企业首席财务官和财务总监在评估和管理数据风险方面发挥着关键作用。根据分析机构Gartner公司发布的一份调查报告,到2022年,30%以上的企业将使用其数据资产的财务风险评估来优先考虑IT、分析、安全和隐私方面的投资选择。
财务职能部门内的数据尤其存在风险。客户和供应商信息、财务报表和人事记录等敏感数据每天都会在企业内部和与外部的供应商之间进行处理和共享。财务团队定期与银行、审计师和律师沟通,虽然存在一些提供保护的法律和政策,但数据最终会出现哪里并不确定,而且一旦发送就无法控制。驻留在企业安全边界之外的信息可以通过同等权限访问,这意味着一旦有人获得这些信息,对其访问就不会受到限制。
评估存在的漏洞
所有这些因素都带来了巨大的风险。了解风险和潜在成本是企业规划的重要组成部分。如果将敏感信息传播给错误的受众,企业将如何应对?将会带来多大的损失?而简单地认为“这不会发生在我身上”,或假设错误接收敏感数据的一方会诚实地行事并且删除信息并不合理。数据泄露事件很常见,而这将对企业的业务产生重大影响。
数据泄露的财务风险通常是收入损失、合规挑战、诉讼成本、隐私监管处罚和声誉损失的成本。收入损失风险和诉讼成本风险是可以衡量的有形影响。但是量化概率比较困难。在这方面,了解数据的漏洞级别很重要。如果符合SOC2法规,企业的风险可以通过系统内部范围内的控制来降低。另一方面,很难评估存储库泄露数据的可能性。而包括SOC2法规在内的内部合规性无法解决这个问题。
值得庆幸的是,有多种方法可以保护数据资产并最大程度地降低网络风险。可以考虑使用数字版权管理(DRM)、数据丢失防护(DLP)、数据分类以及安全事件和事件管理(SIEM)软件等技术来保护和管理数据。企业可以设置网络控制,并且应该有一个流程来评估其使用的任何应用程序的安全性,以最大限度地减少漏洞。企业全面评估其网络风险,以确保没有漏网之鱼,否则漏洞仍然存在。
实施数据安全最佳实践
网络安全实践可能非常复杂,具体取决于企业的规模和行业。处理这些网络攻击媒介的新攻击方法和新技术一直在出现。为了最大限度地评估安全风险,企业需要分配资源,以便使用最有效的工具和策略(例如加密或数字权限管理)来保护最重要的信息资产。
财务主管应该遵循这些最佳实践来管理团队的网络风险:
- 识别工具或流程中的风险,并与IT团队合作以修补安全漏洞。
- 对企业的文件进行分类,并通过它了解其敏感数据所在的位置以及如何将访问权限提供给需要的各方,尤其是企业外部的各方。企业的政策和流程通常会忽略或无法直接控制企业外部的数据,因此具有这种意识很重要。
- 采用零信任方法来保护企业的敏感数据,并实施可让企业管理风险的技术。例如,数字版权管理等软件可以保护企业最有价值的数据资产,无论它们在哪里传输,如果数据意外或恶意落入坏人之手,必须能够保护、跟踪、审计和撤销访问。
- 教育和培训财务团队成员识别和管理风险。员工需要了解他们正在使用的数据的重要性,并有权访问正确的工具和流程,以便正确处理这些数据。
保护企业最宝贵的资产
评估企业的网络风险首先要清楚地了解其风险承受能力。企业是否能够承受风险还是极度厌恶风险?其答案可能因需要保护的内容和企业从事的行业而有所不同。财务职能部门能够承受什么级别的风险,并且是否愿意向利益相关者证明?首先确定不可接受风险的资产以及需要谨慎控制和管理访问的资产,并在那里集中执行。