部署数据安全控制措施是为了保护数据及隐私,但业务领导者通常采用与业务成果直接相关的评判标准对数据进行分类,这与安全领域使用的数据分类观点不同。首席信息安全官(CISO)应克服沟通障碍,展示如何通过增强数据安全来降低业务风险和改善业务成果。
主要发现
业务领导者经常对数据安全项目提出挑战,因为他们认为安全控制会阻碍业务目标的实现。
CISO经常无法说明数据安全风险将如何影响业务成果,因为两者的评估是分开进行的,因此需要克服语言习惯的差异,使用业务语言来阐述安全风险。
当业务领导者的优先事项和职责与CISO的优先事项和职责脱节,数据安全战略就会遭到削弱,从而导致风险的增加。
在整个企业机构和所有数据集中实施全面的数据安全战略,可能需要数年时间才能达到较高的成熟度并取得具体成果,这会导致业务部门支持和采用的延迟。
建议
负责数据安全的CISO必须提供一个可扩展的双赢流程,支持业务成果,并且需要从以下几个简单步骤着手:
与单个业务部门领导者建立合作伙伴关系,以支持针对单个业务项目的数据安全分析,并了解其对业务成果的影响。
与业务领导者合作,识别并优先应对与单一数据集相关的业务风险,确定既可被各方接受,同时还能够优化业务绩效的风险缓解措施。
特定用户帐户对特定数据集应拥有特定权限;在此原则基础上,为业务项目制定符合业务领导者风险偏好的数据安全策略。
分析业务项目所用数据管道中的现有产品库存以及重叠的安全产品,以确定策略差距或不一致之处。
发现数据安全策略编排的变化之处,并对减少业务风险所需的新数据安全措施进行投资。是否实施缓解措施是一项业务决策。
战略规划假设
到2025年,超过30%的企业机构将加快发展覆盖整个企业机构的数据安全治理,而目前这一比例还不到10%。
导语
随着企业不断加快部署多云和混合IT架构,降低逐渐多样化的各类数据安全和隐私风险成为CISO不可推卸的责任。这需要部署复杂程度日益提升的数据安全技术,而了解这些技术如何影响业务项目的绩效及其目标亦十分重要。然而,业务领导者并不认为其需要承担数据安全部署预算、知识和人员配置方面的责任,因此无从了解可以和应当部署哪些措施。这导致业务和安全部门无法共担责任——即使每个人都希望将风险降至最低。CISO可能会因此错失了解信息的机会,无法掌握业务目标以及风险对项目绩效、客户交付和体验、财务绩效等方面的影响,因而难以用业务语言阐述数据安全需求。这限制了CISO的能力,使其无法展示如何通过平衡业务风险来创造新的业务机会,同时将风险对业务绩效的影响控制在可接受的范围。安全和业务部门的协作至关重要,否则会使企业机构面临更大的业务和财务风险。展示如何通过共享风险和机会分析实现业务成果,非常有助于CISO主动传达数据安全方面适度投资的需求。
CISO须利用数据安全治理(DSG)来管理不断变化的业务风险格局。与数据驻留、合规、隐私、安全和意外事件相关的风险将影响多种数据集,例如个人、健康、财务和知识产权。CISO必须关注DSG战略,以确定可为业务部门所接受的风险缓解水平的数据安全策略并确定优先级。然后,通过数据风险评估(DRA)工具,对安全控制措施的战术部署进行评估,以确定采用当前和计划的安全控制措施可实现的风险缓解目标(见图1)。
图1:利用DSG专注于制定数据安全策略
DSG要求CISO和业务利益相关者合作,通过Gartner的数据风险金字塔,在不同角色可接受的风险缓解水平之间取得平衡(参见图2)。DSG从确定业务风险着手,然后与业务领导者合作评估这些风险的财务影响,以确定处理优先级和可接受的业务风险缓解水平。这时,就需要使用DRA来评估数据安全策略在整个安全产品组合中的部署进展,从而将业务风险降低至预先设定的水平。随着IT决策和威胁的发展,需要使用DSG来管理这一风险流程。
图2:数据安全风险金字塔
如果尚未实施DSG,那么,展示DSG流程的价值和原则并获取对覆盖整个企业机构范围的项目的支持,就变得十分重要。应将多个业务项目使用多个数据集的业务环境作为一个整体,对此进行分析,避免好高骛远。建立一个成功的DSG指导委员会可能需要相当长的时间,委员会成员应包括业务领导者、合规专员、IT经理、风险管理者,以及安全和风险管理(SRM)领导者。成立之后,该委员会必须对所有数据集和项目实施全面的数据安全治理)。业务项目将持续推动IT架构的变革,新的服务和项目团队将创建与每个数据集相关且与时俱进的风险组合。因此,需要进行快速分析,为概念验证做好铺垫并为DSG争取到高管支持,使DSG能够覆盖整个企业机构范围,借助利益相关者之间的协作互动。
