數(shù)據(jù)安全風險挑戰(zhàn)
對于數(shù)據(jù)安全,全球研究機構Gartner分析師總結提出了三大挑戰(zhàn):
1����、當前,在全球數(shù)字化業(yè)務開展得如火如荼時期����,業(yè)務發(fā)展依賴于數(shù)據(jù)資產帶來的金融機會,但同時缺乏對數(shù)據(jù)相關金融風險和負債規(guī)模和范圍進行評估的意識或能力��。
2��、無論是存儲在本地還是在公共云��,數(shù)據(jù)使用的速度�,數(shù)量����,種類和價值都在不斷增長��,導致數(shù)字化業(yè)務投資決策的復雜性和風險急劇增加�。
3����、在風險敞口增加的時候,由于缺乏針對數(shù)據(jù)投資和安全性的整合業(yè)務策略將減少數(shù)據(jù)變現(xiàn)和價值創(chuàng)造的機會�。
給CISO三大建議
針對上述挑戰(zhàn),Gartner認為負責數(shù)據(jù)安全CISO(首席信息安全官)的安全和風險管理負責人必須與數(shù)據(jù)和分析負責人合作推動以下事宜:
1�、應用Gartner數(shù)據(jù)安全治理框架來識別安全,監(jiān)管或事件引起的業(yè)務風險��。
2�、應用數(shù)據(jù)安全治理框架,用來識別安全引起的業(yè)務風險�,監(jiān)管合規(guī)引起的業(yè)務風險及安全事件引起的業(yè)務風險。
3�、對每個數(shù)據(jù)集合使用Gartner財務數(shù)據(jù)風險評估的決策矩陣,以指導適當?shù)耐顿Y�����,管理或安全緩解措施。
Gartner未來預測
1�����、到2022年����,90%的企業(yè)戰(zhàn)略將明確數(shù)據(jù)作為關鍵企業(yè)資產,數(shù)據(jù)分析作為必不可少的能力����。
2、到2022年���,30%的CDO(首席數(shù)字官)將與CFO(首席財務官)正式對組織的數(shù)據(jù)資產價值進行評估���,以改善數(shù)據(jù)的管理和收益。
3��、到2022年��,超過30%的企業(yè)(目前不到5%)將使用其數(shù)據(jù)資產的財務風險評估來對IT��、分析����、安全和隱私的投資選擇進行優(yōu)先級排序。
數(shù)據(jù)安全風險與財務風險評估關聯(lián)模型
每個企業(yè)的數(shù)字化業(yè)務都在經歷數(shù)據(jù)在速度��、規(guī)模��、多樣性和價值的快速增長機會���,同時伴隨著產生了大量具有財務影響的業(yè)務風險����。由于越來越多來自數(shù)據(jù)收入和投資的機會����,投資決策時卻未考慮相關成本或負債,董事會層面的風險監(jiān)管對于成功投資至關重要��,以促使投資過程中加大對風險的評估��。企業(yè)需要對導致業(yè)務結果的技術問題的風險評估��。關于如何使用數(shù)據(jù)的投資決策可能導致的財務影響����,在企業(yè)里很少進行討論��。因此��,不評估機會成本����,并導致過度樂觀的財務預測����。《一般數(shù)據(jù)保護條例》(GDPR)的巨大影響戲劇性地提高了企業(yè)對各種法規(guī)的關注(包括健康�����,信用卡和其他財務數(shù)據(jù)的各方面)�����,以降低合規(guī)性風險����。數(shù)據(jù)泄露,隱私執(zhí)行�����,不合規(guī)甚至意外事件處理都可能以不同方式對業(yè)務產生財務影響。例如����,被公開暴露出來的具有安全性或隱私性問題的大量數(shù)據(jù)泄露�����,可能導致巨大的財務通知成本和罰款����。然而,這些是一次性成本��,可能會影響企業(yè)年度報告中的現(xiàn)金流�,并可能導致短期資本化價值降低。雖然這會產生巨大的財務影響�����,但影響通常是短期的�����,除非企業(yè)需要借錢并改變長期投資�����,這些風險將減少短期和長期財務估值和數(shù)據(jù)貨幣化。
