【数据安全】FinDRA（金融数据风险评估）

FinDRA

• 分析人：Brian Lowans
• 效益评级：转型
• 市场渗透率：目标受众的1%至5%
• 成熟度：新兴

定义：

• 金融数据风险评估（FinDRA）优先考虑金融投资决策，以将数据安全和隐私风险降至可接受的水平，以平衡业务结果。FinDRA通过利用信息经济学来分析通过数据安全治理（DSG）和数据安全和隐私风险评估确定的业务风险的财务影响，实现了这一优先级。

为什么这很重要

FinDRA使安全和风险管理（SRM）领导者能够将数据安全和隐私风险的语言转换为业务风险和业务结果的语言。

业务影响

• FinDRA通过关注数据安全和隐私风险如何影响财务方面的业务成果，为制定数据安全投资预算奠定了基础。

驱动程序

• 组织正在利用各种数据集，导致数据和业务风险的大量增长。然而，他们很少（如果有的话）分析投资决策可能产生的财务影响。
• FinDRA正在创造一个机会，了解与每个数据集相关的机会成本、浪费和风险可能产生的财务影响。
• 组织需要能够评估与安全事件相关的数据安全和隐私风险（如数据泄露、隐私强制、不合规甚至意外处理）如何对业务造成财务影响。这种评估能力需要一个将数据风险问题转化为业务和财务影响语言的过程。

障碍

• 大多数组织继续将数据货币化投资的决策过程和责任与与数据安全和隐私相关的投资决策分开。
• SRM领导者通常不包括在使用数据的业务决策中。因此，他们没有机会将不同的安全和隐私风险的影响转化为业务成果。
• 商业领袖不理解数据安全和隐私风险的语言，他们通常会将数据访问优先于数据安全控制。

用户建议

• 建立一个DSG框架，以确定所有重要数据集和相关数据所有者，并通过一套安全策略确定和优先考虑降低业务风险。
• 进行数据风险评估（DRA），以确定数据安全或隐私技术如何对每个数据集应用安全控制。使用DRA分析安全策略实施中的差距和不一致性，并评估安全策略在降低业务风险方面的有效性。
• 与业务和财务主管合作，应用信息经济学来评估每个数据集的业务风险如何影响可以用财务术语衡量的业务结果，如收入、投资回报率（ROI）或机会成本。
• 使用FinDRA建立业务支持，并确定数据安全投资应优先考虑哪些业务风险。
• 随着风险评估和IT架构的发展，使用FinDRA帮助重新确定数据安全预算的优先级。

Gartner推荐阅读

• 使用数据安全治理框架平衡业务需求和风险
• 数据风险评估是数据安全治理的基础
• 利用信息经济学对数据进行财务风险评估
• 使用信息经济学量化数据货币化风险并建立数据安全预算
• 应用信息经济学：数据和分析成本优化的计算和行动
• 选择获取和传播网络安全价值的最佳方法