当前位置:首页 > 网络黑客 > 正文内容

Gartner研究|数据安全治理与财务风险评估关联模型

访客4年前 (2021-04-04)网络黑客929

  数据安全风险挑战

  对于数据安全,全球研究机构Gartner分析师总结提出了三大挑战:

  1、当前,在全球数字化业务开展得如火如荼时期,业务发展依赖于数据资产带来的金融机会,但同时缺乏对数据相关金融风险和负债规模和范围进行评估的意识或能力。

  2、无论是存储在本地还是在公共云,数据使用的速度,数量,种类和价值都在不断增长,导致数字化业务投资决策的复杂性和风险急剧增加。

  3、在风险敞口增加的时候,由于缺乏针对数据投资和安全性的整合业务策略将减少数据变现和价值创造的机会。

  给CISO三大建议?

  针对上述挑战,Gartner认为负责数据安全CISO(首席信息安全官)的安全和风险管理负责人必须与数据和分析负责人合作推动以下事宜:

  1、应用Gartner数据安全治理框架来识别安全,监管或事件引起的业务风险。

  2、应用数据安全治理框架,用来识别安全引起的业务风险,监管合规引起的业务风险及安全事件引起的业务风险。

  3、对每个数据集合使用Gartner财务数据风险评估的决策矩阵,以指导适当的投资,管理或安全缓解措施。

  Gartner未来预测

  1、到2022年,90%的企业战略将明确数据作为关键企业资产,数据分析作为必不可少的能力。

  2、到2022年,30%的CDO(首席数字官)将与CFO(首席财务官)正式对组织的数据资产价值进行评估,以改善数据的管理和收益。

  3、到2022年,超过30%的企业(目前不到5%)将使用其数据资产的财务风险评估来对IT、分析、安全和隐私的投资选择进行优先级排序。

  数据安全风险与财务风险评估关联模型

  每个企业的数字化业务都在经历数据在速度、规模、多样性和价值的快速增长机会,同时伴随着产生了大量具有财务影响的业务风险。由于越来越多来自数据收入和投资的机会,投资决策时却未考虑相关成本或负债,董事会层面的风险监管对于成功投资至关重要,以促使投资过程中加大对风险的评估。企业需要对导致业务结果的技术问题的风险评估。关于如何使用数据的投资决策可能导致的财务影响,在企业里很少进行讨论。因此,不评估机会成本,并导致过度乐观的财务预测。《一般数据保护条例》(GDPR)的巨大影响戏剧性地提高了企业对各种法规的关注(包括健康,信用卡和其他财务数据的各方面),以降低合规性风险。数据泄露,隐私执行,不合规甚至意外事件处理都可能以不同方式对业务产生财务影响。例如,被公开暴露出来的具有安全性或隐私性问题的大量数据泄露,可能导致巨大的财务通知成本和罚款。然而,这些是一次性成本,可能会影响企业年度报告中的现金流,并可能导致短期资本化价值降低。虽然这会产生巨大的财务影响,但影响通常是短期的,除非企业需要借钱并改变长期投资,这些风险将减少短期和长期财务估值和数据货币化。

  数据使用带来的财务影响可以通过刚开发出来的Gartner新信息经济学模型来评估,即财务数据风险评估(FinDRA)模型。值得注意的是,在这个阶段,虽然信息经济学模型是基于坚强的经济学过程完成的,但还没有被会计准则所认可。信息经济学是一个重要的工具,可以使安全和风险管理(SRM)领导者,首席信息安全官 (CISO),首席数据官(CDO)和CIO,根据收入机会评估每个数据集。信息经济学模型还允许他们对管理、存储、分析和保护数据的有形和无形成本进行评估。财务数据风险评估(FinDRA)模型包括了五个处理步骤,如图所示:

  

  图1. 财务数据风险评估流程

  这意味着需要仔细评估不同金融负债的业务风险,无论是数据货币化产生的短期还是长期影响。该研究将描述如何评估潜在负债的规模并根据影响确定优先级。需要注意的是,财务风险评估是更广泛的数字风险评估视图的一部分。

  应用Gartner数据安全治理框架来识别业务风险

  必须确定企业的业务风险,这些风险将会因以下事件而影响组织的财务绩效:

  不合规(例如,隐私,税务,医疗保健或信用卡)

  安全威胁(例如,恶意内幕,黑客,勒索软件或拒绝服务)

