對于任何公司來講，數(shù)據(jù)都是最寶貴的資產(chǎn)之一，但它可能是我們最不了解的資產(chǎn)。我們有物理基礎設施的規(guī)范和檢查，我們有員工滿意度調(diào)查，我們甚至有網(wǎng)站的正常運行時間監(jiān)控和穩(wěn)定性測試。但是，我們是否正在盡一切努力了解我們的數(shù)據(jù)暴露于風險的程度?

[[420719]]

安全不僅僅是保護自己免受黑客攻擊。一方面，您面臨著可能動搖整個組織的政府法規(guī)和安全漏洞的巨大風險。但即使是很小的事情——比如進入系統(tǒng)的一點點壞數(shù)據(jù)——也會導致影響每個部門的涓滴效應。

我們都可以在評估(和減輕)數(shù)據(jù)風險方面做得更好。關鍵是從小處著手：只需確保在正確的位置擁有正確的數(shù)據(jù)。然后，您要確保正確的人可以訪問數(shù)據(jù)，而錯誤的人無法訪問數(shù)據(jù)。一旦涵蓋了這些內(nèi)容，并且定義了保持數(shù)據(jù)清潔和標準化的流程，那么您就可以開始專注于將其作為日常實踐。所需要的只是人員、流程和技術的正確組合。

我們所說的“風險”是什么意思?

當大多數(shù)人想到與數(shù)據(jù)相關的風險時，他們會立即回想起引人注目的數(shù)據(jù)泄露事件，這些事件似乎以驚人的規(guī)律性充斥著我們的新聞源。但是，影響數(shù)百萬用戶的史詩般的泄漏并不會對大多數(shù)公司造成嚴重后果。即使是少數(shù)暴露的記錄也可能會產(chǎn)生嚴重的法律、財務和聲譽影響。

這些違規(guī)行為是如何發(fā)生的?它可以像在錯誤的地方正確的數(shù)據(jù)一樣簡單。我們關于安全中心的大部分對話都圍繞著個人身份信息 (PII)。如果 PII 數(shù)據(jù)未被識別或不在正確的字段中 - 例如，支付信息錯誤地映射到未受保護的字段并被未經(jīng)授權的個人查看 - 您可能面臨暴露一些非常敏感的信息的風險。

但外部風險并不是我們應該擔心的唯一危險。幾年前，IBM 以著名的計算得出，不良數(shù)據(jù)每年給美國企業(yè)造成的損失超過3 萬億美元。這是一千次削減的死亡，在幾秒鐘、幾分鐘和幾小時內(nèi)被分配到手動數(shù)據(jù)更正、重新運行可疑報告以及追求最初基于后來發(fā)現(xiàn)有問題的數(shù)據(jù)確定范圍的策略和程序。當然，自 IBM 發(fā)布這項研究以來，我們必須處理的數(shù)據(jù)量增長了 400% 以上，而且還在不斷增長。那么我們今天會損失多少呢?未來幾年我們將損失多少?

將所有這些危險放在一起，一件事很清楚：沒有一家公司能夠承受將其數(shù)據(jù)暴露于風險的后果。

風險評估涉及什么?

當涉及到您的數(shù)據(jù)時，沒有單一的靈丹妙藥可以保護您免受各種情況的影響。但是，您可以通過仔細查看數(shù)據(jù)風險的三個方面來改善整體數(shù)據(jù)健康狀況：來源、安全性和合規(guī)性。

(1) 數(shù)據(jù)源

了解單個源的質(zhì)量和數(shù)據(jù)映射的質(zhì)量是評估風險的關鍵。當我們談論數(shù)據(jù)源時，我們不僅要考慮數(shù)據(jù)的來源，還要考慮它如何進入我們的系統(tǒng)。

