Gartner研究|数据安全治理与财务风险评估关联模型
作者:Bernice.fu 安华金和 发布时间:2019-04-12

数据安全风险挑战

对于数据安全,全球研究机构Gartner分析师总结提出了三大挑战:

1、当前,在全球数字化业务开展得如火如荼时期,业务发展依赖于数据资产带来的金融机会,但同时缺乏对数据相关金融风险和负债规模和范围进行评估的意识或能力。

2、无论是存储在本地还是在公共云,数据使用的速度,数量,种类和价值都在不断增长,导致数字化业务投资决策的复杂性和风险急剧增加。

3、在风险敞口增加的时候,由于缺乏针对数据投资和安全性的整合业务策略将减少数据变现和价值创造的机会。

给CISO三大建议 

针对上述挑战,Gartner认为负责数据安全CISO(首席信息安全官)的安全和风险管理负责人必须与数据和分析负责人合作推动以下事宜:

1、应用Gartner数据安全治理框架来识别安全,监管或事件引起的业务风险。

2、应用数据安全治理框架,用来识别安全引起的业务风险,监管合规引起的业务风险及安全事件引起的业务风险。

3、对每个数据集合使用Gartner财务数据风险评估的决策矩阵,以指导适当的投资,管理或安全缓解措施。

Gartner未来预测

1、到2022年,90%的企业战略将明确数据作为关键企业资产,数据分析作为必不可少的能力。

2、到2022年,30%的CDO(首席数字官)将与CFO(首席财务官)正式对组织的数据资产价值进行评估,以改善数据的管理和收益。

3、到2022年,超过30%的企业(目前不到5%)将使用其数据资产的财务风险评估来对IT、分析、安全和隐私的投资选择进行优先级排序。

数据安全风险与财务风险评估关联模型

每个企业的数字化业务都在经历数据在速度、规模、多样性和价值的快速增长机会,同时伴随着产生了大量具有财务影响的业务风险。由于越来越多来自数据收入和投资的机会,投资决策时却未考虑相关成本或负债,董事会层面的风险监管对于成功投资至关重要,以促使投资过程中加大对风险的评估。企业需要对导致业务结果的技术问题的风险评估。关于如何使用数据的投资决策可能导致的财务影响,在企业里很少进行讨论。因此,不评估机会成本,并导致过度乐观的财务预测。《一般数据保护条例》(GDPR)的巨大影响戏剧性地提高了企业对各种法规的关注(包括健康,信用卡和其他财务数据的各方面),以降低合规性风险。数据泄露,隐私执行,不合规甚至意外事件处理都可能以不同方式对业务产生财务影响。例如,被公开暴露出来的具有安全性或隐私性问题的大量数据泄露,可能导致巨大的财务通知成本和罚款。然而,这些是一次性成本,可能会影响企业年度报告中的现金流,并可能导致短期资本化价值降低。虽然这会产生巨大的财务影响,但影响通常是短期的,除非企业需要借钱并改变长期投资,这些风险将减少短期和长期财务估值和数据货币化。

数据使用带来的财务影响可以通过刚开发出来的Gartner新信息经济学模型来评估,即财务数据风险评估(FinDRA)模型。值得注意的是,在这个阶段,虽然信息经济学模型是基于坚强的经济学过程完成的,但还没有被会计准则所认可。信息经济学是一个重要的工具,可以使安全和风险管理(SRM)领导者,首席信息安全官 (CISO),首席数据官(CDO)和CIO,根据收入机会评估每个数据集。信息经济学模型还允许他们对管理、存储、分析和保护数据的有形和无形成本进行评估。财务数据风险评估(FinDRA)模型包括了五个处理步骤,如图所示:

10.jpg

图1. 财务数据风险评估流程

这意味着需要仔细评估不同金融负债的业务风险,无论是数据货币化产生的短期还是长期影响。该研究将描述如何评估潜在负债的规模并根据影响确定优先级。需要注意的是,财务风险评估是更广泛的数字风险评估视图的一部分。

