我們已經(jīng)生活在一個數(shù)字化的時代，那些能夠從數(shù)據(jù)中獲取最大價值的組織將成為最后的贏家。在數(shù)字化轉(zhuǎn)型和數(shù)據(jù)民主化的發(fā)展背景下，企業(yè)開展數(shù)據(jù)安全保護刻不容緩。不過，盡管企業(yè)在數(shù)據(jù)保護方面已取得了長足的進步，但數(shù)據(jù)安全建設(shè)并非一蹴而就，需要過程和投入，如果缺乏系統(tǒng)思考必然會導(dǎo)致只重視解決眼前問題，而缺乏長遠的規(guī)劃，最終會造成頭痛醫(yī)頭、顧此失彼、重復(fù)建設(shè)等問題。

文收集整理了企業(yè)開展數(shù)據(jù)安全建設(shè)時普遍存在的5種常見問題，并給出建議。

數(shù)據(jù)安全建設(shè)需要積極主動地識別和減輕風(fēng)險，而不是僅僅在合規(guī)審計期間逐項打勾。雖然GDPR、數(shù)據(jù)安全法等一系列數(shù)據(jù)安全法規(guī)的出臺，為企業(yè)組織的數(shù)據(jù)安全建設(shè)提出了明確要求和標(biāo)準(zhǔn)，但僅僅遵守這些法規(guī)是不夠的。人們常說，遵守規(guī)定并不等于安全，很多安全專業(yè)人員也反復(fù)強調(diào)了這一點。然而，還是有很多的企業(yè)組織將其有限的安全資源集中在實現(xiàn)數(shù)據(jù)安全合規(guī)上，一旦符合了相關(guān)法規(guī)要求或通過認證，就會產(chǎn)生虛假的安全感。因此，近年來許多重大的數(shù)據(jù)泄露事件，恰恰發(fā)生在那些表面上看完全合規(guī)的組織中。

建議：將合規(guī)作為數(shù)據(jù)安全建設(shè)的起點

合規(guī)只是數(shù)據(jù)安全建設(shè)的起點，組織應(yīng)采用戰(zhàn)略性、主動性的方法來保護關(guān)鍵數(shù)據(jù)。該策略應(yīng)該包括發(fā)現(xiàn)和分類敏感數(shù)據(jù)，使用分析工具評估風(fēng)險，通過加密和訪問控制實施數(shù)據(jù)保護，監(jiān)測異?；顒?，快速響應(yīng)威脅，并簡化合規(guī)報告。同時，企業(yè)要了解數(shù)據(jù)泄露的更廣泛影響，比如法律責(zé)任和潛在損失，這對于制定可靠的數(shù)據(jù)安全措施至關(guān)重要。

隨著業(yè)務(wù)不斷發(fā)展，數(shù)據(jù)被存儲在分散的平臺上，其中大部分是非結(jié)構(gòu)化數(shù)據(jù)。數(shù)據(jù)蔓延現(xiàn)象切實存在，這突顯了集中式安全監(jiān)管的重要性。對IT基礎(chǔ)設(shè)施越來越龐大的公司而言，如果數(shù)據(jù)源進一步擴展到云端，將會面臨一個全新的數(shù)據(jù)安全攻擊面。此時，組織需要一個更加全面的數(shù)據(jù)安全可見性，以便深入了解敏感數(shù)據(jù)的位置、訪問權(quán)限、如何被利用以及如何存儲等安全狀況態(tài)勢信息。

建議：部署新一代數(shù)據(jù)安全管控平臺

有效的數(shù)據(jù)安全需要了解敏感數(shù)據(jù)存儲和訪問的位置及方式，并將這些信息融入到更廣泛的網(wǎng)絡(luò)安全計劃中，以確保不同技術(shù)之間順暢兼容。企業(yè)應(yīng)該積極應(yīng)用先進的數(shù)據(jù)安全管控平臺方案，構(gòu)建一個集中式的數(shù)據(jù)發(fā)現(xiàn)、優(yōu)先級評估、安全防護和持續(xù)監(jiān)控能力，這樣才能識別所有已知和未知的數(shù)據(jù)，并根據(jù)數(shù)據(jù)量、暴露情況和安全態(tài)勢確定安全隱患的風(fēng)險級別，提出風(fēng)險警報和補救指導(dǎo)。

