数据安全关键第一步
2022年第1期 1323 < 返回目录
管理会计师应具备这一能力:运用经营绩效评价相关技能确定数据安全与数据分类方面的关键绩效指标(KPI)。

  数据安全是当下企业所面临的最重要的问题之一。IBM于2021年开展的一项研究显示,2020年度数据泄露平均成本高达424万美元。此外,76%的受访者预测,因新冠肺炎疫情推动的远程办公将使数据泄露更难应对。

  保护企业数据的关键第一步,是根据敏感等级给数据分类。数据分类基于数据遭到破坏后对企业的影响程度,以及个人在未经授权的情况下访问、复制、修改或销毁数据对数据造成破坏。数据分类尽管是数据安全的基础,但通常并不是IT规划和支出中的优先考虑事项,也未得到应有的关注。此外,企业数据分类的具体情况往往是个谜。财务人士凭借自身在IT、会计、控制和风险领域的专业知识,能够在数据分类上发挥重要作用。

  为了解企业数据分类的具体情况,我们对27名高级信息安全(infosec)人员进行了深入访谈,其中大多数为首席信息安全官(CISO),这些CISO来自10个不同行业的23家企业。每次访谈持续45~60分钟,要求受访者详细说明以下四方面的内容:

  ■数据分类过程

  ■数据分类动因

  ■数据分类的益处及结果评价

  ■数据分类面临的挑战

  征得这些CISO同意后,我们使用NoNotes软件录下了访谈内容,并将之转成文本。然后,运用文本挖掘软件来挖掘上述四个方面的重要主题。

  大多数受访者具有10年及以上的数据安全从业经验,多来自于高等教育、制造、软件和技术行业,所在企业主要是拥有5,000多名员工的大型企业。


数据分类过程

  数据分类没有固定的编号或具体描述,需要企业根据自身需求来确定。每家企业在数据评估与分类方面的做法不尽相同,正如一家医院的CISO所说:“这些数据是什么?是钻石、红宝石、蓝宝石、铁、黄铜还是铜?”多数受访者表示其企业使用具有描述性名称的三种类别,如一些公司使用颜色(绿色、黄色、红色)、数字(一、二、三)或风险等级(低、中、高)进行描述。图1展示了我们发现的最常见的数据分类名称,以及每个类别的说明与数据示例(图中包括公开数据,但其不是按敏感等级划分的数据类型)。


52.jpg


  受限数据是敏感等级最高的数据类型,企业需要对其员工访问、共享、修改和删除这些数据进行最大程度的控制。机密数据的敏感等级较受限数据稍低,但仍需进行高层级的保护,即使在企业内部也不应自由共享。机密数据的范围颇广,一些数据要进行更严格的控制(如对人事数据加密),而工作日程和预算等数据则无需这么严格的控制。内部数据仅允许有权限的企业内部员工访问。公开数据,如新闻稿和联系方式,可以在企业外部自由共享。从我们的访谈来看,企业似乎都采用了一种“恰到好处”的方法,这种方法有足够多的分类来有效管理不同敏感等级的数据,但实际上,企业并没有那么多的敏感等级能让员工轻松且一致地应用分类。


56.jpg


  绝大多数情况下,企业在确定数据分类方式时采用协作的方式,这一流程涉及数据所有者、职能部门代表、法务部门和内部审计人员。CISO管理这一流程,并负责就分类系统对员工进行培训,让员工了解其在保护数据方面的重要职责。受访者提到了员工培训的两个时机:新员工入职培训及老员工年中培训,但要注意的是,由于入职培训期间有多个培训主题同时进行,将数据安全纳入入职培训内容要困难得多。随着新数据和数据源的增加、数据安全威胁持续升级,CISO也一直在强调持续培训的必要性。

  图2是数据分类评价结果在企业中的占比情况。即便所有受访者都表示结果评价正在成为企业的优先事项,仅有10%的受访者表示其企业采用正式指标评价数据分类政策的结果,企业采用的关键绩效指标(KPI)包括了结事件的平均用时、点击率(多少人点击了可疑链接)以及阻止了多少次数据安全威胁等。43%的受访企业采用非正式指标,如确定数据分类政策员工培训的有效性或是否满足审计要求等。其余的受访者要么不了解数据分类结果评价,要么知道其企业没有评价过数据分类结果。


