過(guò)去，企業(yè)只有發(fā)生了重大數(shù)據(jù)泄露事件或勒索軟件事件等造成數(shù)據(jù)丟失或不可用，才會(huì)考慮投資數(shù)據(jù)安全。而隨著國(guó)家層面發(fā)布的《數(shù)據(jù)安全法》以及《個(gè)人信息保護(hù)法》，國(guó)內(nèi)企業(yè)開始采用有序的方式滿足監(jiān)管需求，從事件型驅(qū)動(dòng)的投資轉(zhuǎn)變成為合規(guī)驅(qū)動(dòng)型的投資。

但是Gartner認(rèn)為，滿足合規(guī)要求是數(shù)據(jù)安全工作的底線，最終數(shù)據(jù)安全的投資需要反映到對(duì)業(yè)務(wù)產(chǎn)生的價(jià)值。比如經(jīng)常會(huì)有CIO或者數(shù)字化轉(zhuǎn)型部門負(fù)責(zé)人被高層問(wèn)道，“我們做的這些數(shù)據(jù)安全投資，究竟能替企業(yè)帶來(lái)多少業(yè)務(wù)的價(jià)值？”

的確，數(shù)據(jù)安全投資也是為了保護(hù)業(yè)務(wù)不受風(fēng)險(xiǎn)，于是，Gartner提出數(shù)據(jù)安全治理理念，幫助企業(yè)從合規(guī)驅(qū)動(dòng)型的數(shù)據(jù)安全投資，轉(zhuǎn)向業(yè)務(wù)驅(qū)動(dòng)型的安全投資。

Gartner研究總監(jiān)陳延全表示，Gartner總結(jié)了六大影響數(shù)據(jù)安全發(fā)展和治理的驅(qū)動(dòng)力，包括監(jiān)管合規(guī)要求、業(yè)務(wù)需求、IT戰(zhàn)略、碎片化產(chǎn)品、數(shù)據(jù)可見度和安全威脅。Gartner認(rèn)為，數(shù)據(jù)安全發(fā)展的六大驅(qū)動(dòng)力是相關(guān)關(guān)聯(lián)的，企業(yè)需要綜合考慮，從而實(shí)現(xiàn)業(yè)務(wù)驅(qū)動(dòng)型的數(shù)據(jù)安全投資。

安全投資評(píng)估排序 為業(yè)務(wù)產(chǎn)生價(jià)值

數(shù)據(jù)安全的投資要貼近業(yè)務(wù)需求，對(duì)業(yè)務(wù)產(chǎn)生價(jià)值。Gartner預(yù)測(cè)，到2025年，國(guó)內(nèi)60%以上企業(yè)機(jī)構(gòu)的董事會(huì)，將把網(wǎng)絡(luò)安全風(fēng)險(xiǎn)視為一種業(yè)務(wù)風(fēng)險(xiǎn)。這個(gè)趨勢(shì)，會(huì)幫助企業(yè)把網(wǎng)絡(luò)安全投資以及數(shù)據(jù)安全投資從合規(guī)型驅(qū)動(dòng)轉(zhuǎn)換成業(yè)務(wù)型驅(qū)動(dòng)。

但是要達(dá)到這一步，需要安全部門和業(yè)務(wù)數(shù)據(jù)使用方建立統(tǒng)一的共識(shí)。畢竟數(shù)據(jù)使用方和數(shù)據(jù)安全方的出發(fā)點(diǎn)不同，看待數(shù)據(jù)的視角不同，因此在數(shù)據(jù)的分類、管理以及風(fēng)險(xiǎn)評(píng)估方面就會(huì)產(chǎn)生不同的想法。

