您的數(shù)據(jù)安全嗎?如何評估和降低數(shù)據(jù)風(fēng)險(xiǎn)
對于任何公司來講,數(shù)據(jù)都是最寶貴的資產(chǎn)之一,但它可能是我們最不了解的資產(chǎn)。我們有物理基礎(chǔ)設(shè)施的規(guī)范和檢查,我們有員工滿意度調(diào)查,我們甚至有網(wǎng)站的正常運(yùn)行時(shí)間監(jiān)控和穩(wěn)定性測試。但是,我們是否正在盡一切努力了解我們的數(shù)據(jù)暴露于風(fēng)險(xiǎn)的程度?
安全不僅僅是保護(hù)自己免受黑客攻擊。一方面,您面臨著可能動搖整個(gè)組織的政府法規(guī)和安全漏洞的巨大風(fēng)險(xiǎn)。但即使是很小的事情——比如進(jìn)入系統(tǒng)的一點(diǎn)點(diǎn)壞數(shù)據(jù)——也會導(dǎo)致影響每個(gè)部門的涓滴效應(yīng)。
我們都可以在評估(和減輕)數(shù)據(jù)風(fēng)險(xiǎn)方面做得更好。關(guān)鍵是從小處著手:只需確保在正確的位置擁有正確的數(shù)據(jù)。然后,您要確保正確的人可以訪問數(shù)據(jù),而錯誤的人無法訪問數(shù)據(jù)。一旦涵蓋了這些內(nèi)容,并且定義了保持?jǐn)?shù)據(jù)清潔和標(biāo)準(zhǔn)化的流程,那么您就可以開始專注于將其作為日常實(shí)踐。所需要的只是人員、流程和技術(shù)的正確組合。
我們所說的“風(fēng)險(xiǎn)”是什么意思?
當(dāng)大多數(shù)人想到與數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)時(shí),他們會立即回想起引人注目的數(shù)據(jù)泄露事件,這些事件似乎以驚人的規(guī)律性充斥著我們的新聞源。但是,影響數(shù)百萬用戶的史詩般的泄漏并不會對大多數(shù)公司造成嚴(yán)重后果。即使是少數(shù)暴露的記錄也可能會產(chǎn)生嚴(yán)重的法律、財(cái)務(wù)和聲譽(yù)影響。
這些違規(guī)行為是如何發(fā)生的?它可以像在錯誤的地方正確的數(shù)據(jù)一樣簡單。我們關(guān)于安全中心的大部分對話都圍繞著個(gè)人身份信息 (PII)。如果 PII 數(shù)據(jù)未被識別或不在正確的字段中 - 例如,支付信息錯誤地映射到未受保護(hù)的字段并被未經(jīng)授權(quán)的個(gè)人查看 - 您可能面臨暴露一些非常敏感的信息的風(fēng)險(xiǎn)。
但外部風(fēng)險(xiǎn)并不是我們應(yīng)該擔(dān)心的唯一危險(xiǎn)。幾年前,IBM 以著名的計(jì)算得出,不良數(shù)據(jù)每年給美國企業(yè)造成的損失超過3 萬億美元。這是一千次削減的死亡,在幾秒鐘、幾分鐘和幾小時(shí)內(nèi)被分配到手動數(shù)據(jù)更正、重新運(yùn)行可疑報(bào)告以及追求最初基于后來發(fā)現(xiàn)有問題的數(shù)據(jù)確定范圍的策略和程序。當(dāng)然,自 IBM 發(fā)布這項(xiàng)研究以來,我們必須處理的數(shù)據(jù)量增長了 400% 以上,而且還在不斷增長。那么我們今天會損失多少呢?未來幾年我們將損失多少?
將所有這些危險(xiǎn)放在一起,一件事很清楚:沒有一家公司能夠承受將其數(shù)據(jù)暴露于風(fēng)險(xiǎn)的后果。
風(fēng)險(xiǎn)評估涉及什么?
