您的數(shù)據(jù)安全嗎?如何評估和降低數(shù)據(jù)風險
對于任何公司來講,數(shù)據(jù)都是最寶貴的資產(chǎn)之一,但它可能是我們最不了解的資產(chǎn)。我們有物理基礎設施的規(guī)范和檢查,我們有員工滿意度調(diào)查,我們甚至有網(wǎng)站的正常運行時間監(jiān)控和穩(wěn)定性測試。但是,我們是否正在盡一切努力了解我們的數(shù)據(jù)暴露于風險的程度?
安全不僅僅是保護自己免受黑客攻擊。一方面,您面臨著可能動搖整個組織的政府法規(guī)和安全漏洞的巨大風險。但即使是很小的事情——比如進入系統(tǒng)的一點點壞數(shù)據(jù)——也會導致影響每個部門的涓滴效應。
我們都可以在評估(和減輕)數(shù)據(jù)風險方面做得更好。關鍵是從小處著手:只需確保在正確的位置擁有正確的數(shù)據(jù)。然后,您要確保正確的人可以訪問數(shù)據(jù),而錯誤的人無法訪問數(shù)據(jù)。一旦涵蓋了這些內(nèi)容,并且定義了保持數(shù)據(jù)清潔和標準化的流程,那么您就可以開始專注于將其作為日常實踐。所需要的只是人員、流程和技術的正確組合。
我們所說的“風險”是什么意思?
當大多數(shù)人想到與數(shù)據(jù)相關的風險時,他們會立即回想起引人注目的數(shù)據(jù)泄露事件,這些事件似乎以驚人的規(guī)律性充斥著我們的新聞源。但是,影響數(shù)百萬用戶的史詩般的泄漏并不會對大多數(shù)公司造成嚴重后果。即使是少數(shù)暴露的記錄也可能會產(chǎn)生嚴重的法律、財務和聲譽影響。
這些違規(guī)行為是如何發(fā)生的?它可以像在錯誤的地方正確的數(shù)據(jù)一樣簡單。我們關于安全中心的大部分對話都圍繞著個人身份信息 (PII)。如果 PII 數(shù)據(jù)未被識別或不在正確的字段中 - 例如,支付信息錯誤地映射到未受保護的字段并被未經(jīng)授權的個人查看 - 您可能面臨暴露一些非常敏感的信息的風險。
但外部風險并不是我們應該擔心的唯一危險。幾年前,IBM 以著名的計算得出,不良數(shù)據(jù)每年給美國企業(yè)造成的損失超過3 萬億美元。這是一千次削減的死亡,在幾秒鐘、幾分鐘和幾小時內(nèi)被分配到手動數(shù)據(jù)更正、重新運行可疑報告以及追求最初基于后來發(fā)現(xiàn)有問題的數(shù)據(jù)確定范圍的策略和程序。當然,自 IBM 發(fā)布這項研究以來,我們必須處理的數(shù)據(jù)量增長了 400% 以上,而且還在不斷增長。那么我們今天會損失多少呢?未來幾年我們將損失多少?
將所有這些危險放在一起,一件事很清楚:沒有一家公司能夠承受將其數(shù)據(jù)暴露于風險的后果。
風險評估涉及什么?
