埃森哲:企業(yè)數(shù)據(jù)安全遭遇最嚴峻挑戰(zhàn)

當今企業(yè)生成和掌握的個人敏感數(shù)據(jù)量超過以往任何時候。伴隨著數(shù)據(jù)量的增加，數(shù)據(jù)安全事件也在更頻繁地發(fā)生。數(shù)據(jù)安全與隱私保護挑戰(zhàn)日益嚴峻。云計算、軟件即服務等新應用延伸了數(shù)據(jù)保存的物理站點，隨著企業(yè)需要保密的數(shù)據(jù)在不同組織和地點之間流動，風險也隨之增加。埃森哲日前發(fā)布的最新研究結(jié)果顯示，數(shù)據(jù)和隱私安全保護已成為所有企業(yè)面臨的主要挑戰(zhàn)。企業(yè)亟需采取更加積極的措施避免敏感數(shù)據(jù)泄露，盡可能減少違規(guī)的風險和處罰，防止客戶流失、企業(yè)品牌和信譽受損。

埃森哲針對全球19個國家和地區(qū)的5500位商業(yè)領袖和15000名個人進行了調(diào)查，最終形成《數(shù)據(jù)和隱私安全保護研究報告》。報告顯示：企業(yè)和組織關于數(shù)據(jù)隱私保護的想法和做法之間差異明顯，信任度參差不齊；大多數(shù)企業(yè)或組織都丟失過敏感的信息，并且最主要的原因都來自其自身內(nèi)部管控缺失；大多數(shù)企業(yè)和組織僅僅滿足于合規(guī)遵從；對企業(yè)來說，了解第三方機構對數(shù)據(jù)隱私及其保護的想法和做法是至關重要的；那些通過尊重數(shù)據(jù)隱私及其保護來體現(xiàn)人文關懷的組織出現(xiàn)安全漏洞的可能性更小。

面對日益嚴峻的數(shù)據(jù)安全挑戰(zhàn)，企業(yè)又該從何處著手進行防范呢？“企業(yè)應當在數(shù)據(jù)安全保護成本高漲之前，盡快重新審視數(shù)據(jù)安全和合規(guī)框架，發(fā)現(xiàn)問題，明確目標，并制定具體的改進舉措，譬如開展企業(yè)數(shù)據(jù)分析和安全風險評估、建立企業(yè)的數(shù)據(jù)安全標準、實施合規(guī)治理解決方案、評估選擇和實施數(shù)據(jù)丟失保護方案。此外，企業(yè)還應當制定切實可行的實施路線圖，以期有條不紊地完善企業(yè)數(shù)據(jù)安全保護能力，為企業(yè)在追逐卓越績效的旅程中保駕護航。”埃森哲大中華區(qū)技術咨詢部副總裁應向榮認為。

首先，企業(yè)應該重新審視數(shù)據(jù)安全和合規(guī)框架。“企業(yè)的數(shù)據(jù)安全和合規(guī)框架常常滯后于數(shù)據(jù)產(chǎn)生、使用和共享的保護需求。企業(yè)在各應用系統(tǒng)的項目建設階段中，往往容易陷于從割裂的視角去看待信息系統(tǒng)的數(shù)據(jù)保護需求。因為缺乏全面的數(shù)據(jù)安全和合規(guī)框架，包括沒有定義統(tǒng)一的數(shù)據(jù)保護部門和崗位、沒有制定及執(zhí)行數(shù)據(jù)保護流程、以及缺失相應的數(shù)據(jù)保護技術工具，所以企業(yè)常無法及時有效地響應其數(shù)據(jù)保護需求。”應向榮指出。

其次，企業(yè)應該選擇和實施適當?shù)臄?shù)據(jù)安全控制措施。開展針對企業(yè)數(shù)據(jù)的安全風險評估是保護企業(yè)數(shù)據(jù)的第一步，通過安全風險評估，可以有效識別企業(yè)中需要保護的數(shù)據(jù)和存在的安全風險，從而有效地制定風險控制計劃，并為企業(yè)下一步有效對企業(yè)核心數(shù)據(jù)進行安全防護提供依據(jù)。“對數(shù)據(jù)進行分類和安全分級，并對用戶權限進行分級，是保證有效訪問控制的基礎。企業(yè)數(shù)據(jù)安全標準定義了數(shù)據(jù)分類和安全分級的標準、用戶對數(shù)據(jù)的訪問權限分類和分級標準、數(shù)據(jù)訪問授權和管理的標準、數(shù)據(jù)安全績效考核標準等。”

“最后，企業(yè)還應當持續(xù)改進控制措施，包括持續(xù)開展對數(shù)據(jù)保護措施的有效性測量，并根據(jù)測量結(jié)果進行改進，從而保持企業(yè)的數(shù)據(jù)安全和合規(guī)框架的完整性、適宜性和有效性。”應向榮表示。