數(shù)據(jù)安全風(fēng)險挑戰(zhàn)
對于數(shù)據(jù)安全���,全球研究機(jī)構(gòu)Gartner分析師總結(jié)提出了三大挑戰(zhàn):
1、當(dāng)前��,在全球數(shù)字化業(yè)務(wù)開展得如火如荼時期�����,業(yè)務(wù)發(fā)展依賴于數(shù)據(jù)資產(chǎn)帶來的金融機(jī)會��,但同時缺乏對數(shù)據(jù)相關(guān)金融風(fēng)險和負(fù)債規(guī)模和范圍進(jìn)行評估的意識或能力����。
2�、無論是存儲在本地還是在公共云,數(shù)據(jù)使用的速度���,數(shù)量��,種類和價值都在不斷增長�����,導(dǎo)致數(shù)字化業(yè)務(wù)投資決策的復(fù)雜性和風(fēng)險急劇增加���。
3���、在風(fēng)險敞口增加的時候,由于缺乏針對數(shù)據(jù)投資和安全性的整合業(yè)務(wù)策略將減少數(shù)據(jù)變現(xiàn)和價值創(chuàng)造的機(jī)會�����。
給CISO三大建議
針對上述挑戰(zhàn)�����,Gartner認(rèn)為負(fù)責(zé)數(shù)據(jù)安全CISO(首席信息安全官)的安全和風(fēng)險管理負(fù)責(zé)人必須與數(shù)據(jù)和分析負(fù)責(zé)人合作推動以下事宜:
1��、應(yīng)用Gartner數(shù)據(jù)安全治理框架來識別安全�,監(jiān)管或事件引起的業(yè)務(wù)風(fēng)險。
2���、應(yīng)用數(shù)據(jù)安全治理框架�����,用來識別安全引起的業(yè)務(wù)風(fēng)險�,監(jiān)管合規(guī)引起的業(yè)務(wù)風(fēng)險及安全事件引起的業(yè)務(wù)風(fēng)險。
3��、對每個數(shù)據(jù)集合使用Gartner財務(wù)數(shù)據(jù)風(fēng)險評估的決策矩陣��,以指導(dǎo)適當(dāng)?shù)耐顿Y�����,管理或安全緩解措施���。
Gartner未來預(yù)測
1、到2022年�����,90%的企業(yè)戰(zhàn)略將明確數(shù)據(jù)作為關(guān)鍵企業(yè)資產(chǎn)�����,數(shù)據(jù)分析作為必不可少的能力���。
2��、到2022年�����,30%的CDO(首席數(shù)字官)將與CFO(首席財務(wù)官)正式對組織的數(shù)據(jù)資產(chǎn)價值進(jìn)行評估�,以改善數(shù)據(jù)的管理和收益。
3��、到2022年�,超過30%的企業(yè)(目前不到5%)將使用其數(shù)據(jù)資產(chǎn)的財務(wù)風(fēng)險評估來對IT、分析�、安全和隱私的投資選擇進(jìn)行優(yōu)先級排序。
數(shù)據(jù)安全風(fēng)險與財務(wù)風(fēng)險評估關(guān)聯(lián)模型
每個企業(yè)的數(shù)字化業(yè)務(wù)都在經(jīng)歷數(shù)據(jù)在速度����、規(guī)模、多樣性和價值的快速增長機(jī)會���,同時伴隨著產(chǎn)生了大量具有財務(wù)影響的業(yè)務(wù)風(fēng)險�。由于越來越多來自數(shù)據(jù)收入和投資的機(jī)會�,投資決策時卻未考慮相關(guān)成本或負(fù)債,董事會層面的風(fēng)險監(jiān)管對于成功投資至關(guān)重要�����,以促使投資過程中加大對風(fēng)險的評估。企業(yè)需要對導(dǎo)致業(yè)務(wù)結(jié)果的技術(shù)問題的風(fēng)險評估���。