1、定義數字化風險邁向網絡發展的下一階段2019年10月網絡安全咨詢風險定義數字風險 1定義數字風險 1引言眾多企業，無論其規模體量大小，都在嘗試利用數字信息增強競爭優勢。但隨著個人數據使用不斷增加，數據隱私和網絡安全這兩個先前無關的威脅間產生了內在聯系。致同國際商業調查報告研究發現，鑒于目前對數據隱私的監管日益趨緊，各行各業都在致力于減少數據隱私風險。然而，網絡威脅仍然繼續飆升，是否有什么好的解決方案呢？致同建議成立一個職能更廣泛的“數字風險”部門，用以整合數據隱私和網絡安全。以下內容對致同調查的結果加以分析，并給出了一些建議，便于企業加強數字風險管理。統一戰略規劃，獨具競爭優勢整合網絡安全和數

2、據隱私正逢其時。技術并非特效解決方案對抗網絡威脅不能過于依賴技術，風險管理、流程及技能也都至關重要。聯系我們28122 定義數字風險2 定義數字風險整合網絡安全和數據隱私正逢其時。統一戰略規劃，獨具競爭優勢定義數字風險 3眾多企業，無論其規模體量大小，都在嘗試利用數字信息增強競爭優勢。先進的公司匹配客戶偏好數據的原因有很多，包括創建個性化服務；開展有針對性的營銷活動；審查員工績效數據以提高生產力；分析供應鏈信息以提高效率等。這還只是冰山一角，事實上數字化信息已經融入整個業務實踐中。數字信息為企業提供了巨大潛力，但隨著個人數據使用的不斷增加，數據隱私和網絡安全這兩個先前無關的威脅間產生了內在聯系

3、。例如數據泄露可能源于網絡攻擊，進而導致數據隱私方面的隱患。通用數據保護條例（GDPR）和其它國際數據隱私法規已經開始發力，這意味著企業開始感受到侵犯數據隱私的商業成本。因此，企業把數據隱私提上商業議程也就不足為奇了。致同在針對逾4,500名國際商業領袖的研究中發現，三分之二的受訪者認為，由于監管日漸趨嚴，近年來他們對隱私問題的關注度已經超過了網絡安全問題。然而，網絡安全風險也是真實存在的在過去三年中，導致損失超過100萬美元的網絡攻擊數量增加了63。致同全球網絡安全負責人Vishal Chawla強調，數據隱私和網絡安全從未如此息息相關?！霸诋斀駭祿辽系氖澜?，無法把數據隱私和網絡安全割裂考

4、慮，”他說，“應從更廣泛的角度將二者視為數字風險職能的一部分?！焙螢椤皵底诛L險”？數字風險是一種業務驅動模型，即在整個業務流程中產生的與數據相關的商業風險，包括網絡安全和數據隱私，以及監管、自動化和道德等其他考量因素。試想一下，您如何保護自己的家。您不會只注意鎖好門，而忽視未上鎖的窗戶。所有這些風險需放在一起考慮，否則保護措施將會很快失效?！霸谠u估公司的數字風險狀況時，可以類比以上故事，”Chawla說，“僅僅關注單個威脅不再是行之有效的辦法，必須主動整合和管理。只有當企業采取綜合性方法時，才能取得真正的進步”。實際上，這種綜合性解決方案已經融入監管中。通用數據保護條例（GDPR）規定，為了符

5、合法規要求，公司應實施“設計和默認的數據保護”措施。這意味著公司必須從設計階段開始，直到生命周期結束，將數據保護整合或融入到業務實踐之中。如果沒有一個單獨的、整合的職能部門，在整個企業中貫徹該類措施就會非常困難。因此，企業有效地掌控數字風險至關重要。然而，這項工作的推進卻非常艱難，因為數據隱私和網絡安全通常由不同的團隊管理。一般情況下，首席隱私官（CPO）負責數據隱私；而首席信息安全官（CISO）負責網絡安全。如果由同一個團隊或具有新治理模式的整合團隊進行管理將會更好，這種模式將授權該團隊直接向首席執行官或首席風險官匯報并由董事會監督。畢竟，許多確保符合數據隱私要求的工作也有利于增強網絡安全，