例如，假設您從供應商處購買的潛在客戶列表不如您從最近的、有針對性的、雙重選擇加入的活動中捕獲的潛在客戶列表準確或最新，這可能是安全的。但是，即使您可以 100% 相信來自每個來源的每條記錄的準確性——包括銷售人員手動輸入、從任何范圍的在線表格提交、產(chǎn)品或移動應用程序中的參與以及來自合作伙伴或母公司的共享數(shù)據(jù)——您仍然會跨來源查看多種領域、標準和定義。一個來源可能需要在電話號碼字段中輸入國家/地區(qū)代碼，而另一個則不需要。一個來源可能只有一個名稱字段，而所有其他來源都將名字和姓氏分開。

讓這些資源都說同一種語言(可以這么說)本身就是一個挑戰(zhàn)，但值得花時間和考慮。幸運的是，有一些技術可以將數(shù)據(jù)質(zhì)量自動化作為數(shù)據(jù)集成過程的一部分，因此您可以通過手動數(shù)據(jù)校正的大量時間投資來避免風險。

(2) 數(shù)據(jù)安全

如果您的所有數(shù)據(jù)都收集在一個 Excel 電子表格中，那么分配一兩個人來監(jiān)視該數(shù)據(jù)、確保其安全并逐行驗證它會非常容易。但這不是我們生活的世界。對于我們大多數(shù)人來說，我們的數(shù)據(jù)基礎設施是一個由相互連接的程序和平臺組成的復雜網(wǎng)絡。顯然有專門用于連接系統(tǒng)和將數(shù)據(jù)提取到存儲庫的工具。一些企業(yè)僅僅這樣做就取得了成功——但他們真的了解數(shù)據(jù)健康嗎?他們甚至會知道他們是否有數(shù)據(jù)質(zhì)量問題嗎?

數(shù)據(jù)安全的第一步是安全地連接到我們的數(shù)據(jù)源、攝取數(shù)據(jù)并執(zhí)行第一次數(shù)據(jù)質(zhì)量檢查，以確保我們在正確的字段中獲得正確的數(shù)據(jù)。其次，數(shù)據(jù)剖析技術可以幫助我們確保電話號碼看起來像電話號碼，電子郵件看起來像電子郵件等等，這樣我們就可以放心，我們沒有錯誤地分類敏感信息。一些分析技術甚至可以自動解決常見數(shù)據(jù)錯誤。

之后，是時候讓人們參與進來了，這樣數(shù)據(jù)專家就可以手動更正、協(xié)調(diào)和驗證自動化數(shù)據(jù)質(zhì)量工具無法自信評估的任何記錄。適當?shù)牧鞒毯凸ぷ髁鞒绦枰轿?，以便合適的人能夠以正式的方式看待它。這將需要用于數(shù)據(jù)庫存、數(shù)據(jù)管理和數(shù)據(jù)準備的技術。

(3) 遵守

善意——即使是由良好技術支持的善意——也只能帶你走這么遠。英國信息專員辦公室 (ICO) 最近的一項研究發(fā)現(xiàn)，高達90% 的數(shù)據(jù)泄露可以追溯到人為錯誤。信不信由你，這是個好消息——早在 2015 年，IBM 報告說，95%的數(shù)據(jù)泄露都是由人為錯誤造成的。所以……進步，我猜?

技術(包括我們自己的數(shù)據(jù)目錄)可以通過提供集中式基礎架構來管理和確保整個組織的合規(guī)性來提供幫助。這些產(chǎn)品允許您建立明確的訪問協(xié)議和權限來保護您的數(shù)據(jù)，而不會造成虛假的訪問障礙，這可能會降低人們的工作效率。它們還可以通過語義類型自動對數(shù)據(jù)進行分類并構建定義良好的業(yè)務詞匯表，以便每個人在處理數(shù)據(jù)時都使用相同的業(yè)務語言。

如何降低數(shù)據(jù)風險

如果你試圖一次完成所有事情，你會筋疲力盡。相反，慢慢來，一步一步。首先確保您將良好、值得信賴的數(shù)據(jù)輸入系統(tǒng)。然后，您可以建立所需的人員、政策和計劃，以長期保持數(shù)據(jù)的健康。

第 1 步：數(shù)據(jù)集成

保護自己免受數(shù)據(jù)泄露的最簡單方法是確保它從一開始就不會進入您的系統(tǒng)。理想情況下，您將希望設置自動檢查數(shù)據(jù)質(zhì)量作為攝取過程的一部分。

