數據安全風險挑戰
對于數據安全,全球研究機構Gartner分析師總結提出了三大挑戰:
1、當前,在全球數字化業務開展得如火如荼時期,業務發展依賴于數據資產帶來的金融機會,但同時缺乏對數據相關金融風險和負債規模和范圍進行評估的意識或能力。
2、無論是存儲在本地還是在公共云,數據使用的速度,數量,種類和價值都在不斷增長,導致數字化業務投資決策的復雜性和風險急劇增加。
3、在風險敞口增加的時候,由于缺乏針對數據投資和安全性的整合業務策略將減少數據變現和價值創造的機會。
給CISO三大建議
針對上述挑戰,Gartner認為負責數據安全CISO(首席信息安全官)的安全和風險管理負責人必須與數據和分析負責人合作推動以下事宜:
1、應用Gartner數據安全治理框架來識別安全,監管或事件引起的業務風險。
2、應用數據安全治理框架,用來識別安全引起的業務風險,監管合規引起的業務風險及安全事件引起的業務風險。
3、對每個數據集合使用Gartner財務數據風險評估的決策矩陣,以指導適當的投資,管理或安全緩解措施。
Gartner未來預測
1、到2022年,90%的企業戰略將明確數據作為關鍵企業資產,數據分析作為必不可少的能力。
2、到2022年,30%的CDO(首席數字官)將與CFO(首席財務官)正式對組織的數據資產價值進行評估,以改善數據的管理和收益。
3、到2022年,超過30%的企業(目前不到5%)將使用其數據資產的財務風險評估來對IT、分析、安全和隱私的投資選擇進行優先級排序。
數據安全風險與財務風險評估關聯模型
每個企業的數字化業務都在經歷數據在速度、規模、多樣性和價值的快速增長機會,同時伴隨著產生了大量具有財務影響的業務風險。由于越來越多來自數據收入和投資的機會,投資決策時卻未考慮相關成本或負債,董事會層面的風險監管對于成功投資至關重要,以促使投資過程中加大對風險的評估。企業需要對導致業務結果的技術問題的風險評估。關于如何使用數據的投資決策可能導致的財務影響,在企業里很少進行討論。因此,不評估機會成本,并導致過度樂觀的財務預測。《一般數據保護條例》(GDPR)的巨大影響戲劇性地提高了企業對各種法規的關注(包括健康,信用卡和其他財務數據的各方面),以降低合規性風險。數據泄露,隱私執行,不合規甚至意外事件處理都可能以不同方式對業務產生財務影響。例如,被公開暴露出來的具有安全性或隱私性問題的大量數據泄露,可能導致巨大的財務通知成本和罰款。然而,這些是一次性成本,可能會影響企業年度報告中的現金流,并可能導致短期資本化價值降低。雖然這會產生巨大的財務影響,但影響通常是短期的,除非企業需要借錢并改變長期投資,這些風險將減少短期和長期財務估值和數據貨幣化。
數據使用帶來的財務影響可以通過剛開發出來的Gartner新信息經濟學模型來評估,即財務數據風險評估(FinDRA)模型。值得注意的是,在這個階段,雖然信息經濟學模型是基于堅強的經濟學過程完成的,但還沒有被會計準則所認可。信息經濟學是一個重要的工具,可以使安全和風險管理(SRM)領導者,首席信息安全官 (CISO),首席數據官(CDO)和CIO,根據收入機會評估每個數據集。信息經濟學模型還允許他們對管理、存儲、分析和保護數據的有形和無形成本進行評估。財務數據風險評估(FinDRA)模型包括了五個處理步驟,如圖所示:
圖1. 財務數據風險評估流程
這意味著需要仔細評估不同金融負債的業務風險,無論是數據貨幣化產生的短期還是長期影響。該研究將描述如何評估潛在負債的規模并根據影響確定優先級。需要注意的是,財務風險評估是更廣泛的數字風險評估視圖的一部分。
應用Gartner數據安全治理框架來識別業務風險
