数据保护是安全策略中最易缺失的环节

2020-11-11 09:12浙江王勇

■ 浙江王勇

编者按：进入数字时代，数据逐渐成为企业组织的最重要资产，然而对于数据的保护却面临很大程度上的不足。其中部分原因在于，存储在数据库中的结构化数据保护相对容易，但企业大部分数据是非结构化的，对这些数据资产的保护难度相对更大。

如今，任何企业组织要想做到完备的网络安全防护是非常困难的。移动设备的问世将数字边界扩展到新的极限，安全边界变得模糊。并且，“新冠”疫情爆发以来，远程工作已成为常态，其带来的安全问题亦将只增不减。

在评估对组织的网络安全风险时，我们通常将用户、设备和网络视为IT基础架构的重要组成部分，但是攻击者发起攻击的真正目标并不是这些设备或网络，而是数据。

虽然存储在数据库中的那些系统数据是有序的、结构化的且易于保护的，但全球92%的数据是非结构化或暗数据。

Exonar公司的研究表明，一个典型组织的非结构化数据中，42%为机密信息，1%为敏感信息，9%为个人身份信息。

可以设想一下，我们每天发送的所有电子邮件和团队所创建的文档，还包括SharePoint和OneDrive等文件共享，公司内网信息和个人文件夹数据，这些数据有没有很好地保存在企业的数据库中？

要想安全地保存这些非结构化数据是一项巨大的挑战。Exonar公司的研究表明，95%的IT专业人员表示，要想在其组织的整个数据仓库中获得可见性是一项挑战，但只有39%的组织正在采取积极措施来获得对相关数据的可见性。

但是如果不这样做，那么随着时间的推移，暗数据将会被慢慢遗忘，将会极易受到内部威胁或外部破坏的影响。实际上，很多企业将员工的数据泄露视为自身面临的最大风险——Exonar公司的研究表明，40%的受访企业将内部数据泄露列为未来最大的威胁。

那么如何提高企业的数据安全性呢？

改变关注点

对待数据保护需要掌握一种平衡。一方面，企业必须锁定敏感数据以保护其不受损害，另一方面，企业需要开放业务，以将数据提供给更多人访问。

现实状况是，在所有结构化和非结构化数据受到控制之前，任何企业都无法完全确保数据不被泄露。企业首先要做的是查找其中的内容、存储的位置以及其中是否包含敏感数据。

这些措施可以让企业确定如何保护这些数据。可能企业已经存在适当的控制而无需执行任何操作，或者是将这些数据进行移动或删除。

通过获得可见性，企业可以确定风险的优先级，采取措施保护源数据。

通过采用正确的方法、技术和流程，企业可以在保护其数据的同时，使员工继续正常工作，而不受数据保护程序的影响。

要想实现有效的数据保护，需要将数据置于安全战略的核心，并遵循以下五个关键步骤。

阐明企业保护数据的具体内容，并以文件的形式记录成册，而不是沦为口头上的说明，以此为接下来的数据安全治理奠定基础。

数据安全和治理应牢牢扎根于人们的思想之中，要想做到这一点，就需要对员工的安全意识加强培训，形成相关的企业文化。

明确企业资产中包含哪些数据，以便可以采取适当的措施来对其进行保护，更好地对复杂的数据进行管理，从而获得数据价值。

通过部署文档加密、数据防泄露、访问控制、数据补救、内容管理等安全技术和产品，或者采取多种方式来进行部署，这需要开放API和集成系统。

KPI使企业能够监视和更好地管理其数据，以识别需要持续改进的方面。

数据是企业最有价值的资产，同时又是最具风险的资产。要想保护这些数据的安全，企业必须知道拥有哪些数据资产。因此，企业必须找出公司资产中的结构化和非结构化数据。

一旦企业了解了其数据状况，就可以通过减轻数据中的风险，并以积极主动的方式使用它来推动业务发展，从而更好地保护企业业务发展。