為了消除由于不斷擴(kuò)大的信息量所帶來(lái)的威脅，企業(yè)領(lǐng)袖們必須重新思考他們?cè)诠緝?nèi)，如何集成數(shù)字風(fēng)險(xiǎn)管理戰(zhàn)略。

企業(yè)信息的快速數(shù)字化，對(duì)于現(xiàn)代公司業(yè)務(wù)流程已經(jīng)產(chǎn)生了積極的影響：數(shù)據(jù)對(duì)于現(xiàn)代公司而言，更容易維護(hù)，訪問(wèn)和共享，提供獲得更多消費(fèi)者的機(jī)會(huì)，并且能夠更快的進(jìn)行業(yè)務(wù)交易。

然而，數(shù)字化也有業(yè)務(wù)缺點(diǎn)，包括管理由典型的現(xiàn)代企業(yè)產(chǎn)生的前所未有的數(shù)據(jù)量，所帶來(lái)的附加風(fēng)險(xiǎn)。

“你的用戶不僅擁有10年前10倍數(shù)量的應(yīng)用，他們還有多個(gè)設(shè)備，創(chuàng)建數(shù)據(jù)并使用，”Gartner研究主任Alan Dayley，在2016 Gartner Security and Risk Management Summit大會(huì)上發(fā)言。

數(shù)字化企業(yè)不得不調(diào)整他們的治理和合規(guī)性流程，同時(shí)考慮數(shù)字風(fēng)險(xiǎn)管理戰(zhàn)略，在不斷增加的數(shù)據(jù)面前，保持成功。一大障礙是源于保留未使用的，“黑暗的”數(shù)據(jù)和“非結(jié)構(gòu)化”信息的風(fēng)險(xiǎn)，而這些數(shù)據(jù)并沒(méi)有業(yè)務(wù)價(jià)值。

相反，黑暗和非結(jié)構(gòu)化數(shù)據(jù)常常保留在原地，被忽略，直到它帶來(lái)一個(gè)法律，合規(guī)或安全問(wèn)題，而公司事先并不知道。

“我們不刪除；沒(méi)有刪除的動(dòng)力，”Dayley說(shuō)。“你只需要求更多的存儲(chǔ)空間，大部分時(shí)間都會(huì)獲得。”

數(shù)據(jù)保留和定期刪除可以幫助降低源于沒(méi)有業(yè)務(wù)價(jià)值的，黑暗或非結(jié)構(gòu)化數(shù)據(jù)的風(fēng)險(xiǎn)。必須嚴(yán)格遵守刪除計(jì)劃，然而：Gartner的一項(xiàng)研究預(yù)測(cè)，到2018年，50%的企業(yè)會(huì)有刪除數(shù)據(jù)政策，但只有10%的企業(yè)會(huì)完全遵守政策。

Dayley指出，通常公司會(huì)繼續(xù)保留無(wú)用的數(shù)據(jù)，因?yàn)樗麄冋J(rèn)為未來(lái)也許會(huì)因?yàn)榉苫虮O(jiān)管的原因，而有用。但最終，存儲(chǔ)太多無(wú)用的數(shù)據(jù)可能比“以防萬(wàn)一”而存儲(chǔ)它，更有風(fēng)險(xiǎn)。

“我們發(fā)現(xiàn)，當(dāng)涉及到業(yè)務(wù)記錄和法律法規(guī)的數(shù)據(jù)時(shí)，只有2%的非結(jié)構(gòu)化數(shù)據(jù)實(shí)際上屬于這一類，”Dayley說(shuō)。“如果你有一個(gè)保留政策計(jì)劃，但不遵守它，那在訴訟中，你將面對(duì)重大制裁。”

位了使這些刪除計(jì)劃起作用，公司必須清楚他們的數(shù)據(jù)：他們必須仔細(xì)進(jìn)行數(shù)據(jù)資產(chǎn)盤點(diǎn)，并對(duì)這些信息如何用于業(yè)務(wù)、GRC，進(jìn)行分類。

記住，盡管數(shù)據(jù)分類對(duì)數(shù)字化業(yè)務(wù)的成功是至關(guān)重要的，它仍然可能不起作用：Gartner預(yù)測(cè)，到2020年，75%的實(shí)施數(shù)據(jù)分類的企業(yè)，將報(bào)告有限的部署和實(shí)際利益。