關(guān)于如何使用數(shù)據(jù)的投資決策可能導(dǎo)致的財務(wù)影響���,在企業(yè)里很少進(jìn)行討論。因此�,不評估機(jī)會成本,并導(dǎo)致過度樂觀的財務(wù)預(yù)測��?���!兑话銛?shù)據(jù)保護(hù)條例》(GDPR)的巨大影響戲劇性地提高了企業(yè)對各種法規(guī)的關(guān)注(包括健康,信用卡和其他財務(wù)數(shù)據(jù)的各方面)���,以降低合規(guī)性風(fēng)險。數(shù)據(jù)泄露���,隱私執(zhí)行��,不合規(guī)甚至意外事件處理都可能以不同方式對業(yè)務(wù)產(chǎn)生財務(wù)影響��。例如��,被公開暴露出來的具有安全性或隱私性問題的大量數(shù)據(jù)泄露���,可能導(dǎo)致巨大的財務(wù)通知成本和罰款��。然而�����,這些是一次性成本��,可能會影響企業(yè)年度報告中的現(xiàn)金流���,并可能導(dǎo)致短期資本化價值降低。雖然這會產(chǎn)生巨大的財務(wù)影響����,但影響通常是短期的,除非企業(yè)需要借錢并改變長期投資�����,這些風(fēng)險將減少短期和長期財務(wù)估值和數(shù)據(jù)貨幣化����。
數(shù)據(jù)使用帶來的財務(wù)影響可以通過剛開發(fā)出來的Gartner新信息經(jīng)濟(jì)學(xué)模型來評估��,即財務(wù)數(shù)據(jù)風(fēng)險評估(FinDRA)模型����。值得注意的是���,在這個階段���,雖然信息經(jīng)濟(jì)學(xué)模型是基于堅強(qiáng)的經(jīng)濟(jì)學(xué)過程完成的,但還沒有被會計準(zhǔn)則所認(rèn)可�。信息經(jīng)濟(jì)學(xué)是一個重要的工具,可以使安全和風(fēng)險管理(SRM)領(lǐng)導(dǎo)者�����,首席信息安全官 (CISO)����,首席數(shù)據(jù)官(CDO)和CIO�����,根據(jù)收入機(jī)會評估每個數(shù)據(jù)集�����。信息經(jīng)濟(jì)學(xué)模型還允許他們對管理、存儲����、分析和保護(hù)數(shù)據(jù)的有形和無形成本進(jìn)行評估。財務(wù)數(shù)據(jù)風(fēng)險評估(FinDRA)模型包括了五個處理步驟��,如圖所示:
圖1. 財務(wù)數(shù)據(jù)風(fēng)險評估流程
這意味著需要仔細(xì)評估不同金融負(fù)債的業(yè)務(wù)風(fēng)險��,無論是數(shù)據(jù)貨幣化產(chǎn)生的短期還是長期影響�����。該研究將描述如何評估潛在負(fù)債的規(guī)模并根據(jù)影響確定優(yōu)先級�。需要注意的是,財務(wù)風(fēng)險評估是更廣泛的數(shù)字風(fēng)險評估視圖的一部分����。
應(yīng)用Gartner數(shù)據(jù)安全治理框架來識別業(yè)務(wù)風(fēng)險
必須確定企業(yè)的業(yè)務(wù)風(fēng)險,這些風(fēng)險將會因以下事件而影響組織的財務(wù)績效:
不合規(guī)(例如����,隱私,稅務(wù)�,醫(yī)療保健或信用卡)
安全威脅(例如��,惡意內(nèi)幕����,黑客��,勒索軟件或拒絕服務(wù))
內(nèi)部或外部審計流程
數(shù)據(jù)操作
數(shù)據(jù)完整性(例如���,意外刪除或修改)
意外披露
合并或收購業(yè)務(wù)前的盡職調(diào)查
規(guī)劃數(shù)字創(chuàng)新計劃��,項目或技術(shù)投資
