Tiedonhallinta: Kuinka hyödyntää organisaation dataa laajasti, mutta hallitusti

DB Pro Services

Tiedonhallinta (englanniksi Data Governance) käsitteenä on hyvin laaja, ja sillä voidaan tarkoittaa eri asioita kuulijasta ja kontekstista riippuen. Ylätasolla se käsittää säännöstöä, toimintatapoja ja ohjeita siitä, kuinka organisaation dataa käsitellään. Vaikka yleensä kyse on usein käytänteistä ja prosesseista, tiedonhallintaan voivat kuulua myös tekniset kontrollit. Esimerkiksi pääsyn hallintaan ja roolituksen liittyen dataputkeen usein asennetaan erilaisia toteutuksia, jotka takaavat, että sovitut käytännöt toteutuvat.

Tässä blogissa käymme läpi, miten tiedonhallintaa tulisi lähestyä ja millaisia valintoja organisaatioiden tulee tehdä käytäntöjä miettiessään. Muiden datastrategiakirjoitustemme tavoin teksti keskittyy ylätason tavoitteiden ja strategisen suunnittelun toteutukseen käymällä läpi, mitä kokonaisuuksia tiedonhallintaa suunnitellessa tulee huomioida. Lisäksi sivuamme myös tietoturvaa ja yksityisyydensuojaa, koska ne vaikuttavat vahvasti tiedonhallinnan rakentamiseen.

Mitä tiedonhallinta on ja miksi sitä tarvitaan

Tiedonhallinta eli Data Governance on tärkeää jokaiselle yritykselle, joka haluaa hyödyntää omaa tietopääomaansa. Otetaan esimerkiksi tilanne, jossa yrityksellä ei ole vakiintuneita tiedonhallinnan käytäntöjä, eikä datakoneistoon ole luotu minkäänlaisia kontrolleja. Ilman tiedonhallinnan prosesseja manuaaliset syöttövirheet heikentävät datan laatua, koska mikään ei estä virheellisen datan syöttöä. Sama data sijaitsee useissa eri paikoissa, ja yrityksen datapääomasta on mahdotonta saada kokonaiskuvaa, koska yksiköt ylläpitävät omia versioitaan esimerkiksi asiakasdatasta. Jos asiakkaita pitää lisätä tai muuttaa, päivitykset joudutaan tekemään useaan eri paikkaan, tai vaihtoehtoisesti jossain vaiheessa vanhentunut tieto tulee aiheuttamaan ongelmia.

Ylläpidettävän datan muokkausta ja käytön hallintaa ei voida myöskään valvoa tai toteuttaa, koska roolitusta ja pääsyoikeuksia ei ole määritelty tai implementoitu. Näin ollen kaikki yrityksen data on kaikkien nähtävillä. Lisäksi, jos tietoturvasta ei ole pidetty huolta, voidaan helposti olla tilanteessa, jossa tietomurron sattuessa yrityksen kaikki data päätyy hyökkääjien haltuun.

Yllä mainitut tilanteet kuvaavat hyvin, miksi tiedon- ja datanhallinta ovat tärkeitä jokaiselle yritykselle koosta riippumatta. Kokonaisuutena voidaan siis todeta, että tiedonhallinta varmistaa yrityksen datan laadun, saatavuuden ja yhtenäisyyden sekä turvaa siihen pääsyn.

Tiedonhallinnan toteuttamiseen on monia eri lähestymistapoja. Hyvänä nyrkkisääntönä toimii se, että perusasioiden täytyy olla kunnossa ennen kuin voidaan siirtyä monimutkaisempiin kokonaisuuksiin. Aikaisemmassa blogissamme Tavoitetilan määritys: Kuinka määrittää datastrategian suunta? kävimme läpi defensiivisen ja offensiivisen datastrategian eroja. Kirjoituksessa mainittiin, että tyypillisesti yritykset, joilla datamaturiteetti on alhainen, aloittavat defensiivisestä päästä. Kun perusasiat kuten datan yhtenäisyys ja laatu alkavat olla kunnossa, organisaatiot haluavat luonnollisesti saada enemmän irti datastaan ja siirtyvät kohti offensiivista päätyä.