Gartner將使用數(shù)據(jù)過(guò)程中涉及的風(fēng)險(xiǎn)分為三類，即數(shù)據(jù)/隱私風(fēng)險(xiǎn)，業(yè)務(wù)風(fēng)險(xiǎn)，以及最終業(yè)務(wù)風(fēng)險(xiǎn)會(huì)對(duì)企業(yè)帶來(lái)的財(cái)務(wù)風(fēng)險(xiǎn)。過(guò)去，企業(yè)在處置安全風(fēng)險(xiǎn)時(shí)，常常先考慮合規(guī)要求以及業(yè)務(wù)要求，往往忽視了其帶來(lái)的財(cái)務(wù)風(fēng)險(xiǎn)。因此，Gartner建議，無(wú)論是數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估或者時(shí)風(fēng)險(xiǎn)處置優(yōu)先級(jí)排序時(shí)，除了考慮數(shù)據(jù)/隱私風(fēng)險(xiǎn)外，企業(yè)還需要同時(shí)考慮業(yè)務(wù)風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)。

比如：企業(yè)在做風(fēng)險(xiǎn)評(píng)估時(shí)，識(shí)別出一系列數(shù)據(jù)/隱私風(fēng)險(xiǎn)，通過(guò)相關(guān)工具、方法、流程，將這些數(shù)據(jù)的風(fēng)險(xiǎn)映射到對(duì)于業(yè)務(wù)的影響，再基于這些業(yè)務(wù)影響來(lái)量化財(cái)務(wù)風(fēng)險(xiǎn)。因此，企業(yè)在設(shè)置風(fēng)險(xiǎn)處置優(yōu)先級(jí)排序時(shí)，可以采用由上而下的思路，挑選最大程度影響企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)的安全事件優(yōu)先處置。

采用平臺(tái)型數(shù)據(jù)安全產(chǎn)品戰(zhàn)略

Gartner預(yù)測(cè)，到2025年30%的企業(yè)將采用通用型數(shù)據(jù)安全平臺(tái)，相比2021年不到10%有所上升，這是由于更高級(jí)別的數(shù)據(jù)安全性需求和產(chǎn)品能力的快速增長(zhǎng)。

針對(duì)中國(guó)科技高管2023年的技術(shù)投資調(diào)研結(jié)果顯示，中國(guó)科技高管會(huì)在2023年加大投資的科技項(xiàng)目前五項(xiàng)技術(shù)包括商業(yè)智能/數(shù)據(jù)分析，網(wǎng)絡(luò)/信息安全，云平臺(tái)，人工智能/機(jī)器學(xué)習(xí)，集成技術(shù)/APIs/API架構(gòu)。這五項(xiàng)技術(shù)中，都與數(shù)據(jù)安全有相關(guān)的交集，包括企業(yè)在使用商業(yè)智能、數(shù)據(jù)分析時(shí)，需要保護(hù)數(shù)據(jù)使用情況同時(shí)平衡業(yè)務(wù)需求，以及大數(shù)據(jù)平臺(tái)的安全防護(hù)；部署云平臺(tái)后所衍生的云工作負(fù)載中的數(shù)據(jù)保護(hù)工作；在使用人工智能、機(jī)器學(xué)習(xí)時(shí)所涉及的訓(xùn)練數(shù)據(jù)和模型參數(shù)的保護(hù)；以及調(diào)用API時(shí)的集成安全。

在面對(duì)如此多類型的數(shù)據(jù)安全相關(guān)技術(shù)和產(chǎn)品時(shí)，企業(yè)該如何選擇呢？Gartner建議，企業(yè)先了解自身數(shù)據(jù)資產(chǎn)的使用情況，針對(duì)不同類型的數(shù)據(jù)資產(chǎn)管理，選擇數(shù)據(jù)管理框架、最佳實(shí)踐等內(nèi)容來(lái)保護(hù)新型類型的數(shù)據(jù)資產(chǎn)。

此外，Gartner觀察到，單一功能的數(shù)據(jù)安全產(chǎn)品正在向平臺(tái)化產(chǎn)品轉(zhuǎn)變，并且傳統(tǒng)咨詢公司提供的安全咨詢服務(wù)業(yè)務(wù)逐漸向平臺(tái)化、自動(dòng)化產(chǎn)品進(jìn)行交付服務(wù)。因此，Gartner建議企業(yè)在選擇數(shù)據(jù)安全產(chǎn)品時(shí)，盡量選擇平臺(tái)型的數(shù)據(jù)安全產(chǎn)品，以防止企業(yè)需要花費(fèi)過(guò)多精力來(lái)維護(hù)。