以數(shù)據(jù)安全治理(DSG)框架為基礎(chǔ)��,將這些事項作為數(shù)據(jù)風(fēng)險評估(DRA)的一部分�����。這對選擇新服務(wù)或IT硬件的投資決策具有關(guān)鍵影響�。這是因為本地部署和通過公共云服務(wù)在新的存儲和分析平臺上傳輸數(shù)據(jù)會產(chǎn)生地理來源�、跨境傳輸充分性、存儲和數(shù)據(jù)訪問相關(guān)的數(shù)據(jù)駐留等問題���,隨著與業(yè)務(wù)合作伙伴和其他生態(tài)系統(tǒng)共享數(shù)據(jù)�����,其他安全性���,隱私,信任和道德問題也隨之增加�。
圖2:數(shù)據(jù)安全治理(DSG)框架
DSG框架可以按照如下步驟實施,總結(jié)如下:
確定每個數(shù)據(jù)集的治理特征和生命周期��;
標(biāo)識存在的有形數(shù)據(jù)金融資產(chǎn)和負(fù)債估值�;
在所有的存儲系統(tǒng)進(jìn)行數(shù)據(jù)發(fā)現(xiàn)和梳理;
映射數(shù)據(jù)流:
標(biāo)識被授權(quán)訪問每個數(shù)據(jù)島或應(yīng)用程序數(shù)據(jù)的每個用戶帳戶��。
監(jiān)控數(shù)據(jù)訪問是如何被授權(quán)改變的��。
查看每個數(shù)據(jù)集的地理來源引起的合規(guī)性和數(shù)據(jù)駐留問題:
確定數(shù)據(jù)保護(hù)和隱私法引起的安全要求�。
確定國家訪問法是否會影響地理存儲位置的選擇。
審查員工應(yīng)如何從不同的地理工作位置進(jìn)行訪問���。
為所有可用數(shù)字業(yè)務(wù)環(huán)境���,應(yīng)用程序和端點訪問的數(shù)據(jù)集,創(chuàng)建一致的訪問和使用策略�����。
在所有數(shù)據(jù)管理和安全產(chǎn)品上選擇,部署和及時發(fā)布相關(guān)策略���,這些策略可以被修改以反映數(shù)據(jù)治理和用戶賬戶上的變化����。
使用信息經(jīng)濟(jì)學(xué)來評估數(shù)據(jù)貨幣化關(guān)聯(lián)的業(yè)務(wù)風(fēng)險導(dǎo)致的短期和長期財務(wù)負(fù)債
識別可能產(chǎn)生金融負(fù)債的數(shù)據(jù)管理或安全相關(guān)潛在事件���。
這些事件可按如下方式識別:
類型1 - 持久性:可能在多個年度報告中產(chǎn)生影響的長期負(fù)債
類型2 - 易變性:基本發(fā)生在一個財年內(nèi)的一次性或短期負(fù)債
可以基于共同的行業(yè)流程和產(chǎn)品購買來識別類型1和類型2的負(fù)債����。例如下圖中顯示的幾個示例�����。
圖3:長期(持續(xù))和短期(易變)金融負(fù)債的示例
例如�����,購買應(yīng)用程序或云服務(wù)的決定將產(chǎn)生新的合規(guī)��、安全和數(shù)據(jù)處理問題�����。因此,必須對任何改變數(shù)據(jù)管理的方式加以評估���,這里包括是不是要改變、如何改變以及是否需要針對任一金融風(fēng)險進(jìn)行預(yù)算縮減的決定等��。第一類(持續(xù)性)負(fù)債和第二類(易變性)負(fù)債的性質(zhì)意味著我們需要研究不同的財務(wù)預(yù)算策略���。
數(shù)據(jù)生命周期也可能影響每種負(fù)債的風(fēng)險可能會產(chǎn)生多長時間的影響��,以及可能需要被考慮多長時間���,這可能會在幾分鐘到幾個月,幾年甚至幾十年之間變化����。
圖4:責(zé)任類型與財務(wù)預(yù)算之間的關(guān)系
第1類持續(xù)負(fù)債將是經(jīng)常性費用,可作為年度預(yù)算決策的一部分進(jìn)行審查�����。未來無形負(fù)債的風(fēng)險評估需要謹(jǐn)慎��。我們將在后面對此做更仔細(xì)的討論。