必須確定企業的業務風險,這些風險將會因以下事件而影響組織的財務績效:
不合規(例如,隱私,稅務,醫療保健或信用卡)
安全威脅(例如,惡意內幕,黑客,勒索軟件或拒絕服務)
內部或外部審計流程
數據操作
數據完整性(例如,意外刪除或修改)
意外披露
合并或收購業務前的盡職調查
規劃數字創新計劃,項目或技術投資
以數據安全治理(DSG)框架為基礎,將這些事項作為數據風險評估(DRA)的一部分。這對選擇新服務或IT硬件的投資決策具有關鍵影響。這是因為本地部署和通過公共云服務在新的存儲和分析平臺上傳輸數據會產生地理來源、跨境傳輸充分性、存儲和數據訪問相關的數據駐留等問題,隨著與業務合作伙伴和其他生態系統共享數據,其他安全性,隱私,信任和道德問題也隨之增加。
圖2:數據安全治理(DSG)框架
DSG框架可以按照如下步驟實施,總結如下:
確定每個數據集的治理特征和生命周期;
標識存在的有形數據金融資產和負債估值;
在所有的存儲系統進行數據發現和梳理;
映射數據流:
標識被授權訪問每個數據島或應用程序數據的每個用戶帳戶。
監控數據訪問是如何被授權改變的。
查看每個數據集的地理來源引起的合規性和數據駐留問題:
確定數據保護和隱私法引起的安全要求。
確定國家訪問法是否會影響地理存儲位置的選擇。
審查員工應如何從不同的地理工作位置進行訪問。
為所有可用數字業務環境,應用程序和端點訪問的數據集,創建一致的訪問和使用策略。
在所有數據管理和安全產品上選擇,部署和及時發布相關策略,這些策略可以被修改以反映數據治理和用戶賬戶上的變化。
使用信息經濟學來評估數據貨幣化關聯的業務風險導致的短期和長期財務負債
識別可能產生金融負債的數據管理或安全相關潛在事件。
這些事件可按如下方式識別:
類型1 - 持久性:可能在多個年度報告中產生影響的長期負債
類型2 - 易變性:基本發生在一個財年內的一次性或短期負債
可以基于共同的行業流程和產品購買來識別類型1和類型2的負債。例如下圖中顯示的幾個示例。
圖3:長期(持續)和短期(易變)金融負債的示例
例如,購買應用程序或云服務的決定將產生新的合規、安全和數據處理問題。因此,必須對任何改變數據管理的方式加以評估,這里包括是不是要改變、如何改變以及是否需要針對任一金融風險進行預算縮減的決定等。第一類(持續性)負債和第二類(易變性)負債的性質意味著我們需要研究不同的財務預算策略。
數據生命周期也可能影響每種負債的風險可能會產生多長時間的影響,以及可能需要被考慮多長時間,這可能會在幾分鐘到幾個月,幾年甚至幾十年之間變化。
圖4:責任類型與財務預算之間的關系
第1類持續負債將是經常性費用,可作為年度預算決策的一部分進行審查。未來無形負債的風險評估需要謹慎。我們將在后面對此做更仔細的討論。
第2類易變性負債必須被仔細考慮,這是由于它們將對市值和現金流準備金的充足性造成影響。由于對現金的影響,這些易變性負債可能會影響潛在的商業投資決策,盡管這些投資機會貌似與這些負債事件無關,但仍必須對其進行評估。
將決策矩陣作為Gartner FinDRA的一部分,對每個數據集進行評估,以指導適當的投資、管理或安全風險緩解行動。
數字業務需要制定戰略決策,以便為必須根據數據管理和安全行動評估的投資優先級提供信息。每項業務計劃都可能旨在增加數據集產生的內在價值,但這些決策將產生不同的風險。決策矩陣可以納入FinDRA,以便根據與每個數據集相關的風險產生的財務影響對該計劃進行戰略評估。注意,這種方法將僅對每種數據集進行一個相對的評估而不是精確的評價。
