随着企业对个人用户数据的使用逐步增加,原本无关的数据隐私和网络安全产生了内在联系。企业作为数字信息的使用者,面临着数据隐私和网络安全的双重威胁。网络攻击可能造成数据泄露,进而影响数据隐私安全。
 
通用数据保护条例(以下简称GDPR)和其他与数据隐私相关的法规已经开始发力,这意味着企业要考虑侵犯数据隐私所带来的商业成本。致同在针对逾4500名国际商业领袖的调查中发现,三分之二的受访者认为,日趋严格的监管导致企业管理层对隐私问题的重视程度已经超过了网络安全问题。
 
但同时,网络安全风险仍然呈上升趋势,企业不能掉以轻心。根据调查显示,2016年到现在,造成损失超过100万美元的网络攻击上升了63%。
致同全球网络安全负责人Vishal Chawla强调:“数据隐私和网络安全从未如此息息相关。在当今世界,数据隐私和网络安全无法割裂考虑,应从更广泛的角度将二者视为数字风险的一部分。” 
 

什么是数字风险?

数字风险不仅包含狭义上的网络攻击或是隐私数据泄露,还应从整个商业流程的角度出发,协调监管、自动化和职业道德等因素,全面考虑企业为解决数字带来的问题所需要花费的成本。
 
 “在评估企业的数字风险时,仅关注单个威胁不再是行之有效的办法,采取主动,整合管理才是正解”。Chawla 说。
 
实际上,这种综合解决方案已经融入监管之中。GDPR规定,为了更好地合规,公司应有专门的数据保护措施并加以应用。这意味着公司必须从生命周期开始到结束,将数据保护融入到整个商业流程中。
 
 

数字风险综合解决方案能带来哪些收益?

1.便于优化数据分类
统一的团队可以确保企业在整个业务流程中进行的数据分类是一致的、相互协调的。数据分类是遵守GDPR等数据隐私法规的关键环节,它包含了企业拥有哪些数据,业务流程如何,以及数据管理归属等问题。通过采用结构化程序、评估数据资产、使用分类或分级流程等手段,企业可以识别关键数据,建立有效的安全性。
 
Chawla补充说,“我们注意到二八定律适用于许多企业的数据风险,20%的企业数据承担了80%的风险。既然无法让所有系统都具有防黑客的功能,那为何不关注对业务和客户至关重要的数据呢?”
 
致同荷兰网络风险服务合伙人Hans Bootsma赞同整合数据隐私和网络安全,并认为整合应包括数据分类过程。“大多数公司从未在GDPR之前对数据进行分类,现在大家开始这么做是因为只有将个人身份信息和其它类型的数据分类,才能合规。如果您的企业也开始这样做,可以将数据分类的用途扩展,并与其它类型数据结合以识别最重要的数据。”
 
只有将数据隐私和网络安全联系起来,才能让二者分享彼此的收益。
 
2.便于对数据泄露进行综合响应
 
数据隐私与网络安全之间的关系在数据泄露后会体现得更加明显。企业需要知道泄露是如何发生的,以及哪些网络防御措施失败了。但更重要的是要了解哪些数据受到了损害、受损数据是个人数据还是敏感数据。如果数据受损,企业需要进行披露。然而,根据致同调查的数据,仅有28%的企业对于数据的保护措施感到满意;26%的企业认为自己能够判断出什么是数据泄露,并会对数据泄露带来的结果进行评估;25%的企业认为自己能够侦测出新的与数据相关的风险。
致同爱尔兰网络安全服务合伙人Mike Harris认为:“数据隐私和网络安全很复杂,因为问题往往在二者身上同时出现。数据泄露可能源于外包的云服务商,并且涉及技术性问题。而且还应考虑泄露是否涉及个人数据,是否需要对监管披露。”
 
数据隐私和网络安全忽然之间就变得紧密相关,与其让网络和隐私部门各自应对泄露事件,不如建立一个具备专业技能的综合部门管理整个过程,以最小化损失。
 
3.便于管理供应链和第三方带来的数字风险
 
网络安全和数据隐私的整合会对第三方风险管理产生影响。例如,GDPR等数据隐私法规要求代表企业处理数据的第三方供应商能够提供强有力的保证。
 
 “对于企业而言,将第三方风险管理中的网络安全与隐私管理相结合会高效很多,” Harris说,“二者关系紧密,互为影响,同时处理二者最为直接和简单,但这种做法目前在企业中并没有广泛开展,网络安全团队和隐私团队依然各行其是。”
 
这种“一站式”第三方风险管理将减少重复工作,提高效率。但更重要的是,它让我们将对数字风险产生了更多的综合理解。

 

如何实现对新部门的监督和管理?

组建综合的数字风险部门势在必行,但如何进行监督和管理呢?
 
首先要考虑由谁对数字风险进行日常管理。大多数公司会让首席风险官或首席技术官负责这项工作。但是,有效的数字风险管理不只依赖于技术(具体内容详见明日微信),而首席风险官负责的是战略、财务及运营等层面的业务风险。
 
致同认为,有必要建立首席数字风险官一职。“一些企业已经开始创建由该职位领导的数字风险部门,” Arthur说道,“但目前在大多数公司的组织架构中,数字风险职能部门仍然非常独特。”
 
一旦日常的数字风险管理到位,就必须考虑由谁监督。与金融风险一样,数字风险的严重性意味着董事会必须发挥积极作用,但他们可能并不具备了解数字风险的技术专长。因此,理想情况下,应在董事会内设立一个由专家组成的特定数字风险委员会,监督风险。

download 下载《定义数字化风险》