過去，企業(yè)只有發(fā)生了重大數(shù)據(jù)泄露事件或勒索軟件事件等造成數(shù)據(jù)丟失或不可用，才會考慮投資數(shù)據(jù)安全。而隨著國家層面發(fā)布的《數(shù)據(jù)安全法》以及《個人信息保護法》，國內企業(yè)開始采用有序的方式滿足監(jiān)管需求，從事件型驅動的投資轉變成為合規(guī)驅動型的投資。

但是Gartner認為，滿足合規(guī)要求是數(shù)據(jù)安全工作的底線，最終數(shù)據(jù)安全的投資需要反映到對業(yè)務產(chǎn)生的價值。比如經(jīng)常會有CIO或者數(shù)字化轉型部門負責人被高層問道，“我們做的這些數(shù)據(jù)安全投資，究竟能替企業(yè)帶來多少業(yè)務的價值？”

的確，數(shù)據(jù)安全投資也是為了保護業(yè)務不受風險，于是，Gartner提出數(shù)據(jù)安全治理理念，幫助企業(yè)從合規(guī)驅動型的數(shù)據(jù)安全投資，轉向業(yè)務驅動型的安全投資。

Gartner研究總監(jiān)陳延全表示，Gartner總結了六大影響數(shù)據(jù)安全發(fā)展和治理的驅動力，包括監(jiān)管合規(guī)要求、業(yè)務需求、IT戰(zhàn)略、碎片化產(chǎn)品、數(shù)據(jù)可見度和安全威脅。Gartner認為，數(shù)據(jù)安全發(fā)展的六大驅動力是相關關聯(lián)的，企業(yè)需要綜合考慮，從而實現(xiàn)業(yè)務驅動型的數(shù)據(jù)安全投資。

安全投資評估排序 為業(yè)務產(chǎn)生價值

數(shù)據(jù)安全的投資要貼近業(yè)務需求，對業(yè)務產(chǎn)生價值。Gartner預測，到2025年，國內60%以上企業(yè)機構的董事會，將把網(wǎng)絡安全風險視為一種業(yè)務風險。這個趨勢，會幫助企業(yè)把網(wǎng)絡安全投資以及數(shù)據(jù)安全投資從合規(guī)型驅動轉換成業(yè)務型驅動。

但是要達到這一步，需要安全部門和業(yè)務數(shù)據(jù)使用方建立統(tǒng)一的共識。畢竟數(shù)據(jù)使用方和數(shù)據(jù)安全方的出發(fā)點不同，看待數(shù)據(jù)的視角不同，因此在數(shù)據(jù)的分類、管理以及風險評估方面就會產(chǎn)生不同的想法。

Gartner將使用數(shù)據(jù)過程中涉及的風險分為三類，即數(shù)據(jù)/隱私風險，業(yè)務風險，以及最終業(yè)務風險會對企業(yè)帶來的財務風險。過去，企業(yè)在處置安全風險時，常常先考慮合規(guī)要求以及業(yè)務要求，往往忽視了其帶來的財務風險。因此，Gartner建議，無論是數(shù)據(jù)風險評估或者時風險處置優(yōu)先級排序時，除了考慮數(shù)據(jù)/隱私風險外，企業(yè)還需要同時考慮業(yè)務風險和財務風險。

比如：企業(yè)在做風險評估時，識別出一系列數(shù)據(jù)/隱私風險，通過相關工具、方法、流程，將這些數(shù)據(jù)的風險映射到對于業(yè)務的影響，再基于這些業(yè)務影響來量化財務風險。因此，企業(yè)在設置風險處置優(yōu)先級排序時，可以采用由上而下的思路，挑選最大程度影響企業(yè)財務風險的安全事件優(yōu)先處置。

采用平臺型數(shù)據(jù)安全產(chǎn)品戰(zhàn)略

Gartner預測，到2025年30%的企業(yè)將采用通用型數(shù)據(jù)安全平臺，相比2021年不到10%有所上升，這是由于更高級別的數(shù)據(jù)安全性需求和產(chǎn)品能力的快速增長。

針對中國科技高管2023年的技術投資調研結果顯示，中國科技高管會在2023年加大投資的科技項目前五項技術包括商業(yè)智能/數(shù)據(jù)分析，網(wǎng)絡/信息安全，云平臺，人工智能/機器學習，集成技術/APIs/API架構。這五項技術中，都與數(shù)據(jù)安全有相關的交集，包括企業(yè)在使用商業(yè)智能、數(shù)據(jù)分析時，需要保護數(shù)據(jù)使用情況同時平衡業(yè)務需求，以及大數(shù)據(jù)平臺的安全防護；部署云平臺后所衍生的云工作負載中的數(shù)據(jù)保護工作；在使用人工智能、機器學習時所涉及的訓練數(shù)據(jù)和模型參數(shù)的保護；以及調用API時的集成安全。

