數(shù)據(jù)安全風(fēng)險(xiǎn)挑戰(zhàn)
對(duì)于數(shù)據(jù)安全��,全球研究機(jī)構(gòu)Gartner分析師總結(jié)提出了三大挑戰(zhàn):
1����、當(dāng)前,在全球數(shù)字化業(yè)務(wù)開(kāi)展得如火如荼時(shí)期����,業(yè)務(wù)發(fā)展依賴(lài)于數(shù)據(jù)資產(chǎn)帶來(lái)的金融機(jī)會(huì),但同時(shí)缺乏對(duì)數(shù)據(jù)相關(guān)金融風(fēng)險(xiǎn)和負(fù)債規(guī)模和范圍進(jìn)行評(píng)估的意識(shí)或能力����。
2、無(wú)論是存儲(chǔ)在本地還是在公共云����,數(shù)據(jù)使用的速度,數(shù)量�,種類(lèi)和價(jià)值都在不斷增長(zhǎng),導(dǎo)致數(shù)字化業(yè)務(wù)投資決策的復(fù)雜性和風(fēng)險(xiǎn)急劇增加����。
3、在風(fēng)險(xiǎn)敞口增加的時(shí)候���,由于缺乏針對(duì)數(shù)據(jù)投資和安全性的整合業(yè)務(wù)策略將減少數(shù)據(jù)變現(xiàn)和價(jià)值創(chuàng)造的機(jī)會(huì)�。
給CISO三大建議
針對(duì)上述挑戰(zhàn)�����,Gartner認(rèn)為負(fù)責(zé)數(shù)據(jù)安全CISO(首席信息安全官)的安全和風(fēng)險(xiǎn)管理負(fù)責(zé)人必須與數(shù)據(jù)和分析負(fù)責(zé)人合作推動(dòng)以下事宜:
1�����、應(yīng)用Gartner數(shù)據(jù)安全治理框架來(lái)識(shí)別安全����,監(jiān)管或事件引起的業(yè)務(wù)風(fēng)險(xiǎn)。
2��、應(yīng)用數(shù)據(jù)安全治理框架,用來(lái)識(shí)別安全引起的業(yè)務(wù)風(fēng)險(xiǎn)���,監(jiān)管合規(guī)引起的業(yè)務(wù)風(fēng)險(xiǎn)及安全事件引起的業(yè)務(wù)風(fēng)險(xiǎn)����。
3�、對(duì)每個(gè)數(shù)據(jù)集合使用Gartner財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估的決策矩陣,以指導(dǎo)適當(dāng)?shù)耐顿Y�����,管理或安全緩解措施�。
Gartner未來(lái)預(yù)測(cè)
1、到2022年�����,90%的企業(yè)戰(zhàn)略將明確數(shù)據(jù)作為關(guān)鍵企業(yè)資產(chǎn)�,數(shù)據(jù)分析作為必不可少的能力。
2�����、到2022年����,30%的CDO(首席數(shù)字官)將與CFO(首席財(cái)務(wù)官)正式對(duì)組織的數(shù)據(jù)資產(chǎn)價(jià)值進(jìn)行評(píng)估���,以改善數(shù)據(jù)的管理和收益���。
3��、到2022年����,超過(guò)30%的企業(yè)(目前不到5%)將使用其數(shù)據(jù)資產(chǎn)的財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估來(lái)對(duì)IT�����、分析���、安全和隱私的投資選擇進(jìn)行優(yōu)先級(jí)排序����。
數(shù)據(jù)安全風(fēng)險(xiǎn)與財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估關(guān)聯(lián)模型
