ITPub博客

首页 > IT基础架构 > 应用安全 > 危险警报!共享数据安全吗?支招数据安全成就经济效益

危险警报!共享数据安全吗?支招数据安全成就经济效益

原创 应用安全 作者:御数坊 时间:2020-12-03 09:32:03 0 删除 编辑

新朋友点上方蓝字“御数坊”快速关注


前言:随着我国大数据技术的不断发展与应用,以及对大数据价值的深入挖掘,数据已成为生产要素。前不久中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》中就引导劳动力要素合理畅通有序流动、加快培育数据要素市场、加快要素价格市场化改革等提出“顶层设计”。我们可以看出数据被明确的纳入到生产要素中,数据在经济社会发展中的作用越来越显著和重要,越来越多的政府机构和企业已将数据视为数据资产进行管理和研究。在当前社会的经济发展阶段,可以说是已经将数据当作实现企业经济效益甚至社会生产力的核心资源,很多企业将对未来的经济目标落实在了数据价值实现,并且逐渐实现从战略化、资产化的数据层面的管理和业务经营模式。



数据价值的实现才能成就经济效益
我们都在说数据是“石油”,比如中东国家有大量的石油资源,每年控制着石油的产量和国际原油的价格,而数据也是同样的性质,在当前大数据时代,谁拥有的数据资源多,谁就会在这个大数据时代拥有更多的市场和用户。大数据正在改变着我们的生活,也在改变着企业的运营模式,这些改变都将成为未来企业竞争的核心商业价值。企业如何在未来的市场竞争中保持竞争力,即是企业应该需要思考的问题。其实核心思想就是数据价值的实现。

数据价值的最终成果就是数据价值给企业带来经济效益。企业通过对采集的数据进行分析、挖掘以及应用,形成企业在市场中提供的最终服务,最终变为企业的经济效益。由于企业的数据来源复杂,如何将海量的数据变成经济效益,对企业自身来说是一个难题。很多企业都处在着数字化转型浪潮中,为了可以提升自身的数据资产价值的变现能力,大多数企业都在建设自身的数据平台(中台),但是在建设数据平台(中台)的过程中从最初的信心满满到最后热情逐渐消失,并没有有效的将数据资产的价值转变为符合市场经济的效益优势。

数据价值的最终实现趋势即为企业数据共享,为什么这么说呢,笔者认为数据开放共享是大数据挖掘与利用的前提和基础,只有数据资源规模足够“大”,才能保证其价值的完整;同时当前数据数据时代下各企业或政府机构应充分考虑“合作”的必要性,当前社会的信息资讯发展迅速,对企业人才和资源的需求也很迫切。只有实现数据资源共享,优势互补,才能达成共赢。人类社会已经进入网络和数字化时代,在这样一个环境里,数据资源的建设与共享已经成为时代发展的需要和必然。实现数据共享,是提高信息资源利用率,充分关注企业、社会组织等主体数据资源的开放、共享与再利用,才能实现真正意义上的数据的社会化利用,可以使更多的人更充分地使用已有数据资源,减少数据采集等重复劳动和相应费用。


跳出盲区,实现数据共享
就目前的阶段实现企业的数据共享还是存在一定的壁垒,笔者根据这些年的从业经验以及不同规模的客户群体交流中总结出了一些阻碍企业的数据共享的原因:

一是企业自身对数据资产价值的理解。企业对自身的数据资产的价值的理解往往存在三个层面,分别是不了解企业自身的数据资产价值,而不能对数据进行开放共享;太了解企业自身的数据资产价值,而不愿对数据进行开放共享;不清楚怎么去保护企业自身的数据资产价值,而不敢对数据进行开放共享。对于数据资产价值,企业可以通过对自身的数据资产价值进行综合评估,评估方向需要企业从其数据资产的经济效益与风险进行综合考虑,充分了解自身的数据资产价值,了解数据资产给企业带来的经济效益,并从风控思想角度出发,与资产评估结果进行对应,并对数据资产进行针对性的安全保护,最大程度的将风险降低到最小或者降低到企业自身可以接受的范围内,排除企业数据共享的“不能”、“不愿”和“不敢”的顾虑。