在面對如此多類型的數(shù)據(jù)安全相關技術和產(chǎn)品時，企業(yè)該如何選擇呢？Gartner建議，企業(yè)先了解自身數(shù)據(jù)資產(chǎn)的使用情況，針對不同類型的數(shù)據(jù)資產(chǎn)管理，選擇數(shù)據(jù)管理框架、最佳實踐等內容來保護新型類型的數(shù)據(jù)資產(chǎn)。

此外，Gartner觀察到，單一功能的數(shù)據(jù)安全產(chǎn)品正在向平臺化產(chǎn)品轉變，并且傳統(tǒng)咨詢公司提供的安全咨詢服務業(yè)務逐漸向平臺化、自動化產(chǎn)品進行交付服務。因此，Gartner建議企業(yè)在選擇數(shù)據(jù)安全產(chǎn)品時，盡量選擇平臺型的數(shù)據(jù)安全產(chǎn)品，以防止企業(yè)需要花費過多精力來維護。

Gartner將平臺型數(shù)據(jù)保護產(chǎn)品分為四類，包括通用型數(shù)據(jù)安全平臺，專門保護云端數(shù)據(jù)庫的結構化數(shù)據(jù)；數(shù)據(jù)安全態(tài)勢管理，可以保護跨平臺、跨云端的不同結構數(shù)據(jù)；數(shù)據(jù)訪問治理和數(shù)據(jù)防泄漏，專注保護本地部署的非結構化數(shù)據(jù)。

開展數(shù)據(jù)安全治理的四個步驟

那么，企業(yè)該如何開展數(shù)據(jù)安全治理呢？Gartner提出開展數(shù)據(jù)安全治理的四個步驟。

第一步，設置數(shù)據(jù)安全與管理職能。涉及企業(yè)的角色分工以及企業(yè)內部數(shù)據(jù)安全管理體系建設，日常運營的流程以及操作等標準模板。

Gartner預測，到2025年，在國內開展業(yè)務的大型跨國機構將近有半數(shù)以上會開始設置專職的數(shù)據(jù)安全負責人。數(shù)據(jù)安全負責人必須具備一定程度本地的法律專業(yè)知識以及語言技能，才能夠更好幫助服務的企業(yè)來滿足中國本地相關的數(shù)據(jù)安全保護需求。

第二步，落實數(shù)據(jù)發(fā)現(xiàn)與分級分類。包括數(shù)據(jù)的類型以及存儲的位置，根據(jù)數(shù)據(jù)使用的敏感性和數(shù)據(jù)的業(yè)務屬性進行分類分級。

第三步，開展數(shù)據(jù)安全與合規(guī)評估?！稊?shù)據(jù)安全法》要求：“涉及重要數(shù)據(jù)處理，定期要開展一次數(shù)據(jù)安全風險評估。涉及數(shù)據(jù)出境，需要做數(shù)據(jù)出境安全評估。涉及處理個人信息，也要做個人影響評估?！币虼?，企業(yè)需要長期持續(xù)運營投入成本，來進行評估工作。

第四步，選擇并整合數(shù)據(jù)安全產(chǎn)品。Gartner推薦企業(yè)在選擇數(shù)據(jù)安全產(chǎn)品時，盡量采用整合型的數(shù)據(jù)安全產(chǎn)品，而不用花費大量精力來長期操作、維護單一功能的數(shù)據(jù)安全產(chǎn)品。

此外，Gartner還觀察到監(jiān)管合規(guī)趨勢，就是數(shù)據(jù)安全與隱私的交集程度越來越大。傳統(tǒng)層面上，數(shù)據(jù)安全由安全部門來負責，隱私保護由合規(guī)部門來負責，因此在管理方面是分工明確的。但是隨著國家立法的頒布，數(shù)據(jù)安全事件頻發(fā)，使得兩者之間的交集越來越多。Gartner建議，網(wǎng)絡安全和隱私領導者必須關注數(shù)據(jù)安全和隱私的交集關系，以減少數(shù)據(jù)泄露，并同時利用新興技術如隱私計算，支持隱私數(shù)據(jù)的創(chuàng)新使用并獲得競爭優(yōu)勢。