每個(gè)企業(yè)的數(shù)字化業(yè)務(wù)都在經(jīng)歷數(shù)據(jù)在速度�、規(guī)模、多樣性和價(jià)值的快速增長(zhǎng)機(jī)會(huì)����,同時(shí)伴隨著產(chǎn)生了大量具有財(cái)務(wù)影響的業(yè)務(wù)風(fēng)險(xiǎn)���。由于越來(lái)越多來(lái)自數(shù)據(jù)收入和投資的機(jī)會(huì),投資決策時(shí)卻未考慮相關(guān)成本或負(fù)債��,董事會(huì)層面的風(fēng)險(xiǎn)監(jiān)管對(duì)于成功投資至關(guān)重要��,以促使投資過(guò)程中加大對(duì)風(fēng)險(xiǎn)的評(píng)估���。企業(yè)需要對(duì)導(dǎo)致業(yè)務(wù)結(jié)果的技術(shù)問(wèn)題的風(fēng)險(xiǎn)評(píng)估��。關(guān)于如何使用數(shù)據(jù)的投資決策可能導(dǎo)致的財(cái)務(wù)影響��,在企業(yè)里很少進(jìn)行討論�。因此�,不評(píng)估機(jī)會(huì)成本,并導(dǎo)致過(guò)度樂(lè)觀的財(cái)務(wù)預(yù)測(cè)����。《一般數(shù)據(jù)保護(hù)條例》(GDPR)的巨大影響戲劇性地提高了企業(yè)對(duì)各種法規(guī)的關(guān)注(包括健康����,信用卡和其他財(cái)務(wù)數(shù)據(jù)的各方面)�����,以降低合規(guī)性風(fēng)險(xiǎn)���。數(shù)據(jù)泄露����,隱私執(zhí)行,不合規(guī)甚至意外事件處理都可能以不同方式對(duì)業(yè)務(wù)產(chǎn)生財(cái)務(wù)影響���。例如����,被公開(kāi)暴露出來(lái)的具有安全性或隱私性問(wèn)題的大量數(shù)據(jù)泄露��,可能導(dǎo)致巨大的財(cái)務(wù)通知成本和罰款�����。然而�����,這些是一次性成本,可能會(huì)影響企業(yè)年度報(bào)告中的現(xiàn)金流����,并可能導(dǎo)致短期資本化價(jià)值降低。雖然這會(huì)產(chǎn)生巨大的財(cái)務(wù)影響�,但影響通常是短期的,除非企業(yè)需要借錢(qián)并改變長(zhǎng)期投資���,這些風(fēng)險(xiǎn)將減少短期和長(zhǎng)期財(cái)務(wù)估值和數(shù)據(jù)貨幣化����。
數(shù)據(jù)使用帶來(lái)的財(cái)務(wù)影響可以通過(guò)剛開(kāi)發(fā)出來(lái)的Gartner新信息經(jīng)濟(jì)學(xué)模型來(lái)評(píng)估�����,即財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估(FinDRA)模型�。值得注意的是,在這個(gè)階段�����,雖然信息經(jīng)濟(jì)學(xué)模型是基于堅(jiān)強(qiáng)的經(jīng)濟(jì)學(xué)過(guò)程完成的�����,但還沒(méi)有被會(huì)計(jì)準(zhǔn)則所認(rèn)可。信息經(jīng)濟(jì)學(xué)是一個(gè)重要的工具���,可以使安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者���,首席信息安全官 (CISO),首席數(shù)據(jù)官(CDO)和CIO���,根據(jù)收入機(jī)會(huì)評(píng)估每個(gè)數(shù)據(jù)集��。信息經(jīng)濟(jì)學(xué)模型還允許他們對(duì)管理、存儲(chǔ)�����、分析和保護(hù)數(shù)據(jù)的有形和無(wú)形成本進(jìn)行評(píng)估�����。財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估(FinDRA)模型包括了五個(gè)處理步驟���,如圖所示:
圖1. 財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估流程