• 優(yōu)先考慮您的數(shù)據(jù)源。有些比其他更值得信賴，因此您需要確保選擇提供最大價值的來源。這聽起來很明顯，但您應該始終確保任何數(shù)據(jù)攝取或遷移都應通過安全傳輸協(xié)議完成。
• 收集您的數(shù)據(jù)。只要有可能，將您的數(shù)據(jù)整合到數(shù)據(jù)湖或數(shù)據(jù)倉庫中。與分散在一系列系統(tǒng)和部門的數(shù)據(jù)相比，集中式數(shù)據(jù)更容易監(jiān)控和管理。
• 分析和清理您的數(shù)據(jù)。檢查不完整或不準確的記錄，刪除重復項，并確保每條記錄的每個字段都正確映射和標記。

第 2 步：數(shù)據(jù)治理

數(shù)據(jù)治理是流程、角色、政策、標準和指標的集合，可確保有效和高效地使用信息，使組織能夠?qū)崿F(xiàn)其目標。數(shù)據(jù)治理的細節(jié)因公司而異，但通常至少涉及三個群體：

• IT(或數(shù)據(jù)工程師)。該小組負責收集數(shù)據(jù)、構建流程并使數(shù)據(jù)在組織內(nèi)可用。
• 數(shù)據(jù)管理員。這些人是真正了解數(shù)據(jù)的人，不僅僅是純粹的數(shù)據(jù)點，還包括業(yè)務將如何使用這些數(shù)據(jù)。他們將審查數(shù)據(jù)并確保它可以被使用和信任。
• 企業(yè)用戶。這些是數(shù)據(jù)的消費者，從分析師到部門負責人，從最高管理層到個人貢獻者。應該有明確的規(guī)則和權限設置來確定誰可以訪問數(shù)據(jù)，以及他們何時以及如何訪問數(shù)據(jù)。

第 3 步：自動化

除非您將關鍵數(shù)據(jù)保存在一個簡單的電子表格中——這將是一種非常低效的開展業(yè)務的方式——否則您將需要技術來自動化管理數(shù)據(jù)的重復任務。

繁重的工作將來自 IT，因為他們建立了可自動化數(shù)據(jù)集成、數(shù)據(jù)質(zhì)量、數(shù)據(jù)準備的技術和規(guī)則。從那里，治理和工作流程可以一起工作。如果某些事情不能自動化，它會與數(shù)據(jù)管理員一起進行正式的審查過程。

一旦您定義和概述了最初的流程，它就不再像往常一樣只是一種練習。隨著新數(shù)據(jù)進入組織，定義的流程會自動清理、豐富和標準化數(shù)據(jù)。任何無法通過自動化方式確信符合的數(shù)據(jù)都會通過定義的工作流發(fā)送，并由最了解數(shù)據(jù)的人糾正。這成為貴公司數(shù)據(jù)的自然生命周期。

這聽起來可能是烏托邦式的，但您不必一次全部完成。這可能需要時間——也許是思維方式的轉(zhuǎn)變——但這是可能的。一旦你進行了這種練習，就像肌肉一樣，你鍛煉得越多，它就會變得越強壯。

保護自己免受風險

您的數(shù)據(jù)太重要了，不能讓任何事情發(fā)生。您需要在合適的技術和自動化的支持下平衡人員和流程，才能跟上公司中永無止境的數(shù)據(jù)流。在一個完美的世界中，我們都將擁有一流的安全解決方案，并且 100% 遵守 IT 團隊的每一條建議。但是，即使在這個不完美的世界中，我們也可以取得重大進展。

如果您準備進行更改，請從小處著手：確保您的數(shù)據(jù)標準化、經(jīng)過清理并符合您擁有的任何標準。解決數(shù)據(jù)源受損問題將在整個組織中產(chǎn)生連鎖反應，使每個人都更有效率和效率，并釋放資源用于處理更大的數(shù)據(jù)問題。