三大关键要素保护企业数据

Commvault

有效的数据保护战略必须建立在坚实的业务基础上，企业可以遵循“救生筏”原则—风险意识、灵活性和信任，以应对网络威胁。

随着用户数据安全意识的逐步提升，用户对于企业在数据安全与隐私方面所做的工作有着更高的要求，这一点也决定了用户对企业的信任度。然而，有效的数据保护战略必须建立在坚实的业务基础上，企业可以遵循“救生筏”（RAFT）原则—风险意识（Risk Awareness）、灵活性（Flexibility）和信任（Trust），以应对网络威胁。

提升风险意识

企业管理层通常使用投资回报率（ROI）来衡量团队的绩效，然而，ROI结构很少被纳入风险识别的考量，唯独首席信息安全官（CISO）会着重关注企业的风险回报率（ROR），并且将ROR目标纳入企业管理层的优先考量。想要改变这一现状，需要企业文化的转变。

2008年金融危机、2018年《通用数据保护条例（GDPR）》的出台以及2020年的新冠肺炎疫情，都凸显了风险意识在企业经营中的重要性。缺乏风险意识的企业通常会不自知地面临风险，而风险意识较强的企业将安全视为跨部门流程要求的重要组成部分。企业从云中数据管理到勒索软件检测相关的购买决策，都需要考虑风险问题。

关键要点：

1.企业关注的焦点应当从纯ROI考量转变为ROI与ROR的平衡。

2.发挥首席信息安全官在企业管理层中的风险识别和提示作用。

增强灵活性

置身于复杂多变的社会经济条件下，灵活性将成为企业竞争优势的源泉，可以帮助企业应对危机并抓住重要机遇。《通用数据保护条例（GDPR）》第32条规定，企业需要从技术和组织层面满足以下要求。

·有能力确保系统和服务的保密性、完整性、可用性和恢复力。

·在发生物理或技术事件时，能够及时恢复个人数据的可用性和可访问性。

·定期测试和评估企业技术和组织层面措施的有效性，以确保处理过程的安全性。

GDPR要求涉及欧盟公民数据的企业必须拥有用于恢复系统和保持业务连续性的有效备份。实际上，有效的数据备份和定期的网络安全流程测试与评估應该成为全球所有企业的一项常识，而不仅仅是法规要求。同时，企业应当通过沉浸式的模拟演习而非讲座培训的方式，来测试其危机团队（包括负责技术、法务、企业声誉和社交媒体等方面的人员）的响应能力。这种模拟演习也有助于管理层识别网络风险，并更好地意识到危机准备的必要性。

关键要点：

1.定期测试并评估企业的网络安全流程，包括企业备份

2.为企业建立完善的网络安全事件应对计划，并通过沉浸式模拟演习对其进行验证

巩固公众信任

勒索软件是一种典型的网络安全威胁，即使企业支付赎金，也无法保证能够赎回其被加密的数据，更无法确定勒索软件是否在企业系统中留有后门，用于下一次的勒索。更有甚者，勒索方式从原本的拒绝企业访问数据，转为了威胁公开企业的敏感数据。近几年，勒索事件的数量呈增长趋势，平均勒索金额不断上涨，由此引发的宕机、企业声誉损失、追偿成本、监管罚款等都给企业带来了不可估量的损失。

危机管理理论提到，危机事件发生后将有一段“黄金时期”，企业可以通过迅速响应并对用户展现共情来赢得舆论支持。然而，在网络安全危机中，“黄金时期”并不存在，媒体和公众只会将数据丢失泄露归咎于企业而非黑客。危机发生后的迅速取证以及定损，有助于企业修复漏洞，同时企业应该制定必要的法律陈述及品牌策略。此时，品牌信任度是重中之重，企业应当努力保持公众对其品牌的信任度，再通过长期的舆论影响与控制来修复其声誉。

关键要点：

1.建立品牌信任，并在危机发生后进行快速响应。

2.不能以对待其他危机的方式来应对网络安全危机，企业必须在法律以及企业声誉取证方面做好充分准备。

有备方能无患。将市场比作汪洋大海，企业通过增加风险意识、灵活性和公众信任方面的投入，为自身打造数据保护“救生筏”，不仅能在危机出现时为企业及其用户提供有效保护，更能为企业的长远发展保驾护航。