這意味著需要仔細(xì)評(píng)估不同金融負(fù)債的業(yè)務(wù)風(fēng)險(xiǎn)����,無(wú)論是數(shù)據(jù)貨幣化產(chǎn)生的短期還是長(zhǎng)期影響。該研究將描述如何評(píng)估潛在負(fù)債的規(guī)模并根據(jù)影響確定優(yōu)先級(jí)�。需要注意的是,財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估是更廣泛的數(shù)字風(fēng)險(xiǎn)評(píng)估視圖的一部分�。
應(yīng)用Gartner數(shù)據(jù)安全治理框架來(lái)識(shí)別業(yè)務(wù)風(fēng)險(xiǎn)
必須確定企業(yè)的業(yè)務(wù)風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)將會(huì)因以下事件而影響組織的財(cái)務(wù)績(jī)效:
不合規(guī)(例如���,隱私�����,稅務(wù)��,醫(yī)療保健或信用卡)
安全威脅(例如�����,惡意內(nèi)幕��,黑客���,勒索軟件或拒絕服務(wù))
內(nèi)部或外部審計(jì)流程
數(shù)據(jù)操作
數(shù)據(jù)完整性(例如,意外刪除或修改)
意外披露
合并或收購(gòu)業(yè)務(wù)前的盡職調(diào)查
規(guī)劃數(shù)字創(chuàng)新計(jì)劃�����,項(xiàng)目或技術(shù)投資
以數(shù)據(jù)安全治理(DSG)框架為基礎(chǔ),將這些事項(xiàng)作為數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估(DRA)的一部分��。這對(duì)選擇新服務(wù)或IT硬件的投資決策具有關(guān)鍵影響�����。這是因?yàn)楸镜夭渴鸷屯ㄟ^(guò)公共云服務(wù)在新的存儲(chǔ)和分析平臺(tái)上傳輸數(shù)據(jù)會(huì)產(chǎn)生地理來(lái)源��、跨境傳輸充分性���、存儲(chǔ)和數(shù)據(jù)訪問(wèn)相關(guān)的數(shù)據(jù)駐留等問(wèn)題���,隨著與業(yè)務(wù)合作伙伴和其他生態(tài)系統(tǒng)共享數(shù)據(jù),其他安全性�����,隱私���,信任和道德問(wèn)題也隨之增加。
圖2:數(shù)據(jù)安全治理(DSG)框架
DSG框架可以按照如下步驟實(shí)施��,總結(jié)如下:
確定每個(gè)數(shù)據(jù)集的治理特征和生命周期;
標(biāo)識(shí)存在的有形數(shù)據(jù)金融資產(chǎn)和負(fù)債估值�����;
在所有的存儲(chǔ)系統(tǒng)進(jìn)行數(shù)據(jù)發(fā)現(xiàn)和梳理��;
映射數(shù)據(jù)流:
標(biāo)識(shí)被授權(quán)訪問(wèn)每個(gè)數(shù)據(jù)島或應(yīng)用程序數(shù)據(jù)的每個(gè)用戶(hù)帳戶(hù)����。
監(jiān)控?cái)?shù)據(jù)訪問(wèn)是如何被授權(quán)改變的。
查看每個(gè)數(shù)據(jù)集的地理來(lái)源引起的合規(guī)性和數(shù)據(jù)駐留問(wèn)題:
確定數(shù)據(jù)保護(hù)和隱私法引起的安全要求����。
確定國(guó)家訪問(wèn)法是否會(huì)影響地理存儲(chǔ)位置的選擇。
審查員工應(yīng)如何從不同的地理工作位置進(jìn)行訪問(wèn)�����。
為所有可用數(shù)字業(yè)務(wù)環(huán)境�����,應(yīng)用程序和端點(diǎn)訪問(wèn)的數(shù)據(jù)集���,創(chuàng)建一致的訪問(wèn)和使用策略�。
