對于任何公司來講，數(shù)據(jù)都是最寶貴的資產(chǎn)之一，但它可能是我們最不了解的資產(chǎn)。我們有物理基礎(chǔ)設(shè)施的規(guī)范和檢查，我們有員工滿意度調(diào)查，我們甚至有網(wǎng)站的正常運(yùn)行時(shí)間監(jiān)控和穩(wěn)定性測試。但是，我們是否正在盡一切努力了解我們的數(shù)據(jù)暴露于風(fēng)險(xiǎn)的程度?

[[420719]]

安全不僅僅是保護(hù)自己免受黑客攻擊。一方面，您面臨著可能動搖整個(gè)組織的政府法規(guī)和安全漏洞的巨大風(fēng)險(xiǎn)。但即使是很小的事情——比如進(jìn)入系統(tǒng)的一點(diǎn)點(diǎn)壞數(shù)據(jù)——也會導(dǎo)致影響每個(gè)部門的涓滴效應(yīng)。

我們都可以在評估(和減輕)數(shù)據(jù)風(fēng)險(xiǎn)方面做得更好。關(guān)鍵是從小處著手：只需確保在正確的位置擁有正確的數(shù)據(jù)。然后，您要確保正確的人可以訪問數(shù)據(jù)，而錯誤的人無法訪問數(shù)據(jù)。一旦涵蓋了這些內(nèi)容，并且定義了保持?jǐn)?shù)據(jù)清潔和標(biāo)準(zhǔn)化的流程，那么您就可以開始專注于將其作為日常實(shí)踐。所需要的只是人員、流程和技術(shù)的正確組合。

我們所說的“風(fēng)險(xiǎn)”是什么意思?

當(dāng)大多數(shù)人想到與數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)時(shí)，他們會立即回想起引人注目的數(shù)據(jù)泄露事件，這些事件似乎以驚人的規(guī)律性充斥著我們的新聞源。但是，影響數(shù)百萬用戶的史詩般的泄漏并不會對大多數(shù)公司造成嚴(yán)重后果。即使是少數(shù)暴露的記錄也可能會產(chǎn)生嚴(yán)重的法律、財(cái)務(wù)和聲譽(yù)影響。

這些違規(guī)行為是如何發(fā)生的?它可以像在錯誤的地方正確的數(shù)據(jù)一樣簡單。我們關(guān)于安全中心的大部分對話都圍繞著個(gè)人身份信息 (PII)。如果 PII 數(shù)據(jù)未被識別或不在正確的字段中 - 例如，支付信息錯誤地映射到未受保護(hù)的字段并被未經(jīng)授權(quán)的個(gè)人查看 - 您可能面臨暴露一些非常敏感的信息的風(fēng)險(xiǎn)。

但外部風(fēng)險(xiǎn)并不是我們應(yīng)該擔(dān)心的唯一危險(xiǎn)。幾年前，IBM 以著名的計(jì)算得出，不良數(shù)據(jù)每年給美國企業(yè)造成的損失超過3 萬億美元。這是一千次削減的死亡，在幾秒鐘、幾分鐘和幾小時(shí)內(nèi)被分配到手動數(shù)據(jù)更正、重新運(yùn)行可疑報(bào)告以及追求最初基于后來發(fā)現(xiàn)有問題的數(shù)據(jù)確定范圍的策略和程序。當(dāng)然，自 IBM 發(fā)布這項(xiàng)研究以來，我們必須處理的數(shù)據(jù)量增長了 400% 以上，而且還在不斷增長。那么我們今天會損失多少呢?未來幾年我們將損失多少?

將所有這些危險(xiǎn)放在一起，一件事很清楚：沒有一家公司能夠承受將其數(shù)據(jù)暴露于風(fēng)險(xiǎn)的后果。

風(fēng)險(xiǎn)評估涉及什么?

當(dāng)涉及到您的數(shù)據(jù)時(shí)，沒有單一的靈丹妙藥可以保護(hù)您免受各種情況的影響。但是，您可以通過仔細(xì)查看數(shù)據(jù)風(fēng)險(xiǎn)的三個(gè)方面來改善整體數(shù)據(jù)健康狀況：來源、安全性和合規(guī)性。

(1) 數(shù)據(jù)源

了解單個(gè)源的質(zhì)量和數(shù)據(jù)映射的質(zhì)量是評估風(fēng)險(xiǎn)的關(guān)鍵。當(dāng)我們談?wù)摂?shù)據(jù)源時(shí)，我們不僅要考慮數(shù)據(jù)的來源，還要考慮它如何進(jìn)入我們的系統(tǒng)。

