數據保護是安全策略中最易缺失的環節

2020-11-11 09:12:10浙江王勇

■ 浙江王勇

編者按：進入數字時代，數據逐漸成為企業組織的最重要資產，然而對于數據的保護卻面臨很大程度上的不足。其中部分原因在于，存儲在數據庫中的結構化數據保護相對容易，但企業大部分數據是非結構化的，對這些數據資產的保護難度相對更大。

如今，任何企業組織要想做到完備的網絡安全防護是非常困難的。移動設備的問世將數字邊界擴展到新的極限，安全邊界變得模糊。并且，“新冠”疫情爆發以來，遠程工作已成為常態，其帶來的安全問題亦將只增不減。

在評估對組織的網絡安全風險時，我們通常將用戶、設備和網絡視為IT基礎架構的重要組成部分，但是攻擊者發起攻擊的真正目標并不是這些設備或網絡，而是數據。

雖然存儲在數據庫中的那些系統數據是有序的、結構化的且易于保護的，但全球92%的數據是非結構化或暗數據。

Exonar公司的研究表明，一個典型組織的非結構化數據中，42%為機密信息，1%為敏感信息，9%為個人身份信息。

可以設想一下，我們每天發送的所有電子郵件和團隊所創建的文檔，還包括SharePoint和OneDrive等文件共享，公司內網信息和個人文件夾數據，這些數據有沒有很好地保存在企業的數據庫中？

要想安全地保存這些非結構化數據是一項巨大的挑戰。Exonar公司的研究表明，95%的IT專業人員表示，要想在其組織的整個數據倉庫中獲得可見性是一項挑戰，但只有39%的組織正在采取積極措施來獲得對相關數據的可見性。

但是如果不這樣做，那么隨著時間的推移，暗數據將會被慢慢遺忘，將會極易受到內部威脅或外部破壞的影響。實際上，很多企業將員工的數據泄露視為自身面臨的最大風險——Exonar公司的研究表明，40%的受訪企業將內部數據泄露列為未來最大的威脅。

那么如何提高企業的數據安全性呢？

改變關注點

對待數據保護需要掌握一種平衡。一方面，企業必須鎖定敏感數據以保護其不受損害，另一方面，企業需要開放業務，以將數據提供給更多人訪問。

現實狀況是，在所有結構化和非結構化數據受到控制之前，任何企業都無法完全確保數據不被泄露。企業首先要做的是查找其中的內容、存儲的位置以及其中是否包含敏感數據。

這些措施可以讓企業確定如何保護這些數據。可能企業已經存在適當的控制而無需執行任何操作，或者是將這些數據進行移動或刪除。

通過獲得可見性，企業可以確定風險的優先級，采取措施保護源數據。

通過采用正確的方法、技術和流程，企業可以在保護其數據的同時，使員工繼續正常工作，而不受數據保護程序的影響。

要想實現有效的數據保護，需要將數據置于安全戰略的核心，并遵循以下五個關鍵步驟。

闡明企業保護數據的具體內容，并以文件的形式記錄成冊，而不是淪為口頭上的說明，以此為接下來的數據安全治理奠定基礎。

數據安全和治理應牢牢扎根于人們的思想之中，要想做到這一點，就需要對員工的安全意識加強培訓，形成相關的企業文化。

明確企業資產中包含哪些數據，以便可以采取適當的措施來對其進行保護，更好地對復雜的數據進行管理，從而獲得數據價值。

通過部署文檔加密、數據防泄露、訪問控制、數據補救、內容管理等安全技術和產品，或者采取多種方式來進行部署，這需要開放API和集成系統。

KPI使企業能夠監視和更好地管理其數據，以識別需要持續改進的方面。

數據是企業最有價值的資產，同時又是最具風險的資產。要想保護這些數據的安全，企業必須知道擁有哪些數據資產。因此，企業必須找出公司資產中的結構化和非結構化數據。

一旦企業了解了其數據狀況，就可以通過減輕數據中的風險，并以積極主動的方式使用它來推動業務發展，從而更好地保護企業業務發展。