本报告展示了一个可快速、有效地展示DSG价值的途径,通过由四个步骤构成的DSG流程,专注于单个业务项目和数据集,如图3所示。
图3:通过聚焦式DSG分析支持项目业务成果的四个步骤
这四个步骤将使CISO和业务领导者获得双赢,支持项目的业务目标,确定数据安全措施可以缓解的业务风险以及风险减少程度并设定优先级。采取这些步骤,可将数据安全语言转化为业务成果语言。这也有助于业务主导的数据安全投资决策兼顾安全和业务双方的需求,并将重点放在业务风险偏好和所选安全控制措施的有效性上。
分析
步骤1:专注于单个业务项目及其业务成果
从与单一业务领导者建立联系入手,专注于单个项目或服务,以及单个数据集。通过该项目的分析协同效应,以及安全和特定业务成果的识别,推动效率的显著提升。该方法能够在财务影响或项目成本、服务交付、绩效、客户运营和留存等方面对成果给予高度关注。
使用DSG分析特定数据集的业务项目治理、实用性和处理要求。为此,需要了解业务和安全类别;价值、质量、准确性、生命周期、保密性、隐私等。业务领导者将提供对数据管家的访问权,以确定某些用户组需要访问每个数据集的原因。例如,对于潜在客户、现有客户和原有客户而言,使用客户个人数据来满足的业务目的各不相同,但安全产品通常不会根据客户生命周期的不同阶段做出分类。接下来,创建数据地图,展示数据的存储、处理和访问方式以及位置。通过数据地图分析,识别出重要的业务项目资产:
创建所有数据集的优先级列表,重点关注数据分类和数据目录的数据治理要求。
确定与项目直接或间接相关、具有不同访问需求的所有员工角色及其地理位置。
明确相关员工群体正在使用的主要数据存储位置和格式。
分析数据管道创建新数据组合的方式、数据格式变化或暗数据,从而明确数据血缘的影响。
确定设备、应用、存储平台的完整产品库存情况,以及相关数据负责人和数据管家。
CISO在与业务领导达成一致后,将使用此数据地图来明确商定的单个项目和单个数据集的DSG分析边界。
步骤2:明确业务风险并确定其优先级
确定如何衡量业务成果;多数情况下,这要通过财务预测来实现。这些预测着眼于营收以及当前、未来或无形的成本敞口。项目绩效或客户体验的任何变化都将影响业务领导者的风险偏好。各类事故都会引发业务风险,包括安全漏洞或勒索软件攻击、违反隐私法规,以及意外披露或暴露数据。项目之外的部门,例如销售、营销、法务、隐私、合同和采购,当然还包括会计和财务等,也将因事件响应、隐私行动、法律和安全运营成本等而受到影响。因此,需要明确每项业务风险直接影响业务成果和目标的方式,同时还要明确该风险对其他团队的影响。这一分析将产生一系列可衡量的预测,供业务领导者证明风险偏好的合理性。
例如,由于来自不同国家的数据将受到不同隐私法律的约束,因此客户数据可能需要受到数据驻留的限制。虽然业务部门认为不同国家的数据所带来的收益类似,但业务项目访问各国数据的需求可能会带来风险。然而,任何访问限制都会影响绩效交付和销售,以及客户关系,并最终影响客户的获取和留存。任何披露都将导致项目软件的暂时关闭、事件响应,并且可能导致直接处罚和收入损失。各种访问限制的业务影响和风险,都可以根据访问控制创建的多种示例进行估计。
在此基础上,可将与数据相关的不同业务风险的影响与财务风险挂钩,实现优先处理。还要注意的是,一些安全控制措施还可能为内外部合作伙伴和客户带来共享或处理数据的全新机会。CISO应与业务领导者和数据管家合作,评估每个数据管道,识别潜在业务风险和新的收入机会:
明确特定数据安全控制(如隐私增强计算)能否创造或增强数据变现或数据利用机会。
确定每项数据安全控制措施对员工绩效和数据访问的影响。
评估每个隐私或安全事件造成项目中断的方式,以及对客户体验、客户引导或客户留存的影响。
确定每个隐私或安全事件可能导致的经济处罚。
明确是否有任何特定事件响应、内部/外部审计和合规性报告导致项目人员支持需求的增加、员工效率的降低和支持预算的增加。
评估当前监控、预警和审计技术的性能和效率,以实现一致的合规报告。
明确当前数据泄露和勒索软件攻击对IT系统可用性、潜在数据窃取,以及生产和备份数据存储破坏的潜在影响。