例如，假設(shè)您從供應(yīng)商處購買的潛在客戶列表不如您從最近的、有針對性的、雙重選擇加入的活動中捕獲的潛在客戶列表準(zhǔn)確或最新，這可能是安全的。但是，即使您可以 100% 相信來自每個(gè)來源的每條記錄的準(zhǔn)確性——包括銷售人員手動輸入、從任何范圍的在線表格提交、產(chǎn)品或移動應(yīng)用程序中的參與以及來自合作伙伴或母公司的共享數(shù)據(jù)——您仍然會跨來源查看多種領(lǐng)域、標(biāo)準(zhǔn)和定義。一個(gè)來源可能需要在電話號碼字段中輸入國家/地區(qū)代碼，而另一個(gè)則不需要。一個(gè)來源可能只有一個(gè)名稱字段，而所有其他來源都將名字和姓氏分開。

讓這些資源都說同一種語言(可以這么說)本身就是一個(gè)挑戰(zhàn)，但值得花時(shí)間和考慮。幸運(yùn)的是，有一些技術(shù)可以將數(shù)據(jù)質(zhì)量自動化作為數(shù)據(jù)集成過程的一部分，因此您可以通過手動數(shù)據(jù)校正的大量時(shí)間投資來避免風(fēng)險(xiǎn)。

(2) 數(shù)據(jù)安全

如果您的所有數(shù)據(jù)都收集在一個(gè) Excel 電子表格中，那么分配一兩個(gè)人來監(jiān)視該數(shù)據(jù)、確保其安全并逐行驗(yàn)證它會非常容易。但這不是我們生活的世界。對于我們大多數(shù)人來說，我們的數(shù)據(jù)基礎(chǔ)設(shè)施是一個(gè)由相互連接的程序和平臺組成的復(fù)雜網(wǎng)絡(luò)。顯然有專門用于連接系統(tǒng)和將數(shù)據(jù)提取到存儲庫的工具。一些企業(yè)僅僅這樣做就取得了成功——但他們真的了解數(shù)據(jù)健康嗎?他們甚至?xí)浪麄兪欠裼袛?shù)據(jù)質(zhì)量問題嗎?

數(shù)據(jù)安全的第一步是安全地連接到我們的數(shù)據(jù)源、攝取數(shù)據(jù)并執(zhí)行第一次數(shù)據(jù)質(zhì)量檢查，以確保我們在正確的字段中獲得正確的數(shù)據(jù)。其次，數(shù)據(jù)剖析技術(shù)可以幫助我們確保電話號碼看起來像電話號碼，電子郵件看起來像電子郵件等等，這樣我們就可以放心，我們沒有錯誤地分類敏感信息。一些分析技術(shù)甚至可以自動解決常見數(shù)據(jù)錯誤。

之后，是時(shí)候讓人們參與進(jìn)來了，這樣數(shù)據(jù)專家就可以手動更正、協(xié)調(diào)和驗(yàn)證自動化數(shù)據(jù)質(zhì)量工具無法自信評估的任何記錄。適當(dāng)?shù)牧鞒毯凸ぷ髁鞒绦枰轿唬员愫线m的人能夠以正式的方式看待它。這將需要用于數(shù)據(jù)庫存、數(shù)據(jù)管理和數(shù)據(jù)準(zhǔn)備的技術(shù)。

(3) 遵守

善意——即使是由良好技術(shù)支持的善意——也只能帶你走這么遠(yuǎn)。英國信息專員辦公室 (ICO) 最近的一項(xiàng)研究發(fā)現(xiàn)，高達(dá)90% 的數(shù)據(jù)泄露可以追溯到人為錯誤。信不信由你，這是個(gè)好消息——早在 2015 年，IBM 報(bào)告說，95%的數(shù)據(jù)泄露都是由人為錯誤造成的。所以……進(jìn)步，我猜?

技術(shù)(包括我們自己的數(shù)據(jù)目錄)可以通過提供集中式基礎(chǔ)架構(gòu)來管理和確保整個(gè)組織的合規(guī)性來提供幫助。這些產(chǎn)品允許您建立明確的訪問協(xié)議和權(quán)限來保護(hù)您的數(shù)據(jù)，而不會造成虛假的訪問障礙，這可能會降低人們的工作效率。它們還可以通過語義類型自動對數(shù)據(jù)進(jìn)行分類并構(gòu)建定義良好的業(yè)務(wù)詞匯表，以便每個(gè)人在處理數(shù)據(jù)時(shí)都使用相同的業(yè)務(wù)語言。

如何降低數(shù)據(jù)風(fēng)險(xiǎn)

如果你試圖一次完成所有事情，你會筋疲力盡。相反，慢慢來，一步一步。首先確保您將良好、值得信賴的數(shù)據(jù)輸入系統(tǒng)。然后，您可以建立所需的人員、政策和計(jì)劃，以長期保持?jǐn)?shù)據(jù)的健康。

第 1 步：數(shù)據(jù)集成

保護(hù)自己免受數(shù)據(jù)泄露的最簡單方法是確保它從一開始就不會進(jìn)入您的系統(tǒng)。理想情況下，您將希望設(shè)置自動檢查數(shù)據(jù)質(zhì)量作為攝取過程的一部分。

