定义数字化风险 迈向网络发展的下一阶段 2019年10月 网络安全 咨询 风险 定义数字风险 1定义数字风险 1 引言 众多企业，无论其规模体量大小，都在尝试利用数字信息增强竞争优势。但随着个 人数据使用不断增加，数据隐私和网络安全这两个先前无关的威胁间产生了内在联 系。 致同国际商业调查报告研究发现，鉴于目前对数据隐私的监管日益趋紧，各行各业 都在致力于减少数据隐私风险。然而，网络威胁仍然继续飙升，是否有什么好的解 决方案呢？致同建议成立一个职能更广泛的“数字风险”部门，用以整合数据隐私 和网络安全。 以下内容对致同调查的结果加以分析，并给出了一些建议，便于企业加强数字风险 管理。 统一战略规划，独具竞争优势 整合网络安全和数据隐私正逢其时。 技术并非特效解决方案 对抗网络威胁不能过于依赖技术，风险管理、流程及技能也 都至关重要。 联系我们 2 8 12 2 定义数字风险定义数字风险 整合网络安全和数据隐私正逢其时。 统一战略规划， 独具竞争优势 定义数字风险 3 众多企业，无论其规模体量大小，都在尝试利用数字信息增强 竞争优势。先进的公司匹配客户偏好数据的原因有很多，包括 创建个性化服务；开展有针对性的营销活动；审查员工绩效数 据以提高生产力；分析供应链信息以提高效率等。这还只是冰 山一角，事实上数字化信息已经融入整个业务实践中。 数字信息为企业提供了巨大潜力，但随着个人数据使用的不 断增加，数据隐私和网络安全这两个先前无关的威胁间产生 了内在联系。例如数据泄露可能源于网络攻击，进而导致数 据隐私方面的隐患。 通用数据保护条例（GDPR）和其它国际数据隐私法规已经开 始发力，这意味着企业开始感受到侵犯数据隐私的商业成本。 因此，企业把数据隐私提上商业议程也就不足为奇了。致同 在针对逾4,500名国际商业领袖的研究中发现，三分之二的 受访者认为，由于监管日渐趋严，近年来他们对隐私问题的 关注度已经超过了网络安全问题。 然而，网络安全风险也是真实存在的在过去三年中，导 致损失超过100万美元的网络攻击数量增加了63。 致同全球网络安全负责人Vishal Chawla强调，数据隐私和网 络安全从未如此息息相关。 “在当今数据至上的世界，无法把数据隐私和网络安全割裂 考虑，”他说，“应从更广泛的角度将二者视为数字风险职 能的一部分。” 何为“数字风险”？ 数字风险是一种业务驱动模型，即在整个业务流程中产生的 与数据相关的商业风险，包括网络安全和数据隐私，以及监管、 自动化和道德等其他考量因素。 试想一下，您如何保护自己的家。您不会只注意锁好门，而 忽视未上锁的窗户。所有这些风险需放在一起考虑，否则保 护措施将会很快失效。 “在评估公司的数字风险状况时，可以类比以上故事，” Chawla说，“仅仅关注单个威胁不再是行之有效的办法，必 须主动整合和管理。只有当企业采取综合性方法时，才能取 得真正的进步”。 实际上，这种综合性解决方案已经融入监管中。通用数据保 护条例（GDPR）规定，为了符合法规要求，公司应实施“设 计和默认的数据保护”措施。这意味着公司必须从设计阶段 开始，直到生命周期结束，将数据保护整合或融入到业务实 践之中。如果没有一个单独的、整合的职能部门，在整个企 业中贯彻该类措施就会非常困难。 因此，企业有效地掌控数字风险至关重要。然而，这项工作 的推进却非常艰难，因为数据隐私和网络安全通常由不同的 团队管理。一般情况下，首席隐私官（CPO）负责数据隐私； 而首席信息安全官（CISO）负责网络安全。 如果由同一个团队或具有新治理模式的整合团队进行管理将 会更好，这种模式将授权该团队直接向首席执行官或首席风 险官汇报并由董事会监督。毕竟，许多确保符合数据隐私要 求的工作也有利于增强网络安全，反之亦然。除了有助于企 业管理数字风险之外，这种方法还可以通过实施数字化转型 计划增加价值。 在过去的三年里，全球网络事件飙升了63，Linklaters，2019年1月 4 定义数字风险 便于优化数据分类 统一的数字风险团队可以确保企业在整个业务过程中进行的 数据分类是一致的、相互协调的。 