數(shù)據(jù)使用帶來的財務影響可以通過剛開發(fā)出來的Gartner新信息經濟學模型來評估����,即財務數(shù)據(jù)風險評估(FinDRA)模型。值得注意的是���,在這個階段�����,雖然信息經濟學模型是基于堅強的經濟學過程完成的����,但還沒有被會計準則所認可�����。信息經濟學是一個重要的工具�����,可以使安全和風險管理(SRM)領導者����,首席信息安全官 (CISO)��,首席數(shù)據(jù)官(CDO)和CIO����,根據(jù)收入機會評估每個數(shù)據(jù)集�。信息經濟學模型還允許他們對管理�、存儲、分析和保護數(shù)據(jù)的有形和無形成本進行評估����。財務數(shù)據(jù)風險評估(FinDRA)模型包括了五個處理步驟,如圖所示:
圖1. 財務數(shù)據(jù)風險評估流程
這意味著需要仔細評估不同金融負債的業(yè)務風險����,無論是數(shù)據(jù)貨幣化產生的短期還是長期影響。該研究將描述如何評估潛在負債的規(guī)模并根據(jù)影響確定優(yōu)先級�����。需要注意的是�����,財務風險評估是更廣泛的數(shù)字風險評估視圖的一部分。
應用Gartner數(shù)據(jù)安全治理框架來識別業(yè)務風險
必須確定企業(yè)的業(yè)務風險���,這些風險將會因以下事件而影響組織的財務績效:
不合規(guī)(例如��,隱私�����,稅務����,醫(yī)療保健或信用卡)
安全威脅(例如�,惡意內幕,黑客�����,勒索軟件或拒絕服務)
內部或外部審計流程
數(shù)據(jù)操作
數(shù)據(jù)完整性(例如���,意外刪除或修改)
意外披露
合并或收購業(yè)務前的盡職調查
規(guī)劃數(shù)字創(chuàng)新計劃�����,項目或技術投資
以數(shù)據(jù)安全治理(DSG)框架為基礎����,將這些事項作為數(shù)據(jù)風險評估(DRA)的一部分。這對選擇新服務或IT硬件的投資決策具有關鍵影響�����。這是因為本地部署和通過公共云服務在新的存儲和分析平臺上傳輸數(shù)據(jù)會產生地理來源����、跨境傳輸充分性、存儲和數(shù)據(jù)訪問相關的數(shù)據(jù)駐留等問題��,隨著與業(yè)務合作伙伴和其他生態(tài)系統(tǒng)共享數(shù)據(jù)�,其他安全性��,隱私����,信任和道德問題也隨之增加。
圖2:數(shù)據(jù)安全治理(DSG)框架
DSG框架可以按照如下步驟實施�����,總結如下:
確定每個數(shù)據(jù)集的治理特征和生命周期;
標識存在的有形數(shù)據(jù)金融資產和負債估值���;
在所有的存儲系統(tǒng)進行數(shù)據(jù)發(fā)現(xiàn)和梳理����;
映射數(shù)據(jù)流:
標識被授權訪問每個數(shù)據(jù)島或應用程序數(shù)據(jù)的每個用戶帳戶�����。
監(jiān)控數(shù)據(jù)訪問是如何被授權改變的�。
查看每個數(shù)據(jù)集的地理來源引起的合規(guī)性和數(shù)據(jù)駐留問題:
確定數(shù)據(jù)保護和隱私法引起的安全要求。
確定國家訪問法是否會影響地理存儲位置的選擇�。
審查員工應如何從不同的地理工作位置進行訪問。
為所有可用數(shù)字業(yè)務環(huán)境�,應用程序和端點訪問的數(shù)據(jù)集,創(chuàng)建一致的訪問和使用策略�����。
在所有數(shù)據(jù)管理和安全產品上選擇��,部署和及時發(fā)布相關策略���,這些策略可以被修改以反映數(shù)據(jù)治理和用戶賬戶上的變化����。
