Еще в 2018 году тема защиты персональных данных попала на первые полосы СМИ – одна из крупнейших мировых компаний незаконно использовала данные клиента. Владея информацией примерно 2,6 миллиарда активных пользователей, Facebook допустил утечку данных 87 миллионов пользователей.

Обеспокоенные этим и другими прецедентами, европейские власти создали Общий Регламент Защиты Данных, равный безопасности данных для граждан ЕС. Компаниям пришлось заново структурировать использование базы контактов и пересмотреть подход к защите персональных данных.

Сегодня внедрение любого нового софта требует его тщательной проверки на возможность утечек данных, ставя обеспечение информационной безопасности на первый план. Как реализуется такой подход в инструментах process mining?

Process mining (процесс майнинг) как инструмент анализа данных

Process mining (или процессная аналитика) ‒ технология прорывная и инновационная, которая позволяет детально визуализировать любой процесс в вашей компании на основе логов, полученных из информационных систем. Изучая внутренние процессы, вы сможете увидеть то, как они протекают на самом деле,  станут очевидны все “узкие места”, не позволяющие достигать максимальной эффективности. Это создает основу для дальнейшего совершенствования процессов и их оптимизации.

Владелец бизнеса, как никто иной, понимает, насколько важна прозрачность процессов, и как дорого может обойтись даже одно “бутылочное горлышко”. Если принято решение о глубинном анализе бизнес-процессов, то необходимо знать:

• какие данные вам понадобятся;
• как их извлечь;
• как обеспечить безопасность данных на протяжении всего процесса.

Программное обеспечение класса process mining работает с внутрикорпоративной информацией, и очевидно, что обеспечивать защиту данных достаточно сложно. Корпоративные данные содержат не только сведения о выполняемых действиях, но и об их участниках и исполнителях: имена, адреса, должности, отделы/службы/департаменты, идентификаторы пользователей и т.д. Все участники “экосистемы ИТ” обмениваются своими данными, информацией об организационной структуре и взаимодействуют между структурными единицами. Естественно, что знание этого может быть очень интересно для внешних стейкхолдеров (например, конкурентов). Поэтому проектировщики process mining-софта делают большой акцент на обеспечении безопасности. 

Сохранение конфиденциальных данных

Для гарантии полного сохранения конфиденциальных данных при внедрении нового ПО необходимо рассмотреть несколько моментов:

• Доступ к “сырым” данным

Первый шаг ‒ корректное извлечение данных из систем предприятия или ХД.  Команда, занимающаяся изучением и исследованием процесса, получает доступ к корпоративной информации и извлекает необходимые для анализа материалы. Это ведет к тому, чтобы заранее понять и обсудить, какие именно данные будут необходимы, и к чему будет открыт доступ.

• Фильтрация, псевдоанонимизация и анонимизация

Перевод “сырых” данных в обработанные необходим для возможности применения к ним инструментов process mining. После всех произведенных действий необходимо определить, на каких способах защиты личной информации будут строиться дальнейшие действия: 

• Фильтрация

Некоторые данные, которые просто не нужны для дальнейшего анализа, можно удалить. Таким образом, вы “фильтруете” конфиденциальную информацию (например, адрес/телефон сотрудника) и попросту избавляетесь от нее, поскольку проанализированы будут действительно нужные и релевантные данные.

• Псевдоанонимизация 

Самый распространенный способ обработки конфиденциальных данных. Данный метод заключается в присвоении данным особых псевдонимов, чтобы пользователи не могли связать информацию с конкретными именами/позициями. Например, замена имен сотрудников, выполняющих связанные с процессом задачи, на числа. 

Если во время глубинного анализа вы хотите найти взаимодействия между структурными единицами, а не конкретными сотрудниками, можно заменить персонал более общими описаниями, такими, как рабочая группа, команда А/Б… и отдел, при этом численность единиц может быть любая. Для процедуры расшифровки может быть применена таблица переводов, где будут описаны все псевдонимы и их значения.

• Анонимизация

Способ, практически идентичный псевдоанонимизации, но с одним большим условием ‒ таблиц перевода не существует. Таким образом, исходная запись безопасна, поскольку над данными нельзя совершить повторную анонимизацию, а люди не могут быть идентифицированы. 

• Доступ к готовым данным

Когда данные будут исследованы и обработаны, важно снова задуматься о правах доступа. Здесь необходимо определить бизнес-пользователей, которые смогут изучать отчеты, графики и дашборды. 

Очень важно гарантировать всем сотрудникам и клиентам сохранность их личной информации, но в то же время четко и максимально полно проанализировать процесс. Поставьте конфиденциальность в качестве приоритета для любого проекта и разработайте план в соответствии с тем, как вы хотите его видеть.