过去,企业只有在重大数据泄露或勒索软件事件导致数据丢失或不可用后,才会考虑投资数据安全。随着国家层面的《数据安全法》和《个人信息保护法》的发布,国内企业开始有序应对监管需求,从事件驱动型投资向合规驱动型投资转变。但Gartner认为,满足合规要求是数据安全工作的底线,数据安全的投资需要体现业务产生的价值。比如CIO或者数字化转型部门的负责人,经常被高层问到,“我们做的这些数据安全投资,能给企业带来多少商业价值?”事实上,数据安全投资也是为了保护业务免受风险。为此,Gartner提出了数据安全治理的概念,帮助企业从合规驱动的数据安全投资转向业务驱动的安全投资。Gartner研究总监陈彦全表示,Gartner总结了影响数据安全发展和治理的六大驱动力,包括法规遵从性要求、业务需求、IT战略、碎片??化产品、数据可见性和安全威胁。Gartner认为,数据安全发展的六大驱动力相互关联,企业需要综合考虑,实现业务驱动的数据安全投资。安全投资评价排名为业务产生价值数据安全投资要贴近业务需求,为业务产生价值。Gartner预测,到2025年,超过60%的国内企业董事会会将网络安全风险视为业务风险。这一趋势将帮助企业将网络安全投资和数据安全投资从合规驱动转变为业务驱动。但要做到这一步,还需要安全部门和业务数据用户建立统一的共识。毕竟,数据使用者和数据安全方的出发点不同,看待数据的角度不同,因此在数据分类、管理、风险评估等方面也会有不同的想法。Gartner将数据使用中涉及的风险分为三类,即数据/隐私风险、业务风险,最后是业务风险会给企业带来的财务风险。过去,企业在应对安全风险时,往往首先考虑合规需求和业务需求,往往忽视了它们带来的财务风险。因此,Gartner建议,企业在评估数据风险或优先处置风险时,除了数据/隐私风险外,还需要考虑业务风险和财务风险。例如,企业在进行风险评估时,识别出一系列数据/隐私风险,通过相关工具、方法和流程将这些数据风险映射到对业务的影响,然后根据这些业务影响量化财务风险。因此,企业在设置风险处置的优先顺序时,可以采用自上而下的方式,选择对企业财务风险影响最大的安全事件进行优先处置。采用基于平台的数据安全产品策略Gartner预测,到2025年,30%的企业将采用通用数据安全平台,高于2021年的不到10%,这是由于更高级别的数据安全要求和产品的快速增长容量。根据2023年中国科技高管科技投资调研结果显示,2023年中国科技高管将加大科技项目投资的前五项技术包括商业智能/数据分析、网络/信息安全、云平台、人工智能/机器学习,集成技术/API/API架构。这五项技术都与数据安全相关,包括企业在使用商业智能和数据分析时,需要在平衡业务需求的同时保护数据使用,以及大数据平台的安全防护;源自云平台的部署云工作负载中的数据保护;保护使用人工智能和机器学习所涉及的训练数据和模型参数;以及调用API时的集成安全性。面对种类繁多的数据安全相关技术和产品,企业应该如何选择?Gartner建议企业首先了解自身数据资产的用途,针对不同类型的数据资产管理选择数据管理框架和最佳实践,保护新型数据资产。此外,Gartner观察到,单一功能的数据安全产品正在向平台化产品转变,传统咨询公司提供的安全咨询服务也逐渐向平台化、自动化产品服务。因此,Gartner建议企业在选择数据安全产品时,尽可能选择平台化的数据安全产品,以免企业在维护上花费过多的精力。Gartner将基于平台的数据保护产品分为四类,包括通用数据安全平台,专门保护云数据库中的结构化数据;数据安全态势管理,可保护跨平台、跨云的不同结构数据;数据访问治理和数据防泄露,重点保护本地部署的非结构化数据。四步进行数据安全治理那么,企业应该如何进行数据安全治理呢?Gartner提出了四步进行数据安全治理。第一步,设置数据安全和治理功能。涉及到企业的角色划分、企业内部数据安全管理体系建设、日常运营流程和操作的标准模板等。Gartner预测,到2025年,近一半在中国开展业务的大型跨国组织将开始任命专职数据安全官。数据安全负责人必须具备一定的当地法律专业知识和语言能力,才能更好地帮助服务企业满足中国本土的数据安全保护需求。第二步是实现数据发现和分类。包括数据的类型和存储的位置,根据数据使用的敏感性和数据的业务属性进行分类分级。第三步,开展数据安全合规评估。《数据安全法》要求:“涉及重要数据处理,必须定期进行数据安全风险评估。涉及数据出境时,需要进行数据出境安全评估。涉及个人信息时,还需要进行个人影响评估。”“因此,企业需要长期持续的运营投入成本来开展评估工作。第四步,选择和整合数据安全产品。Gartner建议企业在选择数据安全产品时,尽可能使用一体化的数据安全产品,而不是将大量精力花费在功能单一的数据安全产品的长期运维上。此外,Gartner还观察到数据安全和隐私日益交叉的监管合规趋势。传统上,安全部门负责数据安全,合规部门负责隐私保护,管理上分工明确。但随着国家立法的出台,数据安全事件频发,使得两者的交集越来越多。Gartner建议网络安全和隐私领导者必须关注数据安全和隐私的交叉点以减少数据泄露,同时利用私有计算等新兴技术支持私有数据的创新使用并获得竞争优势。