Sama ajatus pätee myös tiedonhallintaan. Jos yrityksellä on heikko datan laatu, yhtenäisyys ja löydettävyys, on hyvin todennäköistä, että tiukan ja keskitetyn tietohallinnon rakentaminen on oikea ratkaisu. Rakentamalla hyvät perustukset prosessien piirtämisellä, toimintatapojen jalkauttamisella sekä teknisten kontrollien implementoinnilla yritys luo lähtökohdat, joista voidaan myöhemmin siirtyä kohti ketterämpää ja vapaampaa tietohallintoa.

Kun tiedonhallinnan perusasiat ovat kunnossa, yritykset tyypillisesti tasapainottelevat kontrollin ja vapauden välillä. Kontrolli takaa datan laadun ja yhtenäisyyden, mutta on joustamaton ja voi paikoitellen haitata tai hidastaa liiketoiminnan kehitystä. Toisaalta vapaampi tiedonhallinta ja joustavat datamallit tarjoavat ketteryyttä ja mahdollistavat luovat ratkaisut ja nopeamman muutoksen. Tässä vaiheessa ilman hyviä tiedonhallinnan perustuksia mopo voi helposti karata käsistä, ja yrityksen tietopääomasta voi tulla kaoottinen kokonaisuus.

Muita tiedonhallinnan valintoja ovat esimerkiksi valinta keskitetyn ja hajautetun mallin välillä. Tämä toki riippuu yrityksen koosta, mutta isommissa organisaatioissa voi olla järkevää pilkkoa koko yhtiön tietohallinto eri osastojen kesken. Näin pidetään kiinni vahvasta tietohallinnosta, mutta eri yksiköiden erityistarpeet huomioidaan tarjoamalla heille mahdollisuus luoda juuri heidän tarpeitaan palvelevat datamallit. Välimuotona keskitetylle ja hajautetulle mallille on tilanne, jossa osaa datasta hallitaan keskitetysti (esimerkiksi asiakkaat ja tavarantoimittajat), mutta liiketoimintaprosesseihin ja tuotteisiin keskittyvä data on yksiköiden hallinnassa.

Tiedonhallinnan eri kokonaisuudet

Tiedonhallinta sisältää monia erilaisia osakokonaisuuksia, jotka keskittyvät tiettyihin tavoitteisiin. Esimerkiksi Master Data Management keskittyy datan yhtenäisyyden ja laadun varmistukseen, kun taas datakatalogin päätehtävä on taata tiedon löydettävyys ja käytettävyys. Käymme seuraavaksi läpi kolme tärkeää kokonaisuutta:

  • Data Governance eli yleinen tiedon- tai datanhallinta kattaa prosessit, käytännöt ja toimintatavat, joiden avulla dataa hallitaan. Siihen sisältyy dataroolitus sekä teknisten kontrollien rakentaminen.
  • Master Datan Hallinta keskittyy yrityksen kiinteiden ja vakaiden datakokonaisuuksien hallintaan (esim. asiakastiedot) ja ylläpitää näistä tärkeimmistä tietovarannoista keskitettyä ”yhtä totuutta”.
  • Datakatalogi pitää sisällään yrityksen tieto- ja datavarannot ja auttaa organisaation jäseniä ymmärtämään, mitä tietoa heillä on käytettävissä ja missä se sijaitsee.

Data Governance

Eriytämme tässä Data Governancen omaksi osa-alueekseen, vaikka tiedonhallinta itsessään on yläkäsite, joka sisältää myös esimerkiksi master datan halinnan. Tässä kontekstissa tarkoitamme data governancella kaikkia niitä yleisiä tiedonhallinnan käytäntöä ja prosesseja, joilla hallitaan dataa ja tietoa.