数据分类意味着了解业务所拥有的数据，与之相关的流程， 以及谁来管理数据。这是遵守GDPR等数据隐私法规的关键 环节，也可用于提升网络安全性。 通过采用结构化程序，评估数据资产，使用分类或分级流程， 企业可以识别关键数据，并围绕关键数据建立有效的安全性。 Chawla补充说，“我们注意到二八定律适用于许多企业的数 据风险，其中20的企业数据承担了80的风险。几乎不可 能让所有系统都具有防黑客的功能，那么为何不关注那些对 业务和客户而言至关重要的数据呢？” 致同荷兰网络风险服务合伙人Hans Bootsma也认为整合数据 隐私和网络安全应该包括数据分类过程。 “大多数公司从未在GDPR之前对数据进行分类，”他说， “他们之所以开始分类，是因为只有这样做才能遵守这项法规。 如果您正在这么做，那么很容易对其用途进行扩展，将其与 其它类型的数据相结合，从而识别最重要的数据，然后将之 与网络安全的项目联系起来。” 除非数据隐私和网络安全保持统一，否则分类过程将被孤立， 并且不会分享彼此的收益。 便于对数据泄露进行综合响应 数据隐私与网络安全之间的互联关系，在数据泄露后会体现 得更加明显。企业需要知道，泄露是如何发生的，以及哪些 网络防御措施失败了。但更重要的是，企业还需要了解哪些 数据受到了损害，以及这些数据是个人数据，还是敏感数据。 如果有数据受到了损害，企业将需要进行披露。 大多数企业并不完全具备相关技能。致同调查的企业中，只 有28的企业对其防范严重泄露风险的能力“高度满意”， 26的企业能够始终如一地应对整个企业的重大泄露行为， 无论何时何地发生泄露。 将数据隐私和网络安全整合到一个职能部门中，企业将能够 更有效地应对数据泄露，因为它们可以综合资源并全面了解 威胁。 “数据隐私和网络安全很复杂，因为在现实世界中它们会一 起崩溃，”致同爱尔兰网络安全服务合伙人Mike Harris说，“数 据泄露可能从外包的云服务商开始，技术性非常高。但在应 对此类事件时，您需要考虑是否涉及了个人数据，以及需要 进行哪些监管披露。 “突然之间，两者已经休戚相关。与其让各自独立的网络和 隐私职能部门应对这类泄露行为，不如建立一个具备专业技 能的综合部门管理整个过程，这样才更合理，不会因为泄露 而造成损失。 便于管理供应链和第三方带来的数字风险 网络安全和隐私的相互关联性增加，会影响第三方风险的管 理方式。例如，GDPR等数据隐私法规要求企业从代表其处 理数据的供应商处，获得强有力的保证。 “对于企业而言，将第三方风险管理中的网络安全与隐私管 理相结合会高效很多，” Harris说，“二者关系紧密，互为影响， 同时处理二者最为直接和简单，但这种做法目前在企业中并 没有广泛开展，网络安全团队和隐私团队依然各行其是。” 当然，这种“一站式”第三方风险管理将消除重复工作，并 提高效率。然而，更重要的是，它将对数字风险产生更多的 综合理解。 数字风险综合解决方案的益处 采用综合对策管控数字风险为企业带来了多项关键收益： 首先，它有助于推进数字化转型计划。因为无论出于何种目的， 企业在整个业务过程中进行的数据分类是一致的、相互协调的。 其次，数字风险职能部门对第三方和供应链数字风险进行全 面评估，可以更好地确保企业考虑综合风险。实现此目的的 一种方法，是从风险角度预先批准供应商。 定义数字风险 5 “如果预先进行供应商审批流程，企业可以更快地进行数字 化转型，”致同英国合伙人、网络咨询负责人James Arthur说， “如果设立了主动评估网络安全和隐私风险的单一数字风险 职能部门，那么这样做会容易得多。” 第三，企业持续使用新技术寻求商业优势，这意味着他们应 对数据隐私和网络安全的方法也需要不断发展，从而应对新 的威胁和漏洞。综合的数字风险职能部门更适合审查其中的 一些新技术，例如区块链。 “风险团队从一开始就参与进来是至关重要的，因为任 何技术数据库都存在被有意窃取信息的第三方攻击的风 险，”Raymond Chabot Grant Thornton区块链子公司 Catallaxy的总经理Michel Besner表示，“为了应对这一问 题，风险团队可建立起适宜的治理结构，对区块链进行实施、 管理和支持。做到了这一点，就能避免进一步的安全问题。” 董事会监督是关键，综合管理更重要 组建综合的数字风险职能部门势在必行，但应该由谁进行监 督和管理呢？ 目前，关于责任最终的负责人存在混淆，这妨碍了数字风险 管理。值得一提的是，受访企业表示，对个人和团队所面临 的风险缺乏了解，是他们在管理数字风险方面的第二大难点。 首先要考虑的是由谁日常管理数字风险。大多数公司都会让 首席风险官或首席技术官负责这项工作。但是，正如我们在 下文“数字风险：技术并非特效解决方案”中所解释的，有 效的数字风险管理不止依赖于技术。首席风险官负责的是全 面的业务风险战略、财务及运营风险。 建立首席数字风险官一职才是正解。“企业正在开始创建由 首席数字风险官领导的数字风险职能部门，”Arthur证实，“这 是管理数字风险的责任部门所在。但目前在大多数公司的组 织架构中，数字风险职能部门仍不多见。” 一旦日常的数字风险管理到位，就必须考虑谁提供监督。与 金融风险一样，数字风险的严重性，意味着董事会必须发挥 积极作用。虽然董事会需要监督它，但他们可能并不具备理 解数字风险威胁实质的技术专长。因此，理想情况下，应在 董事会内设立一个由专家组成的特定数字风险委员会，监督 这种风险。 “数字风险监督应该在董事会层面，”致同塞浦路斯技术风 险负责人Christos Makedonas表示，“还应该有一个讨论数 字风险的委员会。 “数字风险是多方面的，因此很多人需要参与这一过程。目前， 这只发生在受到严格监管的大型公司，尤其是金融服务公司。 6 定义数字风险定义数字风险 1 2 3 统一的战略规划， 独具竞争优势 确定管理网络安全和数据隐私风险的负责人， 制定活动和日常工作流程，避免工作职责重叠， 排除重复的流程。 确保数字风险流程以端到端的方式进行管理。 对供应商也应鉴证评估网络安全和数据隐私。 进行数据分类时，也应考虑以上两个因素。 创建一个综合数字风险管理团队或职能部门， 具备管理网络安全和数据隐私威胁的技能。由 一位首席数字风险官领导，防范数字风险，并 确保将其纳入整个企业的战略和运营决策。同 时，确保董事会主动监督数字风险。 定义数字风险 7定义数字风险 8 定义数字风险 企业常常过于依赖技术来对抗网络威胁，但是风险 管理、流程和技能同样至关重要。 技术并非特效 解决方案 定义数字风险 9 企业已向那些承诺可以防范网络威胁的技术投入了数十亿美元。 高德纳（Gartner）表示，在2017年至2022年间，信息安全 市场最终用户的支出预计将以8.5的复合年增长率增长，升 至1700亿美元。 虽然技术无疑在打击数字威胁方面发挥了重要作用，但其它 因素却被忽视了。值得一提的是，参与致同“国际商业报告 （IBR）”调查的中端市场商业领袖表示，过度依赖软件是管 控网络和隐私相关威胁的过程中最薄弱的环节。 商业领袖能够认识到这一点是一种进步。但现在他们需要采 取行动，提高员工的网络安全意识和专业技能。 这未必意味着更多的支出。在许多情况下，因为企业加强并 投资于他们的商业直觉、流程和内部员工的技能，这样反而 能减少技术支出。 客户信任不仅仅源于技术因素 “企业必须明白，技术投资并不是降低数字风险的唯一解决 方案，如果最坏的情况发生，技术无法帮助他们免于失去客 户的信任，”致同全球网络安全负责人Vishal Chawla表示，“企 业的一个关键出发点是了解自身的业务类型，以及为客户提 供的价值”。了解了这一点，才能清楚地了解一次数据泄露 可能对客户关系产生的影响，并可以通过一系列措施，最小 化影响。内部治理、流程和人员是需要关注的其它重要因素。 以一家银行为例。