53b.jpg


企业为何要使用数据分类

  除可用来强化数据安全工作外,数据分类还能确保企业遵守多项数据安全和隐私方面的法规,如受访者最常提及的欧盟《通用数据保护条例》。有些法规针对特定行业,如《家庭教育权利和隐私权法案》规定了对美国高等教育机构学生数据的保护。受访者提到的其他法规还包括《金融服务现代化法案》《加州消费者隐私法案》《支付卡行业数据安全标准》。可参见“有关数据安全和隐私的重要法规”了解更多信息。


17126.jpeg


  使用数据分类的另一个原因是遵守业务合作伙伴的要求。企业通常需要采取特定的政策和程序来获取与留住客户,当业务合作伙伴可以访问企业数据时,企业必须考虑额外的风险并实施特定的安全策略。例如,一家科技公司的CISO写道:“我们的目标之一是了解我们与第三方供应商共享的数据。第三方供应商了解数据分类吗?因为……如果供应商(数据泄露)……或者我们丢失了数据,那将会是一个巨大的风险。我们有责任向供应商提供我们数据政策方面的培训。”再如,当医院向医生、保险公司和其他医院共享患者数据时,在数据安全方面,所有相关方都必须立场一致;如果不能保持一致,医院或将遭受严重后果或错失发展良机。


数据分类的益处

  受访者称,数据分类的主要益处是管理层和员工都更深刻地意识到有必要对较为敏感的数据进行更严格的控制。很多时候,这种更强的意识会让员工更支持并参与到公司数据保护工作中来。一家软件公司的CISO说,为确保获得员工支持,“如果我决定调整数据分类政策,我会召集需要参与讨论的主要利益相关者,解释我认为需要改变的地方,获得他们的支持和认可,然后再着手推行”。另一位受访者认为这一过程“极大地调动了员工的积极性并改变了数据工作的局面”。一些受访者指出,由于数据敏感等级的模糊性降低,员工更能遵守数据分类政策。

  数据分类的另一个益处,是对风险最高的领域实施更精细的控制。企业可以对不同的数据类型进行不同的控制,而非一刀切,从而能提高数据保护工作的效率。以此来看,受限数据要实施最高等级的控制,内部数据则可能进行不同等级的控制。


53a.jpg


  改善数据卫生或提升“数据清洗”质量也是数据分类的益处之一,因为数据分类政策可让企业更好地了解存储的数据、存储的位置以及存储的原因。数据生命周期现在也受到更多关注,具体而言,企业开始详细审查数据保留政策,并尽量删除过时和未使用的数据,以此降低风险,同时也在评估为何要首先采集和存储某些数据。

  数据分类的最后一个益处,是它“暴露了”一些存在于某处但员工此前未曾觉察的数据。从好的方面看,例如,产品经理和工程师没有意识到他们可访问的这些数据可以为企业开辟新的商机。从不利的方面看,这其中的一部分数据被员工保存在“影子IT”系统中,不受任何控制。我们访谈过的高等教育机构中存在着一种学术自由文化,在这种文化下,院系教师并不“重视规则”,这可能导致员工存储了一些不为信息安全人员知晓的数据。找出这些数据可让信息安全人员对其进行恰当的分类和控制。


54a.jpg


数据分类面临的挑战

  受访者提到的数据分类面临的一个重大挑战,是使用者有意或无意地不遵守数据分类政策。这些CISO表示,即便制定了数据分类政策,员工往往也不会阅读,就算阅读了,很快就会抛之脑后。例如,员工在接受识别网络钓鱼或勒索软件培训数周后,又会重现以前的“松懈行为”。在某些情况下,政策得不到有效落实源于员工的抵制,因为对数据的控制被视为“扰乱了员工的工作流程”。一个例子是,一家企业推出多重身份验证,随之而来的就是因额外增加身份验证时间的投诉。

  几位CISO提到即便员工不遵守相关政策,他们也无权追究。但一家公司规定,如果员工未在规定期限内完成安全意识培训,则不允许其使用互联网。如果严格执行政策,受访者很快又会说一刀切的做法是不可取的。例如,不让CEO访问数据可能会产生严重后果。总而言之,CISO表示他们在执行数据分类政策时必须把握好分寸。

  为鼓励员工遵守政策,受访者讨论了对员工进行数据安全重要性培训方面的创新。这包括同伴学习,即信息安全人员选择可成为行为榜样的大使,并培训其他员工养成良好的数据安全行为习惯。一家企业发现,通过多个渠道定期发布短视频,比一年只提供一两次较长时间的培训更有效。


55a.jpg

  