二是数据开放共享的积极性的缺失。近几年中,我们会经常听说某个企业的数据泄露事件,也会听说某个企业的数据被勒索。根据今年5月份美国公司Verizon发布了2020年数据泄露调查报告(DBIR),其中有超80个国家参与此次数据泄露的调研,该报告总共收集了近16万的数据泄露事故和近11万的数据使用违规事件,其中在数据泄露事件中,有55%的泄露事件和有组织犯罪相关,外部攻击占70%,企业内部攻击占30%;涉及个人数据泄露占58%,72%的受害者为大型企业。对比于过去的数据泄露事件,泄漏事件往往只是影响企业自身,而从现在对报告中可以看出已经开始向整个行业蔓延。这些都是因对数据资产价值认识的不断提高而被非法人员对数据进行勒索、恶意泄露带来的数据风险,由于这种风险仍然在不断增加,导致企业丧失了对数据开放共享的积极性。

三是数据开放共享的条件不满足。因企业数据平台的技术架构多使用开源组件,各组件自身的安全机制较薄弱,系统以及平台的集成缺乏连贯的安全机,缺乏数据保护能力,不能满足数据开放共享的条件。当前有很多企业在建立自己的数据平台,比如数据湖/仓库、数据中台等,这些数据平台的建立的主要目的是服务于业务并对外提供服务的,这种情况就需要考虑企业自身的数据平台的能力开放应该具有什么样的服务能力以及自身应该具备什么样的安全机制,若数据平台在对外提供服务时不能保证自身的安全,则导致数据平台的数据是在一种裸露的环境下,丧失了对企业重要数据的防护,导致数据价值的安全风险。


四是未建立明确的数据安全体系。因企业人员职能的管理体系不完善,缺乏相关制度流程以及对相关数据安全职能部门的资源统筹,无法建立完善的数据安全防护体系,达不到开放共享的基本要求。这和企业自身的组织结构职能有关,也和企业自身的数据安全防护技术有关,组织职能是统筹和管理数据安全的基本保障,而数据安全防护技术是保证数据安全要求的具现化体现,光有数据安全管理而没有数据安全技术的使用总归是纸上谈兵,怎么落实数据的安全管理和防护需要从数据安全体系的建立开始,清晰数据安全管理体系的组织结构职能,明确数据生命周期各阶段的安全防护要求是企业数据安全体系建设中非常重要的一环。

五是来自合规与监管机构的处罚。因监管合规部门的要求,企业担心因数据开放共享导致数据泄露风险而带来的严重处罚。

综上所诉,我们可以看出,归根结底,最深层、最根本的需求是解决数据本源的安全问题,企业的数据安全问题得到解决、数据安全能力的提高可以综合促进企业的数据共享,提高数据资产的有效利用,提高在市场经济中的竞争优势。
 
数据安全能力可以大大提高市场竞争优势
企业的数据安全能力主要可以分为四种能力,分别为数据安全管理能力、数据安全技术能力、数据安全合规能力以及数据安全运营能力。

数据安全管理能力。从组织的诉求来讲,若要实现数据共享提高自身对数据资产价值在市场的竞争优势,组织对数据安全能力提高的诉求越来越高,数据安全管理体系的建设也就成为了组织急需面临的问题,企业自身应如何从自身的角度去管理数据的安全问题,是企业在当前大数据应用和安全环境下最迫切的需求。从行业发展角度来讲,企业的数据安全管理能力可以成为企业在行业发展中的信誉指标,在众多的业务领域中,不同的企业在市场业务领域中存在着竞争关系,若企业在数据安全能力上存在优势,则可以在用户心中提高形象,从而增加在市场中的竞争优势,这更像用户在淘宝上购买商品,当看见一件符合心意的商品时首先会看的是商品的评价,现阶段社会中,个人用户更关注自身的数据隐私问题,若企业的数据安全防护能力做的完善,那么在用户心中就会默默的建立信誉标签,用户心中的天平就会倒向于信誉高的企业。企业所以如何建立、提升并完善组织自身的数据安全管理体系,提高数据安全管理的能力建设成为了企业需要首要完成的目标。