數(shù)據(jù)是現(xiàn)代企業(yè)最有價值的資產(chǎn)之一。然而，即使意識到數(shù)據(jù)安全的重要性，許多企業(yè)也沒有明確由哪個部門或團隊來負責(zé)保護敏感數(shù)據(jù)。這種情況在數(shù)據(jù)安全或?qū)徲嬍录型兊妹黠@。明確描述數(shù)據(jù)所有權(quán)和責(zé)任對于有效開展數(shù)據(jù)安全建設(shè)至關(guān)重要。企業(yè)中的所有部門以及員工都必須了解自己在保護數(shù)據(jù)安全方面的職責(zé)和角色，這樣才可以形成穩(wěn)定的數(shù)據(jù)安全文化。如果沒有人知道誰對哪些數(shù)據(jù)負責(zé)，保護數(shù)據(jù)安全就無從談起。

建議：設(shè)立數(shù)據(jù)安全保護官（DPO）

設(shè)立數(shù)據(jù)安全保護官（DPO）是企業(yè)向高效數(shù)據(jù)安全管理邁出的第一步，這個工作角色對于促進整個組織數(shù)據(jù)安全協(xié)作將起到關(guān)鍵性作用。在開展數(shù)據(jù)安全建設(shè)時，DPO 既要考慮監(jiān)管越來越嚴(yán)格的監(jiān)管要求，也要管理好內(nèi)部的組織問題；同時，還要保持其有效運轉(zhuǎn)，以保障數(shù)據(jù)資產(chǎn)的全鏈安全及業(yè)務(wù)的合規(guī)增長，這些都是DPO最核心的工作職責(zé)。

未修補的漏洞是網(wǎng)絡(luò)犯罪分子最容易攻擊的目標(biāo)之一。企業(yè)中很多的數(shù)據(jù)安全事件往往由于已知的漏洞造成的，盡管相關(guān)的安全補丁已經(jīng)發(fā)布，但許多企業(yè)由于種種原因并不能及時修補這些漏洞。無法快速修補已知漏洞會嚴(yán)重危及組織的數(shù)據(jù)安全性。

建議：實施更有效的漏洞管理計劃

對于企業(yè)組織來說，在實施漏洞管理計劃之前，首先需要明確一點，如何判斷漏洞管理項目的有效性？很多時候，漏洞管理不僅僅是一個技術(shù)問題而是企業(yè)綜合管理問題，它應(yīng)該是程序化的，包含計劃、行動、協(xié)同、問責(zé)和持續(xù)改進。企業(yè)應(yīng)該將漏洞修復(fù)視為一個優(yōu)先事項，并基于潛在的漏洞和業(yè)務(wù)影響設(shè)置漏洞修復(fù)優(yōu)先級。此外，對漏洞的保護措施還應(yīng)包括加密和令牌化等數(shù)據(jù)混淆技術(shù)。

全面監(jiān)控數(shù)據(jù)訪問和使用是企業(yè)數(shù)據(jù)安全戰(zhàn)略的重要組成部分。企業(yè)需要知道哪些人、在什么時候、以何種方式訪問數(shù)據(jù)，這些訪問活動是否會增加企業(yè)的數(shù)據(jù)安全風(fēng)險。然而在大數(shù)據(jù)時代，全面監(jiān)控數(shù)據(jù)活動困難重重，因為需要監(jiān)控、捕獲、過濾和處理來自數(shù)據(jù)庫、文件系統(tǒng)和云環(huán)境等不同數(shù)據(jù)源下的海量數(shù)據(jù)。

建議：制定全面的數(shù)據(jù)監(jiān)控策略

企業(yè)在開始數(shù)據(jù)安全建設(shè)時，需要及時調(diào)整數(shù)據(jù)監(jiān)控工作的規(guī)模和范圍，以正確應(yīng)對數(shù)據(jù)安全防護的需求和風(fēng)險。該項工作通常應(yīng)該采用分階段方法，這樣能夠開發(fā)和擴展更多的最佳應(yīng)用實踐。此外，企業(yè)應(yīng)優(yōu)先考慮監(jiān)控最敏感的數(shù)據(jù)源，并安裝具有高級分析功能的自動化監(jiān)控工具，以檢測風(fēng)險和異常活動，尤其是特權(quán)用戶。