在所有數(shù)據(jù)管理和安全產(chǎn)品上選擇,部署和及時(shí)發(fā)布相關(guān)策略��,這些策略可以被修改以反映數(shù)據(jù)治理和用戶(hù)賬戶(hù)上的變化��。
使用信息經(jīng)濟(jì)學(xué)來(lái)評(píng)估數(shù)據(jù)貨幣化關(guān)聯(lián)的業(yè)務(wù)風(fēng)險(xiǎn)導(dǎo)致的短期和長(zhǎng)期財(cái)務(wù)負(fù)債
識(shí)別可能產(chǎn)生金融負(fù)債的數(shù)據(jù)管理或安全相關(guān)潛在事件���。
這些事件可按如下方式識(shí)別:
類(lèi)型1 - 持久性:可能在多個(gè)年度報(bào)告中產(chǎn)生影響的長(zhǎng)期負(fù)債
類(lèi)型2 - 易變性:基本發(fā)生在一個(gè)財(cái)年內(nèi)的一次性或短期負(fù)債
可以基于共同的行業(yè)流程和產(chǎn)品購(gòu)買(mǎi)來(lái)識(shí)別類(lèi)型1和類(lèi)型2的負(fù)債���。例如下圖中顯示的幾個(gè)示例。
圖3:長(zhǎng)期(持續(xù))和短期(易變)金融負(fù)債的示例
例如�����,購(gòu)買(mǎi)應(yīng)用程序或云服務(wù)的決定將產(chǎn)生新的合規(guī)���、安全和數(shù)據(jù)處理問(wèn)題���。因此,必須對(duì)任何改變數(shù)據(jù)管理的方式加以評(píng)估�����,這里包括是不是要改變���、如何改變以及是否需要針對(duì)任一金融風(fēng)險(xiǎn)進(jìn)行預(yù)算縮減的決定等���。第一類(lèi)(持續(xù)性)負(fù)債和第二類(lèi)(易變性)負(fù)債的性質(zhì)意味著我們需要研究不同的財(cái)務(wù)預(yù)算策略。
數(shù)據(jù)生命周期也可能影響每種負(fù)債的風(fēng)險(xiǎn)可能會(huì)產(chǎn)生多長(zhǎng)時(shí)間的影響�,以及可能需要被考慮多長(zhǎng)時(shí)間,這可能會(huì)在幾分鐘到幾個(gè)月�����,幾年甚至幾十年之間變化�。
圖4:責(zé)任類(lèi)型與財(cái)務(wù)預(yù)算之間的關(guān)系
第1類(lèi)持續(xù)負(fù)債將是經(jīng)常性費(fèi)用,可作為年度預(yù)算決策的一部分進(jìn)行審查����。未來(lái)無(wú)形負(fù)債的風(fēng)險(xiǎn)評(píng)估需要謹(jǐn)慎。我們將在后面對(duì)此做更仔細(xì)的討論�����。
第2類(lèi)易變性負(fù)債必須被仔細(xì)考慮�,這是由于它們將對(duì)市值和現(xiàn)金流準(zhǔn)備金的充足性造成影響。由于對(duì)現(xiàn)金的影響�,這些易變性負(fù)債可能會(huì)影響潛在的商業(yè)投資決策,盡管這些投資機(jī)會(huì)貌似與這些負(fù)債事件無(wú)關(guān)��,但仍必須對(duì)其進(jìn)行評(píng)估。
將決策矩陣作為Gartner FinDRA的一部分�����,對(duì)每個(gè)數(shù)據(jù)集進(jìn)行評(píng)估����,以指導(dǎo)適當(dāng)?shù)耐顿Y、管理或安全風(fēng)險(xiǎn)緩解行動(dòng)��。
數(shù)字業(yè)務(wù)需要制定戰(zhàn)略決策�,以便為必須根據(jù)數(shù)據(jù)管理和安全行動(dòng)評(píng)估的投資優(yōu)先級(jí)提供信息。每項(xiàng)業(yè)務(wù)計(jì)劃都可能旨在增加數(shù)據(jù)集產(chǎn)生的內(nèi)在價(jià)值���,但這些決策將產(chǎn)生不同的風(fēng)險(xiǎn)�����。決策矩陣可以納入FinDRA��,以便根據(jù)與每個(gè)數(shù)據(jù)集相關(guān)的風(fēng)險(xiǎn)產(chǎn)生的財(cái)務(wù)影響對(duì)該計(jì)劃進(jìn)行戰(zhàn)略評(píng)估����。注意,這種方法將僅對(duì)每種數(shù)據(jù)集進(jìn)行一個(gè)相對(duì)的評(píng)估而不是精確的評(píng)價(jià)��。