6、反之亦然。除了有助于企業管理數字風險之外，這種方法還可以通過實施數字化轉型計劃增加價值。在過去的三年里，全球網絡事件飆升了63，Linklaters，2019年1月4 定義數字風險便于優化數據分類統一的數字風險團隊可以確保企業在整個業務過程中進行的數據分類是一致的、相互協調的。數據分類意味著了解業務所擁有的數據，與之相關的流程，以及誰來管理數據。這是遵守GDPR等數據隱私法規的關鍵環節，也可用于提升網絡安全性。通過采用結構化程序，評估數據資產，使用分類或分級流程，企業可以識別關鍵數據，并圍繞關鍵數據建立有效的安全性。Chawla補充說，“我們注意到二八定律適用于許多企業的數據風險，其中20的企

7、業數據承擔了80的風險。幾乎不可能讓所有系統都具有防黑客的功能，那么為何不關注那些對業務和客戶而言至關重要的數據呢？”致同荷蘭網絡風險服務合伙人Hans Bootsma也認為整合數據隱私和網絡安全應該包括數據分類過程?！按蠖鄶倒緩奈丛贕DPR之前對數據進行分類，”他說，“他們之所以開始分類，是因為只有這樣做才能遵守這項法規。如果您正在這么做，那么很容易對其用途進行擴展，將其與其它類型的數據相結合，從而識別最重要的數據，然后將之與網絡安全的項目聯系起來?！背菙祿[私和網絡安全保持統一，否則分類過程將被孤立，并且不會分享彼此的收益。便于對數據泄露進行綜合響應數據隱私與網絡安全之間的互聯關系，在

8、數據泄露后會體現得更加明顯。企業需要知道，泄露是如何發生的，以及哪些網絡防御措施失敗了。但更重要的是，企業還需要了解哪些數據受到了損害，以及這些數據是個人數據，還是敏感數據。如果有數據受到了損害，企業將需要進行披露。大多數企業并不完全具備相關技能。致同調查的企業中，只有28的企業對其防范嚴重泄露風險的能力“高度滿意”，26的企業能夠始終如一地應對整個企業的重大泄露行為，無論何時何地發生泄露。將數據隱私和網絡安全整合到一個職能部門中，企業將能夠更有效地應對數據泄露，因為它們可以綜合資源并全面了解威脅?！皵祿[私和網絡安全很復雜，因為在現實世界中它們會一起崩潰，”致同愛爾蘭網絡安全服務合伙人Mik

9、e Harris說，“數據泄露可能從外包的云服務商開始，技術性非常高。但在應對此類事件時，您需要考慮是否涉及了個人數據，以及需要進行哪些監管披露?！巴蝗恢g，兩者已經休戚相關。與其讓各自獨立的網絡和隱私職能部門應對這類泄露行為，不如建立一個具備專業技能的綜合部門管理整個過程，這樣才更合理，不會因為泄露而造成損失。便于管理供應鏈和第三方帶來的數字風險網絡安全和隱私的相互關聯性增加，會影響第三方風險的管理方式。例如，GDPR等數據隱私法規要求企業從代表其處理數據的供應商處，獲得強有力的保證?！皩τ谄髽I而言，將第三方風險管理中的網絡安全與隱私管理相結合會高效很多，”Harris說，“二者關系緊密，互

10、為影響，同時處理二者最為直接和簡單，但這種做法目前在企業中并沒有廣泛開展，網絡安全團隊和隱私團隊依然各行其是?！碑斎?，這種“一站式”第三方風險管理將消除重復工作，并提高效率。然而，更重要的是，它將對數字風險產生更多的綜合理解。數字風險綜合解決方案的益處采用綜合對策管控數字風險為企業帶來了多項關鍵收益：首先，它有助于推進數字化轉型計劃。因為無論出于何種目的，企業在整個業務過程中進行的數據分類是一致的、相互協調的。其次，數字風險職能部門對第三方和供應鏈數字風險進行全面評估，可以更好地確保企業考慮綜合風險。實現此目的的一種方法，是從風險角度預先批準供應商。定義數字風險 5“如果預先進行供應商審批流程

11、，企業可以更快地進行數字化轉型，”致同英國合伙人、網絡咨詢負責人James Arthur說，“如果設立了主動評估網絡安全和隱私風險的單一數字風險職能部門，那么這樣做會容易得多?！钡谌?，企業持續使用新技術尋求商業優勢，這意味著他們應對數據隱私和網絡安全的方法也需要不斷發展，從而應對新的威脅和漏洞。綜合的數字風險職能部門更適合審查其中的一些新技術，例如區塊鏈?！帮L險團隊從一開始就參與進來是至關重要的，因為任何技術數據庫都存在被有意竊取信息的第三方攻擊的風險，”Raymond Chabot Grant Thornton區 塊 鏈 子 公 司Catallaxy的總經理Michel Besner表示，“