由业务部门主导,对可接受的风险承受度进行评估,使同时符合业务需求和安全功能的数据访问控制措施保持一致。
识别目的可随时间推移发生演变的数据集,因为这些数据集的价值和风险也将与时俱进。
考虑到业务成果的潜在取舍,必须利用这一风险分析的视角,与业务领导者就业务风险的优先级和风险缓解意愿达成一致。
步骤3:将数据风险转化为业务语言
CISO必须证明数据安全风险是如何引发需优先考虑的业务风险的。因此,需要确保任何数据风险信息以与DSG策略相关的方式传达:
首先,始终纳入评估风险规模和范围的计划,或确定这样做的路径。例如,每个企业机构都需要制定应对业务运营失败的业务连续性计划。
其次,数据安全的零信任是一个具有挑战性的目标,因为没有一种安全产品能够保护整个混合IT架构和每个数据流转路径中的数据。是否有将灾难风险降低到可接受水平的方法?制定计划,解释将风险降低到可接受水平的最简单路径。
最后,为研究DSG政策的三个基本功能制定方案:
o???数据集——根据数据的价值(或变现)、质量、生命周期、准确性、保密性、可用性、完整性和隐私性,对数据进行识别、发现和分类。
o???访问——根据业务角色、地理位置等,确定应拥有或需要访问数据的用户或机器帐户。
o???权限——确定每个用户或机器帐户的业务目标,以确定特定权限是否适当。
例如,制定访问客户个人数据的策略。这可能会影响跨地理边界的数据管道的选择。需要保证访问的顺畅,但也需要根据地理位置、数据年限和员工角色设置限制,而这将影响IT架构的选择。做好准备,在面对可能增加焦虑的各种威胁时,就如何应用DSG政策的概念进行沟通。这些威胁可包括新的颠覆性技术、增加的工作负载、新的意识形态或激进分子威胁、企业经营所在的经济体的变化、更高的监管预期或行业同行的失败。恶意软件或勒索攻击是否变得更加复杂?是否出现了新的欺诈技术?根据您对风险的出现或发展方式的理解,故事需要改变。应能够识别策略方面的业务风险特征。
步骤4:关注数据风险,以降低业务风险
基于技术的安全决策与企业机构的业务决策方式往往存在差异。技术问题往往是存在明确(准确且清晰)答案的问题。人们经常被技术所吸引,因为许多正在研究的问题,虽然具有挑战性,但可以被“解决”。例如,数据加密、零信任、合规等(通过特定管道)实现的时候,就到了结束的时刻。然而,DSG策略的战术实施之所以充满挑战,是因为供应商市场重点不同,使得每种安全产品以多种方式孤立存在。个人数据所适用的实际保护并不清晰,因为其他数据管道的安全控制措施不同,或者仍有少数员工被授予明文访问权限。因此,在对更广泛的架构进行评估时,零信任无法实现。每种产品:
在特定的存储或处理管道上运行。
运营结构化或非结构化数据(通常是二者之一)。
实施特定的安全控制措施,或针对特定厂商的选定控制措施的组合。
使用定制的数据发现/分类工具,该工具通常无法与其他厂商提供的功能集成。
对使用不同的数据安全产品的整个IT架构实施DRA非常重要:
与数据管家合作,创建跨不同数据管道的产品清单,以确定数据存储平台、处理应用以及任何能够访问数据的设备。
确定所有技术和账户中能够访问数据的地理位置。
明确重叠的数据管道和新的数据目的地。
识别生成新的数据格式、突变或数据组合的数据血缘的影响。
确定测试和开发工程师、数据科学家等角色是否正在创建暗数据或影子数据存储库。
分析为承包商、外部合作伙伴、客户等启用的任何访问路径。
创制所有数据安全、身份访问管理和原生业务应用产品的清单。
创建一份数据地图,显示与业务项目相关的所有用户帐户,以及产品组合如何在初始数据流转路径中战术性地实施DSG策略。明确这些政策的差距或不一致之处。
将数据映射工作扩展到其他管道中,并确定这些差距和不一致之处的演变或变革情况。
这是专注于单一业务项目和数据集的DRA的基础。DSG策略实施中的差距和不一致之处如今可能与业务风险直接相关。这为CISO与业务领导者建立双赢关系创造了机会,使企业机构能够采用利用数据和分析治理、隐私等技术的互联治理策略,并涵盖广泛的数据目录遗留。
这是一个不断发展的叙事,通过专注于降低业务风险,支持任何适当的额外投资,无论是新控制措施、沟通计划还是运营变更。因此,不仅需要以业务部门理解的方式阐述风险,还需要与业务利益相关者共同审视沟通内容,确保所描述的内容符合其实际经验并具有相关性——即切实可行性。这将使业务部门愿意接受当前的数据安全控制能力,以减轻风险或支持投资战略。