应用Gartner数据安全治理框架来识别业务风险

必须确定企业的业务风险,这些风险将会因以下事件而影响组织的财务绩效:

不合规(例如,隐私,税务,医疗保健或信用卡)

安全威胁(例如,恶意内幕,黑客,勒索软件或拒绝服务)

内部或外部审计流程

数据操作

数据完整性(例如,意外删除或修改)

意外披露

合并或收购业务前的尽职调查

规划数字创新计划,项目或技术投资

以数据安全治理(DSG)框架为基础,将这些事项作为数据风险评估(DRA)的一部分。这对选择新服务或IT硬件的投资决策具有关键影响。这是因为本地部署和通过公共云服务在新的存储和分析平台上传输数据会产生地理来源、跨境传输充分性、存储和数据访问相关的数据驻留等问题,随着与业务合作伙伴和其他生态系统共享数据,其他安全性,隐私,信任和道德问题也随之增加。

11.jpg

图2:数据安全治理(DSG)框架

DSG框架可以按照如下步骤实施,总结如下:

确定每个数据集的治理特征和生命周期;

标识存在的有形数据金融资产和负债估值;

在所有的存储系统进行数据发现和梳理;

映射数据流:

标识被授权访问每个数据岛或应用程序数据的每个用户帐户。

监控数据访问是如何被授权改变的。

查看每个数据集的地理来源引起的合规性和数据驻留问题:

确定数据保护和隐私法引起的安全要求。

确定国家访问法是否会影响地理存储位置的选择。

审查员工应如何从不同的地理工作位置进行访问。

为所有可用数字业务环境,应用程序和端点访问的数据集,创建一致的访问和使用策略。

在所有数据管理和安全产品上选择,部署和及时发布相关策略,这些策略可以被修改以反映数据治理和用户账户上的变化。

使用信息经济学来评估数据货币化关联的业务风险导致的短期和长期财务负债

识别可能产生金融负债的数据管理或安全相关潜在事件。

这些事件可按如下方式识别:

类型1 - 持久性:可能在多个年度报告中产生影响的长期负债

类型2 - 易变性:基本发生在一个财年内的一次性或短期负债

可以基于共同的行业流程和产品购买来识别类型1和类型2的负债。例如下图中显示的几个示例。

12.jpg

图3:长期(持续)和短期(易变)金融负债的示例

例如,购买应用程序或云服务的决定将产生新的合规、安全和数据处理问题。因此,必须对任何改变数据管理的方式加以评估,这里包括是不是要改变、如何改变以及是否需要针对任一金融风险进行预算缩减的决定等。第一类(持续性)负债和第二类(易变性)负债的性质意味着我们需要研究不同的财务预算策略。

数据生命周期也可能影响每种负债的风险可能会产生多长时间的影响,以及可能需要被考虑多长时间,这可能会在几分钟到几个月,几年甚至几十年之间变化。

13.jpg

图4:责任类型与财务预算之间的关系

第1类持续负债将是经常性费用,可作为年度预算决策的一部分进行审查。未来无形负债的风险评估需要谨慎。我们将在后面对此做更仔细的讨论。

第2类易变性负债必须被仔细考虑,这是由于它们将对市值和现金流准备金的充足性造成影响。由于对现金的影响,这些易变性负债可能会影响潜在的商业投资决策,尽管这些投资机会貌似与这些负债事件无关,但仍必须对其进行评估。

将决策矩阵作为Gartner FinDRA的一部分,对每个数据集进行评估,以指导适当的投资、管理或安全风险缓解行动。

数字业务需要制定战略决策,以便为必须根据数据管理和安全行动评估的投资优先级提供信息。每项业务计划都可能旨在增加数据集产生的内在价值,但这些决策将产生不同的风险。决策矩阵可以纳入FinDRA,以便根据与每个数据集相关的风险产生的财务影响对该计划进行战略评估。注意,这种方法将仅对每种数据集进行一个相对的评估而不是精确的评价。