许多银行客户都是高净值人士，他们极为 重视自身的财务数据安全，例如交易历史和支付信息等。银 行可以用最好的技术系统保护这些数据，但这并不是孤立的。 它还必须拥有健全的管理流程、客户关系经理及信任政策， 以弥补技术的不足之处，并在发生数据泄露时保护公司声誉。 在这个例子中，银行为其客户提供的价值围绕着客户服务和 信任，技术只是实现这一目标的助推器。因此，公司的数字 风险对策必须反映这一点，采用健全的信任流程，并辅以顶 级技术。 提高人们对风险管理的认识 管理数字风险不能只依靠技术，理解这一点非常重要，然而 这也只是第一步。接下来，企业还必须采取一些非技术手段 保护自己。 新方法帮助人们加强网络安全意识 企业可能会投资于复杂的网络安全技术，但这并不一定能够 防止许多网络攻击背后的人为错误。毕竟，回复网络钓鱼电 子邮件、安装未经授权软件的是个人。 管理人员可以通过提高整个企业对网络安全问题的认识解决 这个问题。如何有效地做到这一点呢？很多企业多年来一直 在组织网络安全研讨会，推行强制性的培训计划，但人为错 误并未有所减少。一种新的培训形式势在必行。 致同塞浦路斯技术风险负责人Christos Makedonas表示，更 简短的培训形式会有所帮助。“没有人有时间观看长达一小 时的培训视频，这些视频应该缩短到最长两分钟，还需要视 觉方面的提醒，例如办公室周围的横幅和屏幕上的消息，告 诉人们网络安全的最佳实践。 “企业还应该模拟一些网络钓鱼，使员工从中受到进一步的 培训。我们发现这比传统的网络研讨会更成功。” 先识别漏洞，再进行投资 在投资预防性软件之前，企业需要了解哪些方面容易受到网 络攻击，或是出现了数据保护漏洞，这些需要特殊技能才能 实现，而企业网络安全部门通常不具备该类技能。 10 定义数字风险 “企业需要网络安全和与隐私相关的技能组合，帮助梳理数 据，以及理解相应的监管要求，云环境中尤其重要，”致同 爱尔兰网络安全服务合伙人Mike Harris表示，“企业还需要 围绕使用的技术，建立相应的网络技术技能。 “例如，如果企业使用的是亚马逊或Azure提供的云服务，企 业内部员工就需要掌握其安全技能，确定在网络安全方面哪 些事该做哪些事不该做。这类技能常常被忽视。” 先进的分析技术需要先进的分析思维 许多企业已斥巨资在网络安全高级分析技术上，以帮助识别 新的威胁和漏洞。但只有当员工能够解读分析结果并执行相 应的更改时，才能取得好效果。 “很多人都把技术视为特效解决方案，但事实并非如此，” 致同合伙人及网络咨询负责人James Arthur表示，“许多企 业在人工智能驱动的行为分析网络安全软件上投入了大量资 金，这在某些情况下非常有用。但是，企业通常还需要花费 大量时间对员工进行培训，以确保数据产出有用的洞见。然后， 还需要一名人员在链条的末端，查看输出结果，并作出或批 准更改。” 为不可避免的风险提供保障 2012年，前美国联邦调查局局长Robert Mueller说过：“只 有两种类型的公司：已经被黑客入侵的公司以及将要被黑客 入侵的公司。现在它们甚至正在归入一个类别：被黑客入侵， 并将再次被黑客入侵的公司。” 这段话的意思很明确漏洞是不可避免的。这就为投入管理数 字风险必须具备的预防措施提供了一个强有力的理由。 “任何合理的网络安全计划都必须具备检测、响应和预防措 施等要素，”Harris说，“我们看到有越来越多的预防措施用 以防范网络攻击和数据隐私监管违规行为。尽管预防措施的 必要性和使用率正在增加，但大多数企业仍然没有应用预防 措施以正确保护数据资产。” 了解最有价值的数据资产并进行相应的保护 企业应采用结构化程序，使用分类和分级流程，评估和了解 数据资产。然后，识别“最有价值的部分”，并针对适当的 预防措施进行投资。 具体该怎么做呢？识别最关键数据的一种方法是像黑客一样 思考，然后考虑黑客可能造成的最大危害。“目前的数据安 全环境不断发展，不断出现新的威胁和漏洞，”Chawla说， “领导者必须设身处地从网络犯罪分子的角度出发，了解他 们所构成的威胁，提出积极的策略，保护企业利益。” 