Kun tiedonhallintaa aletaan suunnitella, yleensä ensimmäiseksi tulee luoda käytännöt, jotka kertovat, miten dataa tulisi käsitellä. Nämä käytännöt määritetään usein hyödyntämällä olemassa olevia liiketoimintaprosesseja, ja ne pyrkivät vastaamaan kysymyksiin, kuten miten dataa saa muokata ja kenellä on oikeus käsitellä sitä. Kun käytännöt on määritelty ylätasolla, niistä luodaan usein vakiintuneet prosessikuvaukset. Nämä kuvaukset tuovat käytännöt yksityiskohtaisemmalle tasolle ja kertovat, miten eri tilanteissa tulee toimia sekä auttavat hahmottamaan monimutkaisiakin tapahtumaketjuja. Roolitus taas auttaa ymmärtämään, kenellä on oikeus ja vastuu lukea, muokata ja käsitellä tietojoukkoja. Niissä listataan selkeästi erilaiset roolit ja niihin kuuluvat oikeudet ja vastuut. Näitä rooleja voidaan sitten tarjota eri henkilöille tarpeen mukaan.

Kun käytännöt, prosessit ja roolit on määritetty ja jaettu, dataputkeen voidaan alkaa rakentaa teknisiä kontrolleja. Yksinkertaisimmillaan nämä kontrollit lukitsevat tietyt toiminnallisuudet ja datajoukot käyttäjätunnuksiin liitettävien roolien taakse tai kontrolloivat datan muokkausta tietotyypeillä, lisäys- tai poistorajoitteilla sekä muilla koodatuilla säännöillä. Näiden kontrollien ensisijainen tarkoitus on eliminoida manuaaliset virheet ja taata datajoukkojen laatu ja eheys. Ne takaavat määritettyjen prosessien ja toimintatapojen toteutumisen käytännön tasolla. Tietenkään kaikkia prosesseja ei voi täysin varmistaa dataputkeen koodatuilla säännöillä ja rajoituksilla, mutta suurimpia ongelmakohtia on mahdollista rajoittaa. On myös huomioitava, että mitä enemmän kontrolleja on, sitä vähemmän vapautta jää toteuttaa rajoittamattomia ratkaisuja. Tämä on yksi hyvä esimerkki siitä, missä dataorganisaation tulee valita kontrollin ja vapauden välillä.

Roolitus ja kontrollit auttavat jalkauttamaan tiedonhallinnan organisaation jäsenten jokapäiväiseen elämään. Kun tiettyjä asioita vaaditaan, ne muodostavat perustan, jolle parhaita toimintatapoja voidaan alkaa rakentamaan myös vapaaehtoisesti.

Master Datan hallinta (Master Data Management)

Master Datalla tarkoitetaan yrityksen kiinteitä datakokonaisuuksia (esim. asiakkaat, tuotteet, materiaalit), jotka ovat pääosin vakaita, eli niissä tapahtuu muutoksia kohtuullisen vähän verrattuna esimerkiksi transaktionaaliseen dataan. Tyypillisesti master data muodostaa yhden totuuden lähteen, jota hyödyntävät monet liiketoimintatietojärjestelmät, ja sillä on pitkä elinkaari. Toisin sanoen transaktionaaliset- ja päätöksentekojärjestelmät käyttävät master dataa, mutta eivät muuta sitä.

Master dataan liittyy monia haasteita, joilla voi olla merkittäviä vaikutuksia yrityksen liiketoimintaan. Heikko datan laatu, yhtenäisyys ja objektiivisen totuuden puute voivat johtaa heikkoon palvelutasoon, heikentää operaatioiden tehokkuutta, vaikuttaa yrityksen kykyyn noudattaa lakeja ja säädöksiä, vähentää datan hyödyntämistä ja yleisesti syödä luottamusta yrityksen lukuihin ja raportointiin.

