cioctocdo
2 December 2022
SEO Title
数据风险评估
- 分析人:Brian Lowans,Joerg Fritsch
- 效益评级:转型
- 市场渗透率:目标受众的1%至5%
- 成熟度:新兴
定义:
数据风险评估(DRA)是一个用于审查数据安全和隐私控制是否有效实施并满足组织对所有适用安全产品和应用程序的风险偏好的过程。这些控制措施旨在减轻业务风险,如不遵守法规、侵犯隐私和数据泄露。
为什么这很重要
为了定期评估数据安全、隐私和身份管理产品所采用的控制措施中的差距和不一致性如何导致业务风险,迫切需要进行动态风险评估。DRA是成功实施数据安全治理(DSG)的基础。
业务影响
DRA可以:
- 能够缓解具有财务影响的业务风险。它将注意力集中在根据组织的风险偏好优先考虑哪些数据风险。
- 确定数据安全、隐私、身份和访问管理(IAM)产品在如何实施数据安全政策方面的差距和不一致之处,并就控制措施或新产品的更改提出建议。
- 通过数据安全态势管理(DSPM)协助重新评估风险。这将是必要的,因为随着新数据集、数据集组合、暗数据和其他数据谱系的变化,数据风险将随着安全性、合规性、IT和业务项目需求的变化而变化。
驱动程序
- 数据图可以显示数据谱系如何随着时间的推移在多云、混合云和混合IT架构中以不同的格式、组合和存储库演变。
- 迫切需要增加企业领导者对DRA的支持,并将数据风险与业务成果联系起来,以便确定和评估项目团队的数据访问需求。
- 考虑到预算和对业务结果的影响,业务风险优先化流程将明确每种风险的缓解程度。为了决定安全预算应该有多大,优先顺序通常将集中于财务DRA(FinDRA)和对业务的经济影响。
- 每一项减轻业务风险的决策都需要DRA来确定每个风险可能如何演变。它还需要一个数据分类过程,该过程可以识别结构化和非结构化格式的数据,并利用安全、隐私和业务元数据。
- 创建数据图并进行DSPM分析,可以根据范围内的数据评估提供给每个用户或机器帐户的权限。
- 然后,可以根据DSG政策识别数据特权访问中的任何差距或不一致,并创建数据风险登记簿。
障碍
- 只有当企业领导人支持可能影响每个项目或服务的业务成果的数据安全控制需求时,DRA才能成功。
- 识别与每个项目或服务相关联的每个数据集的所有用户帐户的权限是一项挑战。
- 由于部署专有数据发现工具的各种供应商产品,跨IT体系结构的数据分类和发现存在问题。
- 端点的多样性和地理分布在识别和分析用户帐户对数据存储库的访问时会产生问题。
- 识别覆盖从数据存储库到端点的数据流的所有数据安全、隐私、IAM和应用程序产品可能需要业务领导者的支持。
- 每个产品通常只在数据流路径和特定存储库中应用特定控件。这意味着需要调查既不整合也不共享政策执行的许多产品。
用户建议
- 与业务领导合作,支持DRA,该DRA能够直接了解和洞察业务结果、业务项目对数据集的处理要求以及对业务事件影响的理解。
- 为每个项目创建数据图和DSPM分析,以确定谁拥有访问各种数据集的特定权限,并确定差距和不一致可能会如何造成业务事故。
- 使用DRA以业务风险的语言建立和沟通数据风险,以实现对可实现风险缓解水平的业务理解。
- 确定未缓解的数据风险,以及这些风险如何仍然会产生业务风险。通过DSG框架传达您的发现,以获得对人员配置和预算变更的业务支持。
Gartner推荐阅读
- 使用数据安全治理框架平衡业务需求和风险
- 数据风险评估是数据安全治理的基础
- 利用信息经济学对数据进行财务风险评估
- 选择获取和传播网络安全价值的最佳方法
- 登录 发表评论