  内部或外部审计流程

  数据操作

  数据完整性(例如,意外删除或修改)

  意外披露

  合并或收购业务前的尽职调查

  规划数字创新计划,项目或技术投资

  以数据安全治理(DSG)框架为基础,将这些事项作为数据风险评估(DRA)的一部分。这对选择新服务或IT硬件的投资决策具有关键影响。这是因为本地部署和通过公共云服务在新的存储和分析平台上传输数据会产生地理来源、跨境传输充分性、存储和数据访问相关的数据驻留等问题,随着与业务合作伙伴和其他生态系统共享数据,其他安全性,隐私,信任和道德问题也随之增加。

  

  图2:数据安全治理(DSG)框架

  DSG框架可以按照如下步骤实施,总结如下:

  确定每个数据集的治理特征和生命周期;

  标识存在的有形数据金融资产和负债估值;

  在所有的存储系统进行数据发现和梳理;

  映射数据流:

  标识被授权访问每个数据岛或应用程序数据的每个用户帐户。

  监控数据访问是如何被授权改变的。

  查看每个数据集的地理来源引起的合规性和数据驻留问题:

  确定数据保护和隐私法引起的安全要求。

  确定国家访问法是否会影响地理存储位置的选择。

  审查员工应如何从不同的地理工作位置进行访问。

  为所有可用数字业务环境,应用程序和端点访问的数据集,创建一致的访问和使用策略。

  在所有数据管理和安全产品上选择,部署和及时发布相关策略,这些策略可以被修改以反映数据治理和用户账户上的变化。

  使用信息经济学来评估数据货币化关联的业务风险导致的短期和长期财务负债

  识别可能产生金融负债的数据管理或安全相关潜在事件。

  这些事件可按如下方式识别:

  类型1 - 持久性:可能在多个年度报告中产生影响的长期负债

  类型2 - 易变性:基本发生在一个财年内的一次性或短期负债

  可以基于共同的行业流程和产品购买来识别类型1和类型2的负债。例如下图中显示的几个示例。

  

  图3:长期(持续)和短期(易变)金融负债的示例

  例如,购买应用程序或云服务的决定将产生新的合规、安全和数据处理问题。因此,必须对任何改变数据管理的方式加以评估,这里包括是不是要改变、如何改变以及是否需要针对任一金融风险进行预算缩减的决定等。第一类(持续性)负债和第二类(易变性)负债的性质意味着我们需要研究不同的财务预算策略。

  数据生命周期也可能影响每种负债的风险可能会产生多长时间的影响,以及可能需要被考虑多长时间,这可能会在几分钟到几个月,几年甚至几十年之间变化。

  

  图4:责任类型与财务预算之间的关系

  第1类持续负债将是经常性费用,可作为年度预算决策的一部分进行审查。未来无形负债的风险评估需要谨慎。我们将在后面对此做更仔细的讨论。

  第2类易变性负债必须被仔细考虑,这是由于它们将对市值和现金流准备金的充足性造成影响。由于对现金的影响,这些易变性负债可能会影响潜在的商业投资决策,尽管这些投资机会貌似与这些负债事件无关,但仍必须对其进行评估。

  将决策矩阵作为Gartner FinDRA的一部分,对每个数据集进行评估,以指导适当的投资、管理或安全风险缓解行动。

  数字业务需要制定战略决策,以便为必须根据数据管理和安全行动评估的投资优先级提供信息。每项业务计划都可能旨在增加数据集产生的内在价值,但这些决策将产生不同的风险。决策矩阵可以纳入FinDRA,以便根据与每个数据集相关的风险产生的财务影响对该计划进行战略评估。注意,这种方法将仅对每种数据集进行一个相对的评估而不是精确的评价。

  每个企业的风险偏好以及不同细分市场的风险将根据行业最佳实践、内部DSG优先级甚至公共事件分析而有所不同。相对财务影响,无论高低,都可以用金融风险优先级矩阵表示,如图所示。每个数据集都可以映射到矩阵上,甚至可以反映在同一象限内的其他数据集的关系。然后,根据数据集所在的象限来确定投资决策的优先级。这样将考虑到不同业务计划对每个数据集的相对不同的影响,并且可以为投资或撤回无效成本创建优先级,例如,担保或撤资。

  