Eritoten keskitetyssä tietovarastoratkaisussa (EDW) tulisi master datan hallinnan olla hyvällä tasolla ennen kuin varsinaista EDW:tä lähdetään rakentamaan. Tämä on tärkeää siksi, että master data sisältää usein juuri ne käsitteet, joiden varaan tietojäsenten konsolidointi rakennetaan, kuten esimerkiksi Enterprise Data Warehouse BUS -arkkitehtuurissa: Tietomallinnus – Enterprise Data Warehouse BUS – DB Pro Services

Master datan hallinta nimensä mukaisesti pyrkii takaamaan master datan laadun ja luomaan keskitetyn objektiivisen totuuden yrityksen tärkeimmistä tietovarannoista. Tämä estää datan monistumista sekä parantaa saatavuutta ja helpottaa tiedon hyödyntämistä. Liiketoiminnassa hyvin hallittu master data näkyy parempana palvelutasoina, pienempinä kustannuksina ja valmiutena vastata lakien ja säädösten määräyksiin. Master datan hallintaan on olemassa erilaisia ohjelmistoja ja teknologiaratkaisuja. Kuitenkin avainasemassa on yrityksen kyky tunnistaa, mikä on master dataa, ja ymmärrys sen vaalimisen ja hallinnan tärkeydestä.

Datakatalogi

Datakatalogilla tarkoitetaan kokonaisuutta, jossa on listattuna yrityksen käytössä olevat tietolähteet ja -varannot. Tyypillisesti se kertoo, mitä dataa yrityksellä on käytössä, mistä tämä data tulee, missä se on saatavilla ja missä muodossa se on. Tämä listaus voi sisältää sekä teknisiä että liiketoimintalähtöisiä tietoja datasta, kuten eri sarakkeiden kuvauksia, datatyyppejä, rivimääriä, käyttökohteita ja kuvauksia järjestelmistä, jotka kyseistä dataa hyödyntävät. Datakatalogi auttaa yritystä ymmärtämään, mitä dataa heillä on käytössään. Tämä estää datan monistumista ja saman työn tekemistä useaan kertaan, mutta auttaa myös uusien datainnovaatioiden tekemisessä. Parhaassa tapauksessa datakatalogin avulla yrityksen työntekijät voivat tutkia, mitä dataa yrityksellä on, ja tätä kautta kehittää uusia analyysejä ja innovaatioita.

Ymmärrys yrityksen tietopääomasta on keskiössä, kun tiedolla johtamista ja datastrategiaa aletaan kehittämään. Hyvän datakatalogin avulla myös tiedonhallinta helpottuu, kun kokonaiskuva yrityksen datasta saadaan helposti muodostettua.

Tietoturvan ja yksityisyyden huomioiminen tiedonhallinnassa

Tietoturvaan ja yksityisyydensuojaan liittyvät näkökohdat eivät ehkä tuota suurta liiketoiminta-arvoa itsessään, mutta niiden laiminlyönti voi johtaa katastrofaalisiin vaikutuksiin. Hyvä tiedonhallinta sekä tukee näitä kokonaisuuksia että nojautuu niihin. Vaikka nykyisessä pilvimaailmassa korkea tietoturva on usein sisäänrakennettu käytettäviin sovelluksiin ja teknologioihin, tehokas roolitus ja huolellisesti suunnitellut tiedonhallinnan prosessit tarjoavat lisäkerroksen suojaa hyökkäyksiä vastaan.

Tietoturva

Yrityksen on tärkeää turvata data sekä ulkoisilta että sisäisiltä väärinkäytöksiltä. Uloimman puolustuksen muodostavat tietoturvakokonaisuudet, jotka nykypäivänä tulevat usein sisäänrakennettuna erilaisissa sovelluksissa ja teknologiaratkaisuissa. Näihin kuuluvat esimerkiksi palomuurit, palvelunestohyökkäysten torjunta sekä virustorjunta. Erityisesti isoilla pilvipalveluiden tarjoajilla nämä kyvykkyydet ovat huippuluokkaa, koska heidän palveluitaan käyttävät niin suuryritykset kuin valtiolliset toimijat.