• 優(yōu)先考慮您的數(shù)據(jù)源。有些比其他更值得信賴，因此您需要確保選擇提供最大價(jià)值的來源。這聽起來很明顯，但您應(yīng)該始終確保任何數(shù)據(jù)攝取或遷移都應(yīng)通過安全傳輸協(xié)議完成。
• 收集您的數(shù)據(jù)。只要有可能，將您的數(shù)據(jù)整合到數(shù)據(jù)湖或數(shù)據(jù)倉庫中。與分散在一系列系統(tǒng)和部門的數(shù)據(jù)相比，集中式數(shù)據(jù)更容易監(jiān)控和管理。
• 分析和清理您的數(shù)據(jù)。檢查不完整或不準(zhǔn)確的記錄，刪除重復(fù)項(xiàng)，并確保每條記錄的每個(gè)字段都正確映射和標(biāo)記。

第 2 步：數(shù)據(jù)治理

數(shù)據(jù)治理是流程、角色、政策、標(biāo)準(zhǔn)和指標(biāo)的集合，可確保有效和高效地使用信息，使組織能夠?qū)崿F(xiàn)其目標(biāo)。數(shù)據(jù)治理的細(xì)節(jié)因公司而異，但通常至少涉及三個(gè)群體：

• IT(或數(shù)據(jù)工程師)。該小組負(fù)責(zé)收集數(shù)據(jù)、構(gòu)建流程并使數(shù)據(jù)在組織內(nèi)可用。
• 數(shù)據(jù)管理員。這些人是真正了解數(shù)據(jù)的人，不僅僅是純粹的數(shù)據(jù)點(diǎn)，還包括業(yè)務(wù)將如何使用這些數(shù)據(jù)。他們將審查數(shù)據(jù)并確保它可以被使用和信任。
• 企業(yè)用戶。這些是數(shù)據(jù)的消費(fèi)者，從分析師到部門負(fù)責(zé)人，從最高管理層到個(gè)人貢獻(xiàn)者。應(yīng)該有明確的規(guī)則和權(quán)限設(shè)置來確定誰可以訪問數(shù)據(jù)，以及他們何時(shí)以及如何訪問數(shù)據(jù)。

第 3 步：自動化

除非您將關(guān)鍵數(shù)據(jù)保存在一個(gè)簡單的電子表格中——這將是一種非常低效的開展業(yè)務(wù)的方式——否則您將需要技術(shù)來自動化管理數(shù)據(jù)的重復(fù)任務(wù)。

繁重的工作將來自 IT，因?yàn)樗麄兘⒘丝勺詣踊瘮?shù)據(jù)集成、數(shù)據(jù)質(zhì)量、數(shù)據(jù)準(zhǔn)備的技術(shù)和規(guī)則。從那里，治理和工作流程可以一起工作。如果某些事情不能自動化，它會與數(shù)據(jù)管理員一起進(jìn)行正式的審查過程。

一旦您定義和概述了最初的流程，它就不再像往常一樣只是一種練習(xí)。隨著新數(shù)據(jù)進(jìn)入組織，定義的流程會自動清理、豐富和標(biāo)準(zhǔn)化數(shù)據(jù)。任何無法通過自動化方式確信符合的數(shù)據(jù)都會通過定義的工作流發(fā)送，并由最了解數(shù)據(jù)的人糾正。這成為貴公司數(shù)據(jù)的自然生命周期。

這聽起來可能是烏托邦式的，但您不必一次全部完成。這可能需要時(shí)間——也許是思維方式的轉(zhuǎn)變——但這是可能的。一旦你進(jìn)行了這種練習(xí)，就像肌肉一樣，你鍛煉得越多，它就會變得越強(qiáng)壯。

保護(hù)自己免受風(fēng)險(xiǎn)

您的數(shù)據(jù)太重要了，不能讓任何事情發(fā)生。您需要在合適的技術(shù)和自動化的支持下平衡人員和流程，才能跟上公司中永無止境的數(shù)據(jù)流。在一個(gè)完美的世界中，我們都將擁有一流的安全解決方案，并且 100% 遵守 IT 團(tuán)隊(duì)的每一條建議。但是，即使在這個(gè)不完美的世界中，我們也可以取得重大進(jìn)展。

如果您準(zhǔn)備進(jìn)行更改，請從小處著手：確保您的數(shù)據(jù)標(biāo)準(zhǔn)化、經(jīng)過清理并符合您擁有的任何標(biāo)準(zhǔn)。解決數(shù)據(jù)源受損問題將在整個(gè)組織中產(chǎn)生連鎖反應(yīng)，使每個(gè)人都更有效率和效率，并釋放資源用于處理更大的數(shù)據(jù)問題。