数据安全技术能力。企业的数据安全的管理需求需要从数据安全技术或相关工具提供助力。组织中的数据安全,需要数据安全相关技术和安全工具实现,完成对数据整个生命周期的安全防护。在当前的数据时代下,组织的业务数据往往是在系统间进行流动(也可能是跨数据中心),这种数据的流转环节(包含系统、业务场景、人员以及运维等)在每个环节中都可能导致数据的安全问题,应从多维度的方向进行综合考虑,实现对数据全生命周期的安全防护,做到对数据采集、存储、传输、处理、交互、销毁各阶段的安全防护。重点根据业务数据流转的场景,结合实际的业务需求并制定安全设计,然后采用相应的安全技术工具进行落地。不过,数据安全技术能力不能完全的依赖于技术工具,还应提高人的能力,提升对工具策略的调控,人员安全意识的培养等。

数据安全合规能力。组织的数据安全应满足国家的法律法规、行业规范以及企业自身的数据安全管理要求,对个人隐私数据以及企业敏感数据提供防护和管理要求。数据安全合规能力的建设主要包含两个方面,其中一个是技术工具的落实,合规是数据安全防护的基本要求,而技术工具是数据安全防护能力的最终体现;另一个方面是业务赋能,即将安全合规能力的要求融入到软件(系统)开发中,从最开始的设计阶段就考虑如何将数据安全合规性的要求在软件设计之初融入到系统开发中,这种是将传统的数据安全从服务业务转换为业务的合作方,将安全融入到业务系统中,由安全部门与业务部门进行深度融合。比如PbD(Privacy by Design),其字面意义是“通过设计保护隐私”,简单的说,PbD是个人信息保护链条上的第一环,直接将保护个人信息的理念以技术手段运用到产品和服务中。安全部门通过威胁建模对业风险进风险评估,从而进行针对性的业务系统安全设计,最大程度的将数据风险或者是合规要求产生的风险最小化,这样既保证了个人隐私的数据安全,同时也保证了合规性的要求,最重要的是对业务的安全进行了最大化的风险规避。

数据安全运营能力。组织的数据安全体系建设是一种长期并且持续的过程,需要长时间的积累和探索,摸索出适合组织自身的数据安全体系,因此需要做好数据安全运营工作。我们在保证了数据安全管理、数据安全技术落实以及数据安全合规的要求的时候,最后需要关注的就是数据安全运营能力的建设,企业的数据安全运营能力就像是对船体的维护,不管多大的帆船都需要定期对船体进行检查和修复。笔者认为数据安全运营能力的主要有亮点需要关注,一是对数据风险的控制能力,数据安全运营人员需要考虑如何去识别业务上的数据风险,怎么去对产生的数据风险进行治理和纠正,怎么在以后的运营环节中规避这种数据风险。不过,对数据风险的识别需要运营人员对业务具有非常深度的了解,可以将特征数据进行识别和重组,并发现其中的风险;同时,发现数据风险还需要对风险进行评估,可以对数据风险的发生概率、影响对象以及影响程度进行综合分析,最后运营与业务团队达成风险一致的共识。二是对运营团队赋能,这种赋能不仅是可以对数据风险的识别并提出改进,同时也需要赋能于业务,运营团队对关键业务数据风险的识别可以支撑业务的决策,并影响业务在数据风险上的资源投入。同时,数据安全运营需要制定符合组织自身的相关规章、制度、流程,并且应根据组织内的业务变化及组织变化进行持续的优化和完善。

企业通过有效的数据安全能力的建设,不仅可以对自身的敏感数据进行有效的防护,同时促进企业数据的共享,扩大数据资源的交互能力,从而存进企业的数据的进一步的分析与挖掘,大大的增加其在市场洪流中的竞争优势。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/69986666/viewspace-2738978/,如需转载,请注明出处,否则将追究法律责任。

下一篇: 没有了~
请登录后发表评论 登录
全部评论

注册时间:2020-10-29

  • 博文量
    2
  • 访问量
    903