Tiedonhallinta vahvistaa tietoturvaa luomalla sisäisen turvakerroksen esimerkiksi käyttöoikeuksien hallinnan ja roolituksen kautta. Vaikka joku pääsisi ulkoisen puolustuksen ohi tai luvaton toimija yrittäisi päästä käsiksi tietokantaan yrityksen sisältä käsin, vahvat kontrollit tietokannoissa ja datan eri tasoilla estävät luvattoman pääsyn yrityksen dataan. Tätä usean portaan varmistusta kutsutaan nollaluottamuspolitiikaksi, ja se varmistaa, että käyttäjät tunnistetaan, valtuutetaan ja tietoturvataso varmennetaan ennen kuin he muodostavat yhteyden tietokantaan.

Tämän takia käyttäjille tulisi antaa vain mahdollisimman suppeat oikeudet, jotta heidän työntekonsa ei häiriintyisi, mutta samalla heillä ei olisi ylimääräisiä oikeuksia tietokantaan. Näin yritys suojaa kaikkea tietoaan usealla eri tavalla, eikä pelkästään kaikkein kriittisintä dataansa.

Yksityisyydenturva

Yksityisyyteen liittyvät asiat ovat olleet vahvasti esillä viime vuosina erityisesti EU:n uusien lainsäädäntöjen tuomien velvoitteiden takia. Suurimpana esimerkkinä tästä on vuonna 2016 voimaan tullut GDPR, joka on vaikuttanut lähes jokaisen yrityksen tiedonhallinnan vaatimuksiin. GDPR:n alaiset henkilötiedot tulee tiedonhallinnassa asettaa erityisvalvonnan alle, koska niiden käsittelyä pitää valvoa erityisen tarkasti. Lisäksi yritysten tulee valmistautua siihen, että nämä tiedot tulee pystyä toimittamaan tai poistamaan, mikäli tiedon kohde näin pyytää. Tätä varten rakennetut proseduurit ja kontrollit ovat varmasti tässä vaiheessa tuttuja monille tietokanta-asiantuntijoille, mutta lisää muutoksia voi olla tulossa. Vuoden 2024 alusta voimaan astunut Data Act tulee sovellettavaksi syksyllä 2025. Käytännön vaatimukset ovat vielä osittain epäselviä, mutta yleisesti ottaen datan käyttöön EU:n alueella tulee kohdistumaan enemmän vaatimuksia kuin ennen.

Joka tapauksessa GDPR toimi monessa pienemmässä yrityksessä herättäjänä aloittaa hallittu tiedonhallinta. Tiedonhallinnan ei kuitenkaan tulisi olla pelkästään pakon edessä toteutettava toimi, vaan parhaassa tapauksessa robusti kokonaisuus voi tuoda yritykselle kilpailuetua tiedolla johtamisen ja datan hyödyntämisen kautta.

DB Pro Services tarjoaa kattavia ratkaisuja ja asiantuntijapalveluita tiedolla johtamisen haasteisiin. Tarjontamme kattaa muun muassa datastrategian, modernien data-alustojen, sekä edistyneen analytiikan kokonaisuudet, kuin myös vaativat datamigraatiot. Ota yhteyttä, niin autamme sinua ja organisaatiotasi hyödyntämään tietoa tehokkaasti ja menestymään kilpailussa!

Tämä blogi on osa datastrategia-blogisarjaamme, josta julkaistaan uusia kirjoituksia tulevina kuukausina. Edellisen blogikirjoituksen löydät täältä: Datastrategian tukipilarit: Arkkitehtuuri ja teknologiavalinnat

DB Pro Services Oy

Ota yhteyttä