Gartner將平臺(tái)型數(shù)據(jù)保護(hù)產(chǎn)品分為四類，包括通用型數(shù)據(jù)安全平臺(tái)，專門保護(hù)云端數(shù)據(jù)庫(kù)的結(jié)構(gòu)化數(shù)據(jù)；數(shù)據(jù)安全態(tài)勢(shì)管理，可以保護(hù)跨平臺(tái)、跨云端的不同結(jié)構(gòu)數(shù)據(jù)；數(shù)據(jù)訪問(wèn)治理和數(shù)據(jù)防泄漏，專注保護(hù)本地部署的非結(jié)構(gòu)化數(shù)據(jù)。

開展數(shù)據(jù)安全治理的四個(gè)步驟

那么，企業(yè)該如何開展數(shù)據(jù)安全治理呢？Gartner提出開展數(shù)據(jù)安全治理的四個(gè)步驟。

第一步，設(shè)置數(shù)據(jù)安全與管理職能。涉及企業(yè)的角色分工以及企業(yè)內(nèi)部數(shù)據(jù)安全管理體系建設(shè)，日常運(yùn)營(yíng)的流程以及操作等標(biāo)準(zhǔn)模板。

Gartner預(yù)測(cè)，到2025年，在國(guó)內(nèi)開展業(yè)務(wù)的大型跨國(guó)機(jī)構(gòu)將近有半數(shù)以上會(huì)開始設(shè)置專職的數(shù)據(jù)安全負(fù)責(zé)人。數(shù)據(jù)安全負(fù)責(zé)人必須具備一定程度本地的法律專業(yè)知識(shí)以及語(yǔ)言技能，才能夠更好幫助服務(wù)的企業(yè)來(lái)滿足中國(guó)本地相關(guān)的數(shù)據(jù)安全保護(hù)需求。

第二步，落實(shí)數(shù)據(jù)發(fā)現(xiàn)與分級(jí)分類。包括數(shù)據(jù)的類型以及存儲(chǔ)的位置，根據(jù)數(shù)據(jù)使用的敏感性和數(shù)據(jù)的業(yè)務(wù)屬性進(jìn)行分類分級(jí)。

第三步，開展數(shù)據(jù)安全與合規(guī)評(píng)估。《數(shù)據(jù)安全法》要求：“涉及重要數(shù)據(jù)處理，定期要開展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。涉及數(shù)據(jù)出境，需要做數(shù)據(jù)出境安全評(píng)估。涉及處理個(gè)人信息，也要做個(gè)人影響評(píng)估。”因此，企業(yè)需要長(zhǎng)期持續(xù)運(yùn)營(yíng)投入成本，來(lái)進(jìn)行評(píng)估工作。

第四步，選擇并整合數(shù)據(jù)安全產(chǎn)品。Gartner推薦企業(yè)在選擇數(shù)據(jù)安全產(chǎn)品時(shí)，盡量采用整合型的數(shù)據(jù)安全產(chǎn)品，而不用花費(fèi)大量精力來(lái)長(zhǎng)期操作、維護(hù)單一功能的數(shù)據(jù)安全產(chǎn)品。

此外，Gartner還觀察到監(jiān)管合規(guī)趨勢(shì)，就是數(shù)據(jù)安全與隱私的交集程度越來(lái)越大。傳統(tǒng)層面上，數(shù)據(jù)安全由安全部門來(lái)負(fù)責(zé)，隱私保護(hù)由合規(guī)部門來(lái)負(fù)責(zé)，因此在管理方面是分工明確的。但是隨著國(guó)家立法的頒布，數(shù)據(jù)安全事件頻發(fā)，使得兩者之間的交集越來(lái)越多。Gartner建議，網(wǎng)絡(luò)安全和隱私領(lǐng)導(dǎo)者必須關(guān)注數(shù)據(jù)安全和隱私的交集關(guān)系，以減少數(shù)據(jù)泄露，并同時(shí)利用新興技術(shù)如隱私計(jì)算，支持隱私數(shù)據(jù)的創(chuàng)新使用并獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。