数据安全必须突破的认知局限
在过去的两年,疫情的反复给社会和经济带来了巨大的挑战,同时我们也发现新技术新应用给工作和生活带来极大的便利,很多组织不断推动数字化转型,通过数据来不断改进产品、提升服务、知识更新、预测分析和决策辅助,数据无处不在贯穿在组织所有组织业务流程中,在不久的过去数据可以让组织活得更好,而在不久将来成为决定一个生死存亡的关键因素。随着数据安全法的颁布,对组织的数据安全也提出了更高要求,本文整理了7个数据安全必须突破的认知局限。
1 .数据是很特别的资产
在数字化转型的大潮中,“数据即资产”的观念已经深入人心,社会和组织对数据价值的重视程度与日俱增。资产是会给企业或组织带来经济利益的资源,那么数据资产是就是是会给企业或组织带来经济利益的数据资产。但是很多组织或企业并没有真正把数据当成资产进行管理,例如没有哪家企业或组织把数据资产放到固定资产表或资产负债表中。主要原因是数据资产与实物资产具有明显的差异,具有特别的资产属性,实物资产是可见、可触摸、可移动和价值可计量等特性,而数据资产不同,数据不可见、不可触摸、容易被拷贝迁移、可以同时被多人使用和一旦丢失不容易再生等特性,这些差异造成了数据资产管理成为困难,产生了无法准确盘点数据有多少、数据所有权是谁、如何防止数据被滥用和泄露等问题。
2 .数据不仅仅是资产,还是负担与风险
数据是可以产生价值的资产,也会成为负担和风险。如果数据不能满足业务使用需求,对数据收集、传输、存储、加工、销毁和安全防护等工作会工作耗费大量计算资源、存储空间和安全防护设备等资源和人力成本,大量低质量或无用的数据也造成资源浪费,成为组织沉重的负担。数据在全生命周期活动中会面临各种安全风险,例如常见的数据误用、敏感数据泄露、违规操作、非授权访问和合规保护风险,很多组织开始建设云平台实施数据大集中,数据越集中对应安全风险也会越大。
3 .数据安全管理需要全生命周期管理
数据是具有生命周期的,数据安全管理需要管理其整个生命周期的安全。由于数据在操作、集成和聚合的过程中会产生很多数据,数据的生命周期可能会变得很复杂,数据安全管理需要考虑不断变化的数据生命周期场景。不同类型的数据具有不同生命周期特征,在不同生命周期会面临不同的风险,数据安全管理需要识别这些特征和风险,满足不同数据全生命周期安全管理需求。
4 .数据管理和数据安全管理区别
数据管理关注数据可用性和可靠性,数据安全管理关注是数据机密性、完整性、可控性、可追溯性。在实际工作,数据管理通常由业务部门负责,数据安全管理通常由IT部门负责,业务团队对业务流程和业务功能熟悉,IT部门负责专注于建设和维护基础设施、系统和应用,对应用功能和业务流程并不敏感,往往造成了沟通不畅和协作。数据在组织内是横向移动的,会跨越多个部门业务系统,数据管理和数据安全管理都需要通过组织领导重视,从整体层面来进行规划管理,需要业务部门和信息技术部门进行合作,理清数据与业务流程关系、业务流程与支撑业务的技术关系、数据管理与数据安全管理之间关系等。
5 .数据处理需要符合伦理道德
在当今的大数据技术使用广泛,数据具有经济价值,很多组织通过过度数据采集和滥用,建立业务模型和算法,进行分析和预测,个人信息泄露现象非常严重,数据处理不仅满足法律法规要求,还需要受到伦理道德约束,实施数据最小化和公平合法透明原则。
6 .数据价值评估需要制定统一标准
每个组织的数据千差万别,很难用货币价值来统一衡量,但是采用货币价值去衡量对实际工作很有帮助,影响到数据管理和安全防护的规划决策。常用数据估值方法是成本收益计算,例如收集和存储数据成本、数据丢失恢复成本、潜在风险成本、安全防护成本、竞争对手的出价、数据地下交易和创新应用的收益等,还需要结合实际场景和时间性,综合评估数据价值。
7. 数据安全治理要以有效数据管理为前提
数据管理可以分为三大类:数据治理活动、数据生命周期活动和数据基础活动。数据治理活动确保组织对数据做出合理一致的决策,数据生命周期活动管理从数据采集到销毁整个生命周期过程,数据基础活动包括数据的日常管理、维护和使用。
数据安全治理覆盖了安全防护、敏感信息管理和合规三个目标实现数据安全使用,具体流程首先是来自对数据全生命周期活动的进行梳理分析,对数据划分不同类别和密级的;根据数据的类别和密级制定不同的管理和使用原则,尽可能对数据做到有差别和针对性的全生命周期的防护, 实现在足够安全防护强度和合规保障下的数据流转。
从以上可以得出,由于数据自身具有的复杂性,如果没有有效的数据管理作为支撑保障,无法盘点数据资产情况,无法理清业务流程与数据关系,无法评估数据资产价值,数据分类分级和针对性安全防护更是无从谈起,那么数据安全治理会不会成为镜花水月?看上去很完美但是实际无法真正落地,只能沦为安全厂商推广品牌与产品的噱头。