每個企業的風險偏好以及不同細分市場的風險將根據行業最佳實踐、內部DSG優先級甚至公共事件分析而有所不同。相對財務影響,無論高低,都可以用金融風險優先級矩陣表示,如圖所示。每個數據集都可以映射到矩陣上,甚至可以反映在同一象限內的其他數據集的關系。然后,根據數據集所在的象限來確定投資決策的優先級。這樣將考慮到不同業務計劃對每個數據集的相對不同的影響,并且可以為投資或撤回無效成本創建優先級,例如,擔保或撤資。
圖5:財務風險優先級矩陣
每個數據集都可能面臨合規性要求、內部人員和外部人員的安全威脅以及意外事件所帶來的業務風險。有四種風險情景,如圖所示。在每個方案中,安全和風險管理領導者需要使用到評估和影響兩大流程。
1.投資(Invest)
評估 - 如果數據集具有高資產價值和低負債價值,這意味著企業可以高度自信地進行。商業秘密,銷售業績和預測是短期有價值且長期影響有限的數據集的例子。但還是應該小心,因為即使很低的負債概率仍然意味著可能會產生極具影響力的事件。當這些數據集達到使用壽命時,它們將轉移到“不關注”或“不投資”象限。
影響 - 這些數據集對于安全防護上投資的優先級較低。由于它們被業務應用程序高度利用,因此可以通過網絡保險或抵消貸款安排來對沖任何數據丟失風險。
2.評估投資回報率(Evaluate ROI)
評估 – 合規性數據集或知識產權可能位于此象限中。這些數據集受到各種業務領導者的高度利用,但如果受到篡改,丟失或被盜,也會產生巨大的財務風險。毛利率,凈利潤和1類或2類負債的影響需要謹慎地平衡投資決策,管理和保護要求。當這些數據集達到其壽命結束時,它們通常會向下移動到“Divest”象限。
影響 - 這些數據集需要嚴格的DSG和信息經濟學評估,以確定適當的數據安全控制和預算。在采用特定服務或技術時,ROI或毛利率可能會約束安全預算和投資決策。
3. 不在乎(Don’t Care)
評估 - 此類別中的數據集仍然會產生獲得、存儲和處理環節的成本,但其財務價值較低。舊的知識產權,財務報告數據屬于供參考或用于研究,就是這樣的例子。影響這些數據集的最可能的風險是競爭對手等第三方的潛在訪問造成的相關風險。因此,合作伙伴,開發人員/顧問或客戶訪問的風險可能仍然較低,并且由此產生的負債較低。
影響 - 這些數據集沒有特定的數據管理要求。尋找機會最小化數據集獲取,將數據移動到長期存儲(如存儲網絡(SAN)或磁盤,同時加密存儲),或盡快刪除。
4. 剝離 (Divest)
評估 - 這些數據集應引起最大的關注,因為它們的收入價值有限或已過期。例如舊的客戶數據和財務報告數據,這些數據可能仍需要接受審計或丟失通知。這些數據集需要定期評估以降低風險負擔。
影響 - 需要管理這些數據集,以便內部流程或應用程序不再允許使用這些數據。在數據到達使用壽命時,可才去的選項包括:將數據轉移到第三方,去標識化,刪除或歸檔。某些情況下可能需要長期存儲,并且應盡可能使用加密等訪問控制措施。除非在強安全控制下,要盡可能防止對這些數據的訪問。最大限度地減少面向應用程序和分析的使用。
培養快速評估財務風險的能力,對于存在類型1或類型2負債的數字化業務投資機會至關重要。例如,許多商業投資機會需要對第2類負債有敏捷的反應流程,它們通常是高度創新并迅速變化的。對于第1類負債,必須考慮對事故概率仔細審查,以確定對盈利能力的長期影響。因此,數據安全治理(DSG)框架下的正式審查可以產生更切合實際的投資結果,并最終決定風險投資的成敗。
注:上述內容翻譯整理出自Gartner研究報告《Developa Financial Risk Assessment for Data Using Infonomics》。
產品咨詢:4000 258 365 