當(dāng)涉及到您的數(shù)據(jù)時(shí),沒有單一的靈丹妙藥可以保護(hù)您免受各種情況的影響。但是,您可以通過仔細(xì)查看數(shù)據(jù)風(fēng)險(xiǎn)的三個(gè)方面來改善整體數(shù)據(jù)健康狀況:來源、安全性和合規(guī)性。
(1) 數(shù)據(jù)源
了解單個(gè)源的質(zhì)量和數(shù)據(jù)映射的質(zhì)量是評估風(fēng)險(xiǎn)的關(guān)鍵。當(dāng)我們談?wù)摂?shù)據(jù)源時(shí),我們不僅要考慮數(shù)據(jù)的來源,還要考慮它如何進(jìn)入我們的系統(tǒng)。
例如,假設(shè)您從供應(yīng)商處購買的潛在客戶列表不如您從最近的、有針對性的、雙重選擇加入的活動中捕獲的潛在客戶列表準(zhǔn)確或最新,這可能是安全的。但是,即使您可以 100% 相信來自每個(gè)來源的每條記錄的準(zhǔn)確性——包括銷售人員手動輸入、從任何范圍的在線表格提交、產(chǎn)品或移動應(yīng)用程序中的參與以及來自合作伙伴或母公司的共享數(shù)據(jù)——您仍然會跨來源查看多種領(lǐng)域、標(biāo)準(zhǔn)和定義。一個(gè)來源可能需要在電話號碼字段中輸入國家/地區(qū)代碼,而另一個(gè)則不需要。一個(gè)來源可能只有一個(gè)名稱字段,而所有其他來源都將名字和姓氏分開。
讓這些資源都說同一種語言(可以這么說)本身就是一個(gè)挑戰(zhàn),但值得花時(shí)間和考慮。幸運(yùn)的是,有一些技術(shù)可以將數(shù)據(jù)質(zhì)量自動化作為數(shù)據(jù)集成過程的一部分,因此您可以通過手動數(shù)據(jù)校正的大量時(shí)間投資來避免風(fēng)險(xiǎn)。
(2) 數(shù)據(jù)安全
如果您的所有數(shù)據(jù)都收集在一個(gè) Excel 電子表格中,那么分配一兩個(gè)人來監(jiān)視該數(shù)據(jù)、確保其安全并逐行驗(yàn)證它會非常容易。但這不是我們生活的世界。對于我們大多數(shù)人來說,我們的數(shù)據(jù)基礎(chǔ)設(shè)施是一個(gè)由相互連接的程序和平臺組成的復(fù)雜網(wǎng)絡(luò)。顯然有專門用于連接系統(tǒng)和將數(shù)據(jù)提取到存儲庫的工具。一些企業(yè)僅僅這樣做就取得了成功——但他們真的了解數(shù)據(jù)健康嗎?他們甚至?xí)浪麄兪欠裼袛?shù)據(jù)質(zhì)量問題嗎?
數(shù)據(jù)安全的第一步是安全地連接到我們的數(shù)據(jù)源、攝取數(shù)據(jù)并執(zhí)行第一次數(shù)據(jù)質(zhì)量檢查,以確保我們在正確的字段中獲得正確的數(shù)據(jù)。其次,數(shù)據(jù)剖析技術(shù)可以幫助我們確保電話號碼看起來像電話號碼,電子郵件看起來像電子郵件等等,這樣我們就可以放心,我們沒有錯誤地分類敏感信息。一些分析技術(shù)甚至可以自動解決常見數(shù)據(jù)錯誤。
之后,是時(shí)候讓人們參與進(jìn)來了,這樣數(shù)據(jù)專家就可以手動更正、協(xié)調(diào)和驗(yàn)證自動化數(shù)據(jù)質(zhì)量工具無法自信評估的任何記錄。適當(dāng)?shù)牧鞒毯凸ぷ髁鞒绦枰轿唬员愫线m的人能夠以正式的方式看待它。這將需要用于數(shù)據(jù)庫存、數(shù)據(jù)管理和數(shù)據(jù)準(zhǔn)備的技術(shù)。
(3) 遵守
善意——即使是由良好技術(shù)支持的善意——也只能帶你走這么遠(yuǎn)。英國信息專員辦公室 (ICO) 最近的一項(xiàng)研究發(fā)現(xiàn),高達(dá)90% 的數(shù)據(jù)泄露可以追溯到人為錯誤。信不信由你,這是個(gè)好消息——早在 2015 年,IBM 報(bào)告說,95%的數(shù)據(jù)泄露都是由人為錯誤造成的。所以……進(jìn)步,我猜?