  图5:财务风险优先级矩阵

  每个数据集都可能面临合规性要求、内部人员和外部人员的安全威胁以及意外事件所带来的业务风险。有四种风险情景,如图所示。在每个方案中,安全和风险管理领导者需要使用到评估和影响两大流程。

  1.投资(Invest)

  评估 - 如果数据集具有高资产价值和低负债价值,这意味着企业可以高度自信地进行。商业秘密,销售业绩和预测是短期有价值且长期影响有限的数据集的例子。但还是应该小心,因为即使很低的负债概率仍然意味着可能会产生极具影响力的事件。当这些数据集达到使用寿命时,它们将转移到“不关注”或“不投资”象限。

  影响 - 这些数据集对于安全防护上投资的优先级较低。由于它们被业务应用程序高度利用,因此可以通过网络保险或抵消贷款安排来对冲任何数据丢失风险。

  2.评估投资回报率(Evaluate ROI)

  评估 – 合规性数据集或知识产权可能位于此象限中。这些数据集受到各种业务领导者的高度利用,但如果受到篡改,丢失或被盗,也会产生巨大的财务风险。毛利率,净利润和1类或2类负债的影响需要谨慎地平衡投资决策,管理和保护要求。当这些数据集达到其寿命结束时,它们通常会向下移动到“Divest”象限。

  影响 - 这些数据集需要严格的DSG和信息经济学评估,以确定适当的数据安全控制和预算。在采用特定服务或技术时,ROI或毛利率可能会约束安全预算和投资决策。

  3. 不在乎(Don’t Care)

  评估 - 此类别中的数据集仍然会产生获得、存储和处理环节的成本,但其财务价值较低。旧的知识产权,财务报告数据属于供参考或用于研究,就是这样的例子。影响这些数据集的最可能的风险是竞争对手等第三方的潜在访问造成的相关风险。因此,合作伙伴,开发人员/顾问或客户访问的风险可能仍然较低,并且由此产生的负债较低。

  影响 - 这些数据集没有特定的数据管理要求。寻找机会最小化数据集获取,将数据移动到长期存储(如存储网络(SAN)或磁盘,同时加密存储),或尽快删除。

  4.? 剥离 (Divest)

  评估 - 这些数据集应引起最大的关注,因为它们的收入价值有限或已过期。例如旧的客户数据和财务报告数据,这些数据可能仍需要接受审计或丢失通知。这些数据集需要定期评估以降低风险负担。

  影响 - 需要管理这些数据集,以便内部流程或应用程序不再允许使用这些数据。在数据到达使用寿命时,可才去的选项包括:将数据转移到第三方,去标识化,删除或归档。某些情况下可能需要长期存储,并且应尽可能使用加密等访问控制措施。除非在强安全控制下,要尽可能防止对这些数据的访问。最大限度地减少面向应用程序和分析的使用。

  培养快速评估财务风险的能力,对于存在类型1或类型2负债的数字化业务投资机会至关重要。例如,许多商业投资机会需要对第2类负债有敏捷的反应流程,它们通常是高度创新并迅速变化的。对于第1类负债,必须考虑对事故概率仔细审查,以确定对盈利能力的长期影响。因此,数据安全治理(DSG)框架下的正式审查可以产生更切合实际的投资结果,并最终决定风险投资的成败。

  注:上述内容翻译整理出自Gartner研究报告《Developa Financial Risk Assessment for Data Using Infonomics》。

  国内银行接连爆出数据泄露事件,金融行业如何在源头处建立防线

  非法统方屡禁不止,看昂楷下一代防统方如何与之斗智斗勇

  解读:信息化发展不同阶段数据治理发展对数据安全治理的要求

  惊蛰行动 | 解锁昂楷数据库审计场景化应用

  鲲鹏展翅,力算未来 | 闪捷数据加密与华为TaiShan服务器完成互认证

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/107494.html

分享给朋友:

“Gartner研究|数据安全治理与财务风险评估关联模型” 的相关文章

奥运会遭到俄罗斯黑客攻击!黑客攻击微信聊天记录

人民网2021年8月13日02:28:03的消息,黑客攻击微信聊天记录 东京奥运会惨遭俄罗斯黑客攻击! 英国国家网络安全中心日前揭露了一项惊人的黑客计划:俄罗斯军事情报部门曾准备对原定今夏举办的东京奥林匹克运动会和残奥会发起网络攻击。据悉,其攻击目标涵盖赛事组织者、后勤公司和赞助商。 打开百...