        IT环境的复杂性也是数据分类面临的一个重要挑战。每天生成的大量新数据、数据生成的速度以及数据存储于多个位置(如本地或云)增加了这种复杂性。此外,员工使用的各种设备(如智能手机、平板电脑和笔记本电脑)和不同的系统[如以前的系统、企业资源规划(ERP)系统和第三方系统],使得在整个企业中实施单一分类政策和一体化的控制变得很困难。

  数据分类的另一项挑战是创建企业所拥有的全部重要信息资产的准确清单。尤其需要了解数据驻留在何处、流向何处,谁可访问和处理数据,保护数据的规则以及如何实施这些规则。这些CISO指出,目前市场上没有一种工具可以有效跟踪可能存储在不同位置的所有数据。

  受访者还指出,在应用自动化技术进行数据分类和应用数据丢失防护(DLP)工具防止将数据共享给未经授权的个人方面存在挑战。一家医院的CISO写道:“我们必须非常谨慎地调整这些DLP政策,通常最好的做法是以被动模式进行,即尽量了解进出的流量,然后慢慢调整这些流量,避免影响业务运营。”受访者一致认为,目前市场上的工具不完善、不成熟且成本高昂。这些工具采用模式识别(如信用卡号和社会保险号码),难以识别非结构化数据。

  分类工具的另一个问题在于它们倾向于读取硬盘中的文件,一旦检测到一些高度机密的文件,就将整个硬盘分类为机密。当分类的这些文件达到一定规模时,就必须对之实施更多控制,而这会“给业务活动戴上手铐”。数据安全应当是业务发展的推手,而不是绊脚石。

  同样,市场上的DLP工具有“锁定误报”的倾向。例如,当工具错误地阻止员工通过电子邮件共享信息或将信息载入硬盘时,就会发生这种情况。DLP工具还可能导致漏报,即因无法检测到机密信息,致使机密信息在外部共享,让企业面临风险。


对财务的影响

  管理会计师及其他财务人士有很多机会参与数据分类,如与信息安全人员合作,评估并改进现有控制、识别影子IT系统、协助提高合规性,以及制定评价数据分类相关结果的指标。由于对业务流程、信息系统和IT治理有着深刻的了解,财务人士能够就上述这些方面向信息安全人员提出独到的建议。

  首先,财务人士在企业中地位颇为重要:他们了解业务流程及支持这些流程的信息系统,也精于识别和评估风险及控制。在评估数据敏感等级、数据是否根据不同敏感等级得到充分保护方面,这类知识是非常重要的。

  其次,由于会定期与企业所有职能部门沟通,财会人士可能会意识到影子IT系统(企业信息系统之外的系统)的存在及位置,从而提醒信息安全人员相关情况;还可以与企业系统架构师协作,确定影子IT支持的功能是否可以在ERP系统或其他应用了数据分类政策的业务系统中进行管理,如果不能,可以与信息安全人员一起恰当地保护这些系统。

  再次,鉴于财务人士在合规方面具备丰富的专业知识,他们可在制定数据安全与分类信息传播及相关教育培训计划方面,为信息安全人员提供宝贵意见。作为企业内部业务合作伙伴,财务人士可以分享最佳做法,让员工更好地遵守企业政策。

  最后,财务人士可以与信息安全人员合作,制定评价数据分类政策结果的指标。我们访谈的大多数CISO表示,缺少数据分类政策结果评价是企业的一项不足之处。财务人士善于评价业务绩效,可以运用相关技能确定整体的数据安全KPI及专门的数据分类KPI。此外,还可以协助利益相关者创建用于报告和监控数据分类结果的仪表板。

  数据分类是保护数据必要且关键的第一步,但其重要性往往被低估,如在对CISO的深入访谈中,我们发现他们往往难以实施数据分类政策。基于良好的数据分类,企业能够战略性地配置资源,如只对敏感等级最高的数据实施最高级别且成本不菲的控制。

  恰当的数据分类可生成完整的数据清单,从而为与数据存储、访问和保护相关的管理决策提供支持。随着公司生成、收集和存储的数据量越来越大,加之网络安全问题日趋严峻,数据分类面临的挑战亦将长期存在。但所有企业都需要进行数据分类,这是建立完善的数据安全计划的关键第一步。



                           

Marianne Bradford,博士,北卡罗来纳州立大学教授。联系方式:mbradfo@ncsu.edu。

                           

Eileen Taylor,博士、CPA、CFE,北卡罗来纳州立大学教授。联系方式:eztaylor@ncsu.edu。

                           

Megan Seymore,博士、CPA,俄亥俄大学助理教授。联系方式:seymore@ohio.edu。

颖哲 译,郭强 校

< 返回目录