前员工泄密哪些电子邮件信息会让他之前的经理难堪？外部 势力会对哪些知识产权和商业秘密感兴趣？网络犯罪分子如 何使用您的数据对企业进行钱财勒索？这些只是在购买预防 措施之前需要提出的部分问题，数字风险管理计划的一部分。 定义数字风险 11 五项建议构建综合性 数字风险管理 1 随着客户与企业分享的数据越来越多，信任 变得比以往任何时候都更加重要。企业必须 了解信任管理的必要性，并且在制定数字风 险政策和程序方面加大力度，以确保与客户 之间的信任建立起来并得到保护。 2 传统的培训方法不再起作用。企业应该开发 时长更短的培训视频，并频繁传播。企业还 可以考虑模拟网络钓鱼，以实际案例更好地 对员工进行培训。 3 企业需要了解自身的数字漏洞情况，并依此 招聘具有相关专业技能的员工，以完善企业 的网络安全技术。只有具有专业技能的人才 才能最大化对预防性软件的投资。 4 无论企业在预防网络攻击的软件上投入多 少，都无法避免网络攻击带来的伤害。为最 有价值的数据资产投保可以加强风险管理。 5 一旦保险生效，企业必须保持警惕，遵守相 关条款和条件。如果未能及时安装更新，则 可能导致保险无效。 12 定义数字风险 联系我们 我们帮助客户妥善应对网络威胁，确保保护的持续性，有效应 对并推动变革，从而提高企业的数字风险管控能力。 如需了解企业如何提升信息管控能力并将风险降至最低，请发送邮件至C。 2019 致同会计师事务所（特殊普通合伙）。版权所有。 “Grant Thornton（致同）”是指Grant Thornton 成员所在提供审计、税务和咨询服务时所 使用的品牌，并按语境的要求可指一家或多家成员所。 致同会计师事务所（特殊普通合伙）是Grant Thornton International Ltd（GTIL，致同国际） 的成员所。GTIL（致同国际）与各成员所并非全球合伙关系。GTIL（致同国际）和各成员所是 独立的法律实体。服务由各成员所提供。GTIL（致同国际）不向客户提供服务。GTIL（致同国际） 与各成员所并非彼此的代理，彼此间不存在任何义务，也不为彼此的行为或疏漏承担任何责任。 本出版物所含信息仅作参考之用。致同（Grant Thornton）不对任何依据本出版物内容所采取 或不采取行动而导致的直接、间接或意外损失承担责任。 致同国际商业调查报告方法论 致同“国际商业调查报告（IBR）”是全球领先的中端市场 商业调查。该报告于1992年在九个欧洲国家推出，目前每 年对35个国家，超过10,000名高级管理人员进行调查，深 入了解影响上市企业和私营企业的经济和商业问题。 IBR是针对中端市场上市企业和私营企业的调查。中端市场 的定义因国家而异，例如欧盟的中端市场企业，通常会有 50-499名员工；在美国，我们采访年收入2000万美元至 20亿美元的企业；而在中国，则是那些拥有100-1000名员 工的企业。目标受访者是CEO、董事总经理、董事会主席 或其他高级决策者。 关于致同 致同的前身北京会计师事务所成立于1981年，是中国最早 成立的会计师事务所之一。2009年加入Grant Thornton国 际网络，发展至今在中国已有260余名合伙人，5,500余名 专业人士为客户提供一站式的高品质服务。致同的客户群十 分广泛，包括逾200家上市公司，3,000家国有企业、外资 及民营企业。 Grant Thornton是一个国际性组织，由全球各地独立提供审 计、税务及咨询服务的成员所组成，国际地位斐然。各成员 所为充满活力的企业提供具有前瞻性的有效建议，助其释放 增长潜能。各成员所的合伙人非常注重与客户的紧密联系。 由他们带领的团队凭卓见、经验及直觉，积极主动地为私营 企业、上市公司和公共事业客户提供解决方案。遍及全球超 过130个国家的53000名致同员工为客户、同行及社会的 发展而不断努力，改变现状，成就未来。