當涉及到您的數(shù)據(jù)時,沒有單一的靈丹妙藥可以保護您免受各種情況的影響。但是,您可以通過仔細查看數(shù)據(jù)風險的三個方面來改善整體數(shù)據(jù)健康狀況:來源、安全性和合規(guī)性。
(1) 數(shù)據(jù)源
了解單個源的質(zhì)量和數(shù)據(jù)映射的質(zhì)量是評估風險的關鍵。當我們談論數(shù)據(jù)源時,我們不僅要考慮數(shù)據(jù)的來源,還要考慮它如何進入我們的系統(tǒng)。
例如,假設您從供應商處購買的潛在客戶列表不如您從最近的、有針對性的、雙重選擇加入的活動中捕獲的潛在客戶列表準確或最新,這可能是安全的。但是,即使您可以 100% 相信來自每個來源的每條記錄的準確性——包括銷售人員手動輸入、從任何范圍的在線表格提交、產(chǎn)品或移動應用程序中的參與以及來自合作伙伴或母公司的共享數(shù)據(jù)——您仍然會跨來源查看多種領域、標準和定義。一個來源可能需要在電話號碼字段中輸入國家/地區(qū)代碼,而另一個則不需要。一個來源可能只有一個名稱字段,而所有其他來源都將名字和姓氏分開。
讓這些資源都說同一種語言(可以這么說)本身就是一個挑戰(zhàn),但值得花時間和考慮。幸運的是,有一些技術可以將數(shù)據(jù)質(zhì)量自動化作為數(shù)據(jù)集成過程的一部分,因此您可以通過手動數(shù)據(jù)校正的大量時間投資來避免風險。
(2) 數(shù)據(jù)安全
如果您的所有數(shù)據(jù)都收集在一個 Excel 電子表格中,那么分配一兩個人來監(jiān)視該數(shù)據(jù)、確保其安全并逐行驗證它會非常容易。但這不是我們生活的世界。對于我們大多數(shù)人來說,我們的數(shù)據(jù)基礎設施是一個由相互連接的程序和平臺組成的復雜網(wǎng)絡。顯然有專門用于連接系統(tǒng)和將數(shù)據(jù)提取到存儲庫的工具。一些企業(yè)僅僅這樣做就取得了成功——但他們真的了解數(shù)據(jù)健康嗎?他們甚至會知道他們是否有數(shù)據(jù)質(zhì)量問題嗎?
數(shù)據(jù)安全的第一步是安全地連接到我們的數(shù)據(jù)源、攝取數(shù)據(jù)并執(zhí)行第一次數(shù)據(jù)質(zhì)量檢查,以確保我們在正確的字段中獲得正確的數(shù)據(jù)。其次,數(shù)據(jù)剖析技術可以幫助我們確保電話號碼看起來像電話號碼,電子郵件看起來像電子郵件等等,這樣我們就可以放心,我們沒有錯誤地分類敏感信息。一些分析技術甚至可以自動解決常見數(shù)據(jù)錯誤。
之后,是時候讓人們參與進來了,這樣數(shù)據(jù)專家就可以手動更正、協(xié)調(diào)和驗證自動化數(shù)據(jù)質(zhì)量工具無法自信評估的任何記錄。適當?shù)牧鞒毯凸ぷ髁鞒绦枰轿?,以便合適的人能夠以正式的方式看待它。這將需要用于數(shù)據(jù)庫存、數(shù)據(jù)管理和數(shù)據(jù)準備的技術。
(3) 遵守
善意——即使是由良好技術支持的善意——也只能帶你走這么遠。英國信息專員辦公室 (ICO) 最近的一項研究發(fā)現(xiàn),高達90% 的數(shù)據(jù)泄露可以追溯到人為錯誤。信不信由你,這是個好消息——早在 2015 年,IBM 報告說,95%的數(shù)據(jù)泄露都是由人為錯誤造成的。所以……進步,我猜?