12、為了應對這一問題，風險團隊可建立起適宜的治理結構，對區塊鏈進行實施、管理和支持。做到了這一點，就能避免進一步的安全問題?！倍聲O督是關鍵，綜合管理更重要組建綜合的數字風險職能部門勢在必行，但應該由誰進行監督和管理呢？目前，關于責任最終的負責人存在混淆，這妨礙了數字風險管理。值得一提的是，受訪企業表示，對個人和團隊所面臨的風險缺乏了解，是他們在管理數字風險方面的第二大難點。首先要考慮的是由誰日常管理數字風險。大多數公司都會讓首席風險官或首席技術官負責這項工作。但是，正如我們在下文“數字風險：技術并非特效解決方案”中所解釋的，有效的數字風險管理不止依賴于技術。首席風險官負責的是全面的業務風險戰略

13、、財務及運營風險。建立首席數字風險官一職才是正解?！捌髽I正在開始創建由首席數字風險官領導的數字風險職能部門，”Arthur證實，“這是管理數字風險的責任部門所在。但目前在大多數公司的組織架構中，數字風險職能部門仍不多見?！币坏┤粘５臄底诛L險管理到位，就必須考慮誰提供監督。與金融風險一樣，數字風險的嚴重性，意味著董事會必須發揮積極作用。雖然董事會需要監督它，但他們可能并不具備理解數字風險威脅實質的技術專長。因此，理想情況下，應在董事會內設立一個由專家組成的特定數字風險委員會，監督這種風險?！皵底诛L險監督應該在董事會層面，”致同塞浦路斯技術風險負責人Christos Makedonas表示，“還應

14、該有一個討論數字風險的委員會?！皵底诛L險是多方面的，因此很多人需要參與這一過程。目前，這只發生在受到嚴格監管的大型公司，尤其是金融服務公司。6 定義數字風險6 定義數字風險123統一的戰略規劃，獨具競爭優勢確定管理網絡安全和數據隱私風險的負責人，制定活動和日常工作流程，避免工作職責重疊，排除重復的流程。確保數字風險流程以端到端的方式進行管理。對供應商也應鑒證評估網絡安全和數據隱私。進行數據分類時，也應考慮以上兩個因素。創建一個綜合數字風險管理團隊或職能部門，具備管理網絡安全和數據隱私威脅的技能。由一位首席數字風險官領導，防范數字風險，并確保將其納入整個企業的戰略和運營決策。同時，確保董事會主動

15、監督數字風險。定義數字風險 7定義數字風險 78 定義數字風險企業常常過于依賴技術來對抗網絡威脅，但是風險管理、流程和技能同樣至關重要。技術并非特效解決方案定義數字風險 9企業已向那些承諾可以防范網絡威脅的技術投入了數十億美元。高德納（Gartner）表示，在2017年至2022年間，信息安全市場最終用戶的支出預計將以8.5的復合年增長率增長，升至1700億美元。雖然技術無疑在打擊數字威脅方面發揮了重要作用，但其它因素卻被忽視了。值得一提的是，參與致同“國際商業報告（IBR）”調查的中端市場商業領袖表示，過度依賴軟件是管控網絡和隱私相關威脅的過程中最薄弱的環節。商業領袖能夠認識到這一點是一種進

16、步。但現在他們需要采取行動，提高員工的網絡安全意識和專業技能。這未必意味著更多的支出。在許多情況下，因為企業加強并投資于他們的商業直覺、流程和內部員工的技能，這樣反而能減少技術支出?？蛻粜湃尾粌H僅源于技術因素“企業必須明白，技術投資并不是降低數字風險的唯一解決方案，如果最壞的情況發生，技術無法幫助他們免于失去客戶的信任，”致同全球網絡安全負責人Vishal Chawla表示，“企業的一個關鍵出發點是了解自身的業務類型，以及為客戶提供的價值”。了解了這一點，才能清楚地了解一次數據泄露可能對客戶關系產生的影響，并可以通過一系列措施，最小化影響。內部治理、流程和人員是需要關注的其它重要因素。以一家銀

