Gartner:企業對數據安全的投資如何更貼近業務需求?
責編:gltian |2022-11-09 11:14:03隨著我國《數據安全法》和《個人信息保護法》的正式頒布施行,數據安全與隱私保護問題越來越引起國家、社會以及企業的重視。國內很多企業在數據安全方面的投資,逐漸從過去的事件驅動轉換到當下的合規驅動。過去企業會因為發生了重大的數據泄漏或被勒索事件之后才會考慮采購安全產品及服務或者開展員工安全意識培訓,到現在開始采用一種有組織、有序的方式進行合規建設從而滿足國內的監管需求,然而,Gartner認為滿足合規要求是數據安全工作的底線、不是最終目的,最終數據安全的投資需要反映到對業務產生的價值。中國數據安全的發展趨勢,將從以事件與合規驅動投資發展成以業務驅動的安全投資。
現實中,CIO也經常會被公司內部的經營管理層或是董事會質疑:“我們做的這些數據安全投資,究竟能替企業帶來多少業務的價值?”
如何讓數據安全的投資更貼近業務的需求?針對這一問題,Gartner研究總監陳延全作出了如下解讀。
Gartner預測:到2025年,國內60%以上企業機構的董事會,將把網絡安全風險視為一種業務風險。這個趨勢,會幫助我們把網絡安全投資以及數據安全投資從合規性驅動轉換成業務驅動。但是要達到這一步,首先安全部門需要跟業務數據使用的參與方建立一個共同理解,就是:數據對于安全部門以及業務部門是有不同意義的。因為大家看待數據的視角不同,導致安全部門和業務部門對于數據的分類、管理及風險評估采用不同的方法。
Gartner研究總監陳延全表示,現在國內有很多不同的數據風險評估合規要求,我們把使用數據過程中涉及到的風險分為三大類,自下而上包含:數據/隱私風險,業務風險,以及業務風險最終會給企業帶來的財務風險。大部分企業在做“數據風險評估”通常最關注底層的數據/隱私風險,為了滿足相關監管要求,把通過自評估的工作流程如數據安全風險自評估、數據出境自評估或者隱私影響評估發現的“不合規項”直接做處置。
Gartner認為企業不管是在做數據風險評估或者是做風險處置優先級排序的時候,除了考慮數據/隱私風險外,還需要同時考慮業務風險和財務風險。比如:企業在做風險評估時,識別出一系列數據/隱私風險,Gartner建議客戶透過一些工具、方法、流程,將這些數據的風險映射到對于業務部門的影響,再基于這些業務影響去量化財務風險。這樣,當企業在做風險處置優先級排序的時候,就可以采取由上至下的思路,挑選出能夠最大程度降低企業的財務風險優先處治它,就不單只是考慮合規的需求、同時也考慮業務的需求。
在完成以上分析的基礎上,企業可以通過風險、價值、成本的模型去優化未來的數據安全投資策略組合,讓數據安全投資更貼近業務的訴求。
Gartner今年發布了一份報告,指導客戶如何去采取這些步驟,去分析和調整企業的數據安全投資方向,以及和業務部門簽訂《數據保護等級協議》。業務部門作為數據的擁有者、使用方,即便數據安全成本不一定由他們承擔,但是最終數據保護的級別應該是由數據資產的擁有方來決定。對于數據的安全保護,不只是安全部門,業務部門的參與也非常重要。