第2類易變性負(fù)債必須被仔細(xì)考慮�,這是由于它們將對市值和現(xiàn)金流準(zhǔn)備金的充足性造成影響。由于對現(xiàn)金的影響��,這些易變性負(fù)債可能會影響潛在的商業(yè)投資決策�,盡管這些投資機(jī)會貌似與這些負(fù)債事件無關(guān),但仍必須對其進(jìn)行評估�。
將決策矩陣作為Gartner FinDRA的一部分,對每個數(shù)據(jù)集進(jìn)行評估��,以指導(dǎo)適當(dāng)?shù)耐顿Y���、管理或安全風(fēng)險緩解行動���。
數(shù)字業(yè)務(wù)需要制定戰(zhàn)略決策,以便為必須根據(jù)數(shù)據(jù)管理和安全行動評估的投資優(yōu)先級提供信息���。每項業(yè)務(wù)計劃都可能旨在增加數(shù)據(jù)集產(chǎn)生的內(nèi)在價值��,但這些決策將產(chǎn)生不同的風(fēng)險��。決策矩陣可以納入FinDRA�,以便根據(jù)與每個數(shù)據(jù)集相關(guān)的風(fēng)險產(chǎn)生的財務(wù)影響對該計劃進(jìn)行戰(zhàn)略評估��。注意,這種方法將僅對每種數(shù)據(jù)集進(jìn)行一個相對的評估而不是精確的評價����。
每個企業(yè)的風(fēng)險偏好以及不同細(xì)分市場的風(fēng)險將根據(jù)行業(yè)最佳實踐、內(nèi)部DSG優(yōu)先級甚至公共事件分析而有所不同�����。相對財務(wù)影響�,無論高低��,都可以用金融風(fēng)險優(yōu)先級矩陣表示����,如圖所示。每個數(shù)據(jù)集都可以映射到矩陣上��,甚至可以反映在同一象限內(nèi)的其他數(shù)據(jù)集的關(guān)系���。然后���,根據(jù)數(shù)據(jù)集所在的象限來確定投資決策的優(yōu)先級。這樣將考慮到不同業(yè)務(wù)計劃對每個數(shù)據(jù)集的相對不同的影響��,并且可以為投資或撤回?zé)o效成本創(chuàng)建優(yōu)先級,例如����,擔(dān)保或撤資���。
圖5:財務(wù)風(fēng)險優(yōu)先級矩陣
每個數(shù)據(jù)集都可能面臨合規(guī)性要求����、內(nèi)部人員和外部人員的安全威脅以及意外事件所帶來的業(yè)務(wù)風(fēng)險�����。有四種風(fēng)險情景��,如圖所示����。在每個方案中,安全和風(fēng)險管理領(lǐng)導(dǎo)者需要使用到評估和影響兩大流程�。
1.投資(Invest)
評估 - 如果數(shù)據(jù)集具有高資產(chǎn)價值和低負(fù)債價值,這意味著企業(yè)可以高度自信地進(jìn)行�����。商業(yè)秘密,銷售業(yè)績和預(yù)測是短期有價值且長期影響有限的數(shù)據(jù)集的例子���。但還是應(yīng)該小心��,因為即使很低的負(fù)債概率仍然意味著可能會產(chǎn)生極具影響力的事件�����。當(dāng)這些數(shù)據(jù)集達(dá)到使用壽命時�����,它們將轉(zhuǎn)移到“不關(guān)注”或“不投資”象限。
影響 - 這些數(shù)據(jù)集對于安全防護(hù)上投資的優(yōu)先級較低�����。由于它們被業(yè)務(wù)應(yīng)用程序高度利用�,因此可以通過網(wǎng)絡(luò)保險或抵消貸款安排來對沖任何數(shù)據(jù)丟失風(fēng)險。
2.評估投資回報率(Evaluate ROI)