技術(包括我們自己的數(shù)據(jù)目錄)可以通過提供集中式基礎架構來管理和確保整個組織的合規(guī)性來提供幫助。這些產(chǎn)品允許您建立明確的訪問協(xié)議和權限來保護您的數(shù)據(jù),而不會造成虛假的訪問障礙,這可能會降低人們的工作效率。它們還可以通過語義類型自動對數(shù)據(jù)進行分類并構建定義良好的業(yè)務詞匯表,以便每個人在處理數(shù)據(jù)時都使用相同的業(yè)務語言。
如何降低數(shù)據(jù)風險
如果你試圖一次完成所有事情,你會筋疲力盡。相反,慢慢來,一步一步。首先確保您將良好、值得信賴的數(shù)據(jù)輸入系統(tǒng)。然后,您可以建立所需的人員、政策和計劃,以長期保持數(shù)據(jù)的健康。
第 1 步:數(shù)據(jù)集成
保護自己免受數(shù)據(jù)泄露的最簡單方法是確保它從一開始就不會進入您的系統(tǒng)。理想情況下,您將希望設置自動檢查數(shù)據(jù)質(zhì)量作為攝取過程的一部分。
- 優(yōu)先考慮您的數(shù)據(jù)源。有些比其他更值得信賴,因此您需要確保選擇提供最大價值的來源。這聽起來很明顯,但您應該始終確保任何數(shù)據(jù)攝取或遷移都應通過安全傳輸協(xié)議完成。
- 收集您的數(shù)據(jù)。只要有可能,將您的數(shù)據(jù)整合到數(shù)據(jù)湖或數(shù)據(jù)倉庫中。與分散在一系列系統(tǒng)和部門的數(shù)據(jù)相比,集中式數(shù)據(jù)更容易監(jiān)控和管理。
- 分析和清理您的數(shù)據(jù)。檢查不完整或不準確的記錄,刪除重復項,并確保每條記錄的每個字段都正確映射和標記。
第 2 步:數(shù)據(jù)治理
數(shù)據(jù)治理是流程、角色、政策、標準和指標的集合,可確保有效和高效地使用信息,使組織能夠?qū)崿F(xiàn)其目標。數(shù)據(jù)治理的細節(jié)因公司而異,但通常至少涉及三個群體:
- IT(或數(shù)據(jù)工程師)。該小組負責收集數(shù)據(jù)、構建流程并使數(shù)據(jù)在組織內(nèi)可用。
- 數(shù)據(jù)管理員。這些人是真正了解數(shù)據(jù)的人,不僅僅是純粹的數(shù)據(jù)點,還包括業(yè)務將如何使用這些數(shù)據(jù)。他們將審查數(shù)據(jù)并確保它可以被使用和信任。
- 企業(yè)用戶。這些是數(shù)據(jù)的消費者,從分析師到部門負責人,從最高管理層到個人貢獻者。應該有明確的規(guī)則和權限設置來確定誰可以訪問數(shù)據(jù),以及他們何時以及如何訪問數(shù)據(jù)。
第 3 步:自動化
除非您將關鍵數(shù)據(jù)保存在一個簡單的電子表格中——這將是一種非常低效的開展業(yè)務的方式——否則您將需要技術來自動化管理數(shù)據(jù)的重復任務。
繁重的工作將來自 IT,因為他們建立了可自動化數(shù)據(jù)集成、數(shù)據(jù)質(zhì)量、數(shù)據(jù)準備的技術和規(guī)則。從那里,治理和工作流程可以一起工作。如果某些事情不能自動化,它會與數(shù)據(jù)管理員一起進行正式的審查過程。
一旦您定義和概述了最初的流程,它就不再像往常一樣只是一種練習。隨著新數(shù)據(jù)進入組織,定義的流程會自動清理、豐富和標準化數(shù)據(jù)。任何無法通過自動化方式確信符合的數(shù)據(jù)都會通過定義的工作流發(fā)送,并由最了解數(shù)據(jù)的人糾正。這成為貴公司數(shù)據(jù)的自然生命周期。
這聽起來可能是烏托邦式的,但您不必一次全部完成。這可能需要時間——也許是思維方式的轉(zhuǎn)變——但這是可能的。一旦你進行了這種練習,就像肌肉一樣,你鍛煉得越多,它就會變得越強壯。
保護自己免受風險
您的數(shù)據(jù)太重要了,不能讓任何事情發(fā)生。您需要在合適的技術和自動化的支持下平衡人員和流程,才能跟上公司中永無止境的數(shù)據(jù)流。在一個完美的世界中,我們都將擁有一流的安全解決方案,并且 100% 遵守 IT 團隊的每一條建議。但是,即使在這個不完美的世界中,我們也可以取得重大進展。
如果您準備進行更改,請從小處著手:確保您的數(shù)據(jù)標準化、經(jīng)過清理并符合您擁有的任何標準。解決數(shù)據(jù)源受損問題將在整個組織中產(chǎn)生連鎖反應,使每個人都更有效率和效率,并釋放資源用于處理更大的數(shù)據(jù)問題。