAF-ról például itt, itt, itt, itt, itt; az AchiMate-ről itt, itt, itt ; az IT4IT-ról itt)
Most az alábbi ábrával azt tekinthetjük át, hogy a digitális átalakulás mely területein használhatjuk az említett (és néhány további) szabvány és referencia modell bizonyos részeit.

Összegzés

Ha az olyan technikai kezdeményezések, mint a Big Data, a Cloud, a mobilitás és hasonlók egyáltalán nincsenek hatással az üzleti sikereinkre, akkor lehet, hogy a szervezetünknél EA-ra nincs is szükség. Ha azonban az üzleti funkciók megváltoztatása a cél a digitális lehetőségek felhasználásával, akkor az EA a lehetséges leghasznosabb eszköz a transzformáció segítésére. Ha nem követünk egy architektúra szempontú megközelítést, akkor azt kockáztatjuk, hogy nem leszünk képesek kezelni az összes tényezőt, amelyek kihatással lesznek a digitális átalakulás végső eredményességére. Az esetleges rövid távú sikerek gyorsan elvezethetnek a különböző szervezeti egységek, részlegek, szerepkörök, rendszerek és információk kezelhetetlen káoszába.   
A digitális működés az üzleti szinten többek között azt az ígéretet tartalmazza, hogy képesek leszünk kezelni az információkat, tervezetten, fokozatokban tudunk változni és folyamatos optimalizációt tudunk megvalósítani. A vállalkozás ilyen fajta átalakítása nem egyszerű feladat. Anélkül, hogy olyan eszközrendszert használnánk, ami megkönnyíti ezt az átalakítást, nehéz a gyors technológiai változásokat, azok költségeit kezelni.
Az EA hatékony eszköz a digitális átalakítás sikeréhez, hiszen kézzelfogható hasznos outputokat állít elő ehhez, melyek többek között a siker vagy kudarc okainak megértéséhez is használhatók. Kevésbé fejlett szervezeteknek a siker/kudarc ugyanis gyakran bináris jellegű. Az EA alkalmazása segít ezen a helyzeten. Fokozatos változtatásokkal lehetőség van a digitális átalakulás sikeres végrehajtására.