技術(shù)(包括我們自己的數(shù)據(jù)目錄)可以通過提供集中式基礎(chǔ)架構(gòu)來管理和確保整個(gè)組織的合規(guī)性來提供幫助。這些產(chǎn)品允許您建立明確的訪問協(xié)議和權(quán)限來保護(hù)您的數(shù)據(jù),而不會造成虛假的訪問障礙,這可能會降低人們的工作效率。它們還可以通過語義類型自動對數(shù)據(jù)進(jìn)行分類并構(gòu)建定義良好的業(yè)務(wù)詞匯表,以便每個(gè)人在處理數(shù)據(jù)時(shí)都使用相同的業(yè)務(wù)語言。
如何降低數(shù)據(jù)風(fēng)險(xiǎn)
如果你試圖一次完成所有事情,你會筋疲力盡。相反,慢慢來,一步一步。首先確保您將良好、值得信賴的數(shù)據(jù)輸入系統(tǒng)。然后,您可以建立所需的人員、政策和計(jì)劃,以長期保持?jǐn)?shù)據(jù)的健康。
第 1 步:數(shù)據(jù)集成
保護(hù)自己免受數(shù)據(jù)泄露的最簡單方法是確保它從一開始就不會進(jìn)入您的系統(tǒng)。理想情況下,您將希望設(shè)置自動檢查數(shù)據(jù)質(zhì)量作為攝取過程的一部分。
- 優(yōu)先考慮您的數(shù)據(jù)源。有些比其他更值得信賴,因此您需要確保選擇提供最大價(jià)值的來源。這聽起來很明顯,但您應(yīng)該始終確保任何數(shù)據(jù)攝取或遷移都應(yīng)通過安全傳輸協(xié)議完成。
- 收集您的數(shù)據(jù)。只要有可能,將您的數(shù)據(jù)整合到數(shù)據(jù)湖或數(shù)據(jù)倉庫中。與分散在一系列系統(tǒng)和部門的數(shù)據(jù)相比,集中式數(shù)據(jù)更容易監(jiān)控和管理。
- 分析和清理您的數(shù)據(jù)。檢查不完整或不準(zhǔn)確的記錄,刪除重復(fù)項(xiàng),并確保每條記錄的每個(gè)字段都正確映射和標(biāo)記。
第 2 步:數(shù)據(jù)治理
數(shù)據(jù)治理是流程、角色、政策、標(biāo)準(zhǔn)和指標(biāo)的集合,可確保有效和高效地使用信息,使組織能夠?qū)崿F(xiàn)其目標(biāo)。數(shù)據(jù)治理的細(xì)節(jié)因公司而異,但通常至少涉及三個(gè)群體:
- IT(或數(shù)據(jù)工程師)。該小組負(fù)責(zé)收集數(shù)據(jù)、構(gòu)建流程并使數(shù)據(jù)在組織內(nèi)可用。
- 數(shù)據(jù)管理員。這些人是真正了解數(shù)據(jù)的人,不僅僅是純粹的數(shù)據(jù)點(diǎn),還包括業(yè)務(wù)將如何使用這些數(shù)據(jù)。他們將審查數(shù)據(jù)并確保它可以被使用和信任。
- 企業(yè)用戶。這些是數(shù)據(jù)的消費(fèi)者,從分析師到部門負(fù)責(zé)人,從最高管理層到個(gè)人貢獻(xiàn)者。應(yīng)該有明確的規(guī)則和權(quán)限設(shè)置來確定誰可以訪問數(shù)據(jù),以及他們何時(shí)以及如何訪問數(shù)據(jù)。
第 3 步:自動化
除非您將關(guān)鍵數(shù)據(jù)保存在一個(gè)簡單的電子表格中——這將是一種非常低效的開展業(yè)務(wù)的方式——否則您將需要技術(shù)來自動化管理數(shù)據(jù)的重復(fù)任務(wù)。
繁重的工作將來自 IT,因?yàn)樗麄兘⒘丝勺詣踊瘮?shù)據(jù)集成、數(shù)據(jù)質(zhì)量、數(shù)據(jù)準(zhǔn)備的技術(shù)和規(guī)則。從那里,治理和工作流程可以一起工作。如果某些事情不能自動化,它會與數(shù)據(jù)管理員一起進(jìn)行正式的審查過程。
一旦您定義和概述了最初的流程,它就不再像往常一樣只是一種練習(xí)。隨著新數(shù)據(jù)進(jìn)入組織,定義的流程會自動清理、豐富和標(biāo)準(zhǔn)化數(shù)據(jù)。任何無法通過自動化方式確信符合的數(shù)據(jù)都會通過定義的工作流發(fā)送,并由最了解數(shù)據(jù)的人糾正。這成為貴公司數(shù)據(jù)的自然生命周期。
這聽起來可能是烏托邦式的,但您不必一次全部完成。這可能需要時(shí)間——也許是思維方式的轉(zhuǎn)變——但這是可能的。一旦你進(jìn)行了這種練習(xí),就像肌肉一樣,你鍛煉得越多,它就會變得越強(qiáng)壯。
保護(hù)自己免受風(fēng)險(xiǎn)
您的數(shù)據(jù)太重要了,不能讓任何事情發(fā)生。您需要在合適的技術(shù)和自動化的支持下平衡人員和流程,才能跟上公司中永無止境的數(shù)據(jù)流。在一個(gè)完美的世界中,我們都將擁有一流的安全解決方案,并且 100% 遵守 IT 團(tuán)隊(duì)的每一條建議。但是,即使在這個(gè)不完美的世界中,我們也可以取得重大進(jìn)展。
如果您準(zhǔn)備進(jìn)行更改,請從小處著手:確保您的數(shù)據(jù)標(biāo)準(zhǔn)化、經(jīng)過清理并符合您擁有的任何標(biāo)準(zhǔn)。解決數(shù)據(jù)源受損問題將在整個(gè)組織中產(chǎn)生連鎖反應(yīng),使每個(gè)人都更有效率和效率,并釋放資源用于處理更大的數(shù)據(jù)問題。