每个企业的风险偏好以及不同细分市场的风险将根据行业最佳实践、内部DSG优先级甚至公共事件分析而有所不同。相对财务影响,无论高低,都可以用金融风险优先级矩阵表示,如图所示。每个数据集都可以映射到矩阵上,甚至可以反映在同一象限内的其他数据集的关系。然后,根据数据集所在的象限来确定投资决策的优先级。这样将考虑到不同业务计划对每个数据集的相对不同的影响,并且可以为投资或撤回无效成本创建优先级,例如,担保或撤资。

14.jpg

图5:财务风险优先级矩阵

每个数据集都可能面临合规性要求、内部人员和外部人员的安全威胁以及意外事件所带来的业务风险。有四种风险情景,如图所示。在每个方案中,安全和风险管理领导者需要使用到评估和影响两大流程。

1.投资(Invest)

评估 - 如果数据集具有高资产价值和低负债价值,这意味着企业可以高度自信地进行。商业秘密,销售业绩和预测是短期有价值且长期影响有限的数据集的例子。但还是应该小心,因为即使很低的负债概率仍然意味着可能会产生极具影响力的事件。当这些数据集达到使用寿命时,它们将转移到“不关注”或“不投资”象限。

影响 - 这些数据集对于安全防护上投资的优先级较低。由于它们被业务应用程序高度利用,因此可以通过网络保险或抵消贷款安排来对冲任何数据丢失风险。

2.评估投资回报率(Evaluate ROI)

评估 – 合规性数据集或知识产权可能位于此象限中。这些数据集受到各种业务领导者的高度利用,但如果受到篡改,丢失或被盗,也会产生巨大的财务风险。毛利率,净利润和1类或2类负债的影响需要谨慎地平衡投资决策,管理和保护要求。当这些数据集达到其寿命结束时,它们通常会向下移动到“Divest”象限。

影响 - 这些数据集需要严格的DSG和信息经济学评估,以确定适当的数据安全控制和预算。在采用特定服务或技术时,ROI或毛利率可能会约束安全预算和投资决策。

3. 不在乎(Don’t Care)

评估 - 此类别中的数据集仍然会产生获得、存储和处理环节的成本,但其财务价值较低。旧的知识产权,财务报告数据属于供参考或用于研究,就是这样的例子。影响这些数据集的最可能的风险是竞争对手等第三方的潜在访问造成的相关风险。因此,合作伙伴,开发人员/顾问或客户访问的风险可能仍然较低,并且由此产生的负债较低。

影响 - 这些数据集没有特定的数据管理要求。寻找机会最小化数据集获取,将数据移动到长期存储(如存储网络(SAN)或磁盘,同时加密存储),或尽快删除。

4.  剥离 (Divest)

评估 - 这些数据集应引起最大的关注,因为它们的收入价值有限或已过期。例如旧的客户数据和财务报告数据,这些数据可能仍需要接受审计或丢失通知。这些数据集需要定期评估以降低风险负担。

影响 - 需要管理这些数据集,以便内部流程或应用程序不再允许使用这些数据。在数据到达使用寿命时,可才去的选项包括:将数据转移到第三方,去标识化,删除或归档。某些情况下可能需要长期存储,并且应尽可能使用加密等访问控制措施。除非在强安全控制下,要尽可能防止对这些数据的访问。最大限度地减少面向应用程序和分析的使用。

培养快速评估财务风险的能力,对于存在类型1或类型2负债的数字化业务投资机会至关重要。例如,许多商业投资机会需要对第2类负债有敏捷的反应流程,它们通常是高度创新并迅速变化的。对于第1类负债,必须考虑对事故概率仔细审查,以确定对盈利能力的长期影响。因此,数据安全治理(DSG)框架下的正式审查可以产生更切合实际的投资结果,并最终决定风险投资的成败。

注:上述内容翻译整理出自Gartner研究报告《Developa Financial Risk Assessment for Data Using Infonomics》。