以数据为中心的企业：如何实施数字化风险管理战略

为了消除由于不断扩大的信息量所带来的威胁，企业领袖们必须重新思考他们在公司内，如何集成数字风险管理战略。

企业信息的快速数字化，对于现代公司业务流程已经产生了积极的影响：数据对于现代公司而言，更容易维护，访问和共享，提供获得更多消费者的机会，并且能够更快的进行业务交易。

然而，数字化也有业务缺点，包括管理由典型的现代企业产生的前所未有的数据量，所带来的附加风险。

“你的用户不仅拥有10年前10倍数量的应用，他们还有多个设备，创建数据并使用，”Gartner研究主任Alan Dayley，在2016 Gartner Security and Risk Management Summit大会上发言。

数字化企业不得不调整他们的治理和合规性流程，同时考虑数字风险管理战略，在不断增加的数据面前，保持成功。一大障碍是源于保留未使用的，“黑暗的”数据和“非结构化”信息的风险，而这些数据并没有业务价值。

相反，黑暗和非结构化数据常常保留在原地，被忽略，直到它带来一个法律，合规或安全问题，而公司事先并不知道。 “我们不删除；没有删除的动力，”Dayley说。“你只需要求更多的存储空间，大部分时间都会获得。”

开发，并且坚持定期删除

数据保留和定期删除可以帮助降低源于没有业务价值的，黑暗或非结构化数据的风险。必须严格遵守删除计划，然而：Gartner的一项研究预测，到2018年，50%的企业会有删除数据政策，但只有10%的企业会完全遵守政策。

Dayley指出，通常公司会继续保留无用的数据，因为他们认为未来也许会因为法律或监管的原因，而有用。但最终，存储太多无用的数据可能比“以防万一”而存储它，更有风险。 “我们发现，当涉及到业务记录和法律法规的数据时，只有2%的非结构化数据实际上属于这一类，”Dayley说。“

如果你有一个保留政策计划，但不遵守它，那在诉讼中，你将面对重大制裁。” 位了使这些删除计划起作用，公司必须清楚他们的数据：他们必须仔细进行数据资产盘点，并对这些信息如何用于业务、GRC，进行分类。

记住，尽管数据分类对数字化业务的成功是至关重要的，它仍然可能不起作用：Gartner预测，到2020年，75%的实施数据分类的企业，将报告有限的部署和实际利益。

这是因为企业的众多信息相关者没有足够的投入——Gartner Research的副总裁Tom Scholtz指的是那些熟悉企业数据“上下文”和其独特风险的一线员工。 “上下文感知不是来自于一个盒子，”Scholtz，在Gartner Security and Risk Management Summit大会上表示。

集成数字风险管理

需要整个企业的投入，才能获得数据的这种上下文感知：和数字化业务的其他方面一样，有效的数字风险管理将严重依赖打破部门之间的孤立。例如，许多企业仍然没能开发跨部门的统一的数据安全政策，在不规范管理，安全漏洞和金融负债上变得易受攻击。

根据Gartner，风险管理高管认为，缺乏跨企业的合作，阻碍了他们预测关键风险的能力。在整个企业内实施精心规划的，积极的IT安全和数字风险管理政策可以帮助缓解这个问题。

但在开发这些政策时，重要的是企业从内部获得数字风险管理的观点，而不是严重依赖外部顾问，Gartner的研究主任，Rob McMillan在Gartner Security and Risk Management Summit大会上说。 “外部的顾问要说出对于企业最大的风险是什么，是很困难的，因为每一个企业的情况都很独特，” McMillan说。

为了进一步消除不断出现的风险，企业应定期评估其IT安全性和GRC投入，以确保他们能够让公司数据避免新的威胁。将这些安全技术和流程应用到公司的所有层面也是重要的——包括应用，基础设施和所有数据。 这需要大量的知识，经验和耐心，而很多公司根本没有资源，Scholtz补充道。 “在完美的世界里，安全应该被纳入企业的日常——行为，技术的一部分”Scholtz说。“这在短期内不会发生。” 为了帮助推动集成，McMillan推荐结合和/或替换孤立的GRC软件，来创建一个集成的风险管理解决方案。 公司可以识别集成风险管理架构中存在的差距，从而进一步防范未来的风险，他补充说。

McMillan还重申，重要的是，在GRC集成流程的早期，要确定所有公司的GRC相关人员，包括董事会成员和高级管理人员。 公司也可以考虑发展一个“数字风险官”的职位，McMillan认为，随着企业逐渐意识到IT和信息风险与业务成果之间的因果关系，这一职位已经越来越受欢迎。 “风险不是一件坏事；你只需要聪明的进行管理，” McMillan说。