每個(gè)企業(yè)的風(fēng)險(xiǎn)偏好以及不同細(xì)分市場(chǎng)的風(fēng)險(xiǎn)將根據(jù)行業(yè)最佳實(shí)踐��、內(nèi)部DSG優(yōu)先級(jí)甚至公共事件分析而有所不同�����。相對(duì)財(cái)務(wù)影響�,無(wú)論高低����,都可以用金融風(fēng)險(xiǎn)優(yōu)先級(jí)矩陣表示,如圖所示�����。每個(gè)數(shù)據(jù)集都可以映射到矩陣上����,甚至可以反映在同一象限內(nèi)的其他數(shù)據(jù)集的關(guān)系。然后���,根據(jù)數(shù)據(jù)集所在的象限來(lái)確定投資決策的優(yōu)先級(jí)����。這樣將考慮到不同業(yè)務(wù)計(jì)劃對(duì)每個(gè)數(shù)據(jù)集的相對(duì)不同的影響,并且可以為投資或撤回?zé)o效成本創(chuàng)建優(yōu)先級(jí)���,例如��,擔(dān)?�;虺焚Y��。
圖5:財(cái)務(wù)風(fēng)險(xiǎn)優(yōu)先級(jí)矩陣
每個(gè)數(shù)據(jù)集都可能面臨合規(guī)性要求���、內(nèi)部人員和外部人員的安全威脅以及意外事件所帶來(lái)的業(yè)務(wù)風(fēng)險(xiǎn)。有四種風(fēng)險(xiǎn)情景�,如圖所示。在每個(gè)方案中����,安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者需要使用到評(píng)估和影響兩大流程。
1.投資(Invest)
評(píng)估 - 如果數(shù)據(jù)集具有高資產(chǎn)價(jià)值和低負(fù)債價(jià)值����,這意味著企業(yè)可以高度自信地進(jìn)行。商業(yè)秘密��,銷(xiāo)售業(yè)績(jī)和預(yù)測(cè)是短期有價(jià)值且長(zhǎng)期影響有限的數(shù)據(jù)集的例子。但還是應(yīng)該小心�����,因?yàn)榧词购艿偷呢?fù)債概率仍然意味著可能會(huì)產(chǎn)生極具影響力的事件�����。當(dāng)這些數(shù)據(jù)集達(dá)到使用壽命時(shí)�����,它們將轉(zhuǎn)移到“不關(guān)注”或“不投資”象限��。
影響 - 這些數(shù)據(jù)集對(duì)于安全防護(hù)上投資的優(yōu)先級(jí)較低�。由于它們被業(yè)務(wù)應(yīng)用程序高度利用�,因此可以通過(guò)網(wǎng)絡(luò)保險(xiǎn)或抵消貸款安排來(lái)對(duì)沖任何數(shù)據(jù)丟失風(fēng)險(xiǎn)。
2.評(píng)估投資回報(bào)率(Evaluate ROI)
評(píng)估 – 合規(guī)性數(shù)據(jù)集或知識(shí)產(chǎn)權(quán)可能位于此象限中�。這些數(shù)據(jù)集受到各種業(yè)務(wù)領(lǐng)導(dǎo)者的高度利用,但如果受到篡改��,丟失或被盜�����,也會(huì)產(chǎn)生巨大的財(cái)務(wù)風(fēng)險(xiǎn)。毛利率���,凈利潤(rùn)和1類(lèi)或2類(lèi)負(fù)債的影響需要謹(jǐn)慎地平衡投資決策����,管理和保護(hù)要求��。當(dāng)這些數(shù)據(jù)集達(dá)到其壽命結(jié)束時(shí)�����,它們通常會(huì)向下移動(dòng)到“Divest”象限�。