17、行為例。許多銀行客戶都是高凈值人士，他們極為重視自身的財務數據安全，例如交易歷史和支付信息等。銀行可以用最好的技術系統保護這些數據，但這并不是孤立的。它還必須擁有健全的管理流程、客戶關系經理及信任政策，以彌補技術的不足之處，并在發生數據泄露時保護公司聲譽。在這個例子中，銀行為其客戶提供的價值圍繞著客戶服務和信任，技術只是實現這一目標的助推器。因此，公司的數字風險對策必須反映這一點，采用健全的信任流程，并輔以頂級技術。提高人們對風險管理的認識管理數字風險不能只依靠技術，理解這一點非常重要，然而這也只是第一步。接下來，企業還必須采取一些非技術手段保護自己。新方法幫助人們加強網絡安全意識企業可能會投

18、資于復雜的網絡安全技術，但這并不一定能夠防止許多網絡攻擊背后的人為錯誤。畢竟，回復網絡釣魚電子郵件、安裝未經授權軟件的是個人。管理人員可以通過提高整個企業對網絡安全問題的認識解決這個問題。如何有效地做到這一點呢？很多企業多年來一直在組織網絡安全研討會，推行強制性的培訓計劃，但人為錯誤并未有所減少。一種新的培訓形式勢在必行。致同塞浦路斯技術風險負責人Christos Makedonas表示，更簡短的培訓形式會有所幫助?！皼]有人有時間觀看長達一小時的培訓視頻，這些視頻應該縮短到最長兩分鐘，還需要視覺方面的提醒，例如辦公室周圍的橫幅和屏幕上的消息，告訴人們網絡安全的最佳實踐?！捌髽I還應該模擬一些網絡

19、釣魚，使員工從中受到進一步的培訓。我們發現這比傳統的網絡研討會更成功?！毕茸R別漏洞，再進行投資在投資預防性軟件之前，企業需要了解哪些方面容易受到網絡攻擊，或是出現了數據保護漏洞，這些需要特殊技能才能實現，而企業網絡安全部門通常不具備該類技能。10 定義數字風險“企業需要網絡安全和與隱私相關的技能組合，幫助梳理數據，以及理解相應的監管要求，云環境中尤其重要，”致同愛爾蘭網絡安全服務合伙人Mike Harris表示，“企業還需要圍繞使用的技術，建立相應的網絡技術技能?！袄?，如果企業使用的是亞馬遜或Azure提供的云服務，企業內部員工就需要掌握其安全技能，確定在網絡安全方面哪些事該做哪些事不該做。

20、這類技能常常被忽視?！毕冗M的分析技術需要先進的分析思維許多企業已斥巨資在網絡安全高級分析技術上，以幫助識別新的威脅和漏洞。但只有當員工能夠解讀分析結果并執行相應的更改時，才能取得好效果?！昂芏嗳硕及鸭夹g視為特效解決方案，但事實并非如此，”致同合伙人及網絡咨詢負責人James Arthur表示，“許多企業在人工智能驅動的行為分析網絡安全軟件上投入了大量資金，這在某些情況下非常有用。但是，企業通常還需要花費大量時間對員工進行培訓，以確保數據產出有用的洞見。然后，還需要一名人員在鏈條的末端，查看輸出結果，并作出或批準更改?！睘椴豢杀苊獾娘L險提供保障2012年，前美國聯邦調查局局長Robert Mue

21、ller說過：“只有兩種類型的公司：已經被黑客入侵的公司以及將要被黑客入侵的公司?，F在它們甚至正在歸入一個類別：被黑客入侵，并將再次被黑客入侵的公司?！边@段話的意思很明確漏洞是不可避免的。這就為投入管理數字風險必須具備的預防措施提供了一個強有力的理由?！叭魏魏侠淼木W絡安全計劃都必須具備檢測、響應和預防措施等要素，”Harris說，“我們看到有越來越多的預防措施用以防范網絡攻擊和數據隱私監管違規行為。盡管預防措施的必要性和使用率正在增加，但大多數企業仍然沒有應用預防措施以正確保護數據資產?！绷私庾钣袃r值的數據資產并進行相應的保護企業應采用結構化程序，使用分類和分級流程，評估和了解數據資產。然后，