使用信息經濟學來評估數(shù)據(jù)貨幣化關聯(lián)的業(yè)務風險導致的短期和長期財務負債
識別可能產生金融負債的數(shù)據(jù)管理或安全相關潛在事件。
這些事件可按如下方式識別:
類型1 - 持久性:可能在多個年度報告中產生影響的長期負債
類型2 - 易變性:基本發(fā)生在一個財年內的一次性或短期負債
可以基于共同的行業(yè)流程和產品購買來識別類型1和類型2的負債�����。例如下圖中顯示的幾個示例��。
圖3:長期(持續(xù))和短期(易變)金融負債的示例
例如�����,購買應用程序或云服務的決定將產生新的合規(guī)��、安全和數(shù)據(jù)處理問題���。因此���,必須對任何改變數(shù)據(jù)管理的方式加以評估���,這里包括是不是要改變���、如何改變以及是否需要針對任一金融風險進行預算縮減的決定等。第一類(持續(xù)性)負債和第二類(易變性)負債的性質意味著我們需要研究不同的財務預算策略。
數(shù)據(jù)生命周期也可能影響每種負債的風險可能會產生多長時間的影響����,以及可能需要被考慮多長時間,這可能會在幾分鐘到幾個月�,幾年甚至幾十年之間變化。
圖4:責任類型與財務預算之間的關系
第1類持續(xù)負債將是經常性費用�,可作為年度預算決策的一部分進行審查。未來無形負債的風險評估需要謹慎��。我們將在后面對此做更仔細的討論���。
第2類易變性負債必須被仔細考慮�,這是由于它們將對市值和現(xiàn)金流準備金的充足性造成影響�����。由于對現(xiàn)金的影響����,這些易變性負債可能會影響潛在的商業(yè)投資決策,盡管這些投資機會貌似與這些負債事件無關��,但仍必須對其進行評估�����。
將決策矩陣作為Gartner FinDRA的一部分,對每個數(shù)據(jù)集進行評估���,以指導適當?shù)耐顿Y����、管理或安全風險緩解行動��。
數(shù)字業(yè)務需要制定戰(zhàn)略決策���,以便為必須根據(jù)數(shù)據(jù)管理和安全行動評估的投資優(yōu)先級提供信息��。每項業(yè)務計劃都可能旨在增加數(shù)據(jù)集產生的內在價值�����,但這些決策將產生不同的風險�。決策矩陣可以納入FinDRA����,以便根據(jù)與每個數(shù)據(jù)集相關的風險產生的財務影響對該計劃進行戰(zhàn)略評估����。注意�,這種方法將僅對每種數(shù)據(jù)集進行一個相對的評估而不是精確的評價��。
每個企業(yè)的風險偏好以及不同細分市場的風險將根據(jù)行業(yè)最佳實踐��、內部DSG優(yōu)先級甚至公共事件分析而有所不同���。相對財務影響���,無論高低,都可以用金融風險優(yōu)先級矩陣表示��,如圖所示��。每個數(shù)據(jù)集都可以映射到矩陣上���,甚至可以反映在同一象限內的其他數(shù)據(jù)集的關系�。然后�����,根據(jù)數(shù)據(jù)集所在的象限來確定投資決策的優(yōu)先級�。這樣將考慮到不同業(yè)務計劃對每個數(shù)據(jù)集的相對不同的影響����,并且可以為投資或撤回無效成本創(chuàng)建優(yōu)先級��,例如���,擔?�;虺焚Y�����。
圖5:財務風險優(yōu)先級矩陣
每個數(shù)據(jù)集都可能面臨合規(guī)性要求�、內部人員和外部人員的安全威脅以及意外事件所帶來的業(yè)務風險�。有四種風險情景,如圖所示���。在每個方案中���,安全和風險管理領導者需要使用到評估和影響兩大流程。
1.投資(Invest)