影響 - 這些數(shù)據(jù)集需要嚴(yán)格的DSG和信息經(jīng)濟(jì)學(xué)評(píng)估,以確定適當(dāng)?shù)臄?shù)據(jù)安全控制和預(yù)算���。在采用特定服務(wù)或技術(shù)時(shí)����,ROI或毛利率可能會(huì)約束安全預(yù)算和投資決策��。
3. 不在乎(Don’t Care)
評(píng)估 - 此類(lèi)別中的數(shù)據(jù)集仍然會(huì)產(chǎn)生獲得、存儲(chǔ)和處理環(huán)節(jié)的成本���,但其財(cái)務(wù)價(jià)值較低���。舊的知識(shí)產(chǎn)權(quán),財(cái)務(wù)報(bào)告數(shù)據(jù)屬于供參考或用于研究���,就是這樣的例子。影響這些數(shù)據(jù)集的最可能的風(fēng)險(xiǎn)是競(jìng)爭(zhēng)對(duì)手等第三方的潛在訪問(wèn)造成的相關(guān)風(fēng)險(xiǎn)�。因此,合作伙伴���,開(kāi)發(fā)人員/顧問(wèn)或客戶(hù)訪問(wèn)的風(fēng)險(xiǎn)可能仍然較低�,并且由此產(chǎn)生的負(fù)債較低�。
影響 - 這些數(shù)據(jù)集沒(méi)有特定的數(shù)據(jù)管理要求。尋找機(jī)會(huì)最小化數(shù)據(jù)集獲取����,將數(shù)據(jù)移動(dòng)到長(zhǎng)期存儲(chǔ)(如存儲(chǔ)網(wǎng)絡(luò)(SAN)或磁盤(pán),同時(shí)加密存儲(chǔ))���,或盡快刪除��。
4. 剝離 (Divest)
評(píng)估 - 這些數(shù)據(jù)集應(yīng)引起最大的關(guān)注����,因?yàn)樗鼈兊氖杖雰r(jià)值有限或已過(guò)期。例如舊的客戶(hù)數(shù)據(jù)和財(cái)務(wù)報(bào)告數(shù)據(jù)�,這些數(shù)據(jù)可能仍需要接受審計(jì)或丟失通知。這些數(shù)據(jù)集需要定期評(píng)估以降低風(fēng)險(xiǎn)負(fù)擔(dān)����。
影響 - 需要管理這些數(shù)據(jù)集,以便內(nèi)部流程或應(yīng)用程序不再允許使用這些數(shù)據(jù)�����。在數(shù)據(jù)到達(dá)使用壽命時(shí),可才去的選項(xiàng)包括:將數(shù)據(jù)轉(zhuǎn)移到第三方����,去標(biāo)識(shí)化,刪除或歸檔��。某些情況下可能需要長(zhǎng)期存儲(chǔ)�����,并且應(yīng)盡可能使用加密等訪問(wèn)控制措施����。除非在強(qiáng)安全控制下����,要盡可能防止對(duì)這些數(shù)據(jù)的訪問(wèn)���。最大限度地減少面向應(yīng)用程序和分析的使用����。
培養(yǎng)快速評(píng)估財(cái)務(wù)風(fēng)險(xiǎn)的能力����,對(duì)于存在類(lèi)型1或類(lèi)型2負(fù)債的數(shù)字化業(yè)務(wù)投資機(jī)會(huì)至關(guān)重要��。例如�,許多商業(yè)投資機(jī)會(huì)需要對(duì)第2類(lèi)負(fù)債有敏捷的反應(yīng)流程,它們通常是高度創(chuàng)新并迅速變化的�����。對(duì)于第1類(lèi)負(fù)債�����,必須考慮對(duì)事故概率仔細(xì)審查,以確定對(duì)盈利能力的長(zhǎng)期影響��。因此��,數(shù)據(jù)安全治理(DSG)框架下的正式審查可以產(chǎn)生更切合實(shí)際的投資結(jié)果��,并最終決定風(fēng)險(xiǎn)投資的成敗��。
注:上述內(nèi)容翻譯整理出自Gartner研究報(bào)告《Developa Financial Risk Assessment for Data Using Infonomics》�����。
產(chǎn)品咨詢(xún):4000 258 365 
