摘要: 大数据、IOT、AI、5G等新技术的不断涌现和应用,催生了大量新业态,推动数字经济向纵深发展,并驱动全球数据爆发式增长。 据IDC报告,未来10年全球数据量将以40%的速度增长,2020年全球数据量将达到40ZB,约等于地球上沙滩中所有沙粒总和的47倍。而如果...
大数据、IOT、AI、5G等新技术的不断涌现和应用,催生了大量新业态,推动数字经济向纵深发展,并驱动全球数据爆发式增长。
据IDC报告,未来10年全球数据量将以40%的速度增长,2020年全球数据量将达到40ZB,约等于地球上沙滩中所有沙粒总和的47倍。而如果把40ZB全存到蓝光光碟中,光碟的重量将与424台尼米兹(Nimitz)级航母相当。
在过去信息化建设过程中,组织更多关注投入产出比,对于信息安全带来的危害感受微乎其微,因此应用系统、网络等关键基础设施的投入远远大于后期需要投入的安全建设。
我们可以切身体会到无论甲方还是乙方,更多都是从“术”的角度出发,追求各种防护方法,采购大量的分门别类的安全产品,以保证自身系统、网络的安全免遭黑客攻击。可以说,就整个安全生态而言,人们还未完全接纳数据安全的概念。
而伴随着数据量的剧增,用户、数据、设备、APP等带来的威胁使个体、企业逐渐认识到数据的价值并更加注重隐私保护,数据安全由此逐渐渗透至人们的生活。而组织面对愈发复杂的安全环境,必须要将数据安全工作不断提升到CXO级别,进而从“道”的层面,从数据资产的角度,形成体系化、系统化的数字化转型思路并螺旋式提升数据安全建设能力。
今年6月,Gartner最新报告《Outlook for Data Security 2019》,从数据安全领导者的角度为我们提供了较多的思路指引,以探究数字化转型建设的破局之道。
报告从过去、现在、未来三个时间维度提出Data Security Leaders面临的三大挑战,并以此展开论述。
一、回顾并学习,过去哪些做的有效,哪些无效?
01、回顾过去存在的问题:责任和数据所有权分裂
组织中CDO、CFO、DPO、CISO、CRO等领导者,基于不同的管理职责从不同的视角看数据,缺乏对数据安全宏观的认知,导致数据安全建设迟迟无法推进。
比如CDO首席数据官认为数据是最大的货币化资产,CFO首席财务官认为要将数据像实物资产一样进行管理,DPO觉得最重要的是要确保资产的隐私性,CISO关注的是有没有足够的资源来保护这些资产……彼此对于数据不同的理解导致了长期的责任和数据所有权分裂的现象,难以达成共识,数据安全工作自然难以推进。
02、与数据安全强关联的CDO和CISO如何在日益复杂的环境中提升?
- 安全领导者必须改变以往的陈旧观念,对数据有新的理解,以辅助未来对于数据安全建设的决策,避免片面理解带来的错误决定。例如CDO可以从伦理、质量及生命周期去理解4V( Volume、Velocity、Variety、Value),CISO可以从CIA(Confidentiality保密性、Integrity完整性、Availability可用性)和隐私去理解4V。
- CDO和CISO需要在整个数据生命周期中进行协作,环环相扣,以发挥最大的作用。
- 另一方面,随着数据上云,缺少了本地化的基础设施做支撑,数据在互联网中更加“放飞自我”,一旦出现泄漏等问题,我们很难找到为此负责的人,因此必须事先主动对数据采取访问控制、保护以及备份等一些列措施。
03、随着IT架构越来越复杂,我们使用的安全产品有多少?
随着信息系统、网络结构愈加复杂,组织必须思考在各个阶段投入的安全产品是出于什么样的缘由增设的?曾经使用的安全产品是否真正落地、真正辅助提升安全水平?对于日益复杂的环境,以往的安全建设理念是否还适用?
二、优先考虑和计划—现在可以做些什么?
01、做好商机与风险的平衡
随着互联网技术的多样化,数据面临的威胁也越来越多,包括来自信息系统的漏洞、来自于物联网的威胁以及来自恶意攻击者的入侵, 以上威胁都有可能造成数据的永久性泄漏和破坏。因此我们在发展自身业务的同时,必须意识到对于隐私保护(隐私信息如信用卡以及财务报告中存储的敏感信息等)的合规性要求,对数据安全负责。
02、战略规划设想
从数据安全概念的渗透以及当前的发展趋势可以预估,到2022年,超过20%的企业将会对数据资产进行金融风险评估,以优先选择IT、分析、安全和隐私方面的投资。
正如开头所介绍的,当前数据安全建设已经上升到CXO级别,从重术阶段过渡到以道驭术阶段。Gartner提出的安全规划框架,从企业发展策略、管理制度、合规、IT战略以及风险容忍度出发,以平衡业务需求和风险为基础,识别并确定需要保护的数据集合,并对其进行分级分类保护。当然,这其中需要对数据进行全面的梳理,使决策更科学。
根据数据集的生命周期,我们可从三个角度定义安全策略:数据本身、用户账号、用户权限。根据不同阶段面临的安全问题制定合适的数据安全策略,最后落地安全产品实施。转变以往忽略全局规划,直接从安全产品实施出发的思维和做法。
三、地平线规划--使用创新技术保护数据安全
数据世界中采用差分隐私、多方计算、区块链、机器学习、同态等新技术来实现数据保护,形成安全的数据或可分析的数据。例如在数据世界中涉及的身份数据,采用差分隐私技术实现隐私保护或数据保护。此外,量子计算针对当前数据和隐私保护建立加密灵活性的紧迫性。区块链通过分布式账本、哈希算法以及哈希校验比对,实现可追溯。
四、Gartner最后给出了四条建议
➢ 以数据安全为目的构建数据治理思想,以识别产生业务风险的数据集;
➢ 优先投资那些能够有效降低业务风险的数据安全产品;
➢ 将数据风险评估聚焦在由不同安全产品组合的安全控制;
➢ 创建一个可靠、合适的安全策略,以适应新的业务IT变化以及不断变化的威胁和合规性。
美创,让数字化照进现实
杭州美创科技有限公司十四年始终秉承“聚焦数据安全、释放数据价值”战略,致力于帮助客户实现数字化转型。
完整的数字化转型属于“一把手工程”,需要从战略、组织到运营,从前端到后端,从客户端到运营端,提升其竞争力,实现基于全方位的数字化战略。
美创科技从信息、共享、连接、可视、智能的五大场景出发,以数字化、集成化、资产化、可视化、自动化、智能化的六化技术,有效地帮助CXO级别的领导层做好顶层设计,围绕战略目标构建完善的政策制度体系、标准规范体系、组织保障体系,并且以数据治理、数据可视化、数据安全、数据上层应用等解决方案实现数字化转型真正可落地可执行。