這是因?yàn)槠髽I(yè)的眾多信息相關(guān)者沒(méi)有足夠的投入——Gartner Research的副總裁Tom Scholtz指的是那些熟悉企業(yè)數(shù)據(jù)“上下文”和其獨(dú)特風(fēng)險(xiǎn)的一線員工。

“上下文感知不是來(lái)自于一個(gè)盒子，”Scholtz，在Gartner Security and Risk Management Summit大會(huì)上表示。

需要整個(gè)企業(yè)的投入，才能獲得數(shù)據(jù)的這種上下文感知：和數(shù)字化業(yè)務(wù)的其他方面一樣，有效的數(shù)字風(fēng)險(xiǎn)管理將嚴(yán)重依賴打破部門之間的孤立。例如，許多企業(yè)仍然沒(méi)能開(kāi)發(fā)跨部門的統(tǒng)一的數(shù)據(jù)安全政策，在不規(guī)范管理，安全漏洞和金融負(fù)債上變得易受攻擊。

根據(jù)Gartner，風(fēng)險(xiǎn)管理高管認(rèn)為，缺乏跨企業(yè)的合作，阻礙了他們預(yù)測(cè)關(guān)鍵風(fēng)險(xiǎn)的能力。在整個(gè)企業(yè)內(nèi)實(shí)施精心規(guī)劃的，積極的IT安全和數(shù)字風(fēng)險(xiǎn)管理政策可以幫助緩解這個(gè)問(wèn)題。但在開(kāi)發(fā)這些政策時(shí)，重要的是企業(yè)從內(nèi)部獲得數(shù)字風(fēng)險(xiǎn)管理的觀點(diǎn)，而不是嚴(yán)重依賴外部顧問(wèn)，Gartner的研究主任，Rob McMillan在Gartner Security and Risk Management Summit大會(huì)上說(shuō)。

“外部的顧問(wèn)要說(shuō)出對(duì)于企業(yè)最大的風(fēng)險(xiǎn)是什么，是很困難的，因?yàn)槊恳粋€(gè)企業(yè)的情況都很獨(dú)特，” McMillan說(shuō)。

為了進(jìn)一步消除不斷出現(xiàn)的風(fēng)險(xiǎn)，企業(yè)應(yīng)定期評(píng)估其IT安全性和GRC投入，以確保他們能夠讓公司數(shù)據(jù)避免新的威脅。將這些安全技術(shù)和流程應(yīng)用到公司的所有層面也是重要的——包括應(yīng)用，基礎(chǔ)設(shè)施和所有數(shù)據(jù)。

這需要大量的知識(shí)，經(jīng)驗(yàn)和耐心，而很多公司根本沒(méi)有資源，Scholtz補(bǔ)充道。

“在完美的世界里，安全應(yīng)該被納入企業(yè)的日常——行為，技術(shù)的一部分”Scholtz說(shuō)。“這在短期內(nèi)不會(huì)發(fā)生。”

為了幫助推動(dòng)集成，McMillan推薦結(jié)合和/或替換孤立的GRC軟件，來(lái)創(chuàng)建一個(gè)集成的風(fēng)險(xiǎn)管理解決方案。 公司可以識(shí)別集成風(fēng)險(xiǎn)管理架構(gòu)中存在的差距，從而進(jìn)一步防范未來(lái)的風(fēng)險(xiǎn)，他補(bǔ)充說(shuō)。

McMillan還重申，重要的是，在GRC集成流程的早期，要確定所有公司的GRC相關(guān)人員，包括董事會(huì)成員和高級(jí)管理人員。 公司也可以考慮發(fā)展一個(gè)“數(shù)字風(fēng)險(xiǎn)官”的職位，McMillan認(rèn)為，隨著企業(yè)逐漸意識(shí)到IT和信息風(fēng)險(xiǎn)與業(yè)務(wù)成果之間的因果關(guān)系，這一職位已經(jīng)越來(lái)越受歡迎。

“風(fēng)險(xiǎn)不是一件壞事；你只需要聰明的進(jìn)行管理，” McMillan說(shuō)。