評估 - 如果數(shù)據(jù)集具有高資產價值和低負債價值���,這意味著企業(yè)可以高度自信地進行��。商業(yè)秘密�,銷售業(yè)績和預測是短期有價值且長期影響有限的數(shù)據(jù)集的例子�。但還是應該小心,因為即使很低的負債概率仍然意味著可能會產生極具影響力的事件����。當這些數(shù)據(jù)集達到使用壽命時,它們將轉移到“不關注”或“不投資”象限�����。
影響 - 這些數(shù)據(jù)集對于安全防護上投資的優(yōu)先級較低����。由于它們被業(yè)務應用程序高度利用,因此可以通過網(wǎng)絡保險或抵消貸款安排來對沖任何數(shù)據(jù)丟失風險����。
2.評估投資回報率(Evaluate ROI)
評估 – 合規(guī)性數(shù)據(jù)集或知識產權可能位于此象限中。這些數(shù)據(jù)集受到各種業(yè)務領導者的高度利用��,但如果受到篡改�,丟失或被盜,也會產生巨大的財務風險��。毛利率,凈利潤和1類或2類負債的影響需要謹慎地平衡投資決策���,管理和保護要求����。當這些數(shù)據(jù)集達到其壽命結束時��,它們通常會向下移動到“Divest”象限��。
影響 - 這些數(shù)據(jù)集需要嚴格的DSG和信息經濟學評估����,以確定適當?shù)臄?shù)據(jù)安全控制和預算。在采用特定服務或技術時���,ROI或毛利率可能會約束安全預算和投資決策����。
3. 不在乎(Don’t Care)
評估 - 此類別中的數(shù)據(jù)集仍然會產生獲得�����、存儲和處理環(huán)節(jié)的成本,但其財務價值較低�。舊的知識產權,財務報告數(shù)據(jù)屬于供參考或用于研究�����,就是這樣的例子�����。影響這些數(shù)據(jù)集的最可能的風險是競爭對手等第三方的潛在訪問造成的相關風險����。因此�,合作伙伴,開發(fā)人員/顧問或客戶訪問的風險可能仍然較低�����,并且由此產生的負債較低�。
影響 - 這些數(shù)據(jù)集沒有特定的數(shù)據(jù)管理要求。尋找機會最小化數(shù)據(jù)集獲取�,將數(shù)據(jù)移動到長期存儲(如存儲網(wǎng)絡(SAN)或磁盤,同時加密存儲)�����,或盡快刪除。
4. 剝離 (Divest)
評估 - 這些數(shù)據(jù)集應引起最大的關注���,因為它們的收入價值有限或已過期�����。例如舊的客戶數(shù)據(jù)和財務報告數(shù)據(jù)����,這些數(shù)據(jù)可能仍需要接受審計或丟失通知����。這些數(shù)據(jù)集需要定期評估以降低風險負擔。
影響 - 需要管理這些數(shù)據(jù)集��,以便內部流程或應用程序不再允許使用這些數(shù)據(jù)���。在數(shù)據(jù)到達使用壽命時,可才去的選項包括:將數(shù)據(jù)轉移到第三方�,去標識化����,刪除或歸檔���。某些情況下可能需要長期存儲,并且應盡可能使用加密等訪問控制措施�。除非在強安全控制下,要盡可能防止對這些數(shù)據(jù)的訪問���。最大限度地減少面向應用程序和分析的使用����。
培養(yǎng)快速評估財務風險的能力�,對于存在類型1或類型2負債的數(shù)字化業(yè)務投資機會至關重要��。例如��,許多商業(yè)投資機會需要對第2類負債有敏捷的反應流程��,它們通常是高度創(chuàng)新并迅速變化的�����。對于第1類負債���,必須考慮對事故概率仔細審查���,以確定對盈利能力的長期影響�����。因此�,數(shù)據(jù)安全治理(DSG)框架下的正式審查可以產生更切合實際的投資結果����,并最終決定風險投資的成敗。
注:上述內容翻譯整理出自Gartner研究報告《Developa Financial Risk Assessment for Data Using Infonomics》����。
產品咨詢:4000 258 365 
