數據安全必須突破的認知局限
在過去的兩年,疫情的反復給社會和經濟帶來了巨大的挑戰,同時我們也發現新技術新應用給工作和生活帶來極大的便利,很多組織不斷推動數字化轉型,通過數據來不斷改進產品、提升服務、知識更新、預測分析和決策輔助,數據無處不在貫穿在組織所有組織業務流程中,在不久的過去數據可以讓組織活得更好,而在不久將來成為決定一個生死存亡的關鍵因素。隨著數據安全法的頒布,對組織的數據安全也提出了更高要求,本文整理了7個數據安全必須突破的認知局限。
1 .數據是很特別的資產
在數字化轉型的大潮中,“數據即資產”的觀念已經深入人心,社會和組織對數據價值的重視程度與日俱增。資產是會給企業或組織帶來經濟利益的資源,那么數據資產是就是是會給企業或組織帶來經濟利益的數據資產。但是很多組織或企業并沒有真正把數據當成資產進行管理,例如沒有哪家企業或組織把數據資產放到固定資產表或資產負債表中。主要原因是數據資產與實物資產具有明顯的差異,具有特別的資產屬性,實物資產是可見、可觸摸、可移動和價值可計量等特性,而數據資產不同,數據不可見、不可觸摸、容易被拷貝遷移、可以同時被多人使用和一旦丟失不容易再生等特性,這些差異造成了數據資產管理成為困難,產生了無法準確盤點數據有多少、數據所有權是誰、如何防止數據被濫用和泄露等問題。
2 .數據不僅僅是資產,還是負擔與風險
數據是可以產生價值的資產,也會成為負擔和風險。如果數據不能滿足業務使用需求,對數據收集、傳輸、存儲、加工、銷毀和安全防護等工作會工作耗費大量計算資源、存儲空間和安全防護設備等資源和人力成本,大量低質量或無用的數據也造成資源浪費,成為組織沉重的負擔。數據在全生命周期活動中會面臨各種安全風險,例如常見的數據誤用、敏感數據泄露、違規操作、非授權訪問和合規保護風險,很多組織開始建設云平臺實施數據大集中,數據越集中對應安全風險也會越大。
3 .數據安全管理需要全生命周期管理
數據是具有生命周期的,數據安全管理需要管理其整個生命周期的安全。由于數據在操作、集成和聚合的過程中會產生很多數據,數據的生命周期可能會變得很復雜,數據安全管理需要考慮不斷變化的數據生命周期場景。不同類型的數據具有不同生命周期特征,在不同生命周期會面臨不同的風險,數據安全管理需要識別這些特征和風險,滿足不同數據全生命周期安全管理需求。
4 .數據管理和數據安全管理區別
數據管理關注數據可用性和可靠性,數據安全管理關注是數據機密性、完整性、可控性、可追溯性。在實際工作,數據管理通常由業務部門負責,數據安全管理通常由IT部門負責,業務團隊對業務流程和業務功能熟悉,IT部門負責專注于建設和維護基礎設施、系統和應用,對應用功能和業務流程并不敏感,往往造成了溝通不暢和協作。數據在組織內是橫向移動的,會跨越多個部門業務系統,數據管理和數據安全管理都需要通過組織領導重視,從整體層面來進行規劃管理,需要業務部門和信息技術部門進行合作,理清數據與業務流程關系、業務流程與支撐業務的技術關系、數據管理與數據安全管理之間關系等。
5 .數據處理需要符合倫理道德
在當今的大數據技術使用廣泛,數據具有經濟價值,很多組織通過過度數據采集和濫用,建立業務模型和算法,進行分析和預測,個人信息泄露現象非常嚴重,數據處理不僅滿足法律法規要求,還需要受到倫理道德約束,實施數據最小化和公平合法透明原則。
6 .數據價值評估需要制定統一標準
每個組織的數據千差萬別,很難用貨幣價值來統一衡量,但是采用貨幣價值去衡量對實際工作很有幫助,影響到數據管理和安全防護的規劃決策。常用數據估值方法是成本收益計算,例如收集和存儲數據成本、數據丟失恢復成本、潛在風險成本、安全防護成本、競爭對手的出價、數據地下交易和創新應用的收益等,還需要結合實際場景和時間性,綜合評估數據價值。
7. 數據安全治理要以有效數據管理為前提
數據管理可以分為三大類:數據治理活動、數據生命周期活動和數據基礎活動。數據治理活動確保組織對數據做出合理一致的決策,數據生命周期活動管理從數據采集到銷毀整個生命周期過程,數據基礎活動包括數據的日常管理、維護和使用。
數據安全治理覆蓋了安全防護、敏感信息管理和合規三個目標實現數據安全使用,具體流程首先是來自對數據全生命周期活動的進行梳理分析,對數據劃分不同類別和密級的;根據數據的類別和密級制定不同的管理和使用原則,盡可能對數據做到有差別和針對性的全生命周期的防護, 實現在足夠安全防護強度和合規保障下的數據流轉。
從以上可以得出,由于數據自身具有的復雜性,如果沒有有效的數據管理作為支撐保障,無法盤點數據資產情況,無法理清業務流程與數據關系,無法評估數據資產價值,數據分類分級和針對性安全防護更是無從談起,那么數據安全治理會不會成為鏡花水月?看上去很完美但是實際無法真正落地,只能淪為安全廠商推廣品牌與產品的噱頭。