評估 – 合規(guī)性數(shù)據(jù)集或知識產(chǎn)權(quán)可能位于此象限中�。這些數(shù)據(jù)集受到各種業(yè)務(wù)領(lǐng)導(dǎo)者的高度利用,但如果受到篡改�����,丟失或被盜,也會產(chǎn)生巨大的財務(wù)風(fēng)險�����。毛利率���,凈利潤和1類或2類負(fù)債的影響需要謹(jǐn)慎地平衡投資決策��,管理和保護(hù)要求�。當(dāng)這些數(shù)據(jù)集達(dá)到其壽命結(jié)束時�����,它們通常會向下移動到“Divest”象限��。
影響 - 這些數(shù)據(jù)集需要嚴(yán)格的DSG和信息經(jīng)濟(jì)學(xué)評估��,以確定適當(dāng)?shù)臄?shù)據(jù)安全控制和預(yù)算�。在采用特定服務(wù)或技術(shù)時,ROI或毛利率可能會約束安全預(yù)算和投資決策��。
3. 不在乎(Don’t Care)
評估 - 此類別中的數(shù)據(jù)集仍然會產(chǎn)生獲得�����、存儲和處理環(huán)節(jié)的成本,但其財務(wù)價值較低��。舊的知識產(chǎn)權(quán)���,財務(wù)報告數(shù)據(jù)屬于供參考或用于研究��,就是這樣的例子����。影響這些數(shù)據(jù)集的最可能的風(fēng)險是競爭對手等第三方的潛在訪問造成的相關(guān)風(fēng)險��。因此�,合作伙伴,開發(fā)人員/顧問或客戶訪問的風(fēng)險可能仍然較低�����,并且由此產(chǎn)生的負(fù)債較低��。
影響 - 這些數(shù)據(jù)集沒有特定的數(shù)據(jù)管理要求����。尋找機(jī)會最小化數(shù)據(jù)集獲取����,將數(shù)據(jù)移動到長期存儲(如存儲網(wǎng)絡(luò)(SAN)或磁盤��,同時加密存儲)��,或盡快刪除�����。
4. 剝離 (Divest)
評估 - 這些數(shù)據(jù)集應(yīng)引起最大的關(guān)注���,因為它們的收入價值有限或已過期。例如舊的客戶數(shù)據(jù)和財務(wù)報告數(shù)據(jù)�����,這些數(shù)據(jù)可能仍需要接受審計或丟失通知���。這些數(shù)據(jù)集需要定期評估以降低風(fēng)險負(fù)擔(dān)��。
影響 - 需要管理這些數(shù)據(jù)集���,以便內(nèi)部流程或應(yīng)用程序不再允許使用這些數(shù)據(jù)。在數(shù)據(jù)到達(dá)使用壽命時,可才去的選項包括:將數(shù)據(jù)轉(zhuǎn)移到第三方,去標(biāo)識化�����,刪除或歸檔����。某些情況下可能需要長期存儲,并且應(yīng)盡可能使用加密等訪問控制措施�。除非在強(qiáng)安全控制下,要盡可能防止對這些數(shù)據(jù)的訪問��。最大限度地減少面向應(yīng)用程序和分析的使用���。
培養(yǎng)快速評估財務(wù)風(fēng)險的能力����,對于存在類型1或類型2負(fù)債的數(shù)字化業(yè)務(wù)投資機(jī)會至關(guān)重要�。例如,許多商業(yè)投資機(jī)會需要對第2類負(fù)債有敏捷的反應(yīng)流程�����,它們通常是高度創(chuàng)新并迅速變化的����。對于第1類負(fù)債,必須考慮對事故概率仔細(xì)審查��,以確定對盈利能力的長期影響�。因此,數(shù)據(jù)安全治理(DSG)框架下的正式審查可以產(chǎn)生更切合實際的投資結(jié)果�,并最終決定風(fēng)險投資的成敗。
注:上述內(nèi)容翻譯整理出自Gartner研究報告《Developa Financial Risk Assessment for Data Using Infonomics》�����。
產(chǎn)品咨詢:4000 258 365 