22、識別“最有價值的部分”，并針對適當的預防措施進行投資。具體該怎么做呢？識別最關鍵數據的一種方法是像黑客一樣思考，然后考慮黑客可能造成的最大危害?！澳壳暗臄祿踩h境不斷發展，不斷出現新的威脅和漏洞，”Chawla說，“領導者必須設身處地從網絡犯罪分子的角度出發，了解他們所構成的威脅，提出積極的策略，保護企業利益?！鼻皢T工泄密哪些電子郵件信息會讓他之前的經理難堪？外部勢力會對哪些知識產權和商業秘密感興趣？網絡犯罪分子如何使用您的數據對企業進行錢財勒索？這些只是在購買預防措施之前需要提出的部分問題，數字風險管理計劃的一部分。定義數字風險 11五項建議構建綜合性數字風險管理1隨著客戶與企業分享的數據

23、越來越多，信任變得比以往任何時候都更加重要。企業必須了解信任管理的必要性，并且在制定數字風險政策和程序方面加大力度，以確保與客戶之間的信任建立起來并得到保護。2傳統的培訓方法不再起作用。企業應該開發時長更短的培訓視頻，并頻繁傳播。企業還可以考慮模擬網絡釣魚，以實際案例更好地對員工進行培訓。3企業需要了解自身的數字漏洞情況，并依此招聘具有相關專業技能的員工，以完善企業的網絡安全技術。只有具有專業技能的人才才能最大化對預防性軟件的投資。4無論企業在預防網絡攻擊的軟件上投入多少，都無法避免網絡攻擊帶來的傷害。為最有價值的數據資產投?？梢约訌婏L險管理。5一旦保險生效，企業必須保持警惕，遵守相關條款和條

24、件。如果未能及時安裝更新，則可能導致保險無效。12 定義數字風險聯系我們我們幫助客戶妥善應對網絡威脅，確保保護的持續性，有效應對并推動變革，從而提高企業的數字風險管控能力。如需了解企業如何提升信息管控能力并將風險降至最低，請發送郵件至C。2019 致同會計師事務所（特殊普通合伙）。版權所有?！癎rant Thornton（致同）”是指Grant Thornton 成員所在提供審計、稅務和咨詢服務時所使用的品牌，并按語境的要求可指一家或多家成員所。致同會計師事務所（特殊普通合伙）是Grant Thornton International Ltd（GTIL，致同國際）的成員所。GTIL（致同國際）

25、與各成員所并非全球合伙關系。GTIL（致同國際）和各成員所是獨立的法律實體。服務由各成員所提供。GTIL（致同國際）不向客戶提供服務。GTIL（致同國際）與各成員所并非彼此的代理，彼此間不存在任何義務，也不為彼此的行為或疏漏承擔任何責任。本出版物所含信息僅作參考之用。致同（Grant Thornton）不對任何依據本出版物內容所采取或不采取行動而導致的直接、間接或意外損失承擔責任。致同國際商業調查報告方法論致同“國際商業調查報告（IBR）”是全球領先的中端市場商業調查。該報告于1992年在九個歐洲國家推出，目前每年對35個國家，超過10,000名高級管理人員進行調查，深入了解影響上市企業和私營

26、企業的經濟和商業問題。IBR是針對中端市場上市企業和私營企業的調查。中端市場的定義因國家而異，例如歐盟的中端市場企業，通常會有50-499名員工；在美國，我們采訪年收入2000萬美元至20億美元的企業；而在中國，則是那些擁有100-1000名員工的企業。目標受訪者是CEO、董事總經理、董事會主席或其他高級決策者。關于致同致同的前身北京會計師事務所成立于1981年，是中國最早成立的會計師事務所之一。2009年加入Grant Thornton國際網絡，發展至今在中國已有260余名合伙人，5,500余名專業人士為客戶提供一站式的高品質服務。致同的客戶群十分廣泛，包括逾200家上市公司，3,000家國有企業、外資及民營企業。Grant Thornton是一個國際性組織，由全球各地獨立提供審計、稅務及咨詢服務的成員所組成，國際地位斐然。各成員所為充滿活力的企業提供具有前瞻性的有效建議，助其釋放增長潛能。各成員所的合伙人非常注重與客戶的緊密聯系。由他們帶領的團隊憑卓見、經驗及直覺，積極主動地為私營企業、上市公司和公共事業客戶提供解決方案。遍及全球超過130個國家的53000名致同員工為客戶、同行及社會的發展而不斷努力，改變現狀，成就未來。