数据安全对企业的生存发展举足轻重,数据资产的外泄、破坏都会导致无可挽回的经济损失和核心竞争力缺失。而绝大多数中小企业注重业务的快速发展,往往忽略了数据安全重要性。近年来,企业由于自身的安全防护机制不严谨,数据安全事件频发。抛开事件本身的人为因素不谈,如何从技术角度避免重蹈覆辙,才是我们需要深度剖析的,但也有很多人对数据安全存在认知上的误区。
误区一:数据安全要求太多,要谨慎开展数据共享与开发
2021年,我国先后颁布并施行了《数据安全法》、《个人信息保护法》,不少人对这两部法律的理解有一个误区:两部法律的施行是为了制约数据的使用。事实上恰恰相反,这两部法律本质上是为了促进数据的开发利用和相关产业的发展。
“十四五”规划纲要将“加快数字化发展建设数字中国”单独成篇,并首次提出数字经济核心产业增加值占GDP比重这一新经济指标,明确要求我国数字经济核心产业2025年增加值占GDP的比重要由2020年的7.8%提升至10%。
去年全国两会上,一个数字被反复提及——48.6ZB,这是预计到2025年我国将产生的数据总量,占全球总量的27.8%。如此规模的“数据富矿”,其潜力极其巨大,《数据安全法》、《个人信息保护法》作为数据安全和隐私保护的法律依据,对数据合理利用,有序自由流动,促进数字经济发展有着极其重要意义。
借助相关要求,组织对数据要更加“以共享为前提、不共享为例外”、“敢开发、敢利用”、“让数据多跑路,产生更大的业务价值”。
误区二:数据安全和网络安全是同一赛道,二者没有区别
从狭义来说,网络安全指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或恶意的原因遭到破坏、更改、泄露,系统连续可靠地运行,网络服务不中断,保障网络信息的存储安全,以及信息的产生、传输和使用过程中的安全。
从广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性、可控性的技术和理论,都是网络安全的研究领域。所以广义的网络安全还包括设备的物理安全性,如场地环境保护、防火、防静电、防水防潮、电源保护等。
数据安全也有两方面的含义:
一是数据本身的安全。主要是采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等。
二是数据防护的安全。主要是采用现代信息存储手段对数据进行主动保护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据安全。
简单来说,网络安全偏向于“动态”安全,即信息系统和信息传递过程中的安全;而数据安全侧重于“静态”的数据自身安全状态。在数据完整生命周期保护的角度,两者既有交集,又有各自的偏重。
误区三:数据安全是网络安全的一部分,交给网络安全部门就行了
过去,承接网络安全工作的往往是网络安全团队。碰到复杂的问题时,也只需网络安全部门与相关部门联动便可实现问题的闭环处理。
而数据安全与之最大的区别,在于数据散落在组织各处,企业很多部门都是数据处理活动的参与者,所以这些参与者都需要承担一定的数据安全职责。
以某大型企业为例,其拥有销售部门、采购部门、财务部门、信息化运行维护部门和应用开发部门等多个业务单元,每个业务单元都独立运转并管理或参与管理着大量的部门数据,这些数据在组织内有序流转,并产生多样的交汇与共享,其中业务部门是数据的所有者,IT部门只有在和业务部门高效协同的背景下,才能真正保障好数据安全。
所以要做好数据安全工作,就需要组织内多个部门共同参与,网络安全部门是组织内承担基础设施及公共安全能力建设的主要部门,但其缺乏对各个业务部门数据的深入理解,另一方面也难于直接参与到数据资源管理和应用开发建设的过程中,所以在数据安全上能发挥的作用相对有限。
因此,数据安全绝不仅是信息化组织或网络安全部门的独立工作任务,而是一项由组织决策层到执行层,自上而下覆盖组织整体架构的完整任务。网络安全部门在数据安全上的工作更多应集中在数据安全风险监测与公共能力建设上。
数据安全保护需要组织自上而下,统筹开展
什么是自上而下,统筹开展?就是要把组织作为一个整体进行数据安全工作布局,而非依靠某个人或某个部门的力量来独立处理数据安全问题。
从法律的角度来说,拥有或使用数据的组织才是承担数据安全责任的主体。所以,数据安全工作需要统筹各个部门参与,保障数据在特定组织内全生命周期的安全。不论数据在这个组织中的生命周期涉及多少产品业务或人员,最终衡量数据是否安全,都需要把组织作为整体来考虑。
数据安全保护工作需要建立牵头+认责体系
数据安全与每个部门都息息相关,那是不是所有部门、所有人都该对组织的数据安全负责呢?为了厘清责任主体,数据安全保护工作需要建立牵头+认责体系,由一个组织单元牵头负责,再由数据的其他相关角色(生产者、使用者等)共同认责。
核心牵头者的职能是推进数据安全治理工作,完善数据标准化管理,实施常态化指导监督等。认责则是基于“谁生产、谁拥有、谁负责”的数据认责原则,确定数据安全保护工作的相关各方的角色、责任和关系,典型如数据安全保护过程中的决策、执行、解释、汇报、协调等角色和职责。
2021年8月,深圳发布的《深圳市推行首席数据官制度试点实施方案》(以下简称《方案》),就是牵头+认责体系的一个范例。
根据《方案》,首席数据官有六个方面的主要职责,分别为推进智慧城市和数字政府建设、完善数据标准化管理、推进数据融合创新应用、实施常态化指导监督、加强人才队伍建设和开展特色数据应用探索等。
有了政府部门的率先尝试,企业数据首席官制度是不是也可以做一些试验呢?
误区四:数据安全关键是体系化建设,要主抓建设,看看还有啥没买
数据安全保护工作不是一劳永逸的事,需要结合业务需求和技术发展不断夯实、加固、完善数据安全的保护能力。
以数据分类分级为例——数据分类分级并非一次性工作,只要有新数据的产生,分类分级工作就需要不断重复进行,数据分类分级越细,需要投入的资源就越多。
在IT时代,企业的信息化建设是以系统和网络为中心的,对应的安全防护也是以系统和网络边界的防护为重心,更多关注边界处的数据泄露和外部攻击,只要拦住了,就没事了。
但现在,数据的种类极其丰富,数据存储、流转及使用已构成一个复杂的数据生态。数据安全的风险更多在内部积聚,内部敏感数据的存储、扩散风险到了失控的状态时,边界的防护压力就会增大,防护效果显著降低。而且,敏感数据违规滥用本身就不是发生在边界处,大部分产品对于这种风险既无检测感知能力,也没有响应保护能力。
因此,增加数据安全运营视角为解决数据安全问题提供了一个新的解题思路。既然安全风险产生于数据运营的各个环节,那防护就不应该再盯着各个系统和网络,而是回到问题的本质,以数据为核心,围绕数据的全流程来展开安全的防护和运营工作。
数据安全也有和网络安全相似的一面,需要持续的风险监测与运营改进,通过不断发现、分析、研判可疑的数据安全事件,并积极响应、快速处置,推动数据安全的保护工作不断进行改进。持续监测、不断响应是数据安全工作永恒不变的主题。