我们已经生活在一个数字化的时代,那些能够从数据中获取最大价值的组织将成为最后的赢家。在数字化转型和数据民主化的发展背景下,企业开展数据安全保护刻不容缓。不过,尽管企业在数据保护方面已取得了长足的进步,但数据安全建设并非一蹴而就,需要过程和投入,如果缺乏系统思考必然会导致只重视解决眼前问题,而缺乏长远的规划,最终会造成头痛医头、顾此失彼、重复建设等问题。
本文收集整理了企业开展数据安全建设时普遍存在的5种常见问题,并给出建议。
陷阱1、仅满足合规是不够的
数据安全建设需要积极主动地识别和减轻风险,而不是仅仅在合规审计期间逐项打勾。虽然GDPR、数据安全法等一系列数据安全法规的出台,为企业组织的数据安全建设提出了明确要求和标准,但仅仅遵守这些法规是不够的。人们常说,遵守规定并不等于安全,很多安全专业人员也反复强调了这一点。然而,还是有很多的企业组织将其有限的安全资源集中在实现数据安全合规上,一旦符合了相关法规要求或通过认证,就会产生虚假的安全感。因此,近年来许多重大的数据泄露事件,恰恰发生在那些表面上看完全合规的组织中。
建议:将合规作为数据安全建设的起点
合规只是数据安全建设的起点,组织应采用战略性、主动性的方法来保护关键数据。该策略应该包括发现和分类敏感数据,使用分析工具评估风险,通过加密和访问控制实施数据保护,监测异常活动,快速响应威胁,并简化合规报告。同时,企业要了解数据泄露的更广泛影响,比如法律责任和潜在损失,这对于制定可靠的数据安全措施至关重要。
陷阱2:没有集中式数据安全监管机制
随着业务不断发展,数据被存储在分散的平台上,其中大部分是非结构化数据。数据蔓延现象切实存在,这突显了集中式安全监管的重要性。对IT基础设施越来越庞大的公司而言,如果数据源进一步扩展到云端,将会面临一个全新的数据安全攻击面。此时,组织需要一个更加全面的数据安全可见性,以便深入了解敏感数据的位置、访问权限、如何被利用以及如何存储等安全状况态势信息。
建议:部署新一代数据安全管控平台
有效的数据安全需要了解敏感数据存储和访问的位置及方式,并将这些信息融入到更广泛的网络安全计划中,以确保不同技术之间顺畅兼容。企业应该积极应用先进的数据安全管控平台方案,构建一个集中式的数据发现、优先级评估、安全防护和持续监控能力,这样才能识别所有已知和未知的数据,并根据数据量、暴露情况和安全态势确定安全隐患的风险级别,提出风险警报和补救指导。
陷阱3:数据安全的责任不明确
数据是现代企业最有价值的资产之一。然而,即使意识到数据安全的重要性,许多企业也没有明确由哪个部门或团队来负责保护敏感数据。这种情况在数据安全或审计事件中往往变得明显。明确描述数据所有权和责任对于有效开展数据安全建设至关重要。企业中的所有部门以及员工都必须了解自己在保护数据安全方面的职责和角色,这样才可以形成稳定的数据安全文化。如果没有人知道谁对哪些数据负责,保护数据安全就无从谈起。
建议:设立数据安全保护官(DPO)
设立数据安全保护官(DPO)是企业向高效数据安全管理迈出的第一步,这个工作角色对于促进整个组织数据安全协作将起到关键性作用。在开展数据安全建设时,DPO 既要考虑监管越来越严格的监管要求,也要管理好内部的组织问题;同时,还要保持其有效运转,以保障数据资产的全链安全及业务的合规增长,这些都是DPO最核心的工作职责。
陷阱4:未及时解决已知的漏洞
未修补的漏洞是网络犯罪分子最容易攻击的目标之一。企业中很多的数据安全事件往往由于已知的漏洞造成的,尽管相关的安全补丁已经发布,但许多企业由于种种原因并不能及时修补这些漏洞。无法快速修补已知漏洞会严重危及组织的数据安全性。
建议:实施更有效的漏洞管理计划
对于企业组织来说,在实施漏洞管理计划之前,首先需要明确一点,如何判断漏洞管理项目的有效性?很多时候,漏洞管理不仅仅是一个技术问题而是企业综合管理问题,它应该是程序化的,包含计划、行动、协同、问责和持续改进。企业应该将漏洞修复视为一个优先事项,并基于潜在的漏洞和业务影响设置漏洞修复优先级。此外,对漏洞的保护措施种还应包括加密和令牌化等数据混淆技术。
陷阱5:对数据流动的监控力度不足
全面监控数据访问和使用是企业数据安全战略的重要组成部分。企业需要知道哪些人、在什么时候、以何种方式访问数据,这些访问活动是否会增加企业的数据安全风险。然而在大数据时代,全面监控数据活动困难重重,因为需要监控、捕获、过滤和处理来自数据库、文件系统和云环境等不同数据源下的海量数据。
建议:制定全面的数据监控策略
企业在开始数据安全建设时,需要及时调整数据监控工作的规模和范围,以正确应对数据安全防护的需求和风险。该项工作通常应该采用分阶段方法,这样能够开发和扩展更多的最佳应用实践。此外,企业应优先考虑监控最敏感的数据源,并购买具有高级分析功能的自动化监控工具,以检测风险和异常活动,尤其是特权用户。