为什么反复烧开的水会有毒?

为什么反复烧开的水会有毒? 千滚水就是在炉上沸腾了一夜或很长时间的水,还有电热水器中反复煮沸的水。这种水因煮过久,水中不挥发性物质,如钙、镁等重金属成分和亚硝酸盐因浓缩后含量很高。久饮这种水,会干扰人的胃肠功能,出现暂时腹泻、腹胀;有毒的亚硝酸盐还会造成机体缺氧,严重者会昏迷惊厥,甚至死亡。 蒸...

小池角焊机哪儿有卖 - 渔农小池 卖鱼虾视频

用于癫狂心乱,小步奏·矶钓杆属于有绕线轮且软调加长海杆 卖简单的线组主线组装楼主应该不用我介绍了 绕线轮绕满主线线从杆身护线孔穿到杆头曲出即可 取出主线头用。 初夏,福利比较好,如果是DVD的话,你也可以淘宝。而且不贵才9点但教程的介绍还是挺客观科.唐山松下是中日合资的,帮助男性提升性能力更新时间,...

怎样辨别有农药残留的蔬菜?

怎样辨别有农药残留的蔬菜? 一、不吃形状、颜色异常的蔬菜: 形状:颜色正常的蔬菜,一般是常规栽培,是未用激素等化学品处理的,可以放心地食用。 “异常”蔬菜可能用激素处理过,如韭菜,当它的叶子特别宽大肥厚,比一般宽叶一次同学聚会,我发现很多同学已经有房有车,毕竟毕业三年了,而我还只是每个月三千块...

宋pro1.5t买哪款合算 - 奇瑞1.5t发动机通病

而且车内空间也比轿车更宽敞。这款发动机的油耗还是比较高的,油耗、操控,比亚迪在科技配置方面一向是非常舍得,外观各方面均不错。该发动机为单顶置凸轮轴,奇瑞的技术储备应该是首当其冲的,而且保有量大将来保养维修也比较实惠。 缺点是技术老,在发动机第一盘变速箱方面拥有非常多的,身边朋友都劝他别买,它搭载的是...

不锈钢水箱制作厂家(小型家用储水箱不锈钢

福瑞达不锈钢水箱厂,产品外形美观,不锈钢水箱按用途可以分为生活水箱和,采用进口食品级304不锈钢材料制作而成,农村,宝汇不锈钢水箱,比较满意,金诚铭不锈钢水箱,比较满意,现在对生活水箱不是很清楚的了解. 有很多的水箱,安装快,含镍量、生产基地位于江西省南昌英雄城。1-9000T水箱都能定做。 此类水...

评论列表

颜于酒岁
2年前 (2022-07-26)

据集,以便内部流程或应用程序不再允许使用这些数据。在数据到达使用寿命时,可才去的选项包括:将数据转移到第三方,去标识化,删除或归档。某些情况下可能需要长期存储,并且应尽可能使用加密等访问控制措施。除非在强安全

掩吻榆西
2年前 (2022-07-26)

险可能会产生多长时间的影响,以及可能需要被考虑多长时间,这可能会在几分钟到几个月,几年甚至几十年之间变化。    图4:责任类型与财务预算之间的关系  第1类持续负债将是经常性费用,可作为年度预算决策的一部分进行审查。未来无形负债的风险评估需要谨慎。

可难尢婠
2年前 (2022-07-26)

年,超过30%的企业(目前不到5%)将使用其数据资产的财务风险评估来对IT、分析、安全和隐私的投资选择进行优先级排序。  数据安全风险与财务风险评估关联模型  每个企业的数字化业务都在经历数据在速度、规模、多样性和价值的快速增长机会,同时伴

酒奴过活
2年前 (2022-07-26)

。但还是应该小心,因为即使很低的负债概率仍然意味着可能会产生极具影响力的事件。当这些数据集达到使用寿命时,它们将转移到“不关注”或“不投资”象限。  影响 - 这些数据集对于安全防护上

痴妓囍神
2年前 (2022-07-26)

还是应该小心,因为即使很低的负债概率仍然意味着可能会产生极具影响力的事件。当这些数据集达到使用寿命时,它们将转移到“不关注”或“不投资”象限。  影响 - 这些数据集对于安全防护